文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.008
引用格式: 羅漢新,王金雙,伍文昌. 基于溯源圖節(jié)點(diǎn)級別的APT檢測[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2022,41(4):49-55.
0 引言
近年來,高級持續(xù)性威脅(Advanced Persistent Threats,APT)等復(fù)雜攻擊對網(wǎng)絡(luò)空間安全提出更大的挑戰(zhàn)。攻擊者不斷改變攻擊模式,尋找新的入侵點(diǎn),并使用混淆方法保持不被發(fā)現(xiàn)。然而,當(dāng)前入侵檢測系統(tǒng)通常將系統(tǒng)調(diào)用和網(wǎng)絡(luò)事件作為依據(jù),只攜帶日志條目之間的順序關(guān)系,難以直接提取有效的關(guān)聯(lián),因此對于APT的檢測效果不佳。近幾年的研究建議利用溯源圖(Provanace Graph)豐富的上下文信息來實(shí)現(xiàn)入侵檢測。溯源圖是一個(gè)有向無環(huán)圖,圖中節(jié)點(diǎn)表示系統(tǒng)中主體(如進(jìn)程、線程等)和對象(如文件、注冊表、網(wǎng)絡(luò)套接字),有向圖中的邊表示頂點(diǎn)之間的控制流和數(shù)據(jù)流的關(guān)系。與原始系統(tǒng)審計(jì)數(shù)據(jù)相比,溯源數(shù)據(jù)具有強(qiáng)大的語義表達(dá)能力和歷史攻擊關(guān)聯(lián)能力。
目前攻擊者更傾向于使用零日攻擊,基于特征的方法缺乏檢測未知威脅的能力?;诋惓5膱D核(Graph Kernel)檢測方法對整個(gè)溯源圖進(jìn)行檢測,然而隱蔽入侵活動下生成的溯源圖可能與良性行為活動下生成的溯源圖相似,因此,難以檢測出相似溯源圖之間的異常,同時(shí)也無法識別和定位異常節(jié)點(diǎn)。
針對上述問題,本文提出了基于溯源圖節(jié)點(diǎn)級別的APT實(shí)時(shí)檢測方法。該方法將溯源數(shù)據(jù)作為源數(shù)據(jù)輸入,使用K-Means聚類方法和輪廓系數(shù)相結(jié)合的方法對訓(xùn)練數(shù)據(jù)集中良性節(jié)點(diǎn)進(jìn)行聚類,得到良性節(jié)點(diǎn)簇以及簇質(zhì)心。最后通過判斷新節(jié)點(diǎn)是否屬于良性節(jié)點(diǎn)簇來判別是否存在異常,可在節(jié)點(diǎn)級別上進(jìn)行威脅檢測。
本文詳細(xì)內(nèi)容請下載:http://theprogrammingfactory.com/resource/share/2000004990。
作者信息:
羅漢新,王金雙,伍文昌
(中國人民解放軍陸軍工程大學(xué) 指揮控制工程學(xué)院,江蘇 南京210007)