如果可以的话，抓住我

Catch Me if You Can: Effective Honeypot Placement in Dynamic AD Attack Graphs

Q: 这篇论文试图解决什么问题？

A: 这篇论文试图解决的问题是如何在动态的Active Directory（AD）攻击图中有效地放置蜜罐以防御攻击者。AD系统是企业中广泛使用的身份和访问管理目录服务，经常成为攻击者的目标。攻击者通常会构建一个AD攻击图，其中节点表示用户帐户、计算机、安全组等，边缘表示攻击者可以利用的现有漏洞。然后，攻击者使用攻击图从低权限节点升级到更高权限节点（例如域管理员）。为了防御AD系统，研究者提出了在AD攻击图中放置蜜罐的方法，当攻击者进入蜜罐时，攻击活动失败。然而，AD攻击图通常包含数十万节点和边缘，并且随着时间不断变化，这给蜜罐的放置带来了挑战。论文考虑了两种类型的攻击者：无法观察蜜罐的简单攻击者和能够检测所有蜜罐的有能力的攻击者。为了解决这个问题，研究者提出了一个混合整数规划（MIP）公式，并开发了两种基于投票和聚类的启发式方法来处理大型动态图实例。他们证明了动态图的最优阻挡策略的下限，并展示了他们的算法在一系列AD图下在现实条件下产生接近最优的结果。

Q: 有哪些相关研究？

A: 与这个问题相关的研究包括： 1. Guo等人研究了AD攻击图上的最短路径边拦截问题。他们提出了一种基于树分解的动态规划方法来解决有向无环AD图中的边拦截问题。然后，他们开发了一个图神经网络作为启发式方法来提高他们解决方案的可扩展性。 2. Guo等人通过提出几种可扩展的算法，包括用于树分解的强化学习，将他们的先前的边拦截问题扩展，包括混合整数规划（MIP）算法。后来，他们通过MIP为他们的问题在一般的AD图中推导出混合策略解，包括周期。 3. Zhang等人展示了一种基于双神谕的算法在相同问题上的可扩展性。 4. Goel等人假设攻击者在AD图的每条边上都有检测和失败概率。他们部署了一个神经网络来近似攻击者的策略，并应用进化多样性优化（EDO）策略来解决防御者问题。 5. Shinde等人将网络欺骗游戏建模为交互部分可观察马尔可夫决策过程。作者专注于通过在网络主机上分配欺骗文件来引诱攻击者到假数据 - 即攻击者已经进入蜜罐时。这项工作的重点是在网络级别找到最佳的蜜罐分配策略。 6. Lukas等人研究了AD图中的蜜罐放置。作者提出了使用深度学习变分自编码器模型生成和放置蜜罐用户。他们的重点是假AD图的拓扑结构，而不是他们的解决方案对攻击者成功率的影响 - 这是这些解决方案有效性的实际衡量标准。这些近期的解决方案只考虑在小型和静态网络中分配蜜罐。

Q: 论文如何解决这个问题？

A: 为了解决在动态AD图中有效放置蜜罐的问题，论文提出了以下解决方案： 1. 针对静态图的混合整数规划（MIP）方法：论文为在AD图中放置蜜罐以防御两种类型的攻击者提出了MIP方法。对于简单攻击者，目标是减少攻击者到达域管理员（DA）的“干净路径”数量。对于有能力的攻击者，目标是使用有限的预算使尽可能多的入口节点与DA断开连接。 2. 针对动态图的MIP方法（dyMIP（m））：论文通过结合m个MIP（dyMIP（m））实例来重新设计MIP公式，以产生接近最优的拦截计划。这是因为随着图的动态变化，静态图的最佳拦截计划表现不佳。 3. 聚类启发式方法：为了处理大量动态图实例，论文使用聚类算法来有效地找到m个最具代表性的图实例（dyMIP（m））。 4. 投票启发式方法：另一种启发式方法基于运行较小的图样本批次在dyMIP（m）上，从而减少m值。 论文证明了动态图的最优拦截策略的下限，并展示了在一系列AD图下，在现实条件下，他们的dyMIP（m）算法产生了接近最优的结果。

Q: 论文做了哪些实验？

A: 论文进行了以下实验来评估所提出的解决方案： 1. 在静态图上进行实验：论文在由DBCreator和Adsimulator生成的合成AD图上评估了所提出的解决方案。这些图具有不同数量的计算机、用户、域信任、组织单位（OUs）和组策略对象（GPO）。论文将静态MIP（sMIP）与贪婪算法（GREEDY-S和GREEDY-C）和Zhang等人的状态-of-the-art边缘拦截算法（ZDO）进行了比较。 2. 在合成的动态图上进行实验：论文在具有预算为20的ADX05图上评估了所提出的动态图解决方案。他们使用随机打开的计算机节点来模拟HasSession边缘的动态性，并在训练集上评估了解决方案在测试集上的性能。 3. 在真实的动态AD图上进行实验：论文在一个名为AuthOrg的真实世界数据集上评估了所提出的解决方案，该数据集包括在102天期间观察到的认证事件。他们使用第一个250小时的数据进行训练，并在其余2,073小时上测试了算法的性能。论文还通过应用投票启发式方法将他们的算法应用于更大的AD图（ADU100），其中有137,315个节点和1,490,766个边缘。

Q: 有什么可以进一步探索的点？

A: 有几个可以进一步探索的点： 1. 其他攻击者模型：论文考虑了两种类型的攻击者，但有可能有其他类型的攻击者具有不同的能力，可以纳入模型中。 2. 其他蜜罐放置目标：除了减少攻击者的成功率外，还可以探索其他放置蜜罐的目标，例如最小化部署蜜罐的成本或最大化收集有关攻击者的信息。 3. 适应性攻击者：论文假设攻击者策略是静态的，但攻击者可能会适应防御策略。可以研究攻击者和防御者之间潜在的博弈论互动。 4. 其他类型的动态性：论文专注于由HasSession边缘引起的动态性，但AD图可能存在其他类型的动态性，例如组策略更改或用户帐户创建/删除。可以考虑这些类型的动态性。 5. 实际实现：论文提出了基于混合整数规划的方法，这可能在实际场景中难以实现。可以探索更实用的优化方法或其他近似方法，以在现实世界中部署蜜罐放置解决方案。 6. 评估与其他防御技术的集成：可以研究所提出的蜜罐放置解决方案与其他AD防御技术（如特权访问管理或帐户锁定策略）集成的潜在好处。 7. 在更大的真实世界数据集上进行实验：论文在AuthOrg数据集上进行了实验，但评估可以在更大的真实世界AD数据集上进行，以进一步验证所提出方法的有效性。

Q: 总结一下论文的主要内容

A: 本文研究了Active Directory（AD）攻击图中攻击者和防御者之间的Stackelberg博弈，防御者使用一组蜜罐来阻止攻击者到达高价值目标。与现有专注于小型和静态攻击图的作品不同，AD图通常包含数十万节点和边缘，并随时间不断变化。作者考虑了两种类型的攻击者：无法观察蜜罐的简单攻击者和能够检测所有蜜罐的有能力的攻击者。为了共同解决博弈，提出了一种混合整数规划（MIP）公式。作者观察到，静态图的最佳阻塞计划在动态图中表现不佳。为了解决动态图问题，重新设计了混合整数规划公式，通过组合m个MIP（dyMIP（m））实例来产生近似最优的阻塞计划。此外，为了处理大量动态图实例，使用聚类算法有效地找到m个最具代表性的图实例（dyMIP（m））。作者证明了动态图的最优阻塞策略的下限，并展示了在一系列AD图下，在现实条件下，他们的dyMIP（m）算法产生了接近最优的结果。