文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.008
引用格式: 羅漢新,王金雙,伍文昌. 基于溯源圖節(jié)點(diǎn)級(jí)別的APT檢測[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2022,41(4):49-55.
0 引言
近年來,高級(jí)持續(xù)性威脅(Advanced Persistent Threats,APT)等復(fù)雜攻擊對網(wǎng)絡(luò)空間安全提出更大的挑戰(zhàn)。攻擊者不斷改變攻擊模式,尋找新的入侵點(diǎn),并使用混淆方法保持不被發(fā)現(xiàn)。然而,當(dāng)前入侵檢測系統(tǒng)通常將系統(tǒng)調(diào)用和網(wǎng)絡(luò)事件作為依據(jù),只攜帶日志條目之間的順序關(guān)系,難以直接提取有效的關(guān)聯(lián),因此對于APT的檢測效果不佳。近幾年的研究建議利用溯源圖(Provanace Graph)豐富的上下文信息來實(shí)現(xiàn)入侵檢測。溯源圖是一個(gè)有向無環(huán)圖,圖中節(jié)點(diǎn)表示系統(tǒng)中主體(如進(jìn)程、線程等)和對象(如文件、注冊表、網(wǎng)絡(luò)套接字),有向圖中的邊表示頂點(diǎn)之間的控制流和數(shù)據(jù)流的關(guān)系。與原始系統(tǒng)審計(jì)數(shù)據(jù)相比,溯源數(shù)據(jù)具有強(qiáng)大的語義表達(dá)能力和歷史攻擊關(guān)聯(lián)能力。
目前攻擊者更傾向于使用零日攻擊,基于特征的方法缺乏檢測未知威脅的能力。基于異常的圖核(Graph Kernel)檢測方法對整個(gè)溯源圖進(jìn)行檢測,然而隱蔽入侵活動(dòng)下生成的溯源圖可能與良性行為活動(dòng)下生成的溯源圖相似,因此,難以檢測出相似溯源圖之間的異常,同時(shí)也無法識(shí)別和定位異常節(jié)點(diǎn)。
針對上述問題,本文提出了基于溯源圖節(jié)點(diǎn)級(jí)別的APT實(shí)時(shí)檢測方法。該方法將溯源數(shù)據(jù)作為源數(shù)據(jù)輸入,使用K-Means聚類方法和輪廓系數(shù)相結(jié)合的方法對訓(xùn)練數(shù)據(jù)集中良性節(jié)點(diǎn)進(jìn)行聚類,得到良性節(jié)點(diǎn)簇以及簇質(zhì)心。最后通過判斷新節(jié)點(diǎn)是否屬于良性節(jié)點(diǎn)簇來判別是否存在異常,可在節(jié)點(diǎn)級(jí)別上進(jìn)行威脅檢測。
本文詳細(xì)內(nèi)容請下載:http://m.jysgc.com/resource/share/2000004990。
作者信息:
羅漢新,王金雙,伍文昌
(中國人民解放軍陸軍工程大學(xué) 指揮控制工程學(xué)院,江蘇 南京210007)
