本文档属于类型a,即报告了一项原创性研究。以下是对该研究的学术报告:
本研究的主要作者包括Hao Yue、Tong Li、Di Wu、Runzi Zhang和Zhen Yang。他们分别来自北京工业大学信息工程学院和北京启明星辰信息技术有限公司。该研究发表于《Computers & Security》期刊,于2024年2月8日在线发布。
本研究的主要科学领域是网络安全,特别是针对高级持续性威胁(APT,Advanced Persistent Threat)的检测。APT攻击是一种复杂的网络攻击,能够长期潜伏并逐步渗透目标系统,对企业和国家的数据安全构成严重威胁。现有的APT检测方法主要依赖于匹配典型的战术、技术和程序(TTPs),但由于缺乏正样本,这些方法的性能受到限制。为了解决这一问题,本研究提出了一种基于攻击意图和序列学习的新型APT检测方法,称为AISL(Attack Intent-driven and Sequence-based Learning approach)。该研究的目标是通过整合异构审计数据,构建基于攻击意图的安全标签,从而增加正样本数量,并训练基于标签序列的语义模型,以提高APT检测的准确性。
本研究包括以下几个主要步骤:
网络事件本体构建
首先,研究团队构建了一个网络事件本体(Network Event Ontology),用于将异构审计数据转换为溯源图(Provenance Graph)。本体的构建基于ATT&CK框架和公共数据模型(CDM),并通过多级层次结构对系统实体进行分类,以确保异构数据的一致性。本体包括五个核心概念:主机(Host)、主体(Subject)、客体(Object)、事件(Event)和标签(Tag),以及十个核心关系。
标签策略设计
研究团队设计了信任标签(T-tags)和机密标签(C-tags),用于标记实体和事件。T-tags包括“良性且真实”(BA)、“良性”(BE)和“未知”(UN),C-tags包括“秘密”(SC)、“私有”(PR)和“公共”(PU)。标签策略通过规则初始化,并在系统运行时进行传播,以确保标签的准确性和一致性。
溯源图构建
研究团队将审计日志转换为溯源图,该过程包括知识提取、知识映射和链接以及溯源图优化。通过优化,减少了冗余和不相关的实体和事件,从而降低了模型的噪声。
序列构建与模型训练
研究团队从溯源图中提取攻击序列和非攻击序列,并通过词嵌入(Word Embedding)将序列转换为通用文本。为了平衡攻击序列和非攻击序列的数量,研究团队采用了基于相似性的欠采样和基于突变的过采样机制。随后,使用LSTM(长短期记忆网络)训练模型,该模型通过dropout层、conv1d层和全连接层进行正则化和特征提取。
攻击检测
在攻击检测阶段,研究团队根据用户提供的警报实体构建序列,并使用训练好的模型识别攻击实体。通过提取攻击实体的邻域图,研究团队能够重建攻击场景,从而完成APT攻击检测。
本研究在10个公开的APT攻击数据集上进行了评估,结果表明AISL方法在实体检测和事件检测方面均表现出色。具体来说,实体检测的平均精确率为93.05%,召回率为98.12%,F1得分为95.36%;事件检测的平均精确率为99.92%,召回率为99.90%,F1得分为99.91%。与现有方法相比,AISL在检测精度和召回率方面均有显著提升。
本研究的科学价值在于提出了一种基于攻击意图和序列学习的APT检测方法,能够有效整合异构审计数据,并通过标签策略增加正样本数量,从而提高检测精度。此外,本研究构建的网络事件本体和标签策略为未来的网络安全研究提供了新的思路。从应用价值来看,AISL方法能够帮助安全分析师快速识别和重建APT攻击场景,减少人工干预,提高检测效率。
本研究的重要发现包括:
1. 通过攻击意图驱动的标签策略,显著增加了正样本数量,提高了APT检测的准确性。
2. 提出的网络事件本体有效解决了异构数据的语义差距问题,确保数据的一致性。
3. 基于序列学习的模型在检测APT攻击时表现出色,特别是在事件检测方面具有极高的精确率和召回率。
4. 研究团队开发的标签传播策略和优化方法有效减少了模型的噪声,提高了检测效率。
本研究还详细分析了误报和漏报的原因,并提出了相应的解决方案。例如,误报主要源于将正常IP地址误分类为攻击IP地址,而漏报则主要由于对恶意文件的错误识别。研究团队建议通过查看网络流量信息或IP白名单来快速识别这些误报,从而提高检测的准确性。
总体而言,本研究为APT攻击检测提供了新的方法和工具,具有重要的理论和实践意义。