HOLMES 通過關(guān)聯(lián)可疑信息流進(jìn)行實時 APT 檢測

基本信息

題目：HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows

來源：S&P’19

概述：本文介紹了一種名為 HOLMES 的新方法，用于檢測高級持久性威脅（APTs）。該方法通過分析攻擊者活動中的可疑信息流之間的相關(guān)性來產(chǎn)生一個可靠的檢測信號，并能夠?qū)崟r生成攻擊者的高階圖，以便分析師進(jìn)行有效的網(wǎng)絡(luò)安全響應(yīng)。作者對這種方法進(jìn)行了評估，并發(fā)現(xiàn)它可以在高度準(zhǔn)確的情況下檢測到 APT 攻擊，同時具有較低的誤報率。此外，該方法還可以有效地總結(jié)正在進(jìn)行的網(wǎng)絡(luò)攻擊并協(xié)助實時網(wǎng)絡(luò)安全響應(yīng)操作。

摘要

在本文中，我們介紹了 HOLMES，這是一種實現(xiàn)檢測高級和持續(xù)威脅 （APT） 的新方法的系統(tǒng)。HOLMES 的靈感來自現(xiàn)實世界 APT 的幾個案例研究，這些案例研究突出了 APT 參與者的一些共同目標(biāo)。簡而言之，HOLMES 旨在產(chǎn)生一個檢測信號，表明存在一組作為 APT 活動一部分的協(xié)調(diào)活動。我們的方法解決的主要挑戰(zhàn)之一是開發(fā)一套技術(shù)，使檢測信號穩(wěn)健可靠。概括地說，我們開發(fā)的技術(shù)有效地利用了攻擊者活動期間出現(xiàn)的可疑信息流之間的相關(guān)性。除了檢測能力外，HOLMES 還能夠生成一個高級圖表，實時總結(jié)攻擊者的行為。分析師可以使用此圖進(jìn)行有效的網(wǎng)絡(luò)響應(yīng)。對我們針對一些真實世界 APT 的方法的評估表明，HOLMES 可以高精度和低誤報率檢測 APT 活動。HOLMES 制作的緊湊高級圖表有效地總結(jié)了正在進(jìn)行的攻擊活動，并可以協(xié)助實時網(wǎng)絡(luò)響應(yīng)行動。

論文速讀

方法描述

該論文提出了一種基于中間層抽象的高級持久威脅（APT）檢測方法，稱為 HOLMES。該方法通過將低級審計數(shù)據(jù)映射到 OS 中性表示的安全相關(guān)事件來實現(xiàn)攻擊行為的高階抽象。這些安全相關(guān)事件被組織成一個中間層的抽象圖形，其中節(jié)點代表系統(tǒng)實體（如進(jìn)程、文件等），邊表示它們之間的依賴關(guān)系。該方法使用 MITRE 的 ATT&CK 框架作為中間層抽象的基礎(chǔ)，并定義了特定于 ATT&CK 的戰(zhàn)術(shù)技術(shù)組合作為模式匹配的目標(biāo)。最后，該方法使用信息流依賴性和權(quán)重來構(gòu)建高階狀態(tài)圖（HSG），以識別潛在的 APT 攻擊。

方法改進(jìn)

與傳統(tǒng)的基于規(guī)則的檢測方法相比，HOLMES 方法具有以下優(yōu)點：

1. 基于中間層抽象：HOLMES 方法通過將低級審計數(shù)據(jù)映射到 OS 中性表示的安全相關(guān)事件來實現(xiàn)攻擊行為的高階抽象。這種方法使得檢測過程更加通用化和可擴(kuò)展。
2. 使用 MITRE 的 ATT&CK 框架：HOLMES 方法使用 MITRE 的 ATT&CK 框架作為中間層抽象的基礎(chǔ)，這使得該方法可以檢測到各種類型的 APT 攻擊。
3. 定義特定于 ATT&CK 的戰(zhàn)術(shù)技術(shù)組合作為模式匹配的目標(biāo)：HOLMES 方法定義了特定于 ATT&CK 的戰(zhàn)術(shù)技術(shù)組合作為模式匹配的目標(biāo)，這有助于提高檢測準(zhǔn)確性。
4. 使用信息流依賴性和權(quán)重來構(gòu)建高階狀態(tài)圖（HSG）：HOLMES 方法使用信息流依賴性和權(quán)重來構(gòu)建高階狀態(tài)圖（HSG），以識別潛在的 APT 攻擊。這種方法能夠減少誤報率并提高檢測準(zhǔn)確性。

解決的問題

該方法解決了傳統(tǒng)基于規(guī)則的檢測方法存在的問題，包括：

1. 檢測準(zhǔn)確性不高：傳統(tǒng)基于規(guī)則的檢測方法通常需要手動編寫規(guī)則，因此很難覆蓋所有可能的攻擊場景，導(dǎo)致檢測準(zhǔn)確率不高。
2. 對新型攻擊難以檢測：傳統(tǒng)基于規(guī)則的檢測方法通常只能檢測已知的攻擊方式，對于新型攻擊往往無法及時發(fā)現(xiàn)。
3. 誤報率較高：傳統(tǒng)基于規(guī)則的檢測方法可能會產(chǎn)生大量的誤報，影響檢測效果。
4. 可擴(kuò)展性差：傳統(tǒng)基于規(guī)則的檢測方法通常需要手動編寫規(guī)則，當(dāng)系統(tǒng)規(guī)模增大時，規(guī)則數(shù)量也會急劇增加，導(dǎo)致可擴(kuò)展性差。

主要貢獻(xiàn)

• 構(gòu)建一種可以實時檢測 APT 攻擊的系統(tǒng)，有效利用攻擊活動可疑信息流的相關(guān)性
• 將 APT 活動信息映射到殺傷鏈，設(shè)計高級場景圖（high-level scenario graph，HSG）實現(xiàn)低層次（日志、警報）信息到高層次的映射（語義鴻溝），從而使得 HOLMES 能有檢測良性或攻擊場景
• 系統(tǒng)和實驗完整性：虛假依賴關(guān)系剪枝、降噪處理（緊密性）、HSG 排序

  什么是 Semantic Gap？
  ????1、低級特征： 低級特征通常是從原始輸入數(shù)據(jù)中提取的，例如圖像中的像素值。在計算機(jī)視覺中，低級特征可能包括邊緣、顏色、紋理等基本信息。這些特征通常在網(wǎng)絡(luò)的淺層卷積層中提取。
  ????
  2、高級特征： 高級特征是通過多個卷積層和池化層等深度學(xué)習(xí)網(wǎng)絡(luò)的中間層次生成的。這些特征對于更抽象的概念和語義信息更加敏感，如物體、場景、對象關(guān)系等。
  ????
  語義鴻溝的問題在于，盡管高級特征對于理解圖像中的語義信息非常重要，但與低級特征相比，它們的表示更加抽象和難以解釋。因此，在高級特征和低級特征之間存在一種差距，這使得計算機(jī)在理解和解釋這些特征之間的關(guān)系時面臨挑戰(zhàn)。例如，計算機(jī)可能可以檢測到圖像中的一些邊緣和紋理（低級特征），但它們可能無法完全理解這些邊緣和紋理是哪種物體的一部分，或它們?nèi)绾闻c整個場景相關(guān)聯(lián)（高級特征）。
  ????
  而克服高級特征和低級特征之間的語義鴻溝也是深度學(xué)習(xí)和計算機(jī)視覺研究的一個重要目標(biāo)，包括構(gòu)建更強(qiáng)大的模型來捕捉這些特征之間的關(guān)系，以及開發(fā)用于解釋和可視化深度學(xué)習(xí)模型的工具。這有助于提高計算機(jī)在圖像理解、物體識別和語義分割等任務(wù)中的性能。
  (引用自https://blog.csdn.net/change_xzt/article/details/133976955)

這里的 HSG 利用 ATT&CK 框架映射作為中間層，連接低層次信息和高層次 APT 殺傷鏈,是因為低級別審計數(shù)據(jù)與攻擊目標(biāo)意圖與高級殺傷鏈（kill-chain）視角之間存在巨大的語義差距。

下面簡單介紹一個運行時 APT 攻擊溯源圖（Provenance Graph）示例。如下圖所示，可以看到攻擊行為是從初始入侵到 C&C 通信，再到內(nèi)部偵查、數(shù)據(jù)讀取、權(quán)限提升，以及內(nèi)部偵查、清除痕跡、竊取信息等。這其實就是一個溯源圖，通過數(shù)據(jù)之間的因果關(guān)系生成這樣的圖，比如 C&C 通訊、提權(quán)、文件操作等進(jìn)行關(guān)聯(lián)。而上面是正常操作行為。

實驗結(jié)果表明，HOLMES 能有效區(qū)分良性場景和攻擊場景。下圖是攻擊場景所涉及流程（七維對應(yīng)殺傷鏈）及閾值分?jǐn)?shù)，能有效識別 APT 攻擊。

實驗部分

本文介紹了作者在紅隊與藍(lán)隊對抗性攻擊中的實驗結(jié)果。首先，作者使用了預(yù)先可用的數(shù)據(jù)集對 HOLMES 進(jìn)行了評估，并計算出了最優(yōu)閾值。然后，作者將 HOLMES 應(yīng)用于實際場景中，并將其性能與先前已知的攻擊情況進(jìn)行了比較。最后，作者還討論了 HOLMES 可能存在的誤報和漏報問題。

在實驗中，作者使用了九個來自不同操作系統(tǒng)的攻擊數(shù)據(jù)集，每個數(shù)據(jù)集都包含了由紅隊執(zhí)行的不同類型的攻擊。同時，作者還使用了四天的良性審計數(shù)據(jù)來構(gòu)建噪聲減少模型。作者使用了 TTP（攻擊技術(shù)）和威脅等級等指標(biāo)來評估攻擊和良性子圖之間的區(qū)別。通過設(shè)置不同的學(xué)習(xí)和路徑因素，作者發(fā)現(xiàn)使用這些因素可以更好地區(qū)分攻擊和良性子圖，并降低誤報率。

此外，作者還對 HOLMES 的實際應(yīng)用進(jìn)行了測試，并將其性能與已知的攻擊情況進(jìn)行了比較。在這個實驗中，作者沒有事先知道紅隊計劃執(zhí)行的攻擊類型，因此需要 HOLMES 能夠自動檢測并報告異常活動。作者設(shè)置了閾值以過濾掉低風(fēng)險的事件，并且只報告高風(fēng)險的事件。作者發(fā)現(xiàn)，在這個實驗中，HOLMES 成功地檢測到了多個攻擊，并且沒有產(chǎn)生任何誤報。

總的來說，本文介紹了作者在對抗性攻擊中的實驗結(jié)果，并展示了 HOLMES 在實時檢測和報告安全事件方面的有效性。雖然存在一些誤報和漏報的問題，但這些問題可以通過手動檢查和分析解決。

總結(jié)

本文提出了一種名為 HOLMES 的實時檢測系統(tǒng)，用于檢測高級持久威脅（APT）攻擊。該系統(tǒng)通過將主機(jī)審計數(shù)據(jù)映射到 APT 生命周期模型中的各個階段來實現(xiàn)檢測，并使用信息流關(guān)聯(lián)不同的事件以識別攻擊信號。此外，該系統(tǒng)還開發(fā)了一個高階場景圖（HSG），以便于呈現(xiàn)攻擊情況并幫助分析師快速理解攻擊規(guī)模和影響范圍。實驗結(jié)果表明，HOLMES 能夠準(zhǔn)確地檢測出 APT 攻擊，并且能夠在實時環(huán)境中運行。該系統(tǒng)的優(yōu)點包括：使用了 APT 生命周期模型作為參考框架，使用信息流關(guān)聯(lián)事件以提高準(zhǔn)確性，以及提供了一個易于理解的高階場景圖來呈現(xiàn)攻擊情況。該文的方法創(chuàng)新點在于使用了 APT 生命周期模型和信息流關(guān)聯(lián)技術(shù)，這有助于提高檢測的準(zhǔn)確性和可靠性。未來的研究方向可以考慮進(jìn)一步優(yōu)化算法以提高效率，并探索如何在大規(guī)模網(wǎng)絡(luò)中部署該系統(tǒng)。

優(yōu)缺點分析

HOLMES

• 攻擊粒度更細(xì)
• 從溯源圖到攻擊鏈的映射引入了 HSG 解決語義鴻溝問題
• 能有效檢測長期潛伏實時的 APT 攻擊
• 通過引入降噪算法解決 HSG 緊密性問題

對比其他方法

• 基于統(tǒng)計特征的方法對時間跨度長、執(zhí)行緩慢攻擊的檢測不佳
• 基于系統(tǒng)調(diào)用日志的方法對實時攻擊檢測效果不佳

- END -

---

::: block-2
一個只記錄最真實學(xué)習(xí)網(wǎng)絡(luò)安全歷程的小木屋，最新文章會在公眾號更新，歡迎各位師傅關(guān)注！

公眾號名稱：奇怪小木屋



博客園主頁：
博客園-我記得https://www.cnblogs.com/Zyecho/
:::

總結(jié)

以上是生活随笔為你收集整理的HOLMES通过关联可疑信息流进行实时 APT 检测的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。