网络空间威胁发现前沿技术  0839X6M06005H

学期:2020—2021学年(春)第二学期 | 课程属性:专业研讨课 | 任课教师:姜政伟
授课时间: 星期三,第3、4 节
授课地点: 教一楼123
授课周次: 1、2、3、4、5、6、7、8、9、10
课程编号: 0839X6M06005H 课时: 20 学分: 1.00
课程属性: 专业研讨课 主讲教师:姜政伟 助教:姚叶鹏
英文名称: Frontiers of Cyber Threat Discovery 召集人:

教学目的、要求

网络威胁的痕迹基本会出现于在线流量、落地样本(载荷)或网络威胁情报等数据中,本课程采用理论加实践、讲授加研讨的教学方式,介绍恶意代码检测、可疑流量分析、威胁情报处理等应对网络空间威胁的核心环节的代表性技术。同时开展文献阅读与研讨工作,学习相关方向的新技术、新方法,培养学生在网络空间威胁发现方面的研究与工程能力。课程集中于分享和研讨各主题相关的学术热点和前沿动态。
通过本课程的学习,希望学生掌握恶意代码检测、可疑流量分析、威胁情报处理的在威胁发现中的最新学术进展和趋势,通过研读和实验深入理解相关核心技术原理,并在课堂分享讨论,提升学生的自学能力、表达能力和创新能力。

预修课程

计算机网络,网络安全

教 材

主要内容

第一章 恶意代码检测技术概述   2课时    主讲老师:姜政伟
     介绍恶意代码的主流检测与分析技术,包括利用文件特征、行为特征以及两者结合的方法,对恶意代码进行家族分类和同源性分析。
第二章 可疑流量检测技术概述    2课时    主讲老师:姜政伟
     介绍可疑网络流量的主流检测与分析技术,包括恶意代码通信的检测、攻击密文通信的检测,以及通过通信协议元数据的分析发现异常流量。
第三章 威胁情报处理与应用概述   2课时    主讲老师:姜政伟
     介绍近年业界兴起的网络空间威胁情报处理与应用的代表性技术,包括多源异构情报的采集聚合、威胁要素提取与威胁图谱构建,以及基于威胁情报的威胁建模等。
第四章 基于文件特征的恶意代码检测   2课时    学生展示与研讨
     研讨基于文件特征的恶意代码检测技术当前的学术热点和发展趋势,包括当前基于样本文件特征的检测技术中面临的技术难点,二进制代码相似度检测,使用人工智能手段应用于恶意代码的检测以及家族分类等问题。
第五章  基于行为特征的恶意代码检测   2课时    学生展示与研讨
     研讨基于行为特征的恶意代码检测技术当前的学术热点和发展趋势,包括当前基于行为的检测技术的难点,沙箱技术性能分析,环境感知技术的检测与对抗,使用人工智能手段应用于恶意代码分析以及家族分类等问题。
第六章  恶意代码通信检测   2课时    学生展示与研讨
     研讨恶意代码通信检测技术,基于恶意代码的通信特征和通信原理,对网络流量中的僵尸网络、木马等多种恶意代码的通信进行检测。
第七章  密文通信检测   2课时    学生展示与研讨
     研讨针对密文通信的检测技术,基于数据包包头信息和统计信息等,利用统计模型、数据挖掘、机器学习等多种方法对密文通信进行检测和分析。
第八章  网络协议元数据挖掘   2课时    学生展示与研讨
     研讨网络协议的元数据挖掘技术, 包括研究DNS、HTTP、SMTP典型网络协议的常见恶意流量特征,以及通过分析挖掘协议元数据检测分析相应攻击。
第九章  面向威胁情报的图谱构建   2课时    学生展示与研讨
     研讨当前热点的知识图谱与威胁情报相结合并应用于威胁发现的前沿探索,包括威胁情报图谱本体构建、多源情报实体抽取、情报信息融合消歧、威胁情报图谱挖掘等等。
第十章  用于威胁发现的威胁建模   2课时    学生展示与研讨
     研讨基于威胁情报进行的威胁建模技术,及其在威胁发现中的应用,包括业内主流的CAPEC、MEAC ,新兴的ATT&CK等威胁建模的相关理论模型,以及近年出现的代表性开源工具等。

参考文献

1.《恶意代码分析实战》,电子工业出版社,Michael Sikorski等著,诸葛建伟等译。
2.《网络安全监控:收集、检测和分析》,机械工业出版社,Chris Sanders等著,李柏松等译。
3.《情报驱动应急响应》,机械工业出版社,Scott.J.Roberts等著,李柏松等译。