精华内容
下载资源
问答
  • APT攻击检测
    千次阅读
    2020-04-28 23:14:10

    原文连接:https://blog.csdn.net/qq_38232598/article/details/86564172

    APT定义

    APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用零日漏洞进行攻击。以窃取核心资料为目的,针对和客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度隐蔽性。

    APT攻击是一类针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势,近来备受网络安全研究者关注。APT一般受国家或大型组织操控,受国家利益或经济利益驱使,由具有丰富经验的黑客团伙实施,具有技术性强、持续时间长、危害性较大等特点,是近年来出现的新型综合性网络攻击手段。

    特点概括:

    隐匿自己(潜伏性),针对性,持续性,有计划性,多态性,目的是窃取数据
    入侵途径:
    1 以移动设备为目标和攻击对象进而入侵企业信息系统
    2 恶意邮件(社交工程)
    3 防火墙、服务器漏洞

    APT特点详解

    高级性:

    发起APT攻击的黑客在实施过程中,有可能结合当前IT行业所有可用的攻击入侵手段和技术。他们认为单一的攻击手段(如病毒传播、SQL注入等)难以奏效(会被传统IDS或防火墙阻挡),因而使用自己设计、具有极强针对性和破坏性的恶意程序,在恰当的时机与其他攻击手段(如尚未公开的零日漏洞)协同使用,对目标系统实施毁灭性的打击。另外,这些黑客能够动态调整攻击方式,从整体上掌控攻击进程,且具备快速编写所需渗透代码的能力。因而与传统攻击手段和入侵方式相比,APT攻击更具技术含量,过程也更为复杂。

    持续性:
    与传统黑客对信息系统的攻击是为了取得短期的收益和回报(一时证明能力、报复、或牟取暴利)不同,实施APT攻击的黑客的目标是从目标网络中窃取机密信息。一般从一开始就具有明确的目标导向,通过长期不断的监控、入侵及必要的隐蔽手段逐步实施攻击步骤,其周期可能较长,但效果可能更佳。在他们没有完全获得所需要的信息之前,会长时间对目标网络发动攻击,持续时间可能长达数月或者数年,其背后往往体现着组织或国家的意志。由于APT攻击具有持续性的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。

    威胁性:

    APT攻击是人为的,有针对性的,其最终目标是破坏、窃取重要信息资产,甚至有可能危及社会稳定和国家安全。由于APT攻击通常都由经验丰富的黑客或团伙发起,受雇于第三方,具有充足的经费支持,因此攻击的成功率较高,对于受害者而言危险系数更大,威胁程度更高。 高级、持续性和威胁是APT攻击的3个主要方面,如果在某次恶意攻击中,其动机是出于经济、竞争优势或国家利益,其表现形式是长期而持续的攻击,其对象是一个特定的企业、组织或平台,则一般认为该攻击具有APT性质。

    隐秘性:

    APT攻击一般会以各种方式巧妙绕过已有的入侵检测系统,悄然进入目标网路。而且,为了在目标内部长时间获取信息,通常会尽可能减少明显的攻击行为以及留下的痕迹,隐秘窃取所需信息。
    潜伏性:

    这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。

    多态性:

    攻击者的攻击方式不是一成不变的,既包括病毒、木马植入等传统入侵手段,也包括SQL注入、零日漏洞、软件后门、操作系统缺陷等,甚至结合社会工程学、心理学等各种线下手段实施攻击。综合采用多类技术首先是为了使受害者难于防范,提高攻击的成功率,其次也可以通过并行实施起到掩盖其真实攻击意图的作用。

    攻击方式:

    初始感染:初始感染可以有以下三种方式
    1、攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如,Cryptolocker就是一种感染方式,它也称为勒索软件,其攻击目标是Windows个人电脑,会在看似正常的电子邮件附件中伪装。一旦收件人打开附件,Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金,恶意软件就会删除加密密钥,从而使你无法访问自己的数据。
    2、攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网Gameover Zeus就是一个例子,一旦进入网络,它就能使用P2P通信去控制受感染的设备。
    3、 攻击者会通过一个直连物理连接感染网络,如感染病毒的U盘。

    攻击步骤:

    APT攻击可以大致分为探测期、入侵期、潜伏期、退出期4个阶段,这4个阶段通常是循序渐进

    1.探测期:信息收集

    探测期是APT攻击者收集目标信息的阶段。攻击者使用技术和社会工程学手段收集大量关于系统业务流程和使用情况等关键信息,通过网络流量、软件版本、开放端口、员工资料、管理策略等因素的整理和分析,得出系统可能存在的安全弱点。另外,攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订攻击计划等,用于在下一阶段实施精确攻击。

    2. 入侵期:初始攻击,命令和控制

    攻击者突破安全防线的方法可谓五花八门,如采用诱骗手段将正常网址请求重定向至恶意站点,发送垃圾电子邮件并捆绑染毒附件,以远程协助为名在后台运行恶意程序,或者直接向目标网站进行SQL注入攻击等。尽管攻击手段各不相同,但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的控制权。(在受害者的网络植入远程管理软件,创建秘密访问其设备的网络后门和隧道;利用漏洞和密码破解来获取受害者计算机的管理员权限,甚至是Windows域管理员账号。)

    3. 潜伏期,后续攻击,横向渗透,资料回传

    攻击者成功入侵目标网络后,通常并不急于获取敏感信息和数据,而是在隐藏自身的前提下寻找实施进一步行动的最佳时机。(攻击者利用已控的目标计算机作为跳板,在内部网络搜索目标信息。)当接收到特定指令,或者检测到环境参数满足一定条件时,恶意程序开始执行预期的动作,(最初是内部侦察,在周边有信任关系的设备或Windows域内收集信息)取决于攻击者的真正目的,APT将数据通过加密通道向外发送,或是破坏应用服务并阻止恢复,令受害者承受极大损失。(攻击者扩展到对工作站、服务器等设备的控制,在之上进行信息收集)。 资料窃取阶段,攻击者通过跳板访问关键服务器,在利用0day漏洞等方式攻击服务器,窃取有用信息。然后将窃取道德数据,应用、文件、邮件等资源回传,攻击者会将这些资源重新分割成细小的碎片逐步以不同的时间周期穿给自己。

    4. 退出期:清理痕迹

    以窃取信息为目的的APT类攻击一旦完成任务,用户端恶意程序便失去了使用价值;以破坏为目的的APT类攻击得手后即暴露了其存在。这两种情况中为了避免受害者推断出攻击的来源,APT代码需要对其在目标网络中存留的痕迹进行销毁,这个过程可以称之为APT的退出。APT根据入侵之前采集的系统信息,将滞留过的主机进行状态还原,并恢复网络配置参数,清除系统日志数据,使事后电子取证分析和责任认定难以进行

    现有网络安全防御体系缺陷

    传统的安全防御体系对于APT攻击而言形同虚设,具体表现:

    1、特征检查无法识别未知流量。APT攻击常常利用社会工程学、零日漏洞、定制恶意软件等,传统的基于特征库的被动防御体系无法识别异常流量,存在严重的滞后性。
    2、伪造签名可规避恶意代码检测。APT攻击有时通过伪造合法签名的方式避免恶意代码文件被识别,为传统的基于签名的检测带来很大困难。
    3、 加密数据能够防范内容检测。在内部网络,攻击者能使用SSLVPN来控制主机。因为数据是加密的,所以现有的内容检测系统无法识别。
    4、难以发现利用合法途径的窃密。在攻击者获取目标数据时,他们并不利用恶意软件,而是利用合法的方法——— 例如命令窗口、NetBIOS命令、Windows终端服务等将数据加密并发送出去,无法被发现。
    5、及时消痕导致无法溯源。APT攻击者不留任何痕迹地在目标系统展开活动,使得无法溯源至他们的命令和控制中心,他们可在目标系统保持控制权数年之久。

    在APT攻击初期不同步骤中,攻击者会采用复杂的技术手段开展相应攻击,综合各类检测技术从多层面及时检测出具有APT特征的异常是APT防御的关键。

    攻击检测:

    阻断和遏止APT攻击的前提是能够有效检测到安全威胁的存在,通常已经退出目标系统的APT由于活动痕迹已被清除而难以发现,因此检测的重点是APT攻击的前3个时期。

    在探测期中

    攻击者需要收集关于目标系统的大量信息,可能会使用端口扫描、代码分析、SQL语句检测等方式获取有用的数据,在这个阶段如果能够通过审计系统日志分析辨识出这些活动,有效分析网络流量数据、防御系统警报等信息,将有可能发现APT攻击的信号,则可以认为系统已经被攻击者所关注,需要提高警惕。此外,可以利用大数据分析技术来处理检测数据。 APT攻击者通常会规划很长一段时间展开信息收集和目标突破的行动,而现有IDS或IPS系统一般是实时工作的,而且在检测数据中存在大量冗余信息。因而,为了令初期阶段的检测更加有效,可对长时间、全流量数据用大数据分析的方法进行深度检测,对各种来源的日志数据进行周期性关联分析,这将非常有助于发现APT攻击。

    在入侵期中

    攻击者已经发现了系统中可以利用的漏洞,并通过漏洞进行木马、病毒植入,电子邮件攻击,此阶段对于检测者而言体现在反常事件的增多。采取基于异常检测的IDS类实现方法,对管理员密码修改、用户权限提升、角色组变更和计算机启动项、注册表修改等活动的关注有助于发现处于入侵期的APT类攻击;部署采用基于收发双方关联信息、基于电子邮件历史分析发送者特点和基于附件恶意代码分析等检测技术的对策工具,可以有效检测出利用目标性电子邮件的APT攻击。

    在潜伏期中

    入侵后APT即进入潜伏期,此时的攻击代理为避免被发现,在大多数时间内处于静默状态,仅在必要时接受主控端指令,执行破坏动作或回传窃取到的数据。如果指令或传输的数据被加密,那么对其内容的检测就十分困难,只能通过流量分析判断系统可能处于异常状态;但如果数据未加密,则通过内容分析技术有可能识别出敏感数据已经以非正常方式传送到了受保护区域之外。在命令和控制阶段,可能存在增加用户、提升权限和增加新的启动项目等行为,使用IDS或IPS检测这类入侵将有助于发现APT攻击,另外,研究人员发现APT攻击者命令和控制通道的通信模式并不经常变化,若能及时获取到各APT攻击中命令控制通道的检测特征,可以采用传统入侵检测方法进行检测。

    无论攻击者的入侵计划多么缜密,由于技术手段的限制往往还是会残留下一些踪迹(如进入网络、植入软件、复制数据等时刻)。这种APT攻击的证据并不明显,但一旦发现就必须及时保存现场状态并尽快通知安全系统,并对疑似感染的机器进行隔离和详细检查。

    防范方式:

    1、使用威胁情报。这包括APT操作者的最新信息;从分析恶意软件获取的威胁情报;已知的C2网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。
    2、建立强大的出口规则。除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。
    3、收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
    4、聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。

    防御之道:

    传统的安全技术对于APT攻击显得无能为力,当前的主要解决思路
    1、基于未知文件行为检测的方法。一般通过沙箱技术罪恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁。
    2、基于终端应用监控的方法,一般采用文件信誉与嘿白名单技术在终端上检测应用和进程。
    3、基于大数据分析的方法,通过网路取证,将大数据分析技术和沙箱技术结合全面分析APT攻击。

    涉及到的关键技术:

    1、 URL异常检测,深度分析URL内User-Agent字段以及HTTP状态码来判断网站是否异常,以及网站中是否有恶意文件的下载链接,
    Email异常检测,通过对邮件的包头,发件人和邮件内附件或者链接检查,分析是否有恶意软件或链接存在。
    2、沙箱检测技术,模拟Linux、Windows,Android环境,将可以文件放在沙箱离模拟运行,通过自动观测、自动分析、自动警告发现未知威胁。沙箱同时又叫做沙盘,是一种APT 攻击 核心防御技术,该技术在应用时能够创造一种 模拟化的环境来隔离本地系统中的注册表、内存以及对象,而实施系统访问、文件观察等可以通过虚拟环境来实施操作,同时沙箱能够利用定向技术在特定文件夹当中定向进行文件的 修改和生成,防止出现修改核心数据和真实注册表的现象,一旦系统受到APT 攻击,实现的虚拟环境能够对特征码实施观察和分析,从而将攻击进行有效的防御。在实际应用过程中, 沙箱技术能够充分发挥防御作用,但是由于其消耗本地资料过多,导致工作处理过程周期过长,对此要进一步加强其应用效率的提升,从而有效区分和处理软件与文件,有效提升自身的应用效率,充分防御来自于外界的APT攻击。
    3、信誉技术,安全信誉主要是评估互联网资源和有关服务主体在安全性能方面的指数和表现,而信誉技术在应用过程中能够以一种辅助的方式来检测APT 攻击,并针对性建设信誉数据库,其中包括威胁情报库、僵尸网络地址库、文件 MD5 码库以及WEB URL 信誉库,能够作为辅助支撑技术帮助系统提升检测APT 攻击, 比如常见的木马病毒和新型病毒等,一旦遇到不良信誉资源能够利用网络安全设备进行过滤和阻断。在此过程中,信誉库能够充分发挥自 身优势,有效保护系统相关数据和信息,提升 安全产品的安全防护指数,依照实际情况来分析,信誉技术已经广泛应用到网络类安全产品当中,并且通过安全信誉评估策略服务和信誉过滤器等功能为信息系统的安全提供有效保 障。
    4、异常流量分析技术,异常流量分析技术在应用过程中主要以一种流量检测方式和分析方式对有关流量信息实施提取,并且针对其中的带宽占用、CPU/ RAM、物理路径、IP 路由、标志位、端口、 协议、帧长、帧数等实施有效的监视和检测,并且融入节点、拓扑和时间等分析手段来统计 流量异常、流量行为等可能出现的异常信息, 从而依照分析的结果和数据来对可能出现的 0 DAY 漏洞攻击进行准确识别。同时,异常流量分析技术进一步融入了机器学习技术和统计学技术,能够以科学化、合理化的方式来对模型实施建立。与传统的网络防御技术相比,异常流量分析技术能够充分发挥自身优势,以一 种数据采集机制来保护原有系统,并且对出现的异常行为进行有效的追踪,分析历史流量数据,从而有效确定异常流量点,最终起到防御APT攻击的目的。
    5、大数据分析技术在防御APT 攻击时,要充分发挥大数据分析技术的优势,针对网络系统中出现的日志 数据和SOC安全管理平台中出现的日志数据, 利用大数据分析技术能够实施有效的分析和研 究,并通过态势分析、数据挖掘、数据统计技术,对大量历史数据进行分析,获取其中存在的 APT 攻击痕迹,从而以一种弥补方式来对 传统安全防御技术实施加强。同时,大数据分析技术要想发挥自身作用,需要提升自身数据分析和数据采集能力,并积极融合全自动相应系统,从而快速监控不同区域中的数据信息, 改变出现的信息孤岛所导致的调查分析问题。

    参考文献:

    [1] 陈剑锋, 王强, 伍淼. 网络APT攻击及防范策略[J]. 信息安全与通信保密, 2012(7):24-27.
    [2] 李潇, 张强, 胡明, et al. 针对APT攻击的防御策略研究[J]. 网络空间安全, 2015, 6(5):39-41.
    [3] 张瑜, 潘小明, LIU Qingzhong,等. APT攻击与防御[J]. 清华大学学报:自然科学版, 2017(11):10-16.
    [4] 程三军, 王宇. APT攻击原理及防护技术分析[J]. 信息网络安全, 2016(9):118-123.
    [5] 张婷婷. 针对APT攻击的防御技术[J]. 电子技术与软件工程, 2018(24):193.

    更多相关内容
  • 在享受着网络技术带来的便利的同时,潜在的威胁在...因此,基于动态监测APT病毒的目的,笔者采用了行为分析的检测方法,结合MAPREDUCE编程方式和支持向量机算法,得出了一种新的APT检测模型并测算出了分析权重数据。
  • 《娜璋带你读论文》系列主要是督促自己...这篇文章将详细介绍和总结基于溯源图的APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!

    《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学术路上期待与您前行,加油。

    在这里插入图片描述

    前一篇文章分享了S&P2019《HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows》,基于可疑信息流的实时APT检测。这篇文章将详细介绍和总结基于溯源图的APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!

    本次分享主要是作者对APT攻击部分顶会论文阅读的阶段性总结,将从以下四个方面开展,包括APT攻击背景知识、APT攻击检测研究、基于溯源图的APT攻击检测方法对比、下一步工作及讨论。其重点是对基于溯源图的APT攻击检测进行总结。同时,由于作者科研能力和英文还较弱,写得不好或理解不到位的地方,还请各位老师和博友指正和批评,谢谢!

    在这里插入图片描述

    在这里插入图片描述

    前文赏析:


    一.背景知识

    1.什么是APT攻击?
    APT攻击(Advanced Persistent Threat,高级持续性威胁) 是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

    在这里插入图片描述

    2.APT攻击的特点
    上图的表格展示了APT攻击和普通攻击的区别。可以简单地将APT攻击特点总结为:

    • 隐蔽性
      0-day漏洞、needle in a haystack(通常不到0.01%)、无文件攻击、加密流量
    • 持续性
      low-and-slow(潜伏时间长)、攻击时间跨度大
    • 针对性
      Stuxnet、SolarWinds
    • 模块化(自适应)
      Stuxnet、WannaCry

    3.APT攻击检测存在的困难
    下图展示了2016到2020年,亚太地区AP攻击事件的停留时间,可以看到其潜伏期很长,想要发现一起APT攻击极为困难。同时,传统APT攻击检测存在一定的缺陷,包括:

    • 无法捕获长期运行的系统行为
    • 0-day漏洞导致攻击艰难检测
    • 实时攻击检测、真实场景检测效果不佳
    • 容易遭受投毒攻击
      注意,这里的投毒攻击是指因APT攻击持续时间长,导致ML模型学习攻击特征时,会将恶意行为逐渐训练学习为正常行为

    在这里插入图片描述

    接着补充下两个辅助APT攻击的经典知识框架,它们分别是 kill-chain ModelATT&CK Model。它们既能帮助我们理解、检测和溯源APT攻击流程,又在论文中作了相应的贡献,现已被广泛用于APT攻击检测领域研究,后面会详细介绍。

    • kill-chain Model
      洛克希德·马丁公司开发的“网络杀伤链”模型描述了网络攻击的各阶段流程,具体包括七个阶段,即目标侦查、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、任务执行。

    在这里插入图片描述

    • ATT&CK Model
      ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。网址:https://attack.mitre.org/

    在这里插入图片描述

    最后展示了常见APT组织。

    在这里插入图片描述


    二.APT攻击检测研究

    该部分从APT攻击检测相关研究、基于异常检测的方法和基于溯源图的方法三个方面介绍,重点以基于溯源图的方法为主。

    1.APT攻击检测相关研究

    APT攻击检测研究方法的分类很多,作者这里仅将其分成了两大块(不一定合适),主要和作者阅读的论文相关,也欢迎大家交流分类方法。即:

    • Anomaly-based detectors for APTs
      – 主机日志(审计日志)
      – 系统调用
      – 网络流量 | 警报信息
      – 恶意行为
    • Provenance graph-based detectors for APTs
      – 溯源图
      – +引入外部知识
      – +融合ATT&CK框架
      – 因果关系图+NLP

    在这里插入图片描述

    我们先看看图中下半部分基于 溯源图(Provenance Graph) 的APT检测方法。主要包括:

    • 伊利诺伊大学芝加哥分校团队
      首先,USENIX’17提出的 SLEUTH,将溯源图应用于APT攻击检测领域。然后,该团队紧接着在2019年CCS会议上提出 Poirot,在S&P’19上提出 Holmes,该方法融合了Kill Chain和ATT&CK框架。此外,在2021年EurS&P提出 Extrator,并引入外部知识。

    • 伊利诺伊大学香槟分校团队
      另一个研究溯源图的团队来自伊利诺伊大学香槟分校,他们分别在NDSS’20提出了 UNICORNProvDetector,同时在2020年的S&P上提出 RapSheet,它融合了ATT&CK框架。

    • 普渡大学团队
      第三个团队是来自普渡大学,当然各团队之间有很多合作团队。他们的核心成果包括NDSS’13提出的 BEEP,NDSS’16提出的 ProTracer 和USENIX’21提出的 ATLAS

    整个基于溯源图的APT检测方法是在Baseline的基础上不断优化,包括溯源图+引入外部知识、溯源图+融合ATT&CK框架、因果关系图+NLP等。后面的论文和框架图作者会更详细的介绍,从而梳理出溯源图方法的研究路线。另外,基于异常检测的方法图中也列举了部分方法。


    2.基于异常检测的方法

    基于异常检测的方法这里简单例举了利用C&C域名、数学模型、恶意流量和恶意行为实现APT攻击检测的框架图,如下图所示。

    在这里插入图片描述

    上述传统APT攻击检测方法主要存在的缺陷包括:

    • APT攻击时间跨度长,缺乏方法或工具有效将信息进行关联,还原攻击链
    • 实时检测困难,较难高效地从百万条日志中筛选数据,并检测出最可能的攻击行为
    • 较难让分析人员通过数据有效地进行推理,从而检测未知攻击
    • 缺乏对真实场景的APT攻击进行检测,并且IDS和SIEM会产生大量的信息,传统方法识别真实的攻击更加困难
    • 无法有效解决投毒攻击,即由于APT攻击时间跨度较长,深度学习会将恶意特征训练为正常特征

    结合上述原因,产生了改进方法,即:

    • 基于溯源图的APT攻击检测(Provenance graph-based detector for APTs)

    接下来开始详细介绍基于溯源图的APT攻击检测方法。


    3.基于溯源图的方法

    SLEUTH [USENIX’17]

    第一篇论文是USENIX’17的 SLEUTH

    Md Nahid Hossain, et al. SLEUTH: Real-time Attack Scenario Reconstruction from COTS Audit Data. USENIX’17

    这篇文章的主要贡献如下:

    • 首次利用溯源图重构APT攻击,即利用因果关系跟踪和溯源图构造模型
    • 提出一种可以在企业主机上实时重构攻击场景的方法和系统
    • 开发一种平台无关、基于主存的审计日志数据依赖图抽象

    整个SLEUTH的框架图如下图所示,核心内容如下:

    • (1) 输入的是Linux、Windows和FreeBSD平台的审计日志信息
    • (2) 构建并标记依赖关系图,标签将提供重要的上下文信息,对应论文中良性可信、良性和未知三种类型
    • (3) 实现基于标签和策略的攻击检测,并定制的策略,根据审计日志的秘密性分为公开、隐私、敏感和秘密,通过引入标签和策略实现对依赖关系图赋予不同的权重
    • (4) 经过依赖图反复构建后,会到达警报计算阶段,通过定义规则来匹配更高的威胁攻击,生成对应的分数,基于标签的分析后会生成并还原场景图(Scenario Graph)

    同时,依赖关系图中的节点和关系表示如下:

    • 节点:表示subjects(进程)和objects(文件、sockets)
    • 关系:表示审计事件(读、写、执行、连接等操作)

    在这里插入图片描述

    接着介绍它的警报(Alarms)计算策略,以下四个会引发警报,包括:

    • 不受信任的代码执行:高等级标签去执行低等级时触发
    • 被低等级标签修改:修改文件权限时产生
    • 秘密文件泄露:不可信对象执行写的操作
    • 执行不可信的数据:比如执行command等指令操作

    下图是攻击场景的重构,它是对FireFox浏览器漏洞的场景还原。

    • 审计数据还原fireFox后门攻击场景
      – Backdoor insertion
      – Clean-up

    整个场景还原如下:它的入口点是在firefox.exe位置,首先它会去接收IP地址,然后fork下载器(dropper),接着它会发送请求到443端口;接下来会多次调用cmd执行命令,如whoami、netstat、hostname等,并将数据写入到指定路径的thumbs.db文件中;然后执行git.exe实现数据过滤操作;最后执行burnout.bat批处理文件清除场景的痕迹。

    在这里插入图片描述

    整个实验采用 DARPA TC 数据集实验,它有8个攻击场景重构及攻击阶段映射,该论文对每个场景进行了图还原,涉及阶段如下图所示:

    在这里插入图片描述

    实验统计了APT攻击场景每个阶段的实体数量:关键文件、网络连接、执行程序等,如下图所示。

    在这里插入图片描述

    其他实验效果如下,建议读者阅读原文。

    在这里插入图片描述

    最后,简单总结SLEUTH与传统方法的区别:

    • Sleuth方法
      Sleuth实时检测、运行效率更高
      Sleuth基于标签的检测方法更精确(规则+策略+警报)
    • 传统方法,如Bactracker [SOSP’03]
      – 无法实时且效率低
      – Bactracker依赖外部工具生成警报,无法剪枝和溯源

    补充:DARPA TC是经典的APT攻击检测数据集
    美国国防高级研究计划局(Defense Advanced Research Projects Agency, DARPA)运营了多个重量级的网络空间安全研究项目,召集了诸多美国顶级研究机构参与,可谓是集中力量办大事。其中,透明计算(Transparent Computing, TC)项目正是期望通过基于终端数据的采集与分析增强终端上系统细粒度行为的可视能力,以实现企业级网络空间APT检测、取证等关键任务。

    现代操作系统的功能逻辑越来越复杂,计算系统的低透明度成为精细化记录、分析、预测系统级别行为的重要限制,而封闭的系统黑盒为具有高隐蔽性、高对抗性的APT攻击者提供了绝佳的潜伏场所。为了打开系统行为黑盒,实现在较低开销下提供系统各层级软件模块行为可见性,DAPRA组织了Transparent Computing项目。该项目的目标技术及系统需实现:

    • 采集、保存系统组件(输入、软件模块、进程等)的溯源数据;
    • 动态追踪网路系统组件的交互与因果依赖关系;
    • 整合数据依赖,测绘端到端的系统行为;
    • 从取证和实时检测的角度,实现对系统行为的推理。

    基于以上能力的实现,TC项目旨在完成细粒度系统级行为的关联,实现在大规模行为中识别异常与恶意意图,发现潜在的APT或其他高级威胁,并提供完整的溯源分析与相关损失评估。同时,TC项目能够实现网络推理能力与企业规模网络监控和管控系统的整合,以增强关键节点的安全策略有效性。

    从2016年10月到2019年5月,DARPA TC项目共组织了5次较大规模的红蓝对抗交战演习(Engagement)。在每次对抗中,TC总共划分为5个技术域(Technical Areas, TAs),其时间跨度超过20天。TA5.1实现了包括Carbanak、Uroburos、DustySky、OceanLotus、njRAT、HawkEye、DeputyDog等多种恶意软件在攻防平台中的投放。DARPA TC的攻击模拟展现了参与团队在APT技战术的深厚积累。


    Poirot [CCS’19]

    第二篇论文是来自CCS’19的 Poirot

    Sadegh M, et al. Poirot: Aligning Attack Behavior with Kernel Audit Records for Cyber Threat Hunting. CCS’19

    这篇文章的主要贡献如下:

    • 利用网络威胁情报(CTI)关联性检测APT攻击
    • 使用审计日志,将威胁检测建模为一个非精确的图模式匹配(Graph Pattern Matching, GPM)问题
      – 在大图中搜索与某个特定图相匹配的子图
    • 相似性度量,攻击行为与内核审计日志对齐
      – 内核审计日志构建溯源图(provenance graph)
      – CTI关联构建查询图(query graph)

    整个Poirot的框架图如下图所示,核心内容如下:

    • (1) 该图右边部分是上篇论文的基本流程,即从三个操作系统(BSD、Linux、Windows)审计日志信息中构建 溯源图(Provenance Graph),然后还原攻击场景
    • (2) 左边引入了外部IOC关系信息,提取并构建攻击行为的查询图(Query Graph),这里引入了图对齐或图匹配
    • (3) 最后通过对齐和阈值计算算法生成对应的分数,实现最终的分析取证并生成警报
      – 图中顶点表示实体,边表示信息流和因果关系

    在这里插入图片描述

    接下来补充查询图(Query Graph)构建的过程。相当于给你一篇APT分析报告,它会自动生成对应的查询图,如下图所示,A执行B的exe程序,并写入C,然后写入D注册表,再想E发送请求。

    • 椭圆-进程
    • 菱形-套接字
    • 矩形-文件
    • 五边形-注册表

    在这里插入图片描述

    对应的匹配过程如下图所示,Gq表示查询图,Gp表示溯源图。个人理解,DARPA TC数据会生成溯源图,然后和查询图匹配出来两个对应的结果子图,如最右边所示。从而更好地发现那部分子图是在实施APT攻击。

    在这里插入图片描述

    该方法还包括两种类型的对齐:node alignment和graph alignment。

    由于作者能力有限且理解不够,一些细节未能很好地表达,还请见谅。建议大家去阅读原文,这些公式及算法非常重要,当然我也会继续努力提升自己的阅读能力,多向这些大佬学习并力争撰写好的论文,共勉。

    在这里插入图片描述

    实验结果如下图所示,比如不同恶意软件(如海莲花OcenLotus)对应的查询图以及对其过程。

    在这里插入图片描述

    在这里插入图片描述

    其他的实验结果如下,比如选择阈值的对比结果,这也将决定对齐算法的分数。

    在这里插入图片描述

    实验结果表明:

    • CTI相关性可用于威胁猎杀,并且具有较好的鲁棒性和可靠性
    • Poirot方法能有效从溯源图中实现APT组织查询图(攻击链)匹配及对齐

    本文方法与传统方法对比如下:

    • 不同于基于符号执行的方法,Poirot不依赖于符号表达式,而是寻找系统的相关性和信息流
    • 传统方法的网络威胁情报相关性被完全忽视,未被用于威胁检测
    • 本文方法引入图匹配算法,这与之前的方法不同

    HOLMES [S&P’19]

    第三篇论文是S&P’19经典的 HOLMES

    Sadegh M. Milajerdi, et al. HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows. S&P’19

    这篇文章的主要贡献如下:

    • 构建一种可以实时检测APT攻击的系统,有效利用攻击活动可疑信息流的相关性
    • 将APT活动信息映射到杀伤链,设计高级场景图(high-level scenario graph,HSG)实现低层次(日志、警报)信息到高层次的映射(语义鸿沟),从而使得HOLMES能有检测良性或攻击场景
    • 系统和实验完整性:虚假依赖关系剪枝、降噪处理(紧密性)、HSG排序

    其框架图如下所示,前面基本类似,但右端增加了一个高级场景图(high-level scenario graph,HSG),从而实现低层次(日志、警报)信息到高层次的映射,解决论文中提到的语义鸿沟。该方法能够实时检测系统,产生APT报警;并能实时产生高级别的攻击图来描述攻击者的行为,协助防御者进行实时地安全响应。

    在这里插入图片描述

    HSG对应如下图所示,传统比如是审计日志信息,直接到上层的APT攻击阶段(杀伤链)会存在语义损失,即:低级别审计数据与攻击目标意图与高级杀伤链(kill-chain)视角之间存在巨大的语义差距。因此引入TTPs和HSG,通过ATT&CK框架映射的中间层来提升实验效果。

    在这里插入图片描述

    APT攻击检测存在的难点可以概括如下三点,该方法能有效解决这些困难。

    • 攻击隐蔽(Stealthy Attacks)
    • 大海捞针(Needle in a haystack)
    • 实时检测(Real-time detection)

    下面简单介绍一个运行时APT攻击溯源图(Provenance Graph)示例。如下图所示,可以看到攻击行为是从初始入侵到C&C通信,再到内部侦查、数据读取、权限提升,以及内部侦查、清除痕迹、窃取信息等。这其实就是一个溯源图,通过数据之间的因果关系生成这样的图,比如C&C通讯、提权、文件操作等进行关联。而上面是正常操作行为。

    • 椭圆、菱形、 矩形、五边形、七边形、圆柱

    在这里插入图片描述

    实验结果表明,HOLMES能有效区分良性场景和攻击场景。下图是攻击场景所涉及流程(七维对应杀伤链)及阈值分数,能有效识别APT攻击。

    在这里插入图片描述

    下图展示了APT攻击和良性事件的有效区分。

    在这里插入图片描述

    传统方法存在的缺点如下:

    • 基于统计特征的方法对时间跨度长、执行缓慢攻击的检测不佳
    • 基于系统调用日志的方法对实时攻击检测效果不佳
    • 对比方法:ProTracer[NDSS’16]、MPI[USENIX’17]、SLEUTH [USENIX’17]、PrioTracker[NDSS’18]

    本文HOLMES的优点如下:

    • 攻击粒度更细
    • 从溯源图到攻击链的映射引入了HSG解决语义鸿沟问题
    • 能有效检测长期潜伏实时的APT攻击
    • 通过引入降噪算法解决HSG紧密性问题

    正是综合各种优点,论文的故事叙述非常棒,并结合之前的成果,所以他们能发到S&P,非常值得我学习。


    Extrator [EurS&P’21]

    第四篇论文是EurS&P’21的 Extrator

    Kiavash Satvat, et al. EXTRACTOR: Extracting Attack Behavior from Threat Reports. EurS&P’21

    由于CTI报告海量且非结构化,安全人员很难从文本中提取出真正有效的信息,本文提出了融合自然语言处理的Extrator方法。其主要贡献如下:

    • 提出一个自动化工具Extrator,用于自动从网络威胁情报(CTI)报告中提取出攻击行为信息
    • 利用自然语言处理(NLP)从CTI报告中精确地提取攻击行为
    • 使用语义角色标注(SRL)进行语义分析,理解攻击行为关系,并将非结构化文本转化为溯源图

    其框架图如下图所示,包括:

    • 标准化
      拆分、同义词、主动语态
    • 消歧
      主语省略句消除或补齐、带刺消除、同义词消除
    • 文本归纳
      ​去除语句冗余、去掉单词冗余
    • 溯源图构建
      语义角色标注、溯源图构建

    在这里插入图片描述

    实体识别和实体消歧示例如下图所示:

    在这里插入图片描述

    实验表明Extrator可以有效提取CTI报告的攻击信息,并以溯源图形式展现。同时,生成的溯源图与人工生成的溯源图能够进行匹配,验证了方法的有效性,并且溯源图可以进一步作为威胁情报检测系统的输入。下图展示了不同攻击场景的精确率、召回率和F1值。

    在这里插入图片描述

    方法对比:

    • 与iACE等方法不同,本文专注于提取攻击行为,并以溯源图的形式捕获系统级因果关系

    本文仍然存在一些缺陷。

    • 由于NLP复杂性,提取精度会损失,某些未知实体无法有效识别
    • 受到CTI报告作者的风格影响,需要专家协作
    • 审计日志提取的信息限制了细粒度攻击建模

    简单总结
    写到这里,作者简单总结下伊利诺伊大学芝加哥分校的五个工作,可以很好地看到他们逐年的优化和改进。分别对应:SLEUTH[USENIX’17]、NODOZE[NDSS’19]、Poirot[CCS’19]、HOLMES[S&P’19]、Extrator[EurS&P’21]。

    • SLEUTH[USENIX’17]
      引入溯源图检测APT攻击
    • NODOZE[NDSS’19]
      增加了威胁检测和异构图构建
    • Poirot[CCS’19]
      融合IOC信息,增加了查询图和溯源图的对齐算法
    • HOLMES[S&P’19]
      融合HSG和ATT&CK框架解决语义损失问题,增加去噪剪枝等操作
    • Extrator[EurS&P’21]
      结合NLP方法(消歧)和外部APT分析报告抽取知识,并构建溯源图

    在这里插入图片描述

    欢迎大家继续补充作者写得的不足,因为阅读有限,也可能漏掉一些重要论文和方法。这里简单补充几个作者分享不足之处和疑惑。

    • 问题1:实验怎么评价它的精确率、召回率和F1值呢?是算APT攻击正确识别数量,还是实体识别数量,还是溯源图中子图匹配数量呢?
    • 问题2:如何去鉴别一个APT攻击,这点也非常重要。是将进程、文件、通信等不同对象标注成不同类别,构建相互之间的关联呢?
    • 问题3:如何生成溯源图,并且代码细节如何实现呢?
    • 问题4:论文中算法核心实现过程需要秀璋进一步精读和理解,有机会复现文中的论文。
    • 问题5:DARPA TC数据集是否开源,我们能否继续优化方法。

    PS:下面的论文由于阅读还存在一些疑惑,作者就进行简单介绍,还请读者见谅。


    HINTI [RAID’20]

    第五篇论文是RAID’20的 HINTI

    Jun Zhao, et al. Cyber Threat Intelligence Modeling Based on Heterogeneous Graph Convolutional Network. RAID’20

    这篇文章的主要贡献如下:

    • 提出一种基于异构图卷积网络的威胁情报模型,建模IOC之间的依赖关系
    • 从非结构化威胁描述中自动提取网络威胁对象,多粒度注意力机制学习特征的重要性
    • 攻击偏好建模:将具有相同偏好的攻击聚集(DBSCAN算法)

    在这里插入图片描述

    与现有的CTI框架不同,HINTI旨在实现一个CTI计算框架,它不仅可以有效提取IOC,而且还可以建模和量化它们之间的关系。下表展示了17种元路径关系。

    在这里插入图片描述

    HINTI能有效挖掘隐藏在IOCs之间相互依赖关系和安全知识,并应用于威胁模型,其核心四个步骤如下。

    • (1) 首先,通过B-I-O序列标注方法对安全相关帖子进行标注,用于构建IOC提取模型。
    • (2) 然后将标记的训练样本输入我们提出的神经网络,以训练提出的IOC提取模型。
    • (3) HINTI利用句法依赖性解析器(e.g.,主-谓-宾,定语从句等)提取IOC之间的关联关系,每个关系都表示为三元组。
    • (4) 最后,HINTI集成了基于异构图卷积网络的CTI计算框架,以有效量化IOC之间的关系并进行知识发现。

    在这里插入图片描述

    在这里插入图片描述

    本文提取的13种主要的IOC性能如表3所示。总的来说,我们的IOC提取方法在精确率、召回率、平均F1值都表现出了优异的性能。然而,我们观察到在识别软件和恶意软件时的性能下降,这是因为大多数软件和恶意软件是由随机字符串命名,如md5。

    在这里插入图片描述

    图8显示了不同类型元路径下的前3个聚类结果,其中元路径 AVDPDTVTAT(P17) 在紧凑和分离良好的集群中性能最好,这表明它比其他元路径在描述攻击偏好方面具有更丰富的语义关系。

    在这里插入图片描述

    在这里插入图片描述

    与之前的方法对比,本文也存在一些缺陷:

    • 未在真实攻击场景实现
    • 未实现对未知攻击的预测(知识推理)
    • 未实现运行时检测及长期潜伏的APT攻击检测
    • 没有和主流的知识框架融合

    UNICORN [NDSS’20]

    第六篇论文是NDSS’20的 UNICORN

    Xueyuan Han, et al. Unicorn: Runtime Provenance-Based Detector for Advanced Persistent Threats. NDSS’20

    这篇文章的主要贡献如下:

    • 针对APT特性设计一种基于溯源图(Provenance Graph)的运行时APT检测方法(直方图和概要图
    • UNICORN能在没有先验攻击知识的前提下实现APT攻击检测,且准确率高和误报率低
    • 第一个对本地完整系统进行运行分析的APT入侵检测系统,概要图能对抗长时间潜伏的投毒攻击

    其框架如下图所示,包括四个核心步骤:

    • ①构建溯源图
    • ②建立运行时直方图
    • ③计算概要图
    • ④聚类

    在这里插入图片描述

    直方图生成算法如下,建议读者精读原文。

    在这里插入图片描述

    实验结果如下图所示:

    在这里插入图片描述

    在这里插入图片描述

    同时包括一些详细的性能对比。

    在这里插入图片描述

    UNICORN与之前的方法对比结果如下:

    • Holmes[S&P’19]和Poirot[CCS’19]:需要先验专家知识(先决条件-结果模式)
    • 基于系统调用和日志事件的检测方法:由于数据过于密集,难以对长时间的攻击行为进行建模
    • 由于APT潜伏时间长且持久化,攻击行为会缓慢改变传统模型以逃避检测系统(投毒攻击)

    UNICORN的局限性和改进如下:

    • 需要定期重新训练
    • 正常行为改变可能会产生误报
    • 未考虑异质性行为
    • 更大的实验评估(IDS数据集)

    ProvDetector NDSS’20

    第七篇论文是NDSS’20的 ProvDetector

    Qi Wang, et al. You Are What You Do: Hunting Stealthy Malware via Data Provenance Analysis. NDSS’20

    首先,我们先介绍下离地攻击

    • 只使用预安装的软件并且攻击者没有在系统上安装额外的二进制可执行文件。带有宏、VB脚本、Powershell脚本或者使用系统命令(如netsh命令)的文档属于离地攻击的范围。

    由于现有反病毒软件和方法很难检测到该类攻击,本文提出一种ProvDetector方法,它需要依赖内核级的溯源监控来捕获目标程序的动态行为。

    在这里插入图片描述

    这篇文章的主要贡献如下:

    • 提出一种基于溯源图的系统,用于检测伪装技术的隐蔽恶意软件(离地攻击 | 无文件攻击)
    • 提出一种新的路径选择算法来识别溯源图中潜在的恶意部分(恶意行为与底层操作系统交互)
    • 设计一个新的神经嵌入和机器学习管道,自动为每个程序建立一个轮廓并识别异常进程

    ProvDetector的核心ProvDetector分为四部分:图构建、特征提取、嵌入和异常检测。部署监控代理,按照定义收集系统数据放入数据库。定期扫描数据库检查是否有新添加的进程被劫持。对于每个进程,先构建起起源图(图构建)。然后从源点图中选择路径子集(特征提取)并将路径转换为数值向量(嵌入)使用一个新颖的检测器来获得嵌入向量的预测并报告最终决定(异常检测)。

    在这里插入图片描述

    实验结果如下图所示:

    在这里插入图片描述

    在这里插入图片描述

    你可能会疑惑为什么分享这篇文章呢?一方面由于它也用到了溯源图概念,另一方面同样来自于伊利诺伊大学香槟分校团队(同UNICORN),并且将溯源图应用于其他领域,即检测伪装技术的隐蔽恶意软件。这也是我们探索论文idea的一个思路,可能其他领域或方法也会给我们带来灵感喔。当然,目前作者科研能力太弱,需要不断提升,学习嘛,一辈子的事情。加油!


    RapSheet [S&P’20]

    第八篇论文是S&P’20的 RapSheet

    Wajih Ul Hassan, et al. Tactical Provenance Analysis for Endpoint Detection and Response Systems. S&P’20

    本文首先指出已有的EDR(端点检测和响应)工具存在的三个主要弊端:

    • (1) EDR工具会产生大量的虚假警报,从而为分析人员积压了调查任务;
    • (2) 确定这些威胁警报的准确性需要大量的低级系统日志,人工任务繁琐;
    • (3) 由于日志占用巨大资源,系统日志通常在进行调查之前就被删除。

    因此,本文提出了战术源图(Tactical Provenance Graphs, TPGs)的概念,个人感觉TTPs+溯源图,并研发了RapSheet系统,直接推理EDR系统生成的威胁警报之间因果关系。其主要贡献如下:

    • 首次将溯源图引入商业EDR(Endpoint Detection and Response)
    • 提出战术溯源图(Tactical Provenance Graphs, TPGs)表示EDR生成威胁警报间的因果依赖关系
    • 引入一种威胁评分方法:根据TPGs中存在的单个威胁警报之间的时间顺序来评估风险

    在这里插入图片描述

    本文是用商业赛门铁克EDR软件进行真实检测和实验。其实验结果表明:

    • 提升商业EDR效果,检测未知攻击行为
    • 减少系统日志降低系统存储开销
    • 提高赛门铁克EDR的威胁检测精确度
    • 保留警报之间的因果关联性

    RapSheet与传统方法对比:

    • Holmes商业EDR部署复杂(保留100%日志)
    • holmes16条TTP匹配规则 vs RapSheet增加至67条
    • 实践中EDR工具会限制日志缓冲区
    • NoDoze防止投毒攻击假设(正常行为数据库)
    • 未跟踪ALPC消息(Windows),会断开溯源图
    • 利用DTaP高效分布式存储提高查询响应时间

    在这里插入图片描述


    ATLAS [USENIX’21]

    最后一篇是2021年USENIX的论文,作者仅作了简单的阅读。即 ATLAS。该文章来自普度大学团队,针对APT研究成果还包括NDSS’13的BEEP、NDSS’16的ProTracer等。此外,CCS21也发现了新的溯源图研究成果,说明基于溯源图的研究仍然是一个值得探索的方向。

    Abdulellah Alsaheel, et al. ATLAS: A Sequence-based Learning Approach for Attack Investigation. USENIX’21

    本文提出一种基于序列的攻击调查学习方法ATLAS。其主要观察结果是:无论所利用的漏洞和执行的有效载荷如何,不同的攻击可能共享相似的抽象攻击策略。ATLAS是利用因果关系分析、自然语言处理和机器学习技术的新颖组合来构建基于序列的模型,该模型从因果图建立攻击和非攻击行为的关键模式。在推断时间,给定威胁警报事件,确定因果图中的攻击症状节点。然后,ATLAS构造一组与攻击症状节点关联的候选序列,使用基于序列的模型来识别顺序中有助于攻击的节点,并将识别出的攻击节点统一起来构建攻击记录。

    本文的主要贡献如下:

    • 利用审计日志生成端到端攻击故事(end-to-end attack story)的框架
    • 构建一个基于序列的模型:因果关系图(causal graph)+自然语言处理+深度学习
    • 真实APT攻击事件(10个)进行实验,并能恢复攻击关键步骤及还原攻击故事
    • 研究发现不同的攻击可能共享相似的抽象攻击策略

    个人感觉生成Attack Story还原攻击故事是本文的一大亮点。

    在这里插入图片描述

    实验结果如下图所示,建议阅读原文。

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

    ATLAS 主要涉及支持审计日志溯源追踪的三个子主题,包括:溯源图的因果关系分析、基于异常的分析以及 ML 技术在攻击调查中的应用。当然也存在一定的缺陷,即:

    • 当前工作仅限制于Windows平台
    • 无法检测到使用类似正常事件序列的隐藏攻击行为,比如模拟攻击
    • 模型性能很大程度上取决于所收集的训练日志条目的质量

    三.方法对比

    写到这里,上述方法已经介绍完毕,接下来我们对所有文章进行简单的研究趋势梳理和方法对比研究。

    1.基于溯源图的方法研究趋势分析

    研究趋势如下,还原各位老师和读者指正及补充。

    在这里插入图片描述


    2.方法优缺点对比

    方法对比主要从溯源图、知识框架、先验知识和优缺点进行比较,得出如下表所示结果。个人感觉,溯源图、是否引入知识框架(ATT&CK)、是否有先验知识、是否融入NLP(消歧 | 对齐 | 去噪合真实场景应用是该方向研究的重要进步补充。

    在这里插入图片描述


    3.数据集对比

    数据集的对比如下图所示,主要以DARPA TC、公开威胁情报文本和真实场景攻击数据为主。

    在这里插入图片描述


    四.总结

    最后秀璋做一个简单总结,写得不足之处还请批评和指正。写这篇文章只希望帮助更多的APT攻击研究者和初学者,同时也是对自己阶段知识的总结,虽然很少有人分享类似正在研究或未发表的总结,但还是想先分享出来,与大家一起探讨和进步,真诚地希望对您有帮助吧!感恩遇见,不负青春,读博路上相互鼓励着前行。

    基于溯源图的APT攻击检测是APT检测领域中一个非常重要的分支,由于APT攻击的隐蔽性、威胁性、实时性、针对性,传统的方法艰难检测,因此提出了溯源图的方法。当前的研究趋势主要表现在:

    • 基于溯源图和知识图谱的APT攻击检测
    • 结合APT攻击阶段特点,融合ATT&CK知识框架进行中间层特征表示,解决语义损失
    • 全系统真实场景的细粒度APT攻击检测
    • 引入外部威胁情报知识(NLP消歧对齐)来辅助APT检测
    • 无先验专家知识
    • 对未知APT攻击实现预测

    未来的研究趋势,个人感觉如下,不喜勿喷,哈哈!

    • 基于图神经网络的APT攻击检测,图可能更好地表达攻击之间的关系
    • 从NLP角度分析APT攻击以揭示其特性(融合恶意代码分析)
    • 检测并定位APT攻击样本中0-day漏洞是否存在及位置,感觉很难
    • 场景迁移:EDR、无文件攻击、在线场景
    • 加密、混淆、对抗样本、无文件

    在这里插入图片描述

    这篇文章就写到这里了,希望对您有所帮助。由于作者英语实在太差,论文的水平也很低,写得不好的地方还请海涵和批评。同时,也欢迎大家讨论。学安全两年,认识了很多安全大佬和朋友,希望大家一起进步。同时非常感谢参考文献中的大佬们,感谢老师、实验室小伙伴们的教导和交流,深知自己很菜,得努力前行。感恩遇见,且行且珍惜,小珞珞太可爱了,哈哈。

    《珈国情》
    明月千里两相思,
    清风缕缕寄离愁。
    燕归珞珈花已谢,
    情满景逸映深秋。

    在这里插入图片描述

    (By:Eastmount 2021-10-11 周一夜于武汉 http://blog.csdn.net/eastmount/ )


    展开全文
  • 基于分类模型的APT攻击检测与场景构建,孙文新,刘建毅,APT全名高级持续性威胁,该攻击从社交工程学出发,利用高端、定向的攻击手段对国家或有影响力的组织机构进行长期的针对性的渗透,
  • APT攻击检测与防御详解

    万次阅读 多人点赞 2019-01-20 17:51:58
    利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。...

    APT定义

    APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用零日漏洞进行攻击。以窃取核心资料为目的,针对和客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度隐蔽性。

    APT攻击是一类针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势,近来备受网络安全研究者关注。APT一般受国家或大型组织操控,受国家利益或经济利益驱使,由具有丰富经验的黑客团伙实施,具有技术性强、持续时间长、危害性较大等特点,是近年来出现的新型综合性网络攻击手段。

    特点概括:

    隐匿自己(潜伏性),针对性,持续性,有计划性,多态性,目的是窃取数据

    入侵途径:

    1. 以移动设备为目标和攻击对象进而入侵企业信息系统
    2. 恶意邮件(社交工程)
    3. 防火墙、服务器漏洞

    APT特点详解

    高级性:

    发起APT攻击的黑客在实施过程中,有可能结合当前IT行业所有可用的攻击入侵手段和技术。他们认为单一的攻击手段(如病毒传播、SQL注入等)难以奏效(会被传统IDS或防火墙阻挡),因而使用自己设计、具有极强针对性和破坏性的恶意程序,在恰当的时机与其他攻击手段(如尚未公开的零日漏洞)协同使用,对目标系统实施毁灭性的打击。另外,这些黑客能够动态调整攻击方式,从整体上掌控攻击进程,且具备快速编写所需渗透代码的能力。因而与传统攻击手段和入侵方式相比,APT攻击更具技术含量,过程也更为复杂。

    持续性:

    与传统黑客对信息系统的攻击是为了取得短期的收益和回报(一时证明能力、报复、或牟取暴利)不同,实施APT攻击的黑客的目标是从目标网络中窃取机密信息。一般从一开始就具有明确的目标导向,通过长期不断的监控、入侵及必要的隐蔽手段逐步实施攻击步骤,其周期可能较长,但效果可能更佳。在他们没有完全获得所需要的信息之前,会长时间对目标网络发动攻击,持续时间可能长达数月或者数年,其背后往往体现着组织或国家的意志。由于APT攻击具有持续性的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。

    威胁性:

    APT攻击是人为的,有针对性的,其最终目标是破坏、窃取重要信息资产,甚至有可能危及社会稳定和国家安全。由于APT攻击通常都由经验丰富的黑客或团伙发起,受雇于第三方,具有充足的经费支持,因此攻击的成功率较高,对于受害者而言危险系数更大,威胁程度更高。 高级、持续性和威胁是APT攻击的3个主要方面,如果在某次恶意攻击中,其动机是出于经济、竞争优势或国家利益,其表现形式是长期而持续的攻击,其对象是一个特定的企业、组织或平台,则一般认为该攻击具有APT性质。

    隐秘性:

    APT攻击一般会以各种方式巧妙绕过已有的入侵检测系统,悄然进入目标网路。而且,为了在目标内部长时间获取信息,通常会尽可能减少明显的攻击行为以及留下的痕迹,隐秘窃取所需信息。

    潜伏性:

    这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。

    多态性:

    攻击者的攻击方式不是一成不变的,既包括病毒、木马植入等传统入侵手段,也包括SQL注入、零日漏洞、软件后门、操作系统缺陷等,甚至结合社会工程学、心理学等各种线下手段实施攻击。综合采用多类技术首先是为了使受害者难于防范,提高攻击的成功率,其次也可以通过并行实施起到掩盖其真实攻击意图的作用。

    攻击方式:

    初始感染:初始感染可以有以下三种方式:

    1. 攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如,Cryptolocker就是一种感染方式,它也称为勒索软件,其攻击目标是Windows个人电脑,会在看似正常的电子邮件附件中伪装。一旦收件人打开附件,Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金,恶意软件就会删除加密密钥,从而使你无法访问自己的数据。
    2. 攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网Gameover Zeus就是一个例子,一旦进入网络,它就能使用P2P通信去控制受感染的设备。
    3. 攻击者会通过一个直连物理连接感染网络,如感染病毒的U盘。

    攻击步骤:

    APT攻击可以大致分为探测期、入侵期、潜伏期、退出期4个阶段,这4个阶段通常是循序渐进的
    1. 探测期:信息收集

    探测期是APT攻击者收集目标信息的阶段。攻击者使用技术和社会工程学手段收集大量关于系统业务流程和使用情况等关键信息,通过网络流量、软件版本、开放端口、员工资料、管理策略等因素的整理和分析,得出系统可能存在的安全弱点。另外,攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订攻击计划等,用于在下一阶段实施精确攻击。

    2. 入侵期:初始攻击,命令和控制

    攻击者突破安全防线的方法可谓五花八门,如采用诱骗手段将正常网址请求重定向至恶意站点,发送垃圾电子邮件并捆绑染毒附件,以远程协助为名在后台运行恶意程序,或者直接向目标网站进行SQL注入攻击等。尽管攻击手段各不相同,但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的控制权。(在受害者的网络植入远程管理软件,创建秘密访问其设备的网络后门和隧道;利用漏洞和密码破解来获取受害者计算机的管理员权限,甚至是Windows域管理员账号。)

    3. 潜伏期,后续攻击,横向渗透,资料回传

    攻击者成功入侵目标网络后,通常并不急于获取敏感信息和数据,而是在隐藏自身的前提下寻找实施进一步行动的最佳时机。(攻击者利用已控的目标计算机作为跳板,在内部网络搜索目标信息。)当接收到特定指令,或者检测到环境参数满足一定条件时,恶意程序开始执行预期的动作,(最初是内部侦察,在周边有信任关系的设备或Windows域内收集信息)取决于攻击者的真正目的,APT将数据通过加密通道向外发送,或是破坏应用服务并阻止恢复,令受害者承受极大损失。(攻击者扩展到对工作站、服务器等设备的控制,在之上进行信息收集)。 资料窃取阶段,攻击者通过跳板访问关键服务器,在利用0day漏洞等方式攻击服务器,窃取有用信息。然后将窃取道德数据,应用、文件、邮件等资源回传,攻击者会将这些资源重新分割成细小的碎片逐步以不同的时间周期穿给自己。

    4. 退出期:清理痕迹

    以窃取信息为目的的APT类攻击一旦完成任务,用户端恶意程序便失去了使用价值;以破坏为目的的APT类攻击得手后即暴露了其存在。这两种情况中为了避免受害者推断出攻击的来源,APT代码需要对其在目标网络中存留的痕迹进行销毁,这个过程可以称之为APT的退出。APT根据入侵之前采集的系统信息,将滞留过的主机进行状态还原,并恢复网络配置参数,清除系统日志数据,使事后电子取证分析和责任认定难以进行

    现有网络安全防御体系缺陷

    传统的安全防御体系对于APT攻击而言形同虚设,具体表现:

    1. 特征检查无法识别未知流量。APT攻击常常利用社会工程学、零日漏洞、定制恶意软件等,传统的基于特征库的被动防御体系无法识别异常流量,存在严重的滞后性。
    2. 伪造签名可规避恶意代码检测。APT攻击有时通过伪造合法签名的方式避免恶意代码文件被识别,为传统的基于签名的检测带来很大困难。
    3. 加密数据能够防范内容检测。在内部网络,攻击者能使用SSLVPN来控制主机。因为数据是加密的,所以现有的内容检测系统无法识别。
    4. 难以发现利用合法途径的窃密。在攻击者获取目标数据时,他们并不利用恶意软件,而是利用合法的方法——— 例如命令窗口、NetBIOS命令、Windows终端服务等将数据加密并发送出去,无法被发现。
    5. 及时消痕导致无法溯源。APT攻击者不留任何痕迹地在目标系统展开活动,使得无法溯源至他们的命令和控制中心,他们可在目标系统保持控制权数年之久。

    在APT攻击初期不同步骤中,攻击者会采用复杂的技术手段开展相应攻击,综合各类检测技术从多层面及时检测出具有APT特征的异常是APT防御的关键。

    攻击检测:

    阻断和遏止APT攻击的前提是能够有效检测到安全威胁的存在,通常已经退出目标系统的APT由于活动痕迹已被清除而难以发现,因此检测的重点是APT攻击的前3个时期。

    在探测期中

    攻击者需要收集关于目标系统的大量信息,可能会使用端口扫描、代码分析、SQL语句检测等方式获取有用的数据,在这个阶段如果能够通过审计系统日志分析辨识出这些活动,有效分析网络流量数据、防御系统警报等信息,将有可能发现APT攻击的信号,则可以认为系统已经被攻击者所关注,需要提高警惕。此外,可以利用大数据分析技术来处理检测数据。 APT攻击者通常会规划很长一段时间展开信息收集和目标突破的行动,而现有IDS或IPS系统一般是实时工作的,而且在检测数据中存在大量冗余信息。因而,为了令初期阶段的检测更加有效,可对长时间、全流量数据用大数据分析的方法进行深度检测,对各种来源的日志数据进行周期性关联分析,这将非常有助于发现APT攻击。

    在入侵期中

    攻击者已经发现了系统中可以利用的漏洞,并通过漏洞进行木马、病毒植入,电子邮件攻击,此阶段对于检测者而言体现在反常事件的增多。采取基于异常检测的IDS类实现方法,对管理员密码修改、用户权限提升、角色组变更和计算机启动项、注册表修改等活动的关注有助于发现处于入侵期的APT类攻击;部署采用基于收发双方关联信息、基于电子邮件历史分析发送者特点和基于附件恶意代码分析等检测技术的对策工具,可以有效检测出利用目标性电子邮件的APT攻击。

    在潜伏期中

    入侵后APT即进入潜伏期,此时的攻击代理为避免被发现,在大多数时间内处于静默状态,仅在必要时接受主控端指令,执行破坏动作或回传窃取到的数据。如果指令或传输的数据被加密,那么对其内容的检测就十分困难,只能通过流量分析判断系统可能处于异常状态;但如果数据未加密,则通过内容分析技术有可能识别出敏感数据已经以非正常方式传送到了受保护区域之外。在命令和控制阶段,可能存在增加用户、提升权限和增加新的启动项目等行为,使用IDS或IPS检测这类入侵将有助于发现APT攻击,另外,研究人员发现APT攻击者命令和控制通道的通信模式并不经常变化,若能及时获取到各APT攻击中命令控制通道的检测特征,可以采用传统入侵检测方法进行检测。

    无论攻击者的入侵计划多么缜密,由于技术手段的限制往往还是会残留下一些踪迹(如进入网络、植入软件、复制数据等时刻)。这种APT攻击的证据并不明显,但一旦发现就必须及时保存现场状态并尽快通知安全系统,并对疑似感染的机器进行隔离和详细检查。

    防范方式:

    1. 使用威胁情报。这包括APT操作者的最新信息;从分析恶意软件获取的威胁情报;已知的C2网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站。威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。
    2. 建立强大的出口规则。除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。
    3. 收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
    4. 聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。

    防御之道:

    传统的安全技术对于APT攻击显得无能为力,当前的主要解决思路:

    1. 基于未知文件行为检测的方法。一般通过沙箱技术罪恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁。
    2. 基于终端应用监控的方法,一般采用文件信誉与嘿白名单技术在终端上检测应用和进程。
    3. 基于大数据分析的方法,通过网路取证,将大数据分析技术和沙箱技术结合全面分析APT攻击。

    涉及到的关键技术:

    1. URL异常检测,深度分析URL内User-Agent字段以及HTTP状态码来判断网站是否异常,以及网站中是否有恶意文件的下载链接,
      Email异常检测,通过对邮件的包头,发件人和邮件内附件或者链接检查,分析是否有恶意软件或链接存在。
    2. 沙箱检测技术,模拟Linux、Windows,Android环境,将可以文件放在沙箱离模拟运行,通过自动观测、自动分析、自动警告发现未知威胁。沙箱同时又叫做沙盘,是一种APT 攻击 核心防御技术,该技术在应用时能够创造一种 模拟化的环境来隔离本地系统中的注册表、内存以及对象,而实施系统访问、文件观察等可以通过虚拟环境来实施操作,同时沙箱能够利用定向技术在特定文件夹当中定向进行文件的 修改和生成,防止出现修改核心数据和真实注册表的现象,一旦系统受到APT 攻击,实现的虚拟环境能够对特征码实施观察和分析,从而将攻击进行有效的防御。在实际应用过程中, 沙箱技术能够充分发挥防御作用,但是由于其消耗本地资料过多,导致工作处理过程周期过长,对此要进一步加强其应用效率的提升,从而有效区分和处理软件与文件,有效提升自身的应用效率,充分防御来自于外界的APT攻击。
    3. 信誉技术,安全信誉主要是评估互联网资源和有关服务主体在安全性能方面的指数和表现,而信誉技术在应用过程中能够以一种辅助的方式来检测APT 攻击,并针对性建设信誉数据库,其中包括威胁情报库、僵尸网络地址库、文件 MD5 码库以及WEB URL 信誉库,能够作为辅助支撑技术帮助系统提升检测APT 攻击, 比如常见的木马病毒和新型病毒等,一旦遇到不良信誉资源能够利用网络安全设备进行过滤和阻断。在此过程中,信誉库能够充分发挥自 身优势,有效保护系统相关数据和信息,提升 安全产品的安全防护指数,依照实际情况来分析,信誉技术已经广泛应用到网络类安全产品当中,并且通过安全信誉评估策略服务和信誉过滤器等功能为信息系统的安全提供有效保 障。
    4. 异常流量分析技术,异常流量分析技术在应用过程中主要以一种流量检测方式和分析方式对有关流量信息实施提取,并且针对其中的带宽占用、CPU/ RAM、物理路径、IP 路由、标志位、端口、 协议、帧长、帧数等实施有效的监视和检测,并且融入节点、拓扑和时间等分析手段来统计 流量异常、流量行为等可能出现的异常信息, 从而依照分析的结果和数据来对可能出现的 0 DAY 漏洞攻击进行准确识别。同时,异常流量分析技术进一步融入了机器学习技术和统计学技术,能够以科学化、合理化的方式来对模型实施建立。与传统的网络防御技术相比,异常流量分析技术能够充分发挥自身优势,以一 种数据采集机制来保护原有系统,并且对出现的异常行为进行有效的追踪,分析历史流量数据,从而有效确定异常流量点,最终起到防御APT攻击的目的。
    5. 大数据分析技术在防御APT 攻击时,要充分发挥大数据分析技术的优势,针对网络系统中出现的日志 数据和SOC安全管理平台中出现的日志数据, 利用大数据分析技术能够实施有效的分析和研 究,并通过态势分析、数据挖掘、数据统计技术,对大量历史数据进行分析,获取其中存在的 APT 攻击痕迹,从而以一种弥补方式来对 传统安全防御技术实施加强。同时,大数据分析技术要想发挥自身作用,需要提升自身数据分析和数据采集能力,并积极融合全自动相应系统,从而快速监控不同区域中的数据信息, 改变出现的信息孤岛所导致的调查分析问题。

    参考文献:

    [1] 陈剑锋, 王强, 伍淼. 网络APT攻击及防范策略[J]. 信息安全与通信保密, 2012(7):24-27.
    [2] 李潇, 张强, 胡明, et al. 针对APT攻击的防御策略研究[J]. 网络空间安全, 2015, 6(5):39-41.
    [3] 张瑜, 潘小明, LIU Qingzhong,等. APT攻击与防御[J]. 清华大学学报:自然科学版, 2017(11):10-16.
    [4] 程三军, 王宇. APT攻击原理及防护技术分析[J]. 信息网络安全, 2016(9):118-123.
    [5] 张婷婷. 针对APT攻击的防御技术[J]. 电子技术与软件工程, 2018(24):193.

    展开全文
  • 本次分享主要是作者对APT攻击部分顶会论文阅读的阶段性总结,将从四个方面开展。
    摘要:本次分享主要是作者对APT攻击部分顶会论文阅读的阶段性总结,将从四个方面开展。

    本文分享自华为云社区《[论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结》,作者:eastmount 。 

    一.背景知识

    1.什么是APT攻击?

    APT攻击(Advanced Persistent Threat,高级持续性威胁) 是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。 

    2.APT攻击的特点

    上图的表格展示了APT攻击和普通攻击的区别。可以简单地将APT攻击特点总结为:

    • 隐蔽性
      0-day漏洞、needle in a haystack(通常不到0.01%)、无文件攻击、加密流量
    • 持续性
      low-and-slow(潜伏时间长)、攻击时间跨度大
    • 针对性
      Stuxnet、SolarWinds
    • 模块化(自适应)
      Stuxnet、WannaCry

    3.APT攻击检测存在的困难

    下图展示了2016到2020年,亚太地区AP攻击事件的停留时间,可以看到其潜伏期很长,想要发现一起APT攻击极为困难。同时,传统APT攻击检测存在一定的缺陷,包括:

    • 无法捕获长期运行的系统行为
    • 0-day漏洞导致攻击艰难检测
    • 实时攻击检测、真实场景检测效果不佳
    • 容易遭受投毒攻击
      注意,这里的投毒攻击是指因APT攻击持续时间长,导致ML模型学习攻击特征时,会将恶意行为逐渐训练学习为正常行为

    接着补充下两个辅助APT攻击的经典知识框架,它们分别是 kill-chain Model 和 ATT&CK Model。它们既能帮助我们理解、检测和溯源APT攻击流程,又在论文中作了相应的贡献,现已被广泛用于APT攻击检测领域研究,后面会详细介绍。

    • kill-chain Model

    洛克希德·马丁公司开发的“网络杀伤链”模型描述了网络攻击的各阶段流程,具体包括七个阶段,即目标侦查、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、任务执行。

    • ATT&CK Model

    ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。网址:https://attack.mitre.org/

    最后展示了常见APT组织。

    二.APT攻击检测研究

    该部分从APT攻击检测相关研究、基于异常检测的方法和基于溯源图的方法三个方面介绍,重点以基于溯源图的方法为主。

    1.APT攻击检测相关研究

    APT攻击检测研究方法的分类很多,作者这里仅将其分成了两大块(不一定合适),主要和作者阅读的论文相关,也欢迎大家交流分类方法。即:

    • Anomaly-based detectors for APTs
      – 主机日志(审计日志)
      – 系统调用
      – 网络流量 | 警报信息
      – 恶意行为
    • Provenance graph-based detectors for APTs
      – 溯源图
      – +引入外部知识
      – +融合ATT&CK框架
      – 因果关系图+NLP

    我们先看看图中下半部分基于 溯源图(Provenance Graph) 的APT检测方法。主要包括:

    • 伊利诺伊大学芝加哥分校团队
      首先,USENIX’17提出的 SLEUTH,将溯源图应用于APT攻击检测领域。然后,该团队紧接着在2019年CCS会议上提出 Poirot,在S&P’19上提出 Holmes,该方法融合了Kill Chain和ATT&CK框架。此外,在2021年EurS&P提出 Extrator,并引入外部知识。
    • 伊利诺伊大学香槟分校团队
      另一个研究溯源图的团队来自伊利诺伊大学香槟分校,他们分别在NDSS’20提出了 UNICORN 和 ProvDetector,同时在2020年的S&P上提出 RapSheet,它融合了ATT&CK框架。
    • 普渡大学团队
      第三个团队是来自普渡大学,当然各团队之间有很多合作团队。他们的核心成果包括NDSS’13提出的 BEEP,NDSS’16提出的 ProTracer 和USENIX’21提出的 ATLAS

    整个基于溯源图的APT检测方法是在Baseline的基础上不断优化,包括溯源图+引入外部知识、溯源图+融合ATT&CK框架、因果关系图+NLP等。后面的论文和框架图作者会更详细的介绍,从而梳理出溯源图方法的研究路线。另外,基于异常检测的方法图中也列举了部分方法。

    2.基于异常检测的方法

    基于异常检测的方法这里简单例举了利用C&C域名、数学模型、恶意流量和恶意行为实现APT攻击检测的框架图,如下图所示。

    上述传统APT攻击检测方法主要存在的缺陷包括:

    • APT攻击时间跨度长,缺乏方法或工具有效将信息进行关联,还原攻击链
    • 实时检测困难,较难高效地从百万条日志中筛选数据,并检测出最可能的攻击行为
    • 较难让分析人员通过数据有效地进行推理,从而检测未知攻击
    • 缺乏对真实场景的APT攻击进行检测,并且IDS和SIEM会产生大量的信息,传统方法识别真实的攻击更加困难
    • 无法有效解决投毒攻击,即由于APT攻击时间跨度较长,深度学习会将恶意特征训练为正常特征

    结合上述原因,产生了改进方法,即:

    • 基于溯源图的APT攻击检测(Provenance graph-based detector for APTs)

    接下来开始详细介绍基于溯源图的APT攻击检测方法。

    3.基于溯源图的方法

    SLEUTH [USENIX’17]

    第一篇论文是USENIX’17的 SLEUTH

    Md Nahid Hossain, et al. SLEUTH: Real-time Attack Scenario Reconstruction from COTS Audit Data. USENIX’17

    • https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-hossain.pdf
    • 石溪大学、伊利诺伊大学芝加哥分校

    这篇文章的主要贡献如下:

    • 首次利用溯源图重构APT攻击,即利用因果关系跟踪和溯源图构造模型
    • 提出一种可以在企业主机上实时重构攻击场景的方法和系统
    • 开发一种平台无关、基于主存的审计日志数据依赖图抽象

    整个SLEUTH的框架图如下图所示,核心内容如下:

    • (1) 输入的是Linux、Windows和FreeBSD平台的审计日志信息
    • (2) 构建并标记依赖关系图,标签将提供重要的上下文信息,对应论文中良性可信、良性和未知三种类型
    • (3) 实现基于标签和策略的攻击检测,并定制的策略,根据审计日志的秘密性分为公开、隐私、敏感和秘密,通过引入标签和策略实现对依赖关系图赋予不同的权重
    • (4) 经过依赖图反复构建后,会到达警报计算阶段,通过定义规则来匹配更高的威胁攻击,生成对应的分数,基于标签的分析后会生成并还原场景图(Scenario Graph)

    同时,依赖关系图中的节点和关系表示如下:

    • 节点:表示subjects(进程)和objects(文件、sockets)
    • 关系:表示审计事件(读、写、执行、连接等操作)

    接着介绍它的警报(Alarms)计算策略,以下四个会引发警报,包括:

    • 不受信任的代码执行:高等级标签去执行低等级时触发
    • 被低等级标签修改:修改文件权限时产生
    • 秘密文件泄露:不可信对象执行写的操作
    • 执行不可信的数据:比如执行command等指令操作

    下图是攻击场景的重构,它是对FireFox浏览器漏洞的场景还原。

    • 审计数据还原fireFox后门攻击场景
      – Backdoor insertion
      – Clean-up

    整个场景还原如下:它的入口点是在firefox.exe位置,首先它会去接收IP地址,然后fork下载器(dropper),接着它会发送请求到443端口;接下来会多次调用cmd执行命令,如whoami、netstat、hostname等,并将数据写入到指定路径的thumbs.db文件中;然后执行git.exe实现数据过滤操作;最后执行burnout.bat批处理文件清除场景的痕迹。

    整个实验采用 DARPA TC 数据集实验,它有8个攻击场景重构及攻击阶段映射,该论文对每个场景进行了图还原,涉及阶段如下图所示:

    实验统计了APT攻击场景每个阶段的实体数量:关键文件、网络连接、执行程序等,如下图所示。

    其他实验效果如下,建议读者阅读原文。

    最后,简单总结SLEUTH与传统方法的区别:

    • Sleuth方法
      – Sleuth实时检测、运行效率更高
      – Sleuth基于标签的检测方法更精确(规则+策略+警报)
    • 传统方法,如Bactracker [SOSP’03]
      – 无法实时且效率低
      – Bactracker依赖外部工具生成警报,无法剪枝和溯源

    补充:DARPA TC是经典的APT攻击检测数据集

    美国国防高级研究计划局(Defense Advanced Research Projects Agency, DARPA)运营了多个重量级的网络空间安全研究项目,召集了诸多美国顶级研究机构参与,可谓是集中力量办大事。其中,透明计算(Transparent Computing, TC)项目正是期望通过基于终端数据的采集与分析增强终端上系统细粒度行为的可视能力,以实现企业级网络空间APT检测、取证等关键任务。

    现代操作系统的功能逻辑越来越复杂,计算系统的低透明度成为精细化记录、分析、预测系统级别行为的重要限制,而封闭的系统黑盒为具有高隐蔽性、高对抗性的APT攻击者提供了绝佳的潜伏场所。为了打开系统行为黑盒,实现在较低开销下提供系统各层级软件模块行为可见性,DAPRA组织了Transparent Computing项目。该项目的目标技术及系统需实现:

    • 采集、保存系统组件(输入、软件模块、进程等)的溯源数据;
    • 动态追踪网路系统组件的交互与因果依赖关系;
    • 整合数据依赖,测绘端到端的系统行为;
    • 从取证和实时检测的角度,实现对系统行为的推理。

    基于以上能力的实现,TC项目旨在完成细粒度系统级行为的关联,实现在大规模行为中识别异常与恶意意图,发现潜在的APT或其他高级威胁,并提供完整的溯源分析与相关损失评估。同时,TC项目能够实现网络推理能力与企业规模网络监控和管控系统的整合,以增强关键节点的安全策略有效性。

    从2016年10月到2019年5月,DARPA TC项目共组织了5次较大规模的红蓝对抗交战演习(Engagement)。在每次对抗中,TC总共划分为5个技术域(Technical Areas, TAs),其时间跨度超过20天。TA5.1实现了包括Carbanak、Uroburos、DustySky、OceanLotus、njRAT、HawkEye、DeputyDog等多种恶意软件在攻防平台中的投放。DARPA TC的攻击模拟展现了参与团队在APT技战术的深厚积累。

    Poirot [CCS’19]

    第二篇论文是来自CCS’19的 Poirot

    Sadegh M, et al. Poirot: Aligning Attack Behavior with Kernel Audit Records for Cyber Threat Hunting. CCS’19

    这篇文章的主要贡献如下:

    • 利用网络威胁情报(CTI)关联性检测APT攻击
    • 使用审计日志,将威胁检测建模为一个非精确的图模式匹配(Graph Pattern Matching, GPM)问题
      – 在大图中搜索与某个特定图相匹配的子图
    • 相似性度量,攻击行为与内核审计日志对齐
      – 内核审计日志构建溯源图(provenance graph)
      – CTI关联构建查询图(query graph)

    整个Poirot的框架图如下图所示,核心内容如下:

    • (1) 该图右边部分是上篇论文的基本流程,即从三个操作系统(BSD、Linux、Windows)审计日志信息中构建 溯源图(Provenance Graph),然后还原攻击场景
    • (2) 左边引入了外部IOC关系信息,提取并构建攻击行为的查询图(Query Graph),这里引入了图对齐或图匹配
    • (3) 最后通过对齐和阈值计算算法生成对应的分数,实现最终的分析取证并生成警报
      – 图中顶点表示实体,边表示信息流和因果关系

    接下来补充查询图(Query Graph)构建的过程。相当于给你一篇APT分析报告,它会自动生成对应的查询图,如下图所示,A执行B的exe程序,并写入C,然后写入D注册表,再想E发送请求。

    • 椭圆-进程
    • 菱形-套接字
    • 矩形-文件
    • 五边形-注册表

    对应的匹配过程如下图所示,Gq表示查询图,Gp表示溯源图。个人理解,DARPA TC数据会生成溯源图,然后和查询图匹配出来两个对应的结果子图,如最右边所示。从而更好地发现那部分子图是在实施APT攻击。

    该方法还包括两种类型的对齐:node alignment和graph alignment。

    由于作者能力有限且理解不够,一些细节未能很好地表达,还请见谅。建议大家去阅读原文,这些公式及算法非常重要,当然我也会继续努力提升自己的阅读能力,多向这些大佬学习并力争撰写好的论文,共勉。

    实验结果如下图所示,比如不同恶意软件(如海莲花OcenLotus)对应的查询图以及对其过程。

    其他的实验结果如下,比如选择阈值的对比结果,这也将决定对齐算法的分数。

    实验结果表明:

    • CTI相关性可用于威胁猎杀,并且具有较好的鲁棒性和可靠性
    • Poirot方法能有效从溯源图中实现APT组织查询图(攻击链)匹配及对齐

    本文方法与传统方法对比如下:

    • 不同于基于符号执行的方法,Poirot不依赖于符号表达式,而是寻找系统的相关性和信息流
    • 传统方法的网络威胁情报相关性被完全忽视,未被用于威胁检测
    • 本文方法引入图匹配算法,这与之前的方法不同

    HOLMES [S&P’19]

    第三篇论文是S&P’19经典的 HOLMES

    Sadegh M. Milajerdi, et al. HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows. S&P’19

    这篇文章的主要贡献如下:

    • 构建一种可以实时检测APT攻击的系统,有效利用攻击活动可疑信息流的相关性
    • 将APT活动信息映射到杀伤链,设计高级场景图(high-level scenario graph,HSG)实现低层次(日志、警报)信息到高层次的映射(语义鸿沟),从而使得HOLMES能有检测良性或攻击场景
    • 系统和实验完整性:虚假依赖关系剪枝、降噪处理(紧密性)、HSG排序

    其框架图如下所示,前面基本类似,但右端增加了一个高级场景图(high-level scenario graph,HSG),从而实现低层次(日志、警报)信息到高层次的映射,解决论文中提到的语义鸿沟。该方法能够实时检测系统,产生APT报警;并能实时产生高级别的攻击图来描述攻击者的行为,协助防御者进行实时地安全响应。

    HSG对应如下图所示,传统比如是审计日志信息,直接到上层的APT攻击阶段(杀伤链)会存在语义损失,即:低级别审计数据与攻击目标意图与高级杀伤链(kill-chain)视角之间存在巨大的语义差距。因此引入TTPs和HSG,通过ATT&CK框架映射的中间层来提升实验效果。

    APT攻击检测存在的难点可以概括如下三点,该方法能有效解决这些困难。

    • 攻击隐蔽(Stealthy Attacks)
    • 大海捞针(Needle in a haystack)
    • 实时检测(Real-time detection)

    下面简单介绍一个运行时APT攻击溯源图(Provenance Graph)示例。如下图所示,可以看到攻击行为是从初始入侵到C&C通信,再到内部侦查、数据读取、权限提升,以及内部侦查、清除痕迹、窃取信息等。这其实就是一个溯源图,通过数据之间的因果关系生成这样的图,比如C&C通讯、提权、文件操作等进行关联。而上面是正常操作行为。

    • 椭圆、菱形、 矩形、五边形、七边形、圆柱

    实验结果表明,HOLMES能有效区分良性场景和攻击场景。下图是攻击场景所涉及流程(七维对应杀伤链)及阈值分数,能有效识别APT攻击。

    下图展示了APT攻击和良性事件的有效区分。

    传统方法存在的缺点如下:

    • 基于统计特征的方法对时间跨度长、执行缓慢攻击的检测不佳
    • 基于系统调用日志的方法对实时攻击检测效果不佳
    • 对比方法:ProTracer[NDSS’16]、MPI[USENIX’17]、SLEUTH [USENIX’17]、PrioTracker[NDSS’18]

    本文HOLMES的优点如下:

    • 攻击粒度更细
    • 从溯源图到攻击链的映射引入了HSG解决语义鸿沟问题
    • 能有效检测长期潜伏实时的APT攻击
    • 通过引入降噪算法解决HSG紧密性问题

    正是综合各种优点,论文的故事叙述非常棒,并结合之前的成果,所以他们能发到S&P,非常值得我学习。

    Extrator [EurS&P’21]

    第四篇论文是EurS&P’21的 Extrator

    Kiavash Satvat, et al. EXTRACTOR: Extracting Attack Behavior from Threat Reports. EurS&P’21

    由于CTI报告海量且非结构化,安全人员很难从文本中提取出真正有效的信息,本文提出了融合自然语言处理的Extrator方法。其主要贡献如下:

    • 提出一个自动化工具Extrator,用于自动从网络威胁情报(CTI)报告中提取出攻击行为信息
    • 利用自然语言处理(NLP)从CTI报告中精确地提取攻击行为
    • 使用语义角色标注(SRL)进行语义分析,理解攻击行为关系,并将非结构化文本转化为溯源图

    其框架图如下图所示,包括:

    • 标准化
      拆分、同义词、主动语态
    • 消歧
      主语省略句消除或补齐、带刺消除、同义词消除
    • 文本归纳
      ​去除语句冗余、去掉单词冗余
    • 溯源图构建
      语义角色标注、溯源图构建

    实体识别和实体消歧示例如下图所示:

    实验表明Extrator可以有效提取CTI报告的攻击信息,并以溯源图形式展现。同时,生成的溯源图与人工生成的溯源图能够进行匹配,验证了方法的有效性,并且溯源图可以进一步作为威胁情报检测系统的输入。下图展示了不同攻击场景的精确率、召回率和F1值。

    方法对比:

    • 与iACE等方法不同,本文专注于提取攻击行为,并以溯源图的形式捕获系统级因果关系

    本文仍然存在一些缺陷。

    • 由于NLP复杂性,提取精度会损失,某些未知实体无法有效识别
    • 受到CTI报告作者的风格影响,需要专家协作
    • 审计日志提取的信息限制了细粒度攻击建模

    简单总结

    写到这里,作者简单总结下伊利诺伊大学芝加哥分校的五个工作,可以很好地看到他们逐年的优化和改进。分别对应:SLEUTH[USENIX’17]、NODOZE[NDSS’19]、Poirot[CCS’19]、HOLMES[S&P’19]、Extrator[EurS&P’21]。

    • SLEUTH[USENIX’17]
      引入溯源图检测APT攻击
    • NODOZE[NDSS’19]
      增加了威胁检测和异构图构建
    • Poirot[CCS’19]
      融合IOC信息,增加了查询图和溯源图的对齐算法
    • HOLMES[S&P’19]
      融合HSG和ATT&CK框架解决语义损失问题,增加去噪剪枝等操作
    • Extrator[EurS&P’21]
      结合NLP方法(消歧)和外部APT分析报告抽取知识,并构建溯源图

    欢迎大家继续补充作者写得的不足,因为阅读有限,也可能漏掉一些重要论文和方法。这里简单补充几个作者分享不足之处和疑惑。

    • 问题1:实验怎么评价它的精确率、召回率和F1值呢?是算APT攻击正确识别数量,还是实体识别数量,还是溯源图中子图匹配数量呢?
    • 问题2:如何去鉴别一个APT攻击,这点也非常重要。是将进程、文件、通信等不同对象标注成不同类别,构建相互之间的关联呢?
    • 问题3:如何生成溯源图,并且代码细节如何实现呢?
    • 问题4:论文中算法核心实现过程需要秀璋进一步精读和理解,有机会复现文中的论文。
    • 问题5:DARPA TC数据集是否开源,我们能否继续优化方法。

    PS:下面的论文由于阅读还存在一些疑惑,作者就进行简单介绍,还请读者见谅。

    HINTI [RAID’20]

    第五篇论文是RAID’20的 HINTI

    Jun Zhao, et al. Cyber Threat Intelligence Modeling Based on Heterogeneous Graph Convolutional Network. RAID’20

    这篇文章的主要贡献如下:

    • 提出一种基于异构图卷积网络的威胁情报模型,建模IOC之间的依赖关系
    • 从非结构化威胁描述中自动提取网络威胁对象,多粒度注意力机制学习特征的重要性
    • 攻击偏好建模:将具有相同偏好的攻击聚集(DBSCAN算法)

    与现有的CTI框架不同,HINTI旨在实现一个CTI计算框架,它不仅可以有效提取IOC,而且还可以建模和量化它们之间的关系。下表展示了17种元路径关系。

    HINTI能有效挖掘隐藏在IOCs之间相互依赖关系和安全知识,并应用于威胁模型,其核心四个步骤如下。

    • (1) 首先,通过B-I-O序列标注方法对安全相关帖子进行标注,用于构建IOC提取模型。
    • (2) 然后将标记的训练样本输入我们提出的神经网络,以训练提出的IOC提取模型。
    • (3) HINTI利用句法依赖性解析器(e.g.,主-谓-宾,定语从句等)提取IOC之间的关联关系,每个关系都表示为三元组。
    • (4) 最后,HINTI集成了基于异构图卷积网络的CTI计算框架,以有效量化IOC之间的关系并进行知识发现。

    本文提取的13种主要的IOC性能如表3所示。总的来说,我们的IOC提取方法在精确率、召回率、平均F1值都表现出了优异的性能。然而,我们观察到在识别软件和恶意软件时的性能下降,这是因为大多数软件和恶意软件是由随机字符串命名,如md5。

    图8显示了不同类型元路径下的前3个聚类结果,其中元路径 AVDPDTVTAT(P17) 在紧凑和分离良好的集群中性能最好,这表明它比其他元路径在描述攻击偏好方面具有更丰富的语义关系。

    与之前的方法对比,本文也存在一些缺陷:

    • 未在真实攻击场景实现
    • 未实现对未知攻击的预测(知识推理)
    • 未实现运行时检测及长期潜伏的APT攻击检测
    • 没有和主流的知识框架融合

    UNICORN [NDSS’20]

    第六篇论文是NDSS’20的 UNICORN

    Xueyuan Han, et al. Unicorn: Runtime Provenance-Based Detector for Advanced Persistent Threats. NDSS’20

    这篇文章的主要贡献如下:

    • 针对APT特性设计一种基于溯源图(Provenance Graph)的运行时APT检测方法(直方图和概要图
    • UNICORN能在没有先验攻击知识的前提下实现APT攻击检测,且准确率高和误报率低
    • 第一个对本地完整系统进行运行分析的APT入侵检测系统,概要图能对抗长时间潜伏的投毒攻击

    其框架如下图所示,包括四个核心步骤:

    • ①构建溯源图
    • ②建立运行时直方图
    • ③计算概要图
    • ④聚类

    直方图生成算法如下,建议读者精读原文。

    实验结果如下图所示:

    同时包括一些详细的性能对比。

    UNICORN与之前的方法对比结果如下:

    • Holmes[S&P’19]和Poirot[CCS’19]:需要先验专家知识(先决条件-结果模式)
    • 基于系统调用和日志事件的检测方法:由于数据过于密集,难以对长时间的攻击行为进行建模
    • 由于APT潜伏时间长且持久化,攻击行为会缓慢改变传统模型以逃避检测系统(投毒攻击)

    UNICORN的局限性和改进如下:

    • 需要定期重新训练
    • 正常行为改变可能会产生误报
    • 未考虑异质性行为
    • 更大的实验评估(IDS数据集)

    ProvDetector NDSS’20

    第七篇论文是NDSS’20的 ProvDetector

    Qi Wang, et al. You Are What You Do: Hunting Stealthy Malware via Data Provenance Analysis. NDSS’20

    首先,我们先介绍下离地攻击

    • 只使用预安装的软件并且攻击者没有在系统上安装额外的二进制可执行文件。带有宏、VB脚本、Powershell脚本或者使用系统命令(如netsh命令)的文档属于离地攻击的范围。

    由于现有反病毒软件和方法很难检测到该类攻击,本文提出一种ProvDetector方法,它需要依赖内核级的溯源监控来捕获目标程序的动态行为。

    这篇文章的主要贡献如下:

    • 提出一种基于溯源图的系统,用于检测伪装技术的隐蔽恶意软件(离地攻击 | 无文件攻击)
    • 提出一种新的路径选择算法来识别溯源图中潜在的恶意部分(恶意行为与底层操作系统交互)
    • 设计一个新的神经嵌入和机器学习管道,自动为每个程序建立一个轮廓并识别异常进程

    ProvDetector的核心ProvDetector分为四部分:图构建、特征提取、嵌入和异常检测。部署监控代理,按照定义收集系统数据放入数据库。定期扫描数据库检查是否有新添加的进程被劫持。对于每个进程,先构建起起源图(图构建)。然后从源点图中选择路径子集(特征提取)并将路径转换为数值向量(嵌入)使用一个新颖的检测器来获得嵌入向量的预测并报告最终决定(异常检测)。

    实验结果如下图所示:

    你可能会疑惑为什么分享这篇文章呢?一方面由于它也用到了溯源图概念,另一方面同样来自于伊利诺伊大学香槟分校团队(同UNICORN),并且将溯源图应用于其他领域,即检测伪装技术的隐蔽恶意软件。这也是我们探索论文idea的一个思路,可能其他领域或方法也会给我们带来灵感喔。当然,目前作者科研能力太弱,需要不断提升,学习嘛,一辈子的事情。加油!

    RapSheet [S&P’20]

    第八篇论文是S&P’20的 RapSheet

    Wajih Ul Hassan, et al. Tactical Provenance Analysis for Endpoint Detection and Response Systems. S&P’20

    本文首先指出已有的EDR(端点检测和响应)工具存在的三个主要弊端:

    • (1) EDR工具会产生大量的虚假警报,从而为分析人员积压了调查任务;
    • (2) 确定这些威胁警报的准确性需要大量的低级系统日志,人工任务繁琐;
    • (3) 由于日志占用巨大资源,系统日志通常在进行调查之前就被删除。

    因此,本文提出了战术源图(Tactical Provenance Graphs, TPGs)的概念,个人感觉TTPs+溯源图,并研发了RapSheet系统,直接推理EDR系统生成的威胁警报之间因果关系。其主要贡献如下:

    • 首次将溯源图引入商业EDR(Endpoint Detection and Response)
    • 提出战术溯源图(Tactical Provenance Graphs, TPGs)表示EDR生成威胁警报间的因果依赖关系
    • 引入一种威胁评分方法:根据TPGs中存在的单个威胁警报之间的时间顺序来评估风险

    本文是用商业赛门铁克EDR软件进行真实检测和实验。其实验结果表明:

    • 提升商业EDR效果,检测未知攻击行为
    • 减少系统日志降低系统存储开销
    • 提高赛门铁克EDR的威胁检测精确度
    • 保留警报之间的因果关联性

    RapSheet与传统方法对比:

    • Holmes商业EDR部署复杂(保留100%日志)
    • holmes16条TTP匹配规则 vs RapSheet增加至67条
    • 实践中EDR工具会限制日志缓冲区
    • NoDoze防止投毒攻击假设(正常行为数据库)
    • 未跟踪ALPC消息(Windows),会断开溯源图
    • 利用DTaP高效分布式存储提高查询响应时间

    ATLAS [USENIX’21]

    最后一篇是2021年USENIX的论文,作者仅作了简单的阅读。即 ATLAS。该文章来自普度大学团队,针对APT研究成果还包括NDSS’13的BEEP、NDSS’16的ProTracer等。此外,CCS21也发现了新的溯源图研究成果,说明基于溯源图的研究仍然是一个值得探索的方向。

    Abdulellah Alsaheel, et al. ATLAS: A Sequence-based Learning Approach for Attack Investigation. USENIX’21

    本文提出一种基于序列的攻击调查学习方法ATLAS。其主要观察结果是:无论所利用的漏洞和执行的有效载荷如何,不同的攻击可能共享相似的抽象攻击策略。ATLAS是利用因果关系分析、自然语言处理和机器学习技术的新颖组合来构建基于序列的模型,该模型从因果图建立攻击和非攻击行为的关键模式。在推断时间,给定威胁警报事件,确定因果图中的攻击症状节点。然后,ATLAS构造一组与攻击症状节点关联的候选序列,使用基于序列的模型来识别顺序中有助于攻击的节点,并将识别出的攻击节点统一起来构建攻击记录。

    本文的主要贡献如下:

    • 利用审计日志生成端到端攻击故事(end-to-end attack story)的框架
    • 构建一个基于序列的模型:因果关系图(causal graph)+自然语言处理+深度学习
    • 真实APT攻击事件(10个)进行实验,并能恢复攻击关键步骤及还原攻击故事
    • 研究发现不同的攻击可能共享相似的抽象攻击策略

    个人感觉生成Attack Story还原攻击故事是本文的一大亮点。

    实验结果如下图所示,建议阅读原文。

    ATLAS 主要涉及支持审计日志溯源追踪的三个子主题,包括:溯源图的因果关系分析、基于异常的分析以及 ML 技术在攻击调查中的应用。当然也存在一定的缺陷,即:

    • 当前工作仅限制于Windows平台
    • 无法检测到使用类似正常事件序列的隐藏攻击行为,比如模拟攻击
    • 模型性能很大程度上取决于所收集的训练日志条目的质量

    三.方法对比

    写到这里,上述方法已经介绍完毕,接下来我们对所有文章进行简单的研究趋势梳理和方法对比研究。

    1.基于溯源图的方法研究趋势分析

    研究趋势如下,还原各位老师和读者指正及补充。

    2.方法优缺点对比

    方法对比主要从溯源图、知识框架、先验知识和优缺点进行比较,得出如下表所示结果。个人感觉,溯源图、是否引入知识框架(ATT&CK)、是否有先验知识、是否融入NLP(消歧 | 对齐 | 去噪合真实场景应用是该方向研究的重要进步补充。

    3.数据集对比

    数据集的对比如下图所示,主要以DARPA TC、公开威胁情报文本和真实场景攻击数据为主。

    四.总结

    基于溯源图的APT攻击检测是APT检测领域中一个非常重要的分支,由于APT攻击的隐蔽性、威胁性、实时性、针对性,传统的方法艰难检测,因此提出了溯源图的方法。当前的研究趋势主要表现在:

    • 基于溯源图和知识图谱的APT攻击检测
    • 结合APT攻击阶段特点,融合ATT&CK知识框架进行中间层特征表示,解决语义损失
    • 全系统真实场景的细粒度APT攻击检测
    • 引入外部威胁情报知识(NLP消歧对齐)来辅助APT检测
    • 无先验专家知识
    • 对未知APT攻击实现预测

    点击关注,第一时间了解华为云新鲜技术~

    展开全文
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,...这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。希望文章对您有所帮助~...
  • 基于大数据的APT攻击检测.pptx
  • 基于大数据的APT攻击检测PPT学习教案.pptx
  • 一.背景知识1.什么是APT攻击APT攻击(Advanced Persistent Threat,高级持续性威胁) 是利用先进的攻击手段对特定目标进行长期持续
  • apt攻击检测开源引擎 开源的爆炸式增长及其相关问题 (The explosion of open source and issues related to it) The amount of open source or other third party code used in a software project is estimated ...
  • APT攻击检测-韩志立

    2014-10-13 09:42:00
    APT攻击检测-韩志立 针对于APT攻击,任何一种单独的方式都是不足以检测的。Gartner的检测报告认为任何一个APT检测都需要在网络、内容和终端上进行交叉检测,在任何阶段都可以提供APT检测。黑客也许可以通过...
  • 很多网络安全防御体系比较弱的计算机都遭受过APT,其中不乏一些重要领域的计算机,虽然一些被的目标早已安装了防病毒或者其他安全检测软件,但依然...通过这种解决方案能够实时检测APT攻击,为安全人员迅速做出响应。
  • APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各...
  • A novel approach for APT attack detection based on combined deep learning model Do Xuan, C., Dao, M.H. A novel approach for APT attack detection based on combined deep learning model. Neural Comput &...
  • APT攻击与防范

    2022-07-04 14:33:17
    当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为 APT(Advanced Persistent Threat高级持续性威胁)...APT攻击
  • 再谈APT攻击

    千次阅读 2022-04-07 12:09:46
    APT(Advanced Persistent ...对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下。 (1)攻击者:拥有高水平专业知识和丰富资源的敌对方。 (2)攻击目的:破坏.
  • 网络信息安全之APT攻击

    千次阅读 2022-04-02 15:13:47
    当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击
  • 高级可持续威胁攻击,也称为定向威胁攻击Advanced Persistent Threat。 指某组织对特定对象展开的持续有效的攻击活动。 这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种...
  • 这篇文章将从学术角度去普及和总结一个新的概念——溯源图,文章将详细介绍和总结基于溯源图的APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟...
  • 浅谈APT攻击

    万次阅读 多人点赞 2019-04-10 22:00:49
    越来越多的企业开始对其高度关注,政府部门也面临着遭受APT攻击的危险,在安全顾问的每一篇分析报告中都会提及它的“大名”。 众多企业机构惨遭“不测”的一个主要原因在于它们没有发现真正的漏洞所在并加以修复。...
  • 基于APT攻击的分布式网络检测模型与关键技术的研究,吴孔,张陆勇,网络技术的高速发展,出现了各种各样的网络攻击行为威胁着我们的网络安全,而高级持续性威胁(APT)的出现更是给国家和个人造成了
  • 什么是APT攻击

    千次阅读 2021-10-21 17:33:51
    什么是APT攻击 APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己...
  • APT攻击详解

    千次阅读 2021-04-05 15:46:16
    也就是说很难去确定是不是APT攻击,只能从已发生过的APT攻击事件,分析其特点,进而与上述解释性概念相关联,得出APT攻击的一般规律。大致有这些规律: 1)高度目的性 2)高度隐蔽性 3)高度危害性 4)目标实体化 5)极强...
  • APT攻击介绍

    千次阅读 2020-07-16 11:38:38
    APT攻击介绍
  • 然后设计并实现针对具体APT攻击的APTPN(advanced persistent threat petri nets)模型的生成算法,该算法能够生成具体APT攻击的完整的攻击路径,并能够对APT攻击进行检测及预测。实验通过模拟极光攻击验证了算法的...
  • 产品介绍:APT攻击预警平台使用深度威胁检测技术,对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的功能。 本平台具备以下功能: 1、Web威胁深度检测 2、邮件威胁深度检测 3、病毒木马深度检测 ...
  • APT攻击原理和防范

    千次阅读 2020-08-18 14:02:08
    近年来APT攻击成为主要焦点:APT攻击是黑客以窃取核心资料为目的,针对企业发生的攻击和侵袭行业,APT攻击整合了情报技术、黑客技术、社会工程学等各种手段,对特定目标进行长期持续性网络攻击,项目的是访问企业钢...
  • APT攻击预警技术方案.

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,190
精华内容 2,876
关键字:

APT攻击检测