基于溯源圖節點級別的APT檢測
網絡安全與數據治理 4期
羅漢新,王金雙,伍文昌
(中國人民解放軍陸軍工程大學 指揮控制工程學院,江蘇 南京210007)
摘要: 傳統的入侵檢測系統無法應對日益增多和復雜的網絡攻擊(如高級持續性威脅),因為可能在幾個月內不能檢測出隱蔽威脅事件并具有較高誤報率。最近研究建議利用溯源數據來實現基于主機的入侵檢測,溯源圖是由溯源數據構造成的有向無環圖。然而,以前的研究是提取了整個溯源圖的特征,對圖中的少量異常攻擊實體(節點)不敏感,因此無法準確識別異常節點。提出了一種在溯源圖節點級別上的APT實時檢測方法。采用K-Means和輪廓系數相結合的方法對訓練數據集中的良性節點進行聚類,生成良性節點簇,通過判斷新節點是否屬于良性節點簇來判別是否存在異常。在Unicorn SC-2和DARPA TC兩種公共數據集上評估該方法,結果表明該方法準確率達到95.83%,并且能夠準確識別和定位異常節點。
中圖分類號: TP319
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.008
引用格式: 羅漢新,王金雙,伍文昌. 基于溯源圖節點級別的APT檢測[J].網絡安全與數據治理,2022,41(4):49-55.
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.008
引用格式: 羅漢新,王金雙,伍文昌. 基于溯源圖節點級別的APT檢測[J].網絡安全與數據治理,2022,41(4):49-55.
Detecting advanced persistent threats through provenance graph in node level
Luo Hanxin,Wang Jinshuang,Wu Wenchang
(Command & Control Engineering College,Army Engineering University of PLA,Nanjing 210007,China)
Abstract: Traditional intrusion detection systems cannot cope with the increasing number and sophistication of cyberattacks such as advanced persistent threats(APT). Because they may not detect stealthy threat incidents for several months and have a high false-positive rate. Recent studies propose leveraging provenance data to detect threats in a host. Provenance graph is a directed acyclic graph constructed from provenance data. However, previous studies, which extracted features of the whole provenance graph, were not sensitive to the small number of threat-related entities(nodes), so it is still difficult to identify and locate the real attack entities. We propose a real-time detection method in node level. The benign nodes are clustered into clusters using K-Means and silhouette coefficient methods. An node is considered abnormal if it does not fit into any of the model′s clusters. Unicorn SC-2 and DARPA TC datasets are used to evaluate this method. The evaluation shows that this method achieves 95.83% accuracy and can accurately locate the positions of anomalous nodes.
Key words : advanced persistent threats(APT);intrusion detection;machine learning;provenance graph
0 引言
近年來,高級持續性威脅(Advanced Persistent Threats,APT)等復雜攻擊對網絡空間安全提出更大的挑戰。攻擊者不斷改變攻擊模式,尋找新的入侵點,并使用混淆方法保持不被發現。然而,當前入侵檢測系統通常將系統調用和網絡事件作為依據,只攜帶日志條目之間的順序關系,難以直接提取有效的關聯,因此對于APT的檢測效果不佳。近幾年的研究建議利用溯源圖(Provanace Graph)豐富的上下文信息來實現入侵檢測。溯源圖是一個有向無環圖,圖中節點表示系統中主體(如進程、線程等)和對象(如文件、注冊表、網絡套接字),有向圖中的邊表示頂點之間的控制流和數據流的關系。與原始系統審計數據相比,溯源數據具有強大的語義表達能力和歷史攻擊關聯能力。
目前攻擊者更傾向于使用零日攻擊,基于特征的方法缺乏檢測未知威脅的能力。基于異常的圖核(Graph Kernel)檢測方法對整個溯源圖進行檢測,然而隱蔽入侵活動下生成的溯源圖可能與良性行為活動下生成的溯源圖相似,因此,難以檢測出相似溯源圖之間的異常,同時也無法識別和定位異常節點。
針對上述問題,本文提出了基于溯源圖節點級別的APT實時檢測方法。該方法將溯源數據作為源數據輸入,使用K-Means聚類方法和輪廓系數相結合的方法對訓練數據集中良性節點進行聚類,得到良性節點簇以及簇質心。最后通過判斷新節點是否屬于良性節點簇來判別是否存在異常,可在節點級別上進行威脅檢測。
本文詳細內容請下載:http://www.jysgc.com/resource/share/2000004990。
作者信息:
羅漢新,王金雙,伍文昌
(中國人民解放軍陸軍工程大學 指揮控制工程學院,江蘇 南京210007)
此內容為AET網站原創,未經授權禁止轉載。