KRYSTAL: Knowledge graph-based framework for tactical attack discovery in audit data
- 提出了一个基于知识图谱的框架,用于在审计数据中发现和分析攻击,该框架使用RDF作为标准的知识表示模型。
- 该框架提供了多种威胁检测技术的集成,包括标签传播、攻击签名和图查询,以及利用内部和外部背景知识进行上下文化的查询选项。
- 该框架在一个开源原型中实现,并在DARPA透明计算数据集的多个场景上展示了其适用性。
- 评估结果表明,该框架内部不同威胁检测技术的组合提高了检测能力。此外,还发现RDF溯源图具有可扩展性,并且可以有效地支持各种威胁检测技术。
1.简介:
图1展示了一个证据图,用来描述一个数据泄露攻击的过程。图中红色线框内的部分是攻击图,表示攻击者执行的一系列恶意操作。蓝色虚线框内的部分是攻击模式,表示攻击者利用漏洞发起的低级事件交互。这段文字指出,现有的方法虽然能够构建这样的攻击图,但是对于分析人员来说,如果不能将这些低级事件与高级上下文(即攻击者的策略和技术)联系起来,就很难识别和理解真正的攻击步骤。在给定的时间段内主机上运行的进程、文件读写和发送的数据包②。放大的这张图突出了一个攻击片段,攻击者通过一个畸形的HTTP请求利用了一个脆弱的nginx web服务器。攻击者通过脆弱的web服务器(①②);管理写一个可执行文件/tmp/XIM (③④⑤);启动一个进程,从/etc/passwd(⑥)读取敏感信息,最后通过HTTP将数据泄露到外部网络(⑦)自动构建的来源图将攻击场景总结为一系列相互连接的低级别事件,这为安全分析提供了良好的起点。
Challenge
虽然证据图分析有潜力,但目前还面临一些难题,导致它们难以在实际环境中使用。
原因有:
- 溯源图需要与内部和外部知识相关联,才能提供足够的上下文和可解释性,但现有的方法都是封闭的,难以实现这一点。
- 溯源图基于攻击发现的方法都是单一的原型,使用专有的数据结构和规则,难以整合和复用。
- 溯源图基于攻击发现的方法还没有经过充分的验证和评估,难以保证检测的准确性和鲁棒性。
解决方法
为了应对这些挑战,我们提出了一个知识图谱驱动的框架(krystal),利用语义网技术进行审计日志分析和战术攻击发现。
溯源图本体
节点表示概念(类),边表示类关系(属性)。
KRYSTAL 的架构
KRYSTAL攻击发现框架的概述,该框架包括三个主要部分,即1.溯源图构建,2.威胁检测和警报,以及3.攻击图和场景重建。
1599
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
