威胁情报生态系统的产出与共享
工作来源NDSS 2026工作背景威胁情报市场正以惊人的速度增长,预计到2026年将超过150亿美元。这个生态系统由全球分布的安全厂商、沙箱、杀软引擎和独立贡献者组成,他们通过分析恶意二进制文件、钓鱼
阅读全文基于视觉大模型的图像地理定位
工作来源PETS 2025工作背景在 OSINT 开源情报分析领域,通过图片来确定拍摄位置一直是一项高级技能。那么多模态的视觉大语言模型,可不可以基于已有的知识实现这一判断呢?将图片的元数据(EXIF
阅读全文思科如何基于 Llama 3.1 构建安全原生推理大模型
工作来源arXiv:2601.21051工作背景以 DeepSeek-R1 与 OpenAI o1 为代表的原生推理模型引领了大模型技术的新范式,通过逐步推理来提升“智能”表现,但这种推理方法在网络安
阅读全文大模型对威胁情报来说可能并不可靠
工作来源ARES 2025工作背景在整个网络安全行业都在疯狂炒作“用大模型取代安全分析师”、“用 AI 自动化提取威胁情报”的当下,很多人声称大模型可以完美解决威胁情报报告信息提取的痛点。利用大模型来
阅读全文Virus Bulletin 2024 议题慢递
Virus Bulletin也是老牌会议,从 1991 年就开始举办,历经三十余载。2024年的 VB 是在爱尔兰的都柏林举办的,为期三天。各国各公司的安全专家齐聚一堂,分享对全球威胁的理解与发现。若
阅读全文Virus Bulletin 2025 议题慢递
Virus Bulletin 也是老牌会议,从 1991 年就开始举办,历经三十余载。2025 年的 VB 是在德国柏林举办的,为期三天。各国各公司的安全专家齐聚一堂,分享对全球威胁的理解与发现。若是
阅读全文Botconf 2025 议题慢递
2025 年的第十二届 Botconf 来到了法国的昂热(不是卡塞尔学院那个老不正经)。全世界数百位安全研究人员再一次齐聚一堂,热热闹闹地讨论相关议题。下面只挑选部分议题进行介绍,感兴趣的同学可以去官
阅读全文大模型驱动的科研插图生成框架 PaperBanana
对于研究人员来说,写论文时最头疼的环节可能往往不是推导公式或跑实验,而是画图。研究人员常常要在绘图软件中耗费数小时对齐文本框、调整箭头、修改配色,占据了研究人员大量的精力。为了将研究人员从繁琐的“作图
阅读全文Recorded Future 2025 年度威胁情报报告
Recorded Future 年度威胁情报报告旨在揭示威胁情报行业现状。一如既往,分析发现在过去一年中,威胁情报对企业网络安全变得更加关键。2025 年调查了 615 位网络安全高管与相关从业者,分
阅读全文高级持续性威胁十年嬗变
工作来源CCS 2025工作准备已有的 APT 研究往往只盯着某个孤立事件,时间跨度较短。收集整理过去十年(2014-2023)间公开披露的与 603 个攻击组织相关的 1509 份分析报告(共计 2
阅读全文不须计较劳苦心,万事原来有命
再次诚挚感谢各位读者的厚爱,“威胁棱镜”度过了属于自己的第五个年头。依旧遵循惯例,为过去的一年做个简短的“年终总结”。关注情况概览关注者总数目前超过了 4800,相比去年增长了 18%。女性占比在近几
阅读全文从 Llama 3 的训练了解大规模 AI 基础设施的可靠性
工作来源DSN 2025Large-Scale AI Infra Reliability: Challenges, Strategies, and Llama 3 Training Experienc
阅读全文Yara 退休,Yara-X 接棒
十五年来,Yara 已然成为全球恶意软件分析、威胁情报、威胁狩猎以及数字取证领域的基石。研究人员通过其灵活的语法和强大的模块化设计,定义基于文本或二进制模式的规则来分类和识别恶意软件。随着形势的变化,
阅读全文人工智能网络挑战赛(AIxCC)落幕
人工智能网络挑战赛(AIxCC)不仅是一场技术竞赛,更是全球网络安全防御范式转移的里程碑。自 2016 年 DARPA 举办 Cyber Grand Challenge(CGC) 比赛以来,自动化攻防
阅读全文2025 年第四届国际网络安全挑战赛
国际网络安全挑战赛(ICC)是首个全球级 CTF 比赛,由欧盟网络安全局(ENISA)与代表八十多个国家的区域组织共同举办。不同于一般的商业 CTF 比赛,其核心目标在于构建一个全球性的人才输送管道,
阅读全文Censys 新旧之变
工作来源SIGCOMM 2025工作背景最初 Censys 只是一个提供网络空间扫描数据的学术项目,逐渐对外提供商业服务后,数据的准确性和时效性要比数据的广度更重要。现实中,大量服务运行在非标准端口,
阅读全文揭开搜索引擎的黑盒子
工作来源NDSS 2025工作背景网空搜索引擎已经成为了分析人员最常用的工具之一,但业界对这些网空搜索引擎的运作方式仍一无所知。工作设计为了日志便利,某些网络服务会在 Banner 中反带出请求者的
阅读全文ATT&CK 2023(ATT&CKCon 4.0)议题慢递
MITRE 每年都会开一个名为 The MITRE ATT&CK® Conference (ATT&CKcon) 的研讨会,2023 年在弗吉尼亚州召开。必须强调的是,在提供了公开材料的议题中,只选取
阅读全文ATT&CK 2024(ATT&CKCon 5.0)议题慢递
MITRE 每年都会开一个名为 The MITRE ATT&CK® Conference (ATT&CKcon) 的研讨会,2024 年在弗吉尼亚州 McLean 召开。必须强调的是,在提供了公开材料
阅读全文ATT&CK 2025(ATT&CKCon 6.0)议题慢递
MITRE 每年都会开一个名为 The MITRE ATT&CK® Conference (ATT&CKcon) 的研讨会,2025 年在弗吉尼亚州召开。必须强调的是,在提供了公开材料的议题中,只选取
阅读全文威胁情报平台到底是独占还是重合
工作来源CODASPY 2024工作背景研究机构预计威胁情报市场在 2030 年将会达到 300 亿美元,威胁情报平台主要有两种使用方式:Feed 与远程 API。Feed 反映的是当前感知的威胁,远
阅读全文披露 IOC 对攻击者行为的影响
工作来源CCS 2025工作背景业界普遍认为公开发布有关威胁的各种分析报告,可以迫使攻击者更换新的攻击基础设施与攻击技术,以此可以消耗相应的攻击资源。也有一些研究指出,公开披露并未能真的阻止任何攻击者
阅读全文APT 域名与基础设施的生命周期
工作来源RAID 2025工作背景APT 通常是由有国家背景的攻击者发起的复杂攻击,其潜伏期远超普通威胁。域名生命周期如下所示:域名在被 APT 组织注册前可能有合法的主人,攻击结束弃用后可能会被他人
阅读全文网络侧典型指纹识别算法
之前写过文件侧的《狩猎样本的哈希游戏》,可能是也没人爱看细节,网络侧的这个就只简单介绍一下,感兴趣的自行查阅相关内容吧。狩猎样本的哈希游戏Avenger,公众号:威胁棱镜狩猎样本的哈希游戏主动型 TC
阅读全文美国网络安全与基础设施安全局的前世今生
尽管美国政府在四十多年里持续投入,但网络空间安全依旧脆弱。由于网络空间中的攻击没有像战争、通货膨胀、气候变化等重大灾难那么显眼,难以估量的损失并没有引起公众的震惊。国会授权用于保卫网络空间安全的每分钱
阅读全文美军第十八空降军研发人工智能系统 Maven 探秘
近年来,美国国防部一直在努力推动不同军种、不同国家的作战部队都能够快速部署、快速接入,使美国可以在对应的保密级别与盟友进行信息共享、协同作战。为实现该目标,美国国防部启动了名为联合全域指挥控制(CJA
阅读全文2024 年开源供应链恶意软件态势
传统恶意软件通过电子邮件福建、恶意网站等途径传播,而开源供应链恶意软件则伪装成合法的开源软件组件进行传播。开源供应链恶意软件有三个典型特征:故意插入:故意上传到开源存储库中用于实现恶意目的。瞄准开发者
阅读全文2024 勒索软件年度态势报告
2024 年一共有 5414 起勒索软件团伙披露的攻击,相比 2023 年增长了 11%。2024 年第四季度的攻击最为活跃,占比达到全年的 33%。攻击国家/地区主要还是集中在美国,占比超过一半。其
阅读全文2024 年 GreyNoise 在野大规模漏洞利用报告
GreyNoise 通过在 75 个国家的数千个传感器构建了全球观测网络,共计对 1350 万个IP地址进行了标记。2024 年对全球观测网络进行了更新升级,将捕获率提高了 200%。捕获率大幅度提高
阅读全文Elastic Security 2024 全球威胁报告
恶意软件检测Windows 仍然是占比最大的攻击目标,Linux 也越来越多地成为了攻击者青睐的目标。检测到的恶意软件中,绝大多数都是木马:Yara 检测最多的恶意软件家族为 CobaltStrike
阅读全文