APT 论文速读

背景

(1) 定义

APT 攻击(Advanced Persistent Threat,高级持续性威胁) 是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT 攻击也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击

(2) 特点

  • 隐蔽性:0-day 漏洞(指还没有补丁的安全漏洞)、无文件攻击、加密流量

  • 持续性:潜伏时间长、攻击时间跨度大

  • 针对性

  • 模块化

(3) 挑战

  • 无法捕获长期运行的系统行为

  • 0-day 漏洞导致攻击难以检测

  • 实时攻击检测、真实场景检测效果不佳

  • 容易遭受投毒攻击(因APT攻击持续时间长,导致ML模型学习攻击特征时,会将恶意行为逐渐训练学习为正常行为)

(4) 辅助知识

  • Kill-chain Model:描述了网络攻击的各阶段流程,具体包括七个阶段,即目标侦查、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、任务执行

  • ATT&CK Model:一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域

(5) 研究

  • 基于异常的检测(传统,无法实时检测)

  • 基于溯源图的检测(实时检测)

SLEUTH

[USENIX'17]

(1) 挑战

  • 事件存储和分析:如何实现事件流的有效存储和快速筛选

  • 确定分析实体的优先级:如何帮助分析师确定优先级并快速“放大”最有可能的攻击场景

  • 场景重构:如何简介概括攻击场景以识别整个活动对系统的影响

  • 常见场景:如何处理可能类似于攻击期间常见的正常活动

  • 快速、交互式推理:如何为分析师提供数据进行有效推理的能力

(2) 贡献

  • 开发了一个紧凑的主存的依赖图表示,解决了挑战一(主内存表示上的图算法可以比磁盘上表示快几个数量级)

  • 开发了一个基于标签的方法,用于识别最有可能参与攻击的主体、对象和事件。标签使我们能够确定分析的优先顺序和重点,从而解决了挑战二

  • 开发了利用标签进行根本原因识别和影响分析的新颖算法

  • 开发了用于标签初始化和传播的可定制策略框架,解决了最后两个挑战

(3) 内容

image-20250114173349795

  • 主存依赖图:提出了一种更节省空间的依赖图设计,每条边仅使用大约 10 个字节。在一项实验中,我们能够在仅 329MB 的主内存中存储 38M 事件。依赖图是每个主机的数据结构。它可以引用其他主机上的实体,但针对主机内引用的常见情况进行了优化

    图构成:
    ① 主体(进程):ID、命令行、所有者、代码标签、数据标签
    ② 对象(文件、管道和网络连接等实体):名称、类型、所有者、标签

  • 标签和攻击检测:这里使用标签来总结图中主体和对象的可信度和敏感性的评估(评估基于出处、行为、先验知识)。我们开发了一个政策框架,用于根据这些因素初始化和传播标签(可信度标签+机密性标签)。根据先验知识定义了很多基于标签的攻击检测策略

  • 经过依赖图反复构建后,会到达警报计算阶段,通过定义规则来匹配更高的威胁攻击,生成对应的分数,基于标签的分析后会生成并还原场景图

(4) 总结

相较于传统方法,本文第一次基于溯源图并实现了实时检测(规则+策略+警报)

Poirot

[CCS'19]

(1) 挑战

  • 大规模搜索:由于 APT 攻击事件通常持续很久,所以需要设计一种方法即使在很长一段时间内进行,也可以将相关的 IOC 链接在一起

    入侵指标(IOC):指表明系统可能已被网络威胁渗透的数据,即与安全漏洞相关信息

  • 可靠的识别和链接威胁相关实体:攻击者可能突变 IOC 来逃避检测,所以不仅应该孤立地寻找匹配的 IOC,而且还应发现整个威胁情况,这对于攻击者而言更难以突变

  • 有效的匹配:要使网络分析师及时理解并对威胁事件做出反应,该方法必须有效地进行搜索,而不会产生许多误报,以便可以及时启动适当的网络响应操作

(2) 贡献

  • 利用网络威胁情报(CTI)关联性检测 APT 攻击

  • 使用审计日志,将威胁检测建模为一个非精确的图模式匹配问题(在大图中搜索与某个特定图相匹配的子图)

  • 相似性度量,攻击行为与内核审计日志对齐

(3) 内容

  • 构建溯源图,还原攻击场景

  • 引入了外部IOC关系信息,提取并构建攻击行为的查询图,然后进行图对齐或图匹配

  • 最后通过对齐和阈值计算算法生成对应的分数,实现最终的分析取证并生成警报

(4) 总结

引入了CTI相关性进行威胁检测,并且使用图匹配算法,这与之前的算法不同

FLASH

[S&P'24]

(1) 挑战

  • 语义信息忽略:现有 IDS 通常会忽略有价值的语义数据,例如过程名称,命令行参数,文件路径和出处图中的 IP 地址。这种忽略会导致检测准确率下降

  • 时间和因果秩序忽视:部分 IDS 忽略了系统事件的时间和因果序的重要性。这种无视可能导致不正确的威胁识别,因为它错过了发生恶意活动的顺序

  • 可扩展性问题:实时检测对于有效 ID 至关重要。但是,几个现有的 IDS 面临可扩展性问题,特别是在处理大型出处图时。这限制了他们的实时应用,导致日志充血,并使系统容易受到持续攻击(GNN的高计算需求可能会阻碍系统的可扩展性并使实时入侵检测复杂化)

  • 粗粒度检测:许多 IDS 识别恶意子图,而不是单个恶意节点,对安全分析师进行警报验证和攻击重建既耗时又容易出错。此外,这种方法使这些系统容易受到逃避攻击的影响

(2) 贡献

  • 提出了 Flash,其可利用出处图中的上下文和结构信息

  • 介绍了一个两步过程,分别使用 Word2Vec 和 GNN 生成语义和上下文嵌入。此过程之后是通过轻量级分类器模型实时检测到实时异常检测,从而确保系统可伸缩性和效率

  • 提供两个方案:选择性图形遍历和嵌入回收数据库。使图表表示 IDS 设置更加实用

  • 对现实数据集的技术进行全面评估。结果突出了Flash在识别恶意活动,对对抗性模仿攻击的韧性以及加速警报验证过程的能力

(3) 现有工作

现有工作主要基于良性图来学习模型,每当发生这些已建立模型的偏差时,都会检测到异常

image-20250218003812289

Goyal等人[26]引入了一种在图和路径水平粒度上运行的方法来逃避IDS。他们的方法操纵分布图编码,修改攻击图中的节点邻域以模仿良性出处图中的节点。细粒度的IDS可以更好的保护逃避攻击,因为它们能够识别出更加细粒度的异常情况

(4) 内容

  • 构建溯源图:将审计日志批次处理,每一个批次的日志数据生成一个图。溯源图包括两个节点类型:过程节点和对象节点。对象节点包含文件,网络流,模块和其他系统对象。这些节点之间的边缘指定事件类型。此外节点包含属性,例如过程名称,命令行,文件路径,IP地址,端口号和模块路径

  • 语义属性编码:通过结合语义属性以及节点及其 1-HOP 邻居之间的因果事件(系统调用)的类型来形成每个节点的摘要句子。系统事件按照时间戳进行排序。然后,通过在良性系统日志上训练的 Word2Vec 模型将每个句子编码为固定长度向量,同时引入 Transformer 中的时间编码使得表示可以包含单词顺序信息

  • 溯源图特征学习:以离线方式运行 GNN 来生成上下文嵌入,随后将其存储并在以后使用轻量级分类器模型。同时提出了选择性图形遍历(一些去重策略)来简化溯源图。通过半监督的节点分类方法来训练 GNN

  • 嵌入回收数据库:构建专门的键值表,详细介绍了 key 的设计规则。构建嵌入回收数据库的动机:领域结构相同的节点将直接使用数据库中的嵌入,领域结构存在差异的将使用 Word2Vec 实时生成特征。领域结构使用 Jaccard 相似度比较

  • 轻量分类器:采用 XGBoost,通过比较预测和实际节点类型来检测异常节点,输出的错误分类节点表明潜在威胁

  • 构建攻击进化图(AEG),采用了一些预定义的规则

(5) 总结

这篇工作用先验知识简化图、将图的 Embedding 都存储在数据库中,仅在出现陌生节点再 encoding,外加上轻量级分类器,可以说基本上将检测速度提升到了极致

posted @ 2025-03-07 21:18  绵满  阅读(357)  评论(0)    收藏  举报