本文档属于类型a,即报告了一项原创研究的学术论文。以下是针对该研究的详细学术报告:
本研究的主要作者包括Hailun Ding(罗格斯大学)、Juan Zhai(马萨诸塞大学阿默斯特分校)、Yuhong Nan(中山大学)和Shiqing Ma(马萨诸塞大学阿默斯特分校)。该研究发表于2023年8月9日至11日举行的第32届USENIX安全研讨会(USENIX Security Symposium)上,论文标题为《AIRTAG: Towards Automated Attack Investigation by Unsupervised Learning with Log Texts》。
本研究的主要科学领域是网络安全,特别是攻击调查(attack investigation)。攻击调查的目标是从系统日志中恢复整个攻击链条,分析系统对象和主体之间的因果关系。现有的基于深度学习(deep learning, DL)的攻击调查方法通常依赖于标注的因果图(causal graphs),这些方法在离线训练期间使用标注的因果图来学习良性和恶意模式。然而,这种方法存在几个局限性:首先,生成和操作因果图非常耗时,占据了总分析时间的96%;其次,将日志条目抽象为图节点和边会导致分析粒度较粗,导致结果不准确且不稳定。
本研究的背景知识包括深度学习在图像分类和自然语言理解等任务中的成功应用,特别是BERT(Bidirectional Encoder Representations from Transformers)等无监督预训练模型在自然语言处理中的优越表现。这些无监督模型无需昂贵的标注数据,能够直接从大量未标注文本中学习模式。然而,现有的攻击调查方法尚未充分利用这一机会。
本研究的目的是提出一种基于无监督学习的攻击调查系统AIRTAG,该系统直接处理日志文本,避免生成和操作因果图,从而提高分析的效率和准确性。
本研究主要包括以下几个步骤:
数据预处理:AIRTAG首先对不同来源的日志进行预处理,包括排序和合并日志条目。例如,Firefox日志、DNS日志和安全事件日志被合并为一个统一的日志文件。这一步骤的目的是捕捉相同行为之间的因果关系。
训练模型:AIRTAG的训练过程分为三个子步骤:
攻击调查:在攻击调查阶段,AIRTAG首先对查询日志和症状事件进行分词和嵌入,然后使用预训练模型和OC-SVM提取与攻击相关的事件。最后,AIRTAG通过生成因果图或报告所有可疑事件来重建攻击故事。
本研究在19个攻击场景中评估了AIRTAG的性能,包括单主机和多主机攻击。实验结果表明,AIRTAG在效率和效果上均优于现有的最先进方法Atlas。具体而言,AIRTAG比Atlas快2.5倍,且平均减少了9.0%的误报率(False Positive Rate, FPR),同时提高了16.5%的检测率(True Positive Rate, TPR)。
在失败攻击场景中,AIRTAG的表现也优于Atlas。AIRTAG的平均TPR为99.23%,比Atlas高7.55%;FPR为14.75%,比Atlas低14.08%。这些结果表明,AIRTAG在处理不完整攻击链条时仍能有效推断恶意实体。
此外,AIRTAG的时间成本显著低于Atlas。AIRTAG的平均时间成本仅为Atlas的39.96%,且其主要时间成本来自于嵌入和检测,而非因果图生成和操作。
本研究提出的AIRTAG系统通过无监督学习直接从日志文本中进行攻击调查,避免了生成和操作因果图的高昂成本,显著提高了攻击调查的效率和准确性。AIRTAG的成功表明,基于日志文本的攻击调查是可行且有前景的。
本研究还探讨了AIRTAG在不同嵌入方法、分类器和过滤器下的性能表现。实验结果表明,使用BERT嵌入和OC-SVM分类器的AIRTAG在所有测试场景中均表现出最佳性能。此外,AIRTAG对日志中的特定词汇和未见过的良性数据表现出较强的鲁棒性。
AIRTAG为自动化攻击调查提供了一种高效且准确的解决方案,具有重要的科学价值和应用前景。