学习何时说再见:威胁指标应该有多长寿命?
摘要:网络安全的关键,指标 of 感染 (IOCs),如与已知恶意软件或攻击相关的 IP 地址、文件哈希和域名,是识别网络上恶意活动的基石。在这项工作中,我们利用真实数据比较了不同参数化的 IOC 变老模型。我们的数据集包括超过一年的真实环境中的流量。在我们的跟踪驱动发现中,我们确定了错过监控成本之比的阈值,以使系统在将 IOC 存储一段有限的生命期 (TTL) 后受益于清除。据我们所知,这是与 IOC 变老相关的阈值的首次真实世界评估,为实现实际的 IOC 衰减模型铺平了道路。
作者:Breno Tostes, Leonardo Ventura, Enrico Lovat, Matheus Martins, Daniel Sadoc Menasch''e
论文ID:2307.16852
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-08-01