本文档属于类型a,即报告了一项原创性研究。以下是对该研究的学术报告。
主要作者及机构
本研究由Purdue University的Abdulellah Alsaheel、Yuhong Nan、Le Yu、Gregory Walkup、Z. Berkay Celik、Xiangyu Zhang和Dongyan Xu,以及Rutgers University的Shiqing Ma共同完成。研究论文发表于2021年8月11日至13日举办的30th USENIX Security Symposium,并由USENIX协会赞助开放访问。
学术背景
本研究的主要科学领域为网络安全,特别是针对高级持续性威胁(Advanced Persistent Threats, APT)的攻击调查。APT攻击通常涉及多个攻击步骤,且持续时间较长,调查此类攻击需要分析大量的日志数据。然而,入侵检测系统(Intrusion Detection Systems, IDS)每天会产生大量的威胁警报,导致安全分析师面临“警报疲劳”,可能忽略真正的攻击事件。因此,本研究的目的是开发一种自动化框架,帮助安全分析师从日志中构建端到端的攻击故事,识别关键攻击步骤。该框架名为ATLAS,结合了因果分析、自然语言处理(Natural Language Processing, NLP)和机器学习(Machine Learning, ML)技术,旨在通过序列模型识别攻击行为的关键模式。
详细工作流程
ATLAS框架的工作流程分为三个阶段:
1. 因果图构建与优化
ATLAS首先从系统日志中构建因果依赖图(Causal Dependency Graph),并通过三种优化技术减少图的复杂性:
- 移除与攻击节点无关的节点和边;
- 去除重复的动作边,仅保留第一次出现的时间戳;
- 合并相同类型的事件节点。
这一优化过程使得因果图的实体数量平均减少了81.81%,从而提高了后续序列提取的效率。
序列构建与学习
ATLAS从优化后的因果图中提取攻击序列和非攻击序列,并通过以下步骤进行处理:
攻击调查
在推理阶段,ATLAS基于已知的攻击症状实体(如恶意IP地址)构建候选序列,并使用训练好的模型识别序列中的攻击节点。最终,ATLAS将这些攻击节点统一起来,构建完整的攻击故事。此外,ATLAS还支持多主机攻击的调查,通过合并多个主机的日志构建统一的因果图。
主要结果
ATLAS在十种真实世界的APT攻击上进行了评估,结果显示其平均精确率(Precision)为91.06%,召回率(Recall)为97.29%,F1得分为93.76%。具体而言,ATLAS能够高效地识别攻击实体和事件,显著减少了安全分析师的手动工作量。例如,在处理一个包含20,088个实体和249,000个事件的24小时日志时,ATLAS仅报告了3个假阳性实体和19个假阳性事件,假阳性率分别为0.01%和0.01%。此外,ATLAS在多主机攻击场景中也表现出色,能够通过单个主机的日志推断出跨主机的攻击步骤。
结论与价值
ATLAS的提出为APT攻击的调查提供了一种新的自动化方法。其科学价值在于通过结合因果分析、NLP和ML技术,实现了对攻击序列的高效建模和识别。在实际应用中,ATLAS能够帮助安全分析师快速构建攻击故事,减少误报和漏报,从而提高网络安全防护的效率。此外,ATLAS的框架设计具有较高的扩展性,可以轻松集成不同类型的日志数据。
研究亮点
1. 创新性框架:ATLAS是首个将因果分析、NLP和ML技术结合用于APT攻击调查的框架。
2. 高效的序列建模:通过词形还原和词嵌入技术,ATLAS能够捕捉攻击序列的语义模式,显著提高了模型的准确性。
3. 多主机支持:ATLAS能够处理跨主机的攻击场景,无需关联不同主机的因果图。
4. 低假阳性率:ATLAS在真实环境中的评估结果显示其假阳性率极低,证明了其在实际应用中的可靠性。
其他有价值内容
ATLAS的开源代码和评估数据已在GitHub上公开,供其他研究人员使用和验证。此外,研究团队还提供了详细的实验设置和日志统计信息,便于复现和进一步研究。这些资源的开放为网络安全领域的研究和实践提供了重要的支持。
ATLAS框架通过其创新的技术方法和高效的性能,为APT攻击的调查提供了一种强大的工具,具有重要的科学价值和实际应用潜力。