HOLMES 通過關聯可疑信息流進行實時 APT 檢測

基本信息

題目：HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows

來源：S&P’19

概述：本文介紹了一種名為 HOLMES 的新方法，用于檢測高級持久性威脅（APTs）。該方法通過分析攻擊者活動中的可疑信息流之間的相關性來產生一個可靠的檢測信號，并能夠實時生成攻擊者的高階圖，以便分析師進行有效的網絡安全響應。作者對這種方法進行了評估，并發現它可以在高度準確的情況下檢測到 APT 攻擊，同時具有較低的誤報率。此外，該方法還可以有效地總結正在進行的網絡攻擊并協助實時網絡安全響應操作。

摘要

在本文中，我們介紹了 HOLMES，這是一種實現檢測高級和持續威脅 （APT） 的新方法的系統。HOLMES 的靈感來自現實世界 APT 的幾個案例研究，這些案例研究突出了 APT 參與者的一些共同目標。簡而言之，HOLMES 旨在產生一個檢測信號，表明存在一組作為 APT 活動一部分的協調活動。我們的方法解決的主要挑戰之一是開發一套技術，使檢測信號穩健可靠。概括地說，我們開發的技術有效地利用了攻擊者活動期間出現的可疑信息流之間的相關性。除了檢測能力外，HOLMES 還能夠生成一個高級圖表，實時總結攻擊者的行為。分析師可以使用此圖進行有效的網絡響應。對我們針對一些真實世界 APT 的方法的評估表明，HOLMES 可以高精度和低誤報率檢測 APT 活動。HOLMES 制作的緊湊高級圖表有效地總結了正在進行的攻擊活動，并可以協助實時網絡響應行動。

論文速讀

方法描述

該論文提出了一種基于中間層抽象的高級持久威脅（APT）檢測方法，稱為 HOLMES。該方法通過將低級審計數據映射到 OS 中性表示的安全相關事件來實現攻擊行為的高階抽象。這些安全相關事件被組織成一個中間層的抽象圖形，其中節點代表系統實體（如進程、文件等），邊表示它們之間的依賴關系。該方法使用 MITRE 的 ATT&CK 框架作為中間層抽象的基礎，并定義了特定于 ATT&CK 的戰術技術組合作為模式匹配的目標。最后，該方法使用信息流依賴性和權重來構建高階狀態圖（HSG），以識別潛在的 APT 攻擊。

方法改進

與傳統的基于規則的檢測方法相比，HOLMES 方法具有以下優點：

1. 基于中間層抽象：HOLMES 方法通過將低級審計數據映射到 OS 中性表示的安全相關事件來實現攻擊行為的高階抽象。這種方法使得檢測過程更加通用化和可擴展。
2. 使用 MITRE 的 ATT&CK 框架：HOLMES 方法使用 MITRE 的 ATT&CK 框架作為中間層抽象的基礎，這使得該方法可以檢測到各種類型的 APT 攻擊。
3. 定義特定于 ATT&CK 的戰術技術組合作為模式匹配的目標：HOLMES 方法定義了特定于 ATT&CK 的戰術技術組合作為模式匹配的目標，這有助于提高檢測準確性。
4. 使用信息流依賴性和權重來構建高階狀態圖（HSG）：HOLMES 方法使用信息流依賴性和權重來構建高階狀態圖（HSG），以識別潛在的 APT 攻擊。這種方法能夠減少誤報率并提高檢測準確性。

解決的問題

該方法解決了傳統基于規則的檢測方法存在的問題，包括：

1. 檢測準確性不高：傳統基于規則的檢測方法通常需要手動編寫規則，因此很難覆蓋所有可能的攻擊場景，導致檢測準確率不高。
2. 對新型攻擊難以檢測：傳統基于規則的檢測方法通常只能檢測已知的攻擊方式，對于新型攻擊往往無法及時發現。
3. 誤報率較高：傳統基于規則的檢測方法可能會產生大量的誤報，影響檢測效果。
4. 可擴展性差：傳統基于規則的檢測方法通常需要手動編寫規則，當系統規模增大時，規則數量也會急劇增加，導致可擴展性差。

主要貢獻

• 構建一種可以實時檢測 APT 攻擊的系統，有效利用攻擊活動可疑信息流的相關性
• 將 APT 活動信息映射到殺傷鏈，設計高級場景圖（high-level scenario graph，HSG）實現低層次（日志、警報）信息到高層次的映射（語義鴻溝），從而使得 HOLMES 能有檢測良性或攻擊場景
• 系統和實驗完整性：虛假依賴關系剪枝、降噪處理（緊密性）、HSG 排序

  什么是 Semantic Gap？
  ????1、低級特征： 低級特征通常是從原始輸入數據中提取的，例如圖像中的像素值。在計算機視覺中，低級特征可能包括邊緣、顏色、紋理等基本信息。這些特征通常在網絡的淺層卷積層中提取。
  ????
  2、高級特征： 高級特征是通過多個卷積層和池化層等深度學習網絡的中間層次生成的。這些特征對于更抽象的概念和語義信息更加敏感，如物體、場景、對象關系等。
  ????
  語義鴻溝的問題在于，盡管高級特征對于理解圖像中的語義信息非常重要，但與低級特征相比，它們的表示更加抽象和難以解釋。因此，在高級特征和低級特征之間存在一種差距，這使得計算機在理解和解釋這些特征之間的關系時面臨挑戰。例如，計算機可能可以檢測到圖像中的一些邊緣和紋理（低級特征），但它們可能無法完全理解這些邊緣和紋理是哪種物體的一部分，或它們如何與整個場景相關聯（高級特征）。
  ????
  而克服高級特征和低級特征之間的語義鴻溝也是深度學習和計算機視覺研究的一個重要目標，包括構建更強大的模型來捕捉這些特征之間的關系，以及開發用于解釋和可視化深度學習模型的工具。這有助于提高計算機在圖像理解、物體識別和語義分割等任務中的性能。
  (引用自https://blog.csdn.net/change_xzt/article/details/133976955)

這里的 HSG 利用 ATT&CK 框架映射作為中間層，連接低層次信息和高層次 APT 殺傷鏈,是因為低級別審計數據與攻擊目標意圖與高級殺傷鏈（kill-chain）視角之間存在巨大的語義差距。

下面簡單介紹一個運行時 APT 攻擊溯源圖（Provenance Graph）示例。如下圖所示，可以看到攻擊行為是從初始入侵到 C&C 通信，再到內部偵查、數據讀取、權限提升，以及內部偵查、清除痕跡、竊取信息等。這其實就是一個溯源圖，通過數據之間的因果關系生成這樣的圖，比如 C&C 通訊、提權、文件操作等進行關聯。而上面是正常操作行為。

實驗結果表明，HOLMES 能有效區分良性場景和攻擊場景。下圖是攻擊場景所涉及流程（七維對應殺傷鏈）及閾值分數，能有效識別 APT 攻擊。

實驗部分

本文介紹了作者在紅隊與藍隊對抗性攻擊中的實驗結果。首先，作者使用了預先可用的數據集對 HOLMES 進行了評估，并計算出了最優閾值。然后，作者將 HOLMES 應用于實際場景中，并將其性能與先前已知的攻擊情況進行了比較。最后，作者還討論了 HOLMES 可能存在的誤報和漏報問題。

在實驗中，作者使用了九個來自不同操作系統的攻擊數據集，每個數據集都包含了由紅隊執行的不同類型的攻擊。同時，作者還使用了四天的良性審計數據來構建噪聲減少模型。作者使用了 TTP（攻擊技術）和威脅等級等指標來評估攻擊和良性子圖之間的區別。通過設置不同的學習和路徑因素，作者發現使用這些因素可以更好地區分攻擊和良性子圖，并降低誤報率。

此外，作者還對 HOLMES 的實際應用進行了測試，并將其性能與已知的攻擊情況進行了比較。在這個實驗中，作者沒有事先知道紅隊計劃執行的攻擊類型，因此需要 HOLMES 能夠自動檢測并報告異?；顒?。作者設置了閾值以過濾掉低風險的事件，并且只報告高風險的事件。作者發現，在這個實驗中，HOLMES 成功地檢測到了多個攻擊，并且沒有產生任何誤報。

總的來說，本文介紹了作者在對抗性攻擊中的實驗結果，并展示了 HOLMES 在實時檢測和報告安全事件方面的有效性。雖然存在一些誤報和漏報的問題，但這些問題可以通過手動檢查和分析解決。

總結

本文提出了一種名為 HOLMES 的實時檢測系統，用于檢測高級持久威脅（APT）攻擊。該系統通過將主機審計數據映射到 APT 生命周期模型中的各個階段來實現檢測，并使用信息流關聯不同的事件以識別攻擊信號。此外，該系統還開發了一個高階場景圖（HSG），以便于呈現攻擊情況并幫助分析師快速理解攻擊規模和影響范圍。實驗結果表明，HOLMES 能夠準確地檢測出 APT 攻擊，并且能夠在實時環境中運行。該系統的優點包括：使用了 APT 生命周期模型作為參考框架，使用信息流關聯事件以提高準確性，以及提供了一個易于理解的高階場景圖來呈現攻擊情況。該文的方法創新點在于使用了 APT 生命周期模型和信息流關聯技術，這有助于提高檢測的準確性和可靠性。未來的研究方向可以考慮進一步優化算法以提高效率，并探索如何在大規模網絡中部署該系統。

優缺點分析

HOLMES

• 攻擊粒度更細
• 從溯源圖到攻擊鏈的映射引入了 HSG 解決語義鴻溝問題
• 能有效檢測長期潛伏實時的 APT 攻擊
• 通過引入降噪算法解決 HSG 緊密性問題

對比其他方法

• 基于統計特征的方法對時間跨度長、執行緩慢攻擊的檢測不佳
• 基于系統調用日志的方法對實時攻擊檢測效果不佳

- END -

---

::: block-2
一個只記錄最真實學習網絡安全歷程的小木屋，最新文章會在公眾號更新，歡迎各位師傅關注！

公眾號名稱：奇怪小木屋



博客園主頁：
博客園-我記得https://www.cnblogs.com/Zyecho/
:::

總結

以上是生活随笔為你收集整理的HOLMES通过关联可疑信息流进行实时 APT 检测的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。