提纲 一、背景及挑战 •动态沙箱是检测高级威胁的重要手段 二、环境敏感的恶意软件 •探测沙箱环境，对抗沙箱检测技术手段 三、环境敏感恶意软件的检测 •针对环境探测的各种检测思路及进展 四、我们的工作及进展 •金刚系统及相关进展

1、威胁情报的应用现状 2、为什么需要内生情报 3、本地化检测技术方法 4、现实的APT检测案例

针对企业的定向攻击所具有的技战术多样、过程复杂等特点使得传统的单纯从防御角度出发的防护手段已经力不从心。除传统的被动防御手段外，企业可以利用威胁情报主动地对威胁形势进行预判、感知从而采取预防性的部署。而攻击者对技战术、工具的复用也使得威胁情报可以有效抵御攻击。 卡巴斯基安全服务 卡巴斯基威胁情报中心 威胁情报源 威胁数据馈送 威胁数据支持多种平台 卡巴斯基威胁查询 内部报告 卡巴斯基APT报告 Pyramid of paini 威胁情报报告中的TTP 将TTP转化为检测能力

企业内网环境中，DNS协议是必不可少的网络通信协议之一，网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽，因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。这类手段常用于APT中维持访问和数据窃取阶段。在实际场景中，当攻击者拿下某台服务器权限，或服务器被恶意软件、蠕虫、木马等感染之后，通过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell等目的。 相比于基于规则的静态阈值检测误报高，易被绕过等问题，可以使用机器学习技术从历史数据中学习出一个DNS隧道模式用于检测。使用机器学习构建DNS隧道检测模型，重要步骤是对DNS隧道流量进行特征挖掘分析，需要以DNS协议标准中各字段的统计分析、DNS隧道实现原理为基础，同时结合安全专家知识提取模型特征。在机器学习算法模型选择方面，鉴于在安全检测类产品中要求模型具有高效性、结果便于解释性等特点，在模型选取上更侧重选用一些基于特征的浅层学习模型。 Agenda APT - 隐蔽信道 APT - Deep Info DNS Convert Channel 实践 - DNS TUNNEL Detection & Machine Learning 实践 - 工程（框架&流程），0 -> 1

目录 现状 产品及优势 技术方案 案例

本议题将分享一种基于机器学习的威胁情报识别方法及装置。依托自动化流程高效地检测并识别出 APT 攻击中的威胁情报，将会有助于提高 APT 攻击威胁感知系统的效率与精确性，实现对APT攻击的快速发现和回溯。 本议题所介绍的相关流程采用向量机学习算法，依托 360 的多维度海量数据，对多种类型的威胁情报定制相应的策略，具备“自学习、自进化”的能力。通过对海量数据进行类行为特征提取及分析，自动建立数据的行为模型，自动归纳总结出一套机器学习分类算法，建立了恶意程序检测引擎，提高了识别 APT 攻击中威胁情报的效率。该流程在我们发现和追踪 APT 攻击的过程中起到了关键性的作用。

移动互联网发展迅猛，移动安全当何去何从？本议题旨在和大家一起讨论当前非常热门的移动应用加固技术，并对比当前多家企业安全加固产品的优劣 Overview | Why ? | What ? | But ... | How ?

curl https://raw.githubusercontent.com/dvershinin/apt-get-centos/master/apt-get.sh -o /usr/local/bin/apt-get 不能直接下载，这里方便大家下载

使用./gradlew test运行./gradlew test 我的目标是在应用 APT 插件的情况下通过此测试。 就目前而言，当我应用了“android-apt”插件时，我无法在TestModule上运行代码生成，而不管其他任何事情。 如果您查看provided分支，您可以看到测试通过使用provided而不是apt和“androidTestApt”，只要未应用android-apt插件。 如果您查看aptfail分支，您可以看到仅应用 apt 插件会导致在provided分支中通过的测试失败。

分享这个PPT目的有二：一是可以全面了解一下乌克兰电网攻击事件的来龙去脉，二是给大家分享这个做的不错的PPT，非常精美，值得利用起来！