雷锋网注:本文为威胁情报公司微步在线投稿,授权雷锋网(公众号:雷锋网)发布,本文原标题为《威胁情报的私有化生产和级联:威胁狩猎及情报共享》

1.  威胁情报库建设的背景和需求

2.  威胁狩猎的技术重点和难点

给山东省教育招生考试院点个赞。

法治兴则国兴,法治强则国强

4.  对于整个网络安全威胁情报共享体系建设发展的意义

威胁情报库的建立,一方面能够协助我们及时察觉黑客或恶意攻击者的各类战术、方法、行为模式,掌握针对支付场景的最新攻击动向,高效预防和处理各类网络风险安全事件;另一方面高质量的情报数据能够为风险防控提供有力支持,实现对外部网络异常访问行为的精确识别。它对于防守方安全风控团队及时掌安全态势并做出正确响应具有重要价值。

2)   如何解决分支机构情报冲突和误报

——2013年2月23日在十八届中央政治局第四次集体学习时的讲话

不过也没关系,就算是改成了发布会形式,老徐也一定不会空手而归。

从齐鲁晚报·齐鲁壹点记者当天在现场的采访反馈来看,不少美术生感觉难度不大。董洲认可这种说法。

五、研究的产出和意义

1.  情报上传下达的基本逻辑

该架构拥有威胁检测模型十类,包括基于威胁情报的大数据碰撞模型、DNS隐蔽信道检测模型、动态沙箱检测模型、DGA随机域名生成检测模型、内网横向渗透检测模型、深度学习算法自学习检测模型等。检测覆盖阶段包括嗅探、漏洞利用、武器投递、远控、横向移动、对外攻击、行动(勒索、挖矿、数据窃取),识别的攻击与威胁类型至少包括:端口扫描、应用扫描、子域名暴破、远程溢出、WEB攻击、SQL注入、配置漏洞、命令注入、CC破坏性攻击、XSS、SSRF、文件泄露、目录遍历、暴力破解、网页木马、木马执行、webshell、僵木蠕检测、高危漏洞利用、勒索软件、挖矿木马、高级APT组织、隐蔽信道通信等。

依托微服务、分布式集群、海量数据存储、消息队列等大数据软硬件基础组件,构建“松耦合、高内聚”的底层大数据架构,采用ElasticSearch、Hadoop、Spark、Kafka等开源分布式技术,解决海量数据接入、解析、分析、存储、输出等关键环节并发瓶颈问题,能够根据检测环境进行动态扩展。

为了实现这两个目标,我们进行了情报共享技术和全流量威胁狩猎的研究。

——2018年8月24日在中央全面依法治国委员会第一次会议上的讲话

一起来看看老徐在现场都采访到了哪些内容:

雷锋网原创文章,。详情见转载须知。

对此,记者现场采访了山东工艺美术学院参与阅卷的董洲教授。

在原有情报管理平台整合情报与提供情报检测接口的能力上,增强行业情报共享能力、提供批量接入挖掘情报的接口,并建设与现有安全设备联动的能力,基于威胁情报进行自动化的响应。

2.  现有威胁情报库

“谁向下游情报管理平台写情报”:除了核心情报管理平台外,下游机构其实并没有直接、准确的情报可被写入,实际可写入的是下游机构网络环境中部署的安全设备产生的告警,当众多下游机构上报告警后,核心情报管理平台可以根据智能策略实时动态生成行业威胁情报,例如:下游机构网络不连续的情况下,某个外部IP连续攻击多个下游机构,该攻击IP就相当可疑,根据策略生产为行业情报,并推送给其他暂未感知到风险的下游机构。

不过有些考生处理的像花一样,“型上不伦不类,但仍能感觉到是麦穗。”

当然,这两只鸟与前几年素描试题中出的“马踏飞燕”不可同日而语,“‘马踏飞燕’确实有难度。”

三、情报共享技术研究

这就要求我们开放对外部SIEM/SOC数据平台、防火墙或WAF设备、主机管理产品、路由和交换设备以及其他安防产品的联动。并分析特定场景的设备联动,对于命中的高危情报,调用下游设备实现阻断,推动情报从检测、响应场景到全面的安全防护。

12月15日中午,山东2020年美术类专业统考速写和造型基础科目结束,不少考生直呼速写太难了。

此次色彩基础所给的考题内容是:户外场景、鼓、鼓槌,花卉(含麦穗)、白色鸽子、旅行水杯,要求考生在所提供的场景内自行组织构图,不得变换场景。

在威胁情报的应用过程中,我们发现仍然有一些问题有待解决。

虚假注册、批量绑卡、恶意刷单刷券等各种恶意行为会影响企业相关产品的日常运营和营销推广,而传统金融行业自身缺乏与互联网相关的安全数据,需要高质量的情报数据支持相关的风险防控工作。因此,需要把安全跟业务相结合,引入跟风控等业务相关的威胁情报,帮助提升公司的风险防控能力。

山东2020年美术类专业速写科目的考试内容为:擦拭椅子的女童,以及掷铅球的男青年,要求学生以写实手法完成速写绘画。

不得不告诉你,以上图片和视频并不是老徐拍的,而是来自山东省教育厅王占波老师。

中国古代像包公、海瑞这样的清官,老百姓都推崇他们为“青天”。包公曾经写过一首明志诗:“清心为治本,直道是身谋。秀干终成栋,精钢不作钩。仓充鼠雀喜,草尽兔狐愁。史册有遗训,毋贻来者羞。”我们的干警要把法治精神当作主心骨,做知法、懂法、守法、护法的执法者,站稳脚跟,挺直脊梁,只服从事实,只服从法律,一是一、二是二,不偏不倚,不枉不纵,铁面无私,秉公执法。

1.  安全建设保障延续性

对于拥有自有情报平台的机构,情报管理平台可以采用行业同行的标准进行情报的交换。

2)  银联本身业务的要求。

我将其作为最后的选择,是因为结合先验知识可能是一个挑战,通常也是最耗费时间的。

1)  新时代攻防趋势与需求的变化。

基于威胁情报做日志关联分析

整体方案主要由核心情报管理平台和下游情报管理平台两部分组成:

任何国家任何制度都不可能把执法司法人员与社会完全隔离开来,对执法司法的干扰在一定程度上讲是客观存在的,关键是遇到这种情况时要坚守法治不动摇,要能排除各种干扰。这方面也有好的典型。海南省东方市天安乡派出所原所长吴春忠同志不徇私情,亲手将涉嫌违法犯罪的多年好友抓捕归案,并告诉他:“你是我最好的朋友,但人情大不过法律。公安机关如果不能秉公执法,还怎么取信于民?”他对前来为亲戚说情的领导干部说:“我要是放过他,就是说假话、办假案。你身为领导,怎么能提出这样的要求?”这就是好样的!

对于图像分类问题,最常用的数据集是 ImageNet。这个数据集涵盖目标多个类的数百万张图像,因此可以用于许多类型的图像问题。它甚至包括动物,因此可能有助于稀有鸟类的分类。

对企业相关网络边界的出入站双向流量、内网各区域之间横向东西向流量进行全面采集,由流量采集器通过流量镜像方式,对网络内产生流量的所有全量数据进行实时采集,主要采集数据包括流量信息、流量中还原的payload或文件、终端日志数据等三类,其中,流量信息包含DNS、HTTP、TCP、SMTP、POP3、RSYNC、RDP、TFTP等8项协议;DNS日志包括Request与Response双向日志中的解析域名、查询类型、源地址与端口、目的地址与端口等信息。据此形成全流量威胁持续检测接入数据。

他说,这种麦穗感觉像花店里的麦穗,“你不能说他不对,只是麦穗大了一些。”

色彩画麦穗,有考生画的是花店里的麦穗,算不算跑题?

如果你无法获得更多的数据,并且无法成功地对大型数据集进行微调,那么数据增强通常是你接下来的最佳选择。它还可以与微调一起使用。

(整理:曹磊 詹云)

“铁面无私,秉公执法”

——2018年8月24日在中央全面依法治国委员会第一次会议上的讲话

从上图中可以看出,基于每个类的样本数量的性能是如何变化的,以及微调对于一些小型数据集(CUB)是多么有价值,而对于其他数据集(CIFAR-100)则没有那么有价值。

如果说色彩中比较相对比较难画的内容物,应当是那两只鸟。

——2014年1月7日在中央政法工作会议上的讲话

1.  情报合法有序共享

董洲表示,到目前为止的阅卷情况来看,色彩的整体水平感觉没有大的变化,不过他明显感觉到今年的卷面中特别公式化的画面比以往少了。

他表示,相对于往年来说,色彩试题的难度跟考生的感受相差不大,至少没有增加难度。

协同研判过程中,威胁情报团队成员将共同补全攻击组织手法,最终形成自主的攻击者画像数据库;情报管理平台 支持单一情报的多个情报源数据横向对比查看,多角度综合评估情报全貌,然后通过 Restful API 将威胁能力共享,实现总控和各分支之间的推送、上报和可控的二次分发。

历史和现实都告诉我们,法治兴则国兴,法治强则国强。从我国古代看,凡属盛世都是法制相对健全的时期。春秋战国时期,法家主张“以法而治”,偏在雍州的秦国践而行之,商鞅“立木建信”,强调“法必明、令必行”,使秦国迅速跻身强国之列,最终促成了秦始皇统一六国。汉高祖刘邦同关中百姓“约法三章”,为其一统天下发挥了重要作用。汉武帝时形成的汉律60篇,两汉沿用近400年。唐太宗以奉法为治国之重,一部《贞观律》成就了“贞观之治”;在《贞观律》基础上修订而成的《唐律疏议》,为大唐盛世奠定了法律基石。

数据增强背后的思想很简单:在不改变标签值的情况下,以提供新数据的方式改变输入。

正如小萌所说,今年的试卷中去掉了可参照的人物照片。不少家长因此担心速写会成为美术类专业统考中拖后腿的一科。

现在假设你已经有一个简单的基线模型,且在获取更多数据上要么不可行要么太昂贵。此时最可靠和正确的方法是利用预训练模型,然后针对你的问题对模型进行微调。

董洲反思了这种意外,他说,这主要是考生在速写方面的训练时间拉长了。

1)   如何构建和落地24*7全自动的多机构情报共享和消费机制

威胁狩猎流程(流程图)

银联是典型多职场、多组织协同防御的结构,拥有较多安防设备且对攻击敏感,会有海量的告警信息,如何从海量告警信息中获取真实的攻击行为是一个大的挑战。同时来自外部的威胁情报数据无法完全支撑对于真实攻击的检测、阻断和溯源分析,攻击者对于外围资产实施跳跃式攻击时,也可能导致联动防御困难。在这些场景中,我们对威胁情报数据和威胁情报生产均有强需求。

——2018年8月24日在中央全面依法治国委员会第一次会议上的讲话

威胁情报库的数据来源分为三方面,包括内部情报、专业机构和行业联盟。内部情报包括传统安全设备的拦截、后台SIEM等安全分析系统的分析以及业务风控系统的发现;专业机构会提供所处专业的多源情报,根据每家机构的专业特点进行互补,并在情报冲突时对数据进行研判;行业联盟的威胁情报共享目前正在研究探索中。内部情报、专业机构和行业联盟这三方面的数据聚合后,形成本地库,进行处理后,最终将数据结果反馈给最上层的应用层,推送给后台应用、防御设备或者人工调用。在综合考虑威胁情报库需求后,我们对国内相关厂商进行调研测试,最终选择北京微步在线科技有限公司旗下本地威胁情报管理平台作为银联威胁情报库的载体平台。

针对威胁情报准确性、及时性和多样性的需求,威胁情报库采取多源威胁情报的收录和管理,本地情报平台应至少能装载四种情报类型、具备两种情报能力,具体包括多源机读情报、高级人读报告、漏洞情报、自定义情报等,情报能力应包括情报代理能力、本地生产情报能力等,此外,情报共享和级联正是保证威胁狩猎成功进行的关键能力之一。

威胁狩猎是企业机构基于威胁情报的自我查验。威胁狩猎需要提前掌握攻击者某些基本模糊特征和线索,即威胁情报,然后基于情报,通过旁路流量检测、系统日志检测或主机行为检测来挖掘正在进行的攻击行为或已经失陷的内网主机,其效果随着线索或情报的准确性、及时性和多样性而变化。

在前期威胁情报中心能力之上,增强流量监控与威胁狩猎分析能力,精准定位攻击全过程;同时提升情报挖掘能力,并在行业情报共享机制进行探索研究,为将来的实践应用奠定理论和技术基础。

依据银联威胁情报库结构,首先从内部日志、行业情报和联盟数据中自动生成、筛选情报,并从云端拉取社区情报和定期情报更新,开启协同研判功能后,威胁情报库会自动通过加密信道从云端拉取附加信息并与本地简版私有情报合并,最终形成完整威胁情报形态。本地私有情报可直接查看、删除、导出和应用到第三方系统中。

12月24日上午,老徐同志去了趟阅卷现场,对话两位评卷专家,为大家一一解密。

情报冲突问题是该项目一开始未充分考虑的问题,但是在测试部署中,我们发现有些IP被不同分支机构分别标记为白名单和恶意地址,造成下游机构问问题,经过排查发现主要原因为:A机构将自身办公网出口地址标记为白名单,但其办公网内存在蠕虫病毒,通过办公网出口扫描其他机构,又其他机构或被标记为恶意;

通过对接入数据源、底层软硬件架构、大数据标准化处理、模型算法,以及顶层安全业务应用的系统规划,依托威胁情报大数据知识图谱技术、高级入侵检测与分析技术、黑客画像与追踪溯源技术、情报数据共享技术、响应策略自动化编排与处置技术等核心技术,构建覆盖全行业网络的威胁检测分析、威胁事件线索提取、攻击者画像与溯源分析、威胁阻断响应与协同联动等完整闭环解决方案,形成以威胁情报数据为驱动的检测、分析、响应、溯源、预测能力。

威胁情报库会根据机读情报、高级报告和月报、第三方机读情报、用户手工导入的私有情报以及全球多个开源情报的统一存储、检索和对比自动补充辅助信息,并使用统一的生命周期管理情报从产生、使用、静默与消亡的完整过程。

内场视频和图片,均由山东省教育厅提供。

全面推进依法治国,必须坚持严格执法。法律的生命力在于实施。如果有了法律而不实施,或者实施不力,搞得有法不依、执法不严、违法不究,那制定再多法律也无济于事。我国古代有徙木立信的典故,说的是战国时期商鞅在秦国变法,为了取信于民,派人在城中竖立一木,说谁能将此木搬到城门,赏赐十金。搬一根木头就可以拿到十金,民众无人相信,后来把赏赐加到五十金,有人试着把木头搬到城门,果然获赏五十金。这就是说要言而有信。

从中得到的关于小数据的益处是确保你建立的深度网络能利用这种集成效应。

2)  软硬件与数据解析基础组件

今年感觉培训班在三科的培训时间分配上更合理了。由于今年训练时间充分,尽管撤下了可参考的小照片,并未影响到考生的速写水平,“反而觉得失去参考之后,考生的画面组织的比去年更好了。”

素描画“大水缸”,“训练有素”的考生未受影响

随着互联网特别是移动互联网的发展,网络环境愈发复杂,不同的攻击行为更具产业化、团伙化,入侵手法也愈发多样化与复杂化,传统以防御漏洞为主的安全策略在面对层出不穷的新型、持续性、高级威胁时难以及时有效的检测、拦截和分析。安全攻防需求逐渐从传统的、以漏洞为中心进化为主动型、以情报为中心的建设模式。

和往年一样,山东工艺美术学院负责速写和色彩的阅卷。这是董洲教授第8年参加统考阅卷。董洲告诉记者,因为去掉了“小照片”,速写试题的难度比去年略有加大,但阅卷时却并未感到考生因此受到影响。“相反地,我感觉今年学生的速写整体水平好于去年。”

1)  如何获取准确、及时和多样的具备大量辅助上下文的威胁情报;

评卷过程中有什么新的发现……

核心情报管理平台主要作用包括接收云端情报用于情报查询;向下游情报管理平台分发情报;接收下游情报管理平台汇报情报;自有情报录入,用于情报查询与分发。

我是齐鲁晚报·齐鲁壹点教育记者徐玉芹,山东高考生家长口中的“老徐”。

2)  如何对拓展出的更多线索进行自动化筛查,并将有效线索进一步转化为情报;

情报误报问题主要由于多个下游机构采购相同厂家的安全产品,同类安全产品误报后通过下游情报管理平台上传到核心情报管理平台,造成误判问题,这类问题后续计划通过增加鉴别安全设备类型实现进一步规避。

3)  如何将威胁情报落地于旁路流量检测、系统日志检测或主机行为检测产品中。

在原有威胁检测平台边界检测失陷主机的能力上,增强流量的覆盖度,覆盖内网流量,并应用流量文件还原技术、引擎与动态沙箱技术、机器学习技术等提升检测能力,对威胁攻击过程进行分析狩猎,提升对内网中威胁与全攻击过程的可见性。

下面就让我介绍几个在有限的数据上使用深度学习的方法,以及阐述为什么我认为这可能是未来研究中最令人兴奋的领域之一。

在我们探讨在有限的数据上使用深度学习的方法之前,请先从神经网络后退一步,建立一个简单的基线。用一些传统模型(如随机森林)进行实验通常不会花费很长时间,而这将有助于评估深度学习的所有潜在提升,并针对你的问题提供更多权衡深度学习方法和其他方法的视角。

——2014年1月7日在中央政法工作会议上的讲话

“下游情报管理平台的情报被谁消费、以及怎么消费”:   一些敏感业务例如支付口、登录口都可以使用推送的情报进行主动防御,即使来自攻击IP的用户提供正确的用户名密码,业务仍然强制要求上下行短信验证,对于某些类互联网行业的抽奖活动,还可以降低其所在网段的中奖几率,在不得罪用户、不打断业务的前提下保障业务安全性。 

2.  私有情报生产

必须促进严格规范公正文明执法

2.  情报完整流转流程

最后一点是尝试找到结合特定领域知识的方法,以指导学习过程。例如,在论文《通过概率程序规划归纳进行类人概念学习》(Human-level concept learning through probabilistic program induction,论文链接:https://science.sciencemag.org/content/350/6266/1332)中,作者构建了一个能够在学习过程中利用先验知识从部分概念中构造整体概念的模型,这样的模型能够实现人类水平的性能,并超出了当时的深度学习方法。

在现有情报库部署情报管理平台,各分支机构部署分支情报管理平台,总控推送情报到各分支,各分支私有情报自动上报到总控,总控可控制是否将各分支上报私有情报进行二次分发。

那么,12月15日进行的两类艺术类专业统考阅卷进展如何?

他说,能把鸟的形象、体积、色彩画的中规中矩,这个学生的基本造型能力就是不错的。

下游情报管理平台主要功能包括自有情报录入,用于情报查询与汇报;向核心情报管理平台汇报本地录入情报;接收核心情报管理平台分发的情报。

因为今年的媒体探访阅卷现场改规则了,不让记者到阅卷场地了,而是改成了发布会形式。

雷锋网版权文章,。详情见转载须知。

在原有情报管理平台与威胁检测平台上,附加更多的能力,基于现有能力不断升级,保证原有能力的持续运营,与新技术的无缝衔接,保证持续有效的安全建设。

如果你需要复习自编码器相关知识,可以看看斯坦福大学的深度学习教程(网址:http://ufldl.stanford.edu/tutorial/unsupervised/Autoencoders/)。自编码器的基本思想是建立一个预测输入的神经网络。

“这种出题模式已经延续好几年了,去年给的户外场景是草地,今年是地面后面加了点类似于公园一角,其实如出一辙。”

威胁狩猎技术重点和难点主要来源于以下三个方面:

2.  增加全网威胁可见性

大量问题的数据非常有限,因为获取更多的数据要么非常昂贵要么不可行,就比如说检测罕见疾病或教育成果。找到方法来应用深度学习等最好的技术来解决这些问题是非常令人兴奋的!正如吴恩达(Andrew Ng)也曾提到:

当情报库建立之后,情报共享的需求马上就被提出。与公司内部、行业机构等进行情报共享,一方面能够快速实现威胁感知能力的提升和风险共担,另一方面情报的合法有序共享,也有利于整个生态的健康持续运转,降低运行成本。

九、让深度学习在小数据上也能变得很酷

3)  威胁检测分析模型

速写难度比去年大,卷面却好于去年,什么原因?

由于各下游机构采购安全设备的多样性,必然导致日志归一化问题,该问题目前没有十分完美的解决方案,在下游情报管理平台入口处使用技术手段进行统一格式处理目前是可行方案。

“去年是山东美术类专业统考首次增加速写,很多培训机构以素描和色彩两科训练为主,在速写上花的功夫很少。临时训练、训练时间过短,造成很多艺考生去年只能完成速写的基本要求。”

微调的基本思想是取一个一定程度上跟模型所在域相似的非常大的数据集,训练一个神经网络,然后用你的小数据集对这个预先训练好的神经网络进行微调。你可以在 A Comprehensive guide to Fine-tuning Deep Learning Models in Keras 这篇文章阅读更多内容:

那么,评卷专家对此有什么样的反馈?是否如家长们所担心的那样?

该项目开发和部署测试过程中,也发现很多重要节点和技术难点,经过充分研讨与贴合实际需求进行评估后一一突破,其中包括有:

对于接入原始流量的数据接入形式,系统需要将原始流量中的二进制数据解析成结构化的DNS报文。对常见的流量解析工具(包括Bro、Suricata等)调研测试后发现并不适用于DNS解析场景,原因在于 1.此类工具架构设计上针对全流量解析,为了兼容其他协议特性,很大一部分系统资源用于数据流Session维护、流量缓存等,这在DNS解析过程中属于不必要的系统开销。2.此外,DNS数据报文长度较小,相同流量下QPS较高,在Bro和Suricata上性能测试结果不够理想。因此本系统在技术路线上采用自研抓包模块,针对DNS的协议特性进行性能优化。

“以前阅卷时常常发现考生画面会出现点点洼洼,今年明显减少了。这也说明我们在阅卷中的控制起到了正面导向作用。一些不符合造型规律的东西,他们在训练中体会到了,所以现在画面变得比较守造型基础的规矩了。”

你也可以使用域知识来限制对网络的输入,以降低维度或将网络体系结构调整的更小。

在发展和法治关系上,一些地方还存在“发展要上、法治要让”的误区。去年,党中央处理了甘肃祁连山国家级自然保护区生态环境问题,一批党政干部受到处分。《甘肃祁连山国家级自然保护区管理条例》历经3次修正,部分规定始终同《中华人民共和国自然保护区条例》不一致,立法上“放水”,执法上“放弃”,才导致了祁连山生态系统遭到严重破坏的结果。这样的教训必须深刻汲取。

希望本文为你提供了一些关于如何在有限的数据上使用深度学习技术的思路。我个人认为,这是一个目前没有得到足够讨论的问题,但它具有令人非常兴奋的意义。

一些地方还存在“发展要上、法治要让”的误区

3.  行业情报共享,增强响应能力

3)   归一化安全设备日志格式问题

近年来,司法机关依法纠正了呼格吉勒图案、聂树斌案、念斌案等一批冤假错案,受到广大群众好评。造成冤案的原因很多,其中有司法人员缺乏基本的司法良知和责任担当的问题,更深层次的则是司法职权配置和权力运行机制不科学,侦查权、检察权、审判权、执行权相互制约的体制机制没有真正形成。最近发生的长春长生疫苗造假案,背后的原因也是有法不依、执法不严,把法律法规当儿戏。这就要求我们必须促进严格规范公正文明执法,让人民群众真正感受到公平正义就在身边。

情报辅助上下文是不可忽略的重点,机读情报字段的丰富性决定该威胁情报是否可实际落地,现有情报精确刻画该攻击行为或团伙特征,包括但不限于发现时间、端口协议、严重级别、URL、相关样本、域名属主、家族标签、针对行业等30多个字段,相比之下,仅提供一份黑名单,没有任何辅助上下文信息开源情报几乎无法在金融生产环境中使用。自动化筛查和有效线索转化为情报,主要考验的是我们威胁情报库的私有威胁情报本地化生产能力。

3.  全流量威胁狩猎技术

原定于1月7日公布的山东2020年美术类、编导类统考成绩,因家长担心会影响考生次日上午进行的新高考外语听力考试发挥,省教育招生考试院特意将公布时间延后至听力考试结束后、也就是1月8日12时公布。

例如,你有一张猫的图片,旋转图片后仍然是一张猫的图片,这便是一次不错的数据增强。另一方面,如果你有一张道路的图片,想要预测适当的方向盘转度(自动驾驶汽车),若旋转这张道路的图片将会改变适当的方向盘转度,除非你把方向盘转度调整到适当位置,否则难以预测成功。

“去年速写还有人物照片做参考,今年只有人物剪影,小照片没了……”在济南艺术学校考点,考生小萌沮丧地说。

1.  威胁狩猎的定义和流程

依托可视化关联分析技术,对威胁情报、网络原始日志、终端日志、告警日志进行关联分析,从攻击者视角完整还原攻击路径,从被控主机视角完整描绘被控主机网络行为,完整呈现威胁全貌。

3.  技术的重点和难点

统考结束后,有家长在接受采访时担心孩子画不好麦穗,董洲说,从试卷里可以看到,学生对麦穗还是有理解的,“他们应该是在训练中涉及到过”。

董洲说,那两只不同颜色的鸟其实不好画,“画不好的,真的画不好。”

这听起来可能很荒谬,但是你真的考虑过自己能否收集更多的数据吗?我经常向公司提出获取更多数据的建议,但他们视我的建议如疯人疯语,这让我很吃惊。是的,投入时间和金钱去收集更多的数据是可行的,而事实上,这通常也是你最好的选择。例如,也许你正试图对稀有鸟类进行分类,但数据非常有限。几乎可以肯定地说,你可以仅仅通过标注更多的数据来比较轻易地解决这个问题。你不确定需要收集多少数据?对此,你可以在增加额外的数据时尝试绘制学习曲线(相关教程链接:https://www.dataquest.io/blog/learning-curves-machine-learning/),并同时查看模型性能的变化,从而确定所需的数据量。

该目标由核心情报管理平台下发情报、下游情报管理平台写入、上报、消费情报等过程组成,其中重点在于搞清楚谁向下游情报管理平台写情报,下游情报管理平台的情报被谁消费以及怎么消费。