原文标题：APTSHIELD: A Stable, Efficient and Real-time APT Detection System for Linux Hosts(CCF-A)
原文作者：Tiantian Zhu, Jinkai Yu, Tieming Chen(陈铁明), Jiayu Wang, Jie Ying, Ye Tian, Mingqi Lv, Yan Chen, Yuan Fan, Ting Wang
发表会议：IEEE Transactions on Dependable and Secure Computing 2023
原文链接：https://ieeexplore.ieee.org/abstract/document/10041816
笔记作者：[email protected]安全学术圈
笔记小编：黄诚@安全学术圈

主要问题

• 数据源，如何选择可靠、稳定、语义丰富的数据源
• 效率，如何减少实时检测所需的数据量，提高检测效率
• 检出APT，如何构建高适应性、高覆盖率、高精度、低误报、恒定内存开销的实时APT检测框架

本文工作

• 比较了现有的Linux内核数据收集工具，并得出了Auditd在空载满载情况下的资源占用均最少的结论
• 提出了一个数据压缩算法以减少资源开销
• 基于ATT&CK构建了一个系统数据流和控制流的信息聚合框架

APTSHIELD

1. 收集系统日志(直接用的Auditd)；
2. 使用冗余语义跳过(Redundant Semantics Skipping)和不可活实体剪枝(Non-viable Entity Pruning)对日志中的事件流进行处理，生成有向图；

• 冗余语义跳过：图中两个节点如果有多条边则只保留一条(比如多次读写则只记录一次)
• 不可活实体剪枝：删除已经退出、没有潜在有害功能、没有子节点的节点

3. 基于ATT&CK定义了一些标签，并通过控制流和数据流在实体之间传递上下文语义(标签)

4. 最后通过(人工的)取证分析得到整个攻击链

实验

总结与思考

• 与APT-KGL同实验室产出的姊妹篇，基于Linux平台，但整体系统框架和方法都与SLEUTH更相近，本文末对比了SLEUTH的效果；
• 由于APTSHIELD是类似流水线作业，而SLEUTH是将审计日志一次性输入，因此APTSHIELD在实时性和内存占用方面优于SLEUTH；
• 与SLEUTH类似，本文的核心部分是标签的定义与传递，整体是一个基于自定义规则运行的系统，没能摆脱专业领域知识的束缚

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com