查看原文
其他

APTSHIELD:一个稳定、高效、实时的Linux主机APT检测系统

Morwind 安全学术圈 2023-06-03

原文标题:APTSHIELD: A Stable, Efficient and Real-time APT Detection System for Linux Hosts(CCF-A)
原文作者:Tiantian Zhu, Jinkai Yu, Tieming Chen(陈铁明), Jiayu Wang, Jie Ying, Ye Tian, Mingqi Lv, Yan Chen, Yuan Fan, Ting Wang
发表会议:IEEE Transactions on Dependable and Secure Computing 2023
原文链接:https://ieeexplore.ieee.org/abstract/document/10041816
笔记作者:Morwind@安全学术圈
笔记小编:黄诚@安全学术圈

主要问题

  • 数据源,如何选择可靠、稳定、语义丰富的数据源
  • 效率,如何减少实时检测所需的数据量,提高检测效率
  • 检出APT,如何构建高适应性、高覆盖率、高精度、低误报、恒定内存开销的实时APT检测框架

本文工作

  • 比较了现有的Linux内核数据收集工具,并得出了Auditd在空载满载情况下的资源占用均最少的结论
  • 提出了一个数据压缩算法以减少资源开销
  • 基于ATT&CK构建了一个系统数据流和控制流的信息聚合框架

APTSHIELD

  1. 收集系统日志(直接用的Auditd);
  2. 使用冗余语义跳过(Redundant Semantics Skipping)和不可活实体剪枝(Non-viable Entity Pruning)对日志中的事件流进行处理,生成有向图;
  • 冗余语义跳过:图中两个节点如果有多条边则只保留一条(比如多次读写则只记录一次)
  • 不可活实体剪枝:删除已经退出、没有潜在有害功能、没有子节点的节点
  1. 基于ATT&CK定义了一些标签,并通过控制流和数据流在实体之间传递上下文语义(标签)
  • 控制流主要指进程间的创建关系,反映了外部不可信数据的流动路径,往往是可疑代码的入侵路径
  • 数据流指数据内容的依赖关系,反映了高价值内容被盗后在攻击中的逃逸路径
  • 实体标签
  • 传递规则(Transfer Rules):将APT攻击分为五个主要阶段:初始访问、不可信执行、横向移动、可疑行为(持久化、提权、凭据访问、信息收集)、数据泄露,如果有命中规则的主体/客体与行为,则将对应的客体/主体打上标签
  • 判别规则(Judgement Rules):如果有命中判别规则的一系列标签,则告警
  1. 最后通过(人工的)取证分析得到整个攻击链

实验

  • 数据集:DARPA Engagement数据集与自建数据集
  • Linux内核数据收集工具资源占用对比
  • 冗余语义跳过效果
  • 不可活实体剪枝效果
  • 系统效率

总结与思考

  • 与APT-KGL同实验室产出的姊妹篇,基于Linux平台,但整体系统框架和方法都与SLEUTH更相近,本文末对比了SLEUTH的效果;
  • 由于APTSHIELD是类似流水线作业,而SLEUTH是将审计日志一次性输入,因此APTSHIELD在实时性和内存占用方面优于SLEUTH;
  • 与SLEUTH类似,本文的核心部分是标签的定义与传递,整体是一个基于自定义规则运行的系统,没能摆脱专业领域知识的束缚
安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存