报告预览

李锭-下一代智能化终端入侵检测与溯源系统.pdf

编号：159313

PDF 23页 3.57MB 下载积分：VIP专享

下载报告请您先登录！

李锭-下一代智能化终端入侵检测与溯源系统.pdf

1、下一代智能化终端入侵检测与溯源系统李锭，北京大学2 APT攻击是我国信息安全的重大威胁美国NSA对西北工业大学发动APT攻击，窃取超140GB数据专业化：由政府部门（特定入侵行动办公室TAO）的专业黑客发动，广泛采用0day攻击和漏洞APT：高级可持续性威胁分散化：40余种不同的NSA专属网络攻击武器、攻击链路多达1100余条、操作的指令序列90余个长期化：持续时间可达数月甚至数年，长期窃取被害者数据特点3APT攻击对入侵检测系统提出新的要求专业化：由政府部门（特定入侵行动办公室TAO）的专业黑客发动，广泛采用0day攻击和漏洞分散化：40余种不同的NSA专属网络攻击武器、攻击链路多达1100

2、余条、操作的指令序列90余个长期化：持续时间可达数月甚至数年，长期窃取被害者数据自适应：可主动学习系统行为模式，检测0day攻击可溯源：可自动关联多种攻击手段长时效：能够长时间连续监控入侵行为漏洞扫描日志审计NIDS防火墙云查杀病毒扫描现有方法缺乏溯源能力，综合防御能力弱只有少数产品符合部分要求APT防御技术需求4基于溯源分析的新一代APT攻击防御技术自适应：基于行为的系统异常检测可溯源：溯源图关联分散化攻击长时效：24小时不间断实时监控系统行为，持续检测系统入侵实时监控系统行为日志（文件访问、网络访问、进程交互），构建溯源图，利用机器学习技术检测APT攻击目标：基于溯源图的APT攻击准确检测

3、和溯源特点方法5溯源分析系统：系统架构在每一个终端上安装探针，收集系统溯源事件目前探针包括Sysdig，Linux Audit，ETW，Datadog agent等将溯源数据汇总到一个数据流上，由监管服务器分析处理监管服务器运行检测算法，在海量溯源数据中识别与攻击有关的数据，并输出描述攻击的溯源图可能将关键溯源数据存入数据库中，以便事后查验取证6 当前工业界在关心什么？学术界是否和工业界保持一致？RQ1 有效性:工业界是否认可溯源分析的有效性?RQ2 瓶颈：是什么原因导致工业界不愿意采用很多学术界提出的技术？RQ3 差距:目前学术界提出的主要技术，能否满足工业界的需求？我们的技术是否

4、有用？我们还需要优化什么？我们还需要做什么？7 一个面向工业界的实证研究Are We There Yet?An Industrial Viewpoint on Provenance-based Endpoint Detection and Response Tools Feng Dong,Shaofei Li,Peng Jiang,Ding Li,Haoyu Wang,Liangyi Huang,Xusheng Xiao,Jiedong Chen,Xiapu Luo,Yao Guo,Xiangqun Chen,(CCS 2023)我们的实证研究包括四个部分：采访谈话：对象包括10位国内主流互联

5、网企业的安全团队负责人在线问卷：对象包括48名安全工程师文献调研：20篇近期发表在安全顶会上的论文测量分析：在8种不同硬件环境下对6种主流溯源分析技术进行研究2.在线问卷1.采访谈话3.文献调研4.测量分析主要考量因素量化考虑指标评估论文未评估指标探究论文指标是否符合期望 8 研究结果：采访谈话及在线问卷工业界认为溯源分析是比传统方法更有效的技术四位负责人已经在自己负责的系统中采用了溯源分析技术成本是工业界的主要关注点9研究结果：文献调研及测量分析运行开销当前技术运行开销较大，难以满足工业界要求运行开销可高达接近600%结果不够准确简洁，需要大量人工分析排除错误，人力成本高几

6、乎没有学术论文关注溯源分析技术的开销和成本误报数量/天（预期值0.01）溯源图大小（预期值50）10结论 RQ 1 有效性：工业界认可溯源分析的有效性 4/10的安全团队已经在采用溯源分析技术所有的安全团队负责人都表示认可溯源分析的有效性 RQ 2 瓶颈：成本是目前工业界采用溯源分析的主要瓶颈 RQ 3 差距：当前学术界主要关注算法准确性，对成本的关注度不足11现有方法局限：系统不安全，分析算法不准确，成本高开销大，黑客可攻击分析不准确，成本高NodLink:高精度实时分析算法NoDrop:高效高可靠数据采集器12NodLink：基于人工智能的APT攻击实时检测与溯源算法问题：如何在海量溯

7、源数据中自动高效准确地、实时识别和定位攻击？能够准确生成包含攻击的攻击图攻击图准确包含与攻击有关的系统溯源事件攻击图不可过大攻击图不可遗漏关键攻击事件现状：准确度与成本（机器成本，人力成本）不可兼得基于规则：实现简单，规则匹配速度快，但是人力成本高，容易漏报误报，难以适应0day攻击基于机器学习：检测数据中的异常行为，可以适应0day攻击，准确度较高，但是运算成本高，难以实现实时检测检测延迟高导致攻击损失增加目标：兼顾准确度与成本提出一种高效准确的、基于机器学习的、实时检测溯源方法NODLINK:An Online System for Fine-Grained APT At

8、tack Detection and InvestigationShaofei Li,Feng Dong,Xusheng Xiao,Haoyu Wang,Fei Shao,Jiedong Chen,Yao Guo,Xiangqun Chen,and Ding Li*（NDSS 2024）13NodLink：基于人工智能的APT攻击实时检测与溯源算法关键洞察：与攻击有关的溯源事件具有异常性和聚合性两大特点异常性：攻击往往容易引入在统计上较为异常的事件，攻击引入统计异常事件的概率是普通活动的20倍聚合性：攻击引入的统计异常事件在拓扑上比较接近，在溯源图中平均为2跳14NodLink：基于人工智能

9、的APT攻击实时检测与溯源算法主要思路：通过局部探索，减少计算复杂度现有机器学习方法需要运行全局的图学习算法（图神经网络，消息传播），复杂度高15NodLink：基于人工智能的APT攻击实时检测与溯源算法与深信服合作，在深信服数据集和系统上做原型验证误报比现有实时检测方法减少3个数量级以上，并超过现有离线方法漏报率也小于现有方法16NodLink：基于人工智能的APT攻击实时检测与溯源算法与深信服合作，在深信服数据集和系统上做原型验证数据处理速度比现有准确的离线方法提高2个数量级以上，与基于规则的方法相当设计的STP算法比其他局部探索算法快最多8000多倍17NodLink：基于人工智能

10、的APT攻击实时检测与溯源算法在深信服的用户真实数据中，检测出7个真实攻击，并且被深信服工程师确认18NoDrop：高效安全的溯源数据采集器SEC 23-a 数据采集器（agent）负责监控系统中的溯源事件，是溯源分析的基础但是现有数据采集器开销过大同时存在丢包现象Auditing Frameworks Need Resource Isolation:A Systematic Study on the Super Producer Threat to System Auditing and Its MitigationPeng Jiang,Ruizhe Huang,Ding Li*,Yao

11、Guo,Xiangqun Chen,Jianhai Luan,Yuxin Ren and Xinwei Hu(SEC 23)19NoDrop：高效安全的溯源数据采集器问题：现有方法采用一种集中式处理架构，破坏了操作系统中的进程间数据隔离包括cgroup的隔离当系统中存在超级生产者时部分采集器会丢包，导致安全漏洞（Sysdig,Lttng and Linux Audit）（PDoS攻击）部分采集器会导致被监控系统性能显著下降（Camflow）（PADoS攻击）20NoDrop：高效安全的溯源数据采集器解决思路：为溯源数据提供进程级隔离挑战：如何高效地实现隔离？方法：将现有集中式的架构，转变为分布

12、式的架构在每个进程自己的地址空间内提供溯源日志的处理逻辑复用操作系统自身的进程间隔离机制不破坏cgroup等机制数据0丢失，性能低损耗NoDrop：高效安全的溯源数据采集器RQ1:防止丢包SysdigLTTngLinux AuditNODROPDefault120/120107/120120/1200/120Cgroup115/120107/120120/1200/120Table.Attack success rate of the PDoS attack(#success/#attempts)NODROP可防止PDoS攻击。NODROP没有事件丢失。NODROP的PDoS攻击成功率为零。N

13、oDrop：高效安全的溯源数据采集器RQ2:防止性能干扰当super producer的工作负载增长时，无论硬件配置如何，NODROP都能保持应用程序的性能稳定。NODROP对PADoS攻击具有免疫能力。23总结与展望溯源分析是构建下一代智能化APT攻击检测系统的关键技术目前溯源分析面临着成本过高、准确性不足、安全性不足的问题提出高精度的溯源分析算法NodLink以及高效高可靠数据采集器NoDrop 目前NodLink和NoDrop正在准备进入华为openEuler社区，计划在openEuler未来版本中实现落地感谢各位，欢迎提问，欢迎合作相关工作由华为中软及openEuler社区资助

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（李锭-下一代智能化终端入侵检测与溯源系统.pdf）为本站（张5G）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

李锭-下一代智能化终端入侵检测与溯源系统.pdf

李锭-下一代智能化终端入侵检测与溯源系统.pdf