西安电子科技大学 | 基于双向深度学习的攻击图构建和威胁预测
2024-6-19 23:1:17 Author: mp.weixin.qq.com(查看原文) 阅读量:15 收藏

原文标题:DeepAG: Attack Graph Construction and Threats Prediction With Bi-Directional Deep Learning
原文作者:Teng Li*; Ya Jiang; Chi Lin; Mohammad S.Obaidat; Yulong Shen; Jianfeng Ma
发表期刊:2023 IEEE Transactions on Dependable and Secure Computing (TDSC)
原文链接:https://ieeexplore.ieee.org/document/9684707
主题类型:攻击预测
笔记作者:三鹿
主编:黄诚@安全学术圈

论文工作

提出了一个利用系统日志来检测威胁和预测攻击路径的框架DeepAG。DeepAG利用transformer模型对系统日志的语义信息建模来检测APT攻击序列。还利用LSTM网络提出了攻击路径的双向预测,达到了比传统的BiLSTM更高的性能。此外,利用先前检测到的攻击序列和预测路径,DeepAG构建攻击者可能遵循的攻击图来破坏网络。最后,DeepAG还提供了词汇外(OOV)文字处理和在线更新机制,以适应在检测和预测阶段出现的新的攻击模式。

研究目标

  • 精准预测:为了保证预防的有效性,DeepAG需要以高精度和实时的方式检测威胁;
  • 适应新模式:为了克服学习不足,DeepAG应该学习新的模式,并在处理意外日志时取得良好的性能;
  • 图处理:单步预测不足以捕捉攻击阶段之间的关系。为了直观地获得更多的主动预防策略,DeepAG应该将依赖关系可视化成一个图。

论文贡献

  • 利用transformer模型用向量表示日志序列,减少了语义信息的损失,并且可以并行处理日志向量进行攻击检测;
  • 首次提出了包括前向和后向LSTM在内的双向模型来定位系统日志上的异常点,它避免了单个LSTM模型的偏差,提高了性能;
  • DeepAG可以通过攻击图对攻击序列之间的非线性依赖关系进行建模,并标记出异常点,从而直观地向用户展示攻击路径,帮助用户进行主动防御;
  • DeepAG在攻击检测方面表现出较低的运行时开销(不到1秒),还可以成功地对几乎100%的序列进行检测,同时提高了定位攻击点的精度。

威胁模型

上图描述了一个完整渗透攻击的九个关键阶段,这样的网络攻击给当前网络安全带来了两个挑战:

  • 更多漏洞:越来越复杂的工作带来了更多的漏洞和漏洞,使系统难以维护和检测攻击。
  • 长持续时间:网络攻击具有很强的连续性,图1只是整个计划的一小部分。经过长期的准备和计划,攻击者通常会在目标网络中潜伏数月甚至数年。通过反复渗透,攻击方法和路径不断改进和发起。

系统模型

图2描述了DeepAG的大致框架,共分为五个部分:文本表征、训练阶段、检测阶段、预测阶段和图处理。

文本表征

首先将日志转换为索引和向量,为了对日志句子进行矢量化,作者利用从日志中提取的信息构建了特定于日志的词嵌入集,并对OOV词进行了处理。理论上,如果有一个或多个OOV词的周围上下文的例子,那么就可以推断出目标词的向量。最后,将日志中的单词表示为嵌入,并将日志输入到变压器编码器块中,就可以输出日志的矢量表示。

训练阶段

为了训练用于检测APT序列的变压器模型,作者使用编码器对连续日志句子的向量序列进行处理,从而得到用于二值分类的日志序列表示。另一方面,为了训练用于预测攻击阶段的双向模型,作者使用索引序列训练两个lstm。一种是按顺序训练的正向LSTM,另一种是按反转顺序训练的反向LSTM。最后可以得到两个独立的LSTM模型。

检测阶段

用预训练好的词嵌入集对每个词进行向量化后,通过编码器块对每个对日志句子进行编码,得到对日志句子的向量表示。接下来,将日志向量序列输入到变压器模型中,并得到该序列的最终日志表示,以便判断是否存在包含的攻击。

预测阶段

DeepAG可以通过双向模型进行在线预测。

图处理

为了呈现攻击的可能路径,需要执行高级抽象。

当前不足与挑战

  • “好的”网络安全领域数据集获取困难;
  • 数据清洗和标注高度依赖专业网络安全工程师的经验与知识;
  • DeepAG计算量较大对运行环境和配置要求较高;
  • 深度学习框架十分复杂难以避免存在一定未知或已知的bug;
  • 网络安全环境变化极快,维护系统非常困难;
  • DeepAG的抗攻击能力有待检验和提高;
  • 在图构建的评估中,很难测试生成攻击图的准确性。

总结

为了帮助主动预防多步骤攻击,本文提出了可用于检测攻击序列和预测潜在攻击的DeepAG,此外,DeepAG还可以通过在线更新和OOV文字处理器机制来处理意外模式。它还可以构建攻击图,直观地展示攻击路径,对更复杂的情况进行建模,帮助用户减轻分析负担,快速掌握攻击者的策略。此外,作者发现DeepAG在提供同时实现攻击检测和预测的框架方面具有潜力。尽管DeepAG的表现比其他技术状态要好,但不同类型日志之间的语义差距很难消除。在未来的工作中,作者将尝试修复语义差距,并提高DeepAG处理更全面类型日志的性能。

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com

文章来源: https://mp.weixin.qq.com/s?__biz=MzU5MTM5MTQ2MA==&mid=2247490954&idx=1&sn=a122642d613f6812addf8f29bae6fb24&chksm=fe2ee201c9596b17dbac8f509c7df2dd92295565366e6f4629ffe8af70a3e88ee3066476e799&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh