威胁检测模型

此处整理一些需要威胁检测模型。威胁检测提供威胁狩猎的“原料”，数据的检测质量、效率很大程度上会影响威胁狩猎的深度（检测的精确率）和广度（检测的覆盖率）。

协议、证书相关异常检测

• https证书相关异常检测

常规Web漏洞检测模型

• SQL Injection漏洞检测

• Weblogic漏洞检测

• XSS漏洞检测
• ..

远程控制检测模型

• Shellcode检测模型
• Webshell检测模型

• 未知木马远控检测

• 未知后门植入检测

行为检测相关模型

• 内网横向渗透检测
• 高隐蔽扫描行为检测

文件检测相关模型

• 沙箱检测
  • 静态沙箱检测
  • 动态沙箱检测
    • 虚拟执行
    • ..

僵尸网络相关模型

• DGA随机域名生成检测模型
• fast-flux相关检测

钓鱼行为检测

• 域名阴影检测

隐蔽能力相关模型

• DNS隐蔽信道检测

• ICMP隐蔽隧道检测

威胁情报相关模型

• 威胁情报的大数据碰撞模型

机器学习相关模型

• 深度学习算法自学习检测模型

邮件相关模型

• 钓鱼邮件发现
  • 涉及到沙箱检测
• 邮件异常水印检测
• 邮箱爆破、撞库检测
• 邮箱异常登入检测
  • 涉及到风控规则
• 邮箱异常同步、转发的检测

数据库异常相关检测

• 数据库异常访问检测