SophosAI在Black Hat USA ‘25：异常检测令我们失望，因此我们赋予它新使命

Sophos高级数据科学家Ben Gelman和Sean Bergeron将在拉斯维加斯展示他们关于利用良性异常数据增强命令行分类的研究

作者：Ben Gelman, Sean Bergeron
日期：2025年7月14日
标签：威胁研究、异常检测、black hat 2025、精选、LLM、Sophos AI、Sophos X-Ops

在今年的Black Hat USA会议上，Sophos高级数据科学家Ben Gelman和Sean Bergeron将就命令行异常检测研究发表演讲——探讨如何将大语言模型（LLMs）与经典异常检测协同结合，以识别关键数据来增强专用命令行分类器。

网络安全中的异常检测长期以来承诺通过突出与预期行为的偏差来识别威胁。然而，在分类恶意命令行时，其实际应用往往导致高误报率，使其成本高昂且效率低下。但就命令行异常检测而言，这并非全部故事；人工智能的最新创新为研究人员提供了新的探索角度。

在他们的演讲中，Ben和Sean将通过开发一个不依赖异常检测作为故障点的流程来探讨这一主题。使用异常检测来馈送不同过程，避免了无监督方法可能带来的灾难性误报率。相反，Ben和Sean在针对分类的监督模型中创造了改进。

出乎意料的是，他们方法的成功并不依赖于异常检测定位恶意命令行。他们获得了一个宝贵的见解：当异常检测与基于LLM的标注配对时，会产生极其多样化的良性命令行集。在训练命令行分类器时利用这些良性数据，显著降低了误报率。此外，它允许研究人员和防御者使用丰富的现有数据，而无需在生产数据中大海捞针般地寻找恶意命令行。

Ben和Sean将分享他们的研究成果和实验方法，强调通过异常检测识别的多样化良性数据如何拓宽分类器的理解，并有助于创建更具弹性的检测系统。通过将焦点从仅仅旨在发现恶意异常转向利用良性多样性，他们开发了命令行分类策略的潜在范式转变——这可以在大规模和低成本的情况下在检测系统中实施。

Ben和Sean将于8月7日星期四下午1:30（太平洋夏令时）在内华达州拉斯维维加斯的Black Hat USA会议上发表演讲。关于他们研究的更详细文章将在演讲后发布。

关于作者

Ben Gelman
Ben Gelman是Sophos AI的高级数据科学家，研究AI/ML在网络安全中的应用。他的工作主要专注于警报优先级排序、案例分析和恶意命令行检测。在之前的工作中，他在多个领域使用深度学习，包括源代码分析、自然语言处理、图像识别、数据隐私和超参数优化。

Sean Bergeron
Sean Bergeron自2022年起担任Sophos的数据科学家。与AI团队合作，他进行研究并开发模型以保护Sophos的客户。除了在网络安全方面的专业知识，Sean还成功应用深度学习技术推进了视听扬声器分离和个性估计等领域。