自主时间线分析与威胁狩猎 | Black Hat USA 演讲

数字事件时间线分析是一项复杂且耗时的任务。它需要具备深厚领域知识的高技能专业人员，投入大量时间（有时长达数周）来破解疑难案例。调查人员必须通过筛选来自数百种不同且可能不熟悉的日志类型的数亿条日志记录，重建从初始访问到利用和横向移动的事件时间线。像Plaso和Timesketch这样的日志规范化和协作分析工具提供了宝贵的帮助，但时间和专业知识成本仍然很高。

在本次演讲中，我们介绍了Sec-Gemini数字取证代理及其与领先的开源时间线分析工具Timesketch的集成。这种首创的代理能够自主对现实世界事件中通常遇到的大量多样化日志量进行数字取证分析。我们展示了该代理在威胁狩猎方面的熟练程度，即无需预定义的攻击特征即可识别和解释系统入侵的证据。我们在100个多样化的真实世界受感染系统数据集上评估了性能。该代理在查找和情境化与整体攻击链相关的单个日志记录方面实现了高召回率和精确度。

相关主题:

• 使用对比学习进行高精度内部威胁检测的FACADE
• 为什么AI是强大反滥用防御的关键
• 重新思考互联网上儿童性虐待图像的检测
• 如何成功利用AI打击欺诈和滥用

近期演讲:

• 自主时间线分析与威胁狩猎 | DEF CON 33 2025
• FACADE高精度内部威胁检测使用对比学习 | BH25 2025
• 迈向安全可信的AI：独立基准测试 | InCyber Forum 2025

Dr. Elie Bursztein是Google和DeepMind的AI网络安全技术和研究负责人，也是Etteilla基金会的创始人。