HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows
2019 S&P
一种新方法实现APT攻击识别
挑战
IDS或IPS识别异常事件很普遍,但从低级别的告警得到高级别的APT攻击活动仍很困难
现状
SIEM 安全信息事件集中管理系统
思路
一、将日志中的活动映射到杀伤链
二、识别与apt攻击相关的事件
三、设计一个高级别的情节图HSG,结点是匹配的战略、战术、技术,边是涉及对应ttp的信息流实体
相关工作
告警关联
BotHunter 基于异常
HERCULE 分散攻击步骤
告警生成
主机的入侵检测:误用、异常、基于具体方法的
A Systematic Framework to Generate Invariants for Anomaly Detection in Industrial Control Systems
2019 NDSS
提出一种新的基线规则来广泛的应用到工控场景,识别攻击
相关工作
LERAD 基于tcp会话学习规则,识别异常
Momtazpour 基于机器学习找到invariants 规则
Chen 利用突变程序和svm来找到invariants
Accumulated Generalized Mean Value – a New Approach to Flow-Based Feature Generation for Encrypted Traffic Characterization
CCWC 2021
提出一种预处理方法处理流特征
对比数据集提供的特征和本方法生成的特征做识别测验,显示识别召回率、准确率均大于90%