《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 人工智能 > 設(shè)計(jì)應(yīng)用 > 基于溯源圖節(jié)點(diǎn)級(jí)別的APT檢測
基于溯源圖節(jié)點(diǎn)級(jí)別的APT檢測
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 4期
羅漢新,王金雙,伍文昌
(中國人民解放軍陸軍工程大學(xué) 指揮控制工程學(xué)院,江蘇 南京210007)
摘要: 傳統(tǒng)的入侵檢測系統(tǒng)無法應(yīng)對(duì)日益增多和復(fù)雜的網(wǎng)絡(luò)攻擊(如高級(jí)持續(xù)性威脅),因?yàn)榭赡茉趲讉€(gè)月內(nèi)不能檢測出隱蔽威脅事件并具有較高誤報(bào)率。最近研究建議利用溯源數(shù)據(jù)來實(shí)現(xiàn)基于主機(jī)的入侵檢測,溯源圖是由溯源數(shù)據(jù)構(gòu)造成的有向無環(huán)圖。然而,以前的研究是提取了整個(gè)溯源圖的特征,對(duì)圖中的少量異常攻擊實(shí)體(節(jié)點(diǎn))不敏感,因此無法準(zhǔn)確識(shí)別異常節(jié)點(diǎn)。提出了一種在溯源圖節(jié)點(diǎn)級(jí)別上的APT實(shí)時(shí)檢測方法。采用K-Means和輪廓系數(shù)相結(jié)合的方法對(duì)訓(xùn)練數(shù)據(jù)集中的良性節(jié)點(diǎn)進(jìn)行聚類,生成良性節(jié)點(diǎn)簇,通過判斷新節(jié)點(diǎn)是否屬于良性節(jié)點(diǎn)簇來判別是否存在異常。在Unicorn SC-2和DARPA TC兩種公共數(shù)據(jù)集上評(píng)估該方法,結(jié)果表明該方法準(zhǔn)確率達(dá)到95.83%,并且能夠準(zhǔn)確識(shí)別和定位異常節(jié)點(diǎn)。
中圖分類號(hào): TP319
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.008
引用格式: 羅漢新,王金雙,伍文昌. 基于溯源圖節(jié)點(diǎn)級(jí)別的APT檢測[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2022,41(4):49-55.
Detecting advanced persistent threats through provenance graph in node level
Luo Hanxin,Wang Jinshuang,Wu Wenchang
(Command & Control Engineering College,Army Engineering University of PLA,Nanjing 210007,China)
Abstract: Traditional intrusion detection systems cannot cope with the increasing number and sophistication of cyberattacks such as advanced persistent threats(APT). Because they may not detect stealthy threat incidents for several months and have a high false-positive rate. Recent studies propose leveraging provenance data to detect threats in a host. Provenance graph is a directed acyclic graph constructed from provenance data. However, previous studies, which extracted features of the whole provenance graph, were not sensitive to the small number of threat-related entities(nodes), so it is still difficult to identify and locate the real attack entities. We propose a real-time detection method in node level. The benign nodes are clustered into clusters using K-Means and silhouette coefficient methods. An node is considered abnormal if it does not fit into any of the model′s clusters. Unicorn SC-2 and DARPA TC datasets are used to evaluate this method. The evaluation shows that this method achieves 95.83% accuracy and can accurately locate the positions of anomalous nodes.
Key words : advanced persistent threats(APT);intrusion detection;machine learning;provenance graph

0 引言

近年來,高級(jí)持續(xù)性威脅(Advanced Persistent Threats,APT)等復(fù)雜攻擊對(duì)網(wǎng)絡(luò)空間安全提出更大的挑戰(zhàn)。攻擊者不斷改變攻擊模式,尋找新的入侵點(diǎn),并使用混淆方法保持不被發(fā)現(xiàn)。然而,當(dāng)前入侵檢測系統(tǒng)通常將系統(tǒng)調(diào)用和網(wǎng)絡(luò)事件作為依據(jù),只攜帶日志條目之間的順序關(guān)系,難以直接提取有效的關(guān)聯(lián),因此對(duì)于APT的檢測效果不佳。近幾年的研究建議利用溯源圖(Provanace Graph)豐富的上下文信息來實(shí)現(xiàn)入侵檢測。溯源圖是一個(gè)有向無環(huán)圖,圖中節(jié)點(diǎn)表示系統(tǒng)中主體(如進(jìn)程、線程等)和對(duì)象(如文件、注冊(cè)表、網(wǎng)絡(luò)套接字),有向圖中的邊表示頂點(diǎn)之間的控制流和數(shù)據(jù)流的關(guān)系。與原始系統(tǒng)審計(jì)數(shù)據(jù)相比,溯源數(shù)據(jù)具有強(qiáng)大的語義表達(dá)能力和歷史攻擊關(guān)聯(lián)能力。

目前攻擊者更傾向于使用零日攻擊,基于特征的方法缺乏檢測未知威脅的能力?;诋惓5膱D核(Graph Kernel)檢測方法對(duì)整個(gè)溯源圖進(jìn)行檢測,然而隱蔽入侵活動(dòng)下生成的溯源圖可能與良性行為活動(dòng)下生成的溯源圖相似,因此,難以檢測出相似溯源圖之間的異常,同時(shí)也無法識(shí)別和定位異常節(jié)點(diǎn)。

針對(duì)上述問題,本文提出了基于溯源圖節(jié)點(diǎn)級(jí)別的APT實(shí)時(shí)檢測方法。該方法將溯源數(shù)據(jù)作為源數(shù)據(jù)輸入,使用K-Means聚類方法和輪廓系數(shù)相結(jié)合的方法對(duì)訓(xùn)練數(shù)據(jù)集中良性節(jié)點(diǎn)進(jìn)行聚類,得到良性節(jié)點(diǎn)簇以及簇質(zhì)心。最后通過判斷新節(jié)點(diǎn)是否屬于良性節(jié)點(diǎn)簇來判別是否存在異常,可在節(jié)點(diǎn)級(jí)別上進(jìn)行威脅檢測。





本文詳細(xì)內(nèi)容請(qǐng)下載http://ihrv.cn/resource/share/2000004990。





作者信息:

羅漢新,王金雙,伍文昌

(中國人民解放軍陸軍工程大學(xué) 指揮控制工程學(xué)院,江蘇 南京210007)


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。