报告揭示了DARPA Transparent Computing Program (TC)的首次对抗性交战1的攻击分析结果,由UIC和Stony Brook大学进行。UIC的研究重点是基于标签的攻击检测和取证,能够实时跟踪信息流,检测到对CADETS轨迹的攻击。Stony Brook大学则侧重于空间高效的内存源跟踪,通过实时攻击检测和前向分析,识别了不可信代码执行和敏感数据泄露。两校的研究共同表明,系统能够有效检测和分析多种攻击模式。
DARPA Transparent Computing Program 对抗性交战1的分析结果
abstract
美国国防部高级研究计划局(DARPA) TC项目于2016年10月进行了第一次交战,本报告提供了第一次对抗性交战事件流的攻击分析结果。这项分析是由石溪大学和伊利诺斯大学芝加哥分校进行的。本报告的调查结果是在事先不知道进行攻击的情况下获得的。
1 交战1分析结果:UIC(芝加哥伊利诺州立大学)
1.1 overview
我们建立了一个基于标签和策略的攻击检测和取证分析系统。我们的系统实时跟踪信息源到敏感汇点的信息流,并在违反政策时发出警报。此外,它与系统中的每个实体保持一个来源上下文。具体来说,来源上下文包含促成实体存在的事件和关系的列表。使用这样的来源上下文,我们能够在点图的形式下为提出的警报提供一个解释。在交战1期间,我们成功地检测了多个TA1(标记和追踪)轨迹上的攻击,并生成了关于这些攻击的详细图表。
1.2 Consumed TA1 Data and Challenges
在UIC,我们对所有三种情况(BOVIA、PANDEX和Stretch Period)的CADETS追踪进行了使用和分析。
1.3 Challenges
由于数据格式和缺乏关于跟踪的文档,我们面临了几个挑战。数据格式的挑战尤其令人沮丧,因为它们需要大量的工作来调试和修复。更具体地说,我们仅在这个任务上就花费了70%。我们将在以下详细报道我们所面临的最突出的问题。
1.3.1 Data Format Challenges
CADETS
• Missing IPs.有时,netflow对象的IP地址不在该对象的定义中。然而,它在EVENT_Socket或其他事件中可用。其他时候,netflow对象没有IP地址,定义中没有,其他相关事件中也没有。我们认为这些缺失的ip是不可信的,因此误报的数量增加了。
•文件对象url不一致。文件对象的一些版本有空URL,而其他版本有URL。其他时候,所有版本的文件对象都缺少URL。另外,许多文件路径在不同的字段中,如[" properties "][" fdpath "]或[" properties "][" upath1 "],而它们应该在文件对象的URL字段中。
• 重复的 UUIDs. 在某些情况下,相同的UUID用于不同的对象,如文件和netflow。
•冗余数据。同一个对象有多个不必要的定义。
•无关联的记录。一些事件被期望连接到netflow或文件对象(如recvmsg),但是没有SimpleEdge记录。
•缺少主题名称。进程名应该是其定义的一部分,但通常可以在该进程生成的其他事件的exec字段中找到它们。
•未定义的UUIDs。有些UUID用于跟踪中没有定义的事件,例如发送到没有定义的UUID。
1.4 Technology Summary
我们的系统遵循基于标签和策略的方法进行攻击检测和取证分析。特别是,我们使用标签来跟踪从预定义源到敏感汇聚的信息流。我们使用两种类型的标签:1)完整性标签,和2)机密标签。被跟踪的系统中的每个相关实体都与这样的标记相关联,当它们从TA1跟踪中被使用时,它们被传播到新的实体。
1.4.1 Tags
完整标签。完整性标记表示相关联的系统实体的可信程度。我们用代码完整性标记来表示程序和代码的可信赖性,用数据完整性标记来表示数据的可信赖性。代码完整性标签如下:
1. Whitelist白名单。用于消除背景噪声。
2. Invulnerable不会受伤害的。用于通常使用低完整性数据的程序(例如,浏览器)。当它们执行或加载低完整性代码时,它们可能被降级。
3. Benign+authentic.良性+真实。用于经过身份验证的非恶意程序。当使用低完整性代码或数据时,这些程序可以被降级。
4. Benign 良性的。用于非恶意程序,除非暴露给不受信任的代码或数据。
5. Untrusted不可信的。用于来自不可信来源的代码。
6. Malicious恶意的。用于显示明显恶意行为的程序。
数据完整性标签包括上述列表中的最后4个标签(良性+可信、良性、不可信、恶意)。
机密性标记。机密性标签表示某些数据的保密程度和它们需要的保护程度。它们如下:
1. Public。可从公共渠道获取,无需保护。分配给大多数代码。
2. Private。有一些隐私问题,但没有太具体的数据。分配给大多数数据文件和从大多数网站下载的数据。
3.Sensitive。有特定安全或隐私问题的数据(例如,服务器或主机配置文件,电子邮件)。
4. Secret。丢失的数据可以进行模拟(例如/etc/shadow、ssh主机或用户私钥。
1.4.2 Detection Policies and Forensics检测策略和取证
攻击检测由几个策略引导,这些策略利用标签。这些政策可能处理完整性(例如,如果低完整性发出警报文件执行),机密性(例如,如果秘密发出警报信息流向低完整性插座),或两者的结合(例如,提高警报如果一个不可信的程序读取一个秘密文件并将其发送给一个低完整性的套接字)。
除了检测策略之外,我们的系统还包含一组标签传播策略或规则,这些策略或规则控制标签通过系统实体的传播。这些规则特定于每个事件,并在TA1跟踪中使用事件时执行。
我们已经实现了几种类型的策略,它们主要处理从秘密和敏感数据到不受信任的套接字和程序的信息流。我们的策略使用初始源(不可信的IP列表,机密敏感文件列表)和 sinks (受信任的IP地址、机密和敏感文件列表)。当记录被使用的时候,我们维护一个表示系统实体及其标记的数据结构,并使用它来实施策略。
为了支持取证,除了标记之外,我们还将来源上下文与每个系统实体关联起来。该上下文包含所有事件和实体,这些事件和实体从源开始,构成系统实体的状态。当从TA1跟踪中使用新事件时,这个来源上下文将向前传播和增强。例如,如果一个浏览器fork了一个shell,那么fork事件将被添加到该shell的起源上下文中。如果该shell写入文件,则将shell的上下文复制到该文件的上下文,并将写入事件添加到该文件的上下文。因此,文件的上下文将同时包含fork事件和write事件。如果执行该文件并创建了一个新进程,则将其上下文复制到新进程的上下文中,并将执行事件添加到其中。
使用来源上下文的前向传播,我们能够立即获得导致警报的事件历史。特别是,对于每个被触发的警报,我们的系统将处理与警报相关的实体的起源上下文,并生成一个表示警报历史的点文件。
1.5 Results
在本节中,我们将展示我们在CADETS轨迹上的结果。我们成功地检测和重建了对CADETS机器的攻击历史。对于每个场景,我们都附加了攻击图。在这些图中,我们用椭圆形描述进程,用矩形描述文件对象,用菱形描述套接字。我们使用带标记的有向边来表示系统调用。边缘的方向表示信息流的方向,边缘标签的数量表示系统调用的顺序。我们注意到,出于空间和可读性的考虑,我们从最终结果中删除了几个边和节点。这些表示与攻击同时发生但很可能与攻击无关的活动。
1.5.1 Bovia Scenario
在这个场景中,我们检测到至少两个类似的攻击实例,从nginx服务器开始。在第一个例子中,如图1所示,nginx服务器从bovia.com读取129.55.12.169:8000 (edge 20),然后写一个文件到/var/tmp/nginx/client body temp/drop,然后在一个新的进程中执行(edge 23, 24)。Dropper进程现在与Bovia.com的端口443通信&#x
最低0.47元/天 解锁文章
扫一扫
1131
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
