APT-KGL:基于威胁知识和异构溯源图学习的智能APT检测系统
2023-3-10 10:49:7 Author: 安全学术圈(查看原文) 阅读量:100 收藏

原文标题:APT-KGL: An Intelligent APT Detection System Based on Threat Knowledge and Heterogeneous Provenance Graph Learning(CCF-A)
原文作者:Tieming Chen(陈铁明), Chengyu Dong(董程昱), Mingqi Lv(吕明琪)
发表期刊:IEEE Transactions on Dependable and Secure Computing
原文链接:https://ieeexplore.ieee.org/document/9999407
笔记作者:[email protected]
笔记小编:[email protected]

主要问题

  • 基于规则的APT检测方法需要专家领域的知识,模型缺乏泛化能力,并且不能处理人类无法理解的抽象知识;
  • 溯源图节点和边是系统实体和系统事件的实例,缺乏泛化性,使得检测模型的训练困难;
  • 效率敏感;
  • 单个系统实体难以检测到APT攻击;
  • 处理新传入系统的实体不能重新embedding;
  • APT事件的数据非常少

本文工作

  • 提出了一个利用GNN和威胁情报来自动学习检测模式的APT检测系统
  • 提出了一种用于建模溯源数据的异构图方法
  • 提出了一种用于处理新入度节点的子图采样方法
  • 设计了一种从开源威胁情报中半自动挖掘威胁知识的方法

整体架构

实验

总结与思考

  • 本文对溯源图中节点与边的定义同SLEUTH类似,但使用了深度神经网络技术来生成embedding,避免了人工标记时专业领域知识的限制,并且在后续的子图采样模块避免了重复embedding;
  • 本文在“实体类型”中定义了除文件、进程外的其他元素,但在后续的子图采样中又只保留了文件进程两种,虽然文中有提到“概念实体类型的节点数量有限”,但这是否能作为去除其他实体的理由,亦或是其他实体本就没有必要列出;
  • 关于添加了噪声的自生成样本,文中虽然描述了其生成的策略与过程,但似乎没有验证其合理性,即该数据能否作为真实数据来使用;
  • 关于新传入实体的处理,按文中的描述似乎是将单个新实体与已存在于图中的实体关联起来,再进行子图采样。若是复数个新实体联动产生攻击行为,该策略下的新实体会存在指向空实体的空关系,因此会被分别判断为正常节点(文末提到了APT-KGL依旧聚焦于单点入侵)
安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com

文章来源: http://mp.weixin.qq.com/s?__biz=MzU5MTM5MTQ2MA==&mid=2247488548&idx=1&sn=44e2d22270739aed64b4649baa9d1137&chksm=fe2eebafc95962b9f314d3c2db6bd2c68341f9b807cfa819d9172d7b8fdb993c49ac79d2d4a8#rd
如有侵权请联系:admin#unsafe.sh