溯源入侵检测

已于 2023-05-30 21:01:34 修改
阅读量257 收藏 1
点赞数
分类专栏: 科研 文章标签: 安全威胁分析 网络安全 安全 系统安全
于 2023-05-30 20:56:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42720323/article/details/130954293
版权

溯源入侵检测

为什么我们需要溯源图?[1]

大约8年前,美国国防部高等计划研究署(DARPA)启动了一项名为透明计算(Transparent Computing[1*])的项目,希望找到一种方式能够抽象并还原计算机系统中系统对象之间的交互,从而找到其中可疑的行为进行威胁发现,拉开了利用溯源图进行威胁检测研究的序幕。在之后的几年中,以此为研究对象的文章在安全领域的四大会议(IEEE S&P,CCS,Usenix Security,NDSS)上发表了几十篇文章。那么溯源图如何帮助提升了网络空间中威胁检测的效果?又为什么能得到如此多的关注呢?

研究问题(Research Question):
RQ1. APT检测的难题:高级持续性威胁(Advanced Persistent Threat)往往采用隐蔽的攻击形式,在很长的一段时间内缓慢的渗透入目标系统并长期潜伏以达到攻击目的。因为其缓慢又隐蔽的特性,传统的防御手段往往很难对其实施有效的监控。
RQ2. 用什么数据什么结构准确地表示一个威胁行为的问题:用什么方式表示一个威胁或攻击行为一直以来被研究者关注。不同的表示方式都有其优点与缺点,很难给出一个绝对的判断,应该根据不同场景做不同选择。举例来说,现在常用的威胁情报(IoC)使用非常简单的数据,包括恶意的IP、恶意文件的Hash,几乎没有任何鲁棒性可言,但却是现实中常用的安全工具,有效的保护了许多系统的安全。其他常见的方式还包括,系统调用的序列、API调用树、代码动态执行图等。一般而言,简单的结构意味着更高的效率,但表达能力更差,误报的概率更高。而复杂的结构,表达能力更好的同时检测效率却受到影响。
RQ3. 如何设计检测算法权衡威胁检测的响应速度与检测精度矛盾:威胁检测的系统的响应速度很大程度的影响了该系统的应用场景和价值。响应速度越快,就能越早的定位并阻止进一步的攻击发生,从而尽可能的减小损失。但是鱼与熊掌往往不可得兼,效率高、响应速度快的速度在检测能力上往往不如响应速度慢、收集数据更加全面的系统。现有的系统都尝试在响应速度和检测精度之间找到一个行之有效的平衡点。
RQ4. 如何设计存储系统以权衡存储空间与查询效率之间的矛盾:如前面所说,高级持续性威胁往往是“low and slow”的,攻击的周期可能长达几十天。此外,为了保护系统安全,日志系统往往需要保存很长一段时间内的日志以便事后的取证(Digital Forensic)分析。因此系统有很强的存储的日志的需求。对一个大公司来说,这可能以为着PB级的存储以及百万美元的开销。因此日志存储系统的设计和针对性的数据压缩算法也是必不可少的。

溯源图的相关定义

溯源(Provenance)这个概念在安全领域已经被广泛的使用了很长的一段时间[2*],包括用于保护数据库完整性等,在这里我们说的溯源图主要是指系统对象之间交互关系的溯源关系图(System-level Provenance Graph),如下图所示:
在这里插入图片描述

图中主要涉及到两种节点,既实施操作的主体(Subject,主要包括进程、线程、服务、用户等)与被动接受的客体(Object,主要包括文件、注册表、网络端口等)。连接这些节点的边根据不同的定义方式有很多,但主要包括以下几种:
在这里插入图片描述

总之,利用这些边和节点,溯源图可以表示出系统对象之间的数据流与控制流关系,从而将存在因果联系(Causality)的节点连接起来,无论两个节点之间相隔多少的其他节点,或者发生时间相差多少。以RQ1中的高级持续性威胁为例,无论攻击如何隐蔽与缓慢,我们都可以在溯源图中找到对应的节点与因果联系,从而对其进行有效的检测。

同时研究人员们提出了很多有效也很有趣的算法。比如通过高效的图上标签传递加状态转移来取代低效的图匹配操作,从而大幅度提升检测效率等。有效的缩短了检测的时间,提高了检测效果。以及如何在保持溯源图溯源特性的情况下,尽可能的删减数据以节约存储空间提升查询效率。

使用溯源图的优势

  1. 溯源图通过表示系统对象之间的交互关系来显示系统执行的过程。对于所有执行过程来说,这种依赖关系是固有的。像Audit log这样的非结构化日志也可以转换为溯源图。
  2. 溯源图支持具备语义感知和健壮性的检测。与非结构化审计日志相比,具有空间和时间信息的溯源图更难以被攻击者伪造。此外,溯源图提供了更丰富的语义。因此,安全分析人员可以进行更有效和彻底的攻击研究。
  3. 溯源图保存系统所有的执行历史。APT攻击是一种持续时间长、隐蔽性强的攻击。为了研究此类攻击,分析人员需要访问并了解整个攻击历史。实际上,系统执行历史对于需要索引攻击点的任何攻击,以及了解攻击的危害都是必要的。

基于溯源图的攻击检测系统

设计基于溯源图的攻击检测系统需要考虑的四个研究问题:

RQ1:如何在保持语义的同时尽可能减少数据存储的大小?
RQ2:如何平衡溯源图存储的空间效率和查询的时间效率?
RQ3:如何设计一个高效、鲁棒的入侵检测算法,平衡 true-positives 和 fasle-positives ?
RQ4:如何尽可能缩短检测的响应时间?

参考文章链接

[1] 基于溯源图的入侵检测(1)- 为什么我们需要溯源图 & 溯源图的基本概念介绍
[2] 溯源图攻击检测综述《Threat Detection and Investigation with System-level Provenance Graphs: A Survey》笔记

参考论文链接

[1*] https://www.darpa.mil/program/transparent-computing
[2*] Threat Detection and Investigation with System-level Provenance Graphs: A Survey https://arxiv.org/abs/2006.01722

qq_1124522049
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2021HW溯源反制终极手册.zip
04-27
入侵杀伤链与入侵反杀伤链; 智能驱动的计算机网络防御体系; ATT&CK实战指南; MITRE ATT&CK与Kill Chain的对比; ATT&CK框架的使用; ATT&CK使用场景; 溯源反制思想; 威慑反制能力建设; 红蓝对抗中的溯源反制实战; 溯源反制战术讲解; APT攻击检测与反制技术体系; 溯源反制中常见技术; 红蓝对抗中的溯源反制实战案例讲解; 溯源反制产品; 蜜罐诱捕市场指南; 企业安全建设之蜜罐技术的应用等等。
可意识溯源入侵检测和取证分析的结合方法
04-06
可意识溯源入侵检测和取证分析的结合方法
Python-python中的入侵检测脚本
08-10
此脚本将扫描您选择的网络,并提醒您白名单中不存在的任何设备。 白名单是您信任的MAC地址列表。 第一次运行脚本时,白名单将为空,最多可将您信任的设备添加到白名单。
防伪溯源系统java源码下载-puff_guards:粉扑的大创造
06-06
防伪溯源系统java源码下载 基于大数据的安全态势感知系统 项目背景 ​ 一句话描述 : 通过Web日志分析,显示网站当前与历史状况 ​ 整合了web日志聚合、分发、实时分析入侵检测、数据存储与可视化的日志分析解决方案。聚合采用Apache Flume,分发采用Apache Kafka,实时处理采用Spark Streaming,入侵检测采用Spark MLlib,数据存储使用HDFS与Redis,可视化采用Flask、SocketIO、Echarts、Bootstrap 项目使用 简易使用说明 ​ 开箱即用,直接在v2目录中使用 python3 app.py # 开启后直接访问,即可使用该系统 http://127.0.0.1:5000 相关配置 flume配置文档 - puff_guard.conf Kafka相关配置: 启动Kafka内置Zookeeper与Kafka服务(网上说的教程都是骗人的,啥配置也不用写) sudo bin/zookeeper-server-start.sh config/zookeeper.properties sudo bin/kafka-serve
web入侵后门检测,日志分析,暗链检测
03-26
web入侵后门检测,日志分析,暗链检测 检测方式和溯源方式
10-[知识总结]-基于溯源APT攻击检测安全顶会总结1
08-03
一.背景知识1.什么是APT攻击APT攻击(Advanced Persistent Threat,高级持续性威胁) 是利用先进的攻击手段对特定目标进行长期持续
溯源攻击检测综述《Threat Detection and Investigation with System-level Provenance Graphs: A Survey》笔记
hxhabcd123的博客
11-12 3708
本文对第一篇关于系统溯源攻击检测的全面综述文章做的精读笔记
网络空间安全及计算机领域常见英语单词及短语——网络安全(一)
宝藏女孩的成长日记
07-30 2255
对学习网络安全知识的一点收集整理与记录,方便日后复盘。
[论文阅读] (10)基于溯源APT攻击检测安全顶会总结
热门推荐
杨秀璋的专栏
10-11 2万+
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇文章分享了S&P2019《HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows》,基于可疑信息流的实时APT检测。这篇文章将详细介绍和总结基于溯源APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!
APT 攻击溯源方法
qq_16334741的博客
11-21 2645
概述:当今世界正值百年未有之大变局,网络空间成为继陆、海、空、天之后的第五大疆域,安全威胁也随之延伸至网络空间。没有网络安全就没有国家安全,在新时代网络空间安全已经上升至国家安全的高度。高级持续性威胁(Advanced Persistent Threat,APT)攻击是网络空间中威胁最大的一种攻击,其危害性大、隐蔽性强、持续时间长。考虑到APT攻击溯源一直是网络空间攻防中极为重要的一环,提出了一种基于网络流量风险数据聚类的APT攻击溯源方法。首先介绍了所提方法的工作流程,其次对流程中的风险数据聚类算法进行
APT检测——论文精读】DEPCOMM:用于攻击调查的系统审计日志的溯源
JURUO222的博客
02-28 1038
APT检测论文
带你读顶会论文丨基于溯源APT攻击检测
华为云官方博客
05-28 3247
本次分享主要是作者对APT攻击部分顶会论文阅读的阶段性总结,将从四个方面开展。
【论文阅读】POIROT:关联攻击行为与内核审计记录以寻找网络威胁(CCS-2019)
qq_44623371的博客
08-22 923
POIROT: Aligning Attack Behavior with Kernel Audit Records for Cyber Threat Hunting
利用AI+大数据的方式分析恶意样本(二十五)
至臻求学,胸怀云月
06-30 447
NDSS 2020一篇关于malware高级攻击手段及构建来源关系转为嵌入向量,通过异常检测捕获这些攻击的文章
ck+数据集_ATT CK驱动下安全运营数据分析的实用性挑战
weixin_39553904的博客
10-30 729
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个攻击行为知识库和威胁建模模型,主要应用于评估攻防能力覆盖、APT攻击防护、威胁狩猎、威胁情报关联及攻击模拟等领域。自发布以来,知识社区相当活跃,引发工业界和研究界的热捧,已逐渐发展为网络威胁分析语境下的通用元语。ATT&CK以相对适当的知识抽象层次,充分覆...
linux下camera驱动分析_ATT&CK驱动下的安全运营数据分析,如何“落地”?
weixin_39991148的博客
11-28 240
ATT&CK(AdversarialTactics, Techniques, and Common Knowledge)是一个攻击行为知识库和威胁建模模型,主要应用于评估攻防能力覆盖、APT攻击防护、威胁狩猎、威胁情报关联及攻击模拟等领域。自发布以来,知识社区相当活跃,引发工业界和研究界的热捧,已逐渐发展为网络威胁分析语境下的通用元语。ATT&CK以相对适当的知识抽象层次,充分覆盖...
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1014
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8233
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
最新发布
2401_85000826的博客
05-16 412
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
奇安信入侵检测白皮书 word
02-07
此外,白皮书还介绍了入侵检测系统的日常运维和管理,包括如何对系统进行实时监控和告警处理,以及如何进行安全事件的溯源和处置。 同时,这份白皮书还重点强调了在入侵检测系统建设过程中需要考虑的合规性和隐私...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值