李錠-下一代智能化終端入侵檢測與溯源系統.pdf

《李錠-下一代智能化終端入侵檢測與溯源系統.pdf》由會員分享，可在線閱讀，更多相關《李錠-下一代智能化終端入侵檢測與溯源系統.pdf（23頁珍藏版）》請在三個皮匠報告上搜索。

1、下一代智能化終端入侵檢測與溯源系統李錠，北京大學2 APT攻擊是我國信息安全的重大威脅美國NSA對西北工業大學發動APT攻擊，竊取超140GB數據專業化：由政府部門（特定入侵行動辦公室TAO）的專業黑客發動，廣泛采用0day攻擊和漏洞APT：高級可持續性威脅分散化：40余種不同的NSA專屬網絡攻擊武器、攻擊鏈路多達1100余條、操作的指令序列90余個長期化：持續時間可達數月甚至數年，長期竊取被害者數據特點3APT攻擊對入侵檢測系統提出新的要求專業化：由政府部門（特定入侵行動辦公室TAO）的專業黑客發動，廣泛采用0day攻擊和漏洞分散化：40余種不同的NSA專屬網絡攻擊武器、攻擊鏈路多達1100

2、余條、操作的指令序列90余個長期化：持續時間可達數月甚至數年，長期竊取被害者數據自適應：可主動學習系統行為模式，檢測0day攻擊可溯源：可自動關聯多種攻擊手段長時效：能夠長時間連續監控入侵行為漏洞掃描日志審計NIDS防火墻云查殺病毒掃描現有方法缺乏溯源能力，綜合防御能力弱只有少數產品符合部分要求APT防御技術需求4基于溯源分析的新一代APT攻擊防御技術自適應：基于行為的系統異常檢測可溯源：溯源圖關聯分散化攻擊長時效：24小時不間斷實時監控系統行為，持續檢測系統入侵實時監控系統行為日志（文件訪問、網絡訪問、進程交互），構建溯源圖，利用機器學習技術檢測APT攻擊目標：基于溯源圖的APT攻擊準確檢測

3、和溯源特點方法5溯源分析系統：系統架構 在每一個終端上安裝探針，收集系統溯源事件 目前探針包括Sysdig，Linux Audit，ETW，Datadog agent等 將溯源數據匯總到一個數據流上，由監管服務器分析處理 監管服務器運行檢測算法，在海量溯源數據中識別與攻擊有關的數據，并輸出描述攻擊的溯源圖 可能將關鍵溯源數據存入數據庫中，以便事后查驗取證6 當前工業界在關心什么？學術界是否和工業界保持一致？RQ1 有效性:工業界是否認可溯源分析的有效性?RQ2 瓶頸：是什么原因導致工業界不愿意采用很多學術界提出的技術？RQ3 差距:目前學術界提出的主要技術，能否滿足工業界的需求？我們的技術是否

4、有用？我們還需要優化什么？我們還需要做什么？7 一個面向工業界的實證研究Are We There Yet?An Industrial Viewpoint on Provenance-based Endpoint Detection and Response Tools Feng Dong,Shaofei Li,Peng Jiang,Ding Li,Haoyu Wang,Liangyi Huang,Xusheng Xiao,Jiedong Chen,Xiapu Luo,Yao Guo,Xiangqun Chen,(CCS 2023)我們的實證研究包括四個部分：采訪談話：對象包括10位國內主流互聯

5、網企業的安全團隊負責人 在線問卷：對象包括48名安全工程師 文獻調研：20篇近期發表在安全頂會上的論文 測量分析：在8種不同硬件環境下對6種主流溯源分析技術進行研究2.在線問卷1.采訪談話3.文獻調研4.測量分析主要考量因素量化考慮指標評估論文未評估指標探究論文指標是否符合期望 8 研究結果：采訪談話及在線問卷 工業界認為溯源分析是比傳統方法更有效的技術 四位負責人已經在自己負責的系統中采用了溯源分析技術 成本是工業界的主要關注點9研究結果：文獻調研及測量分析運行開銷 當前技術運行開銷較大，難以滿足工業界要求 運行開銷可高達接近600%結果不夠準確簡潔，需要大量人工分析排除錯誤，人力成本高 幾

6、乎沒有學術論文關注溯源分析技術的開銷和成本誤報數量/天（預期值0.01）溯源圖大?。A期值50）10結論 RQ 1 有效性：工業界認可溯源分析的有效性 4/10的安全團隊已經在采用溯源分析技術 所有的安全團隊負責人都表示認可溯源分析的有效性 RQ 2 瓶頸：成本是目前工業界采用溯源分析的主要瓶頸 RQ 3 差距：當前學術界主要關注算法準確性，對成本的關注度不足11現有方法局限：系統不安全，分析算法不準確，成本高開銷大，黑客可攻擊分析不準確，成本高NodLink:高精度實時分析算法NoDrop:高效高可靠數據采集器12NodLink：基于人工智能的APT攻擊實時檢測與溯源算法 問題：如何在海量溯

7、源數據中自動高效準確地、實時識別和定位攻擊？能夠準確生成包含攻擊的攻擊圖 攻擊圖準確包含與攻擊有關的系統溯源事件 攻擊圖不可過大 攻擊圖不可遺漏關鍵攻擊事件 現狀：準確度與成本（機器成本，人力成本）不可兼得 基于規則：實現簡單，規則匹配速度快，但是人力成本高，容易漏報誤報，難以適應0day攻擊 基于機器學習：檢測數據中的異常行為，可以適應0day攻擊，準確度較高，但是運算成本高，難以實現實時檢測 檢測延遲高導致攻擊損失增加 目標：兼顧準確度與成本 提出一種高效準確的、基于機器學習的、實時檢測溯源方法NODLINK:An Online System for Fine-Grained APT At

8、tack Detection and InvestigationShaofei Li,Feng Dong,Xusheng Xiao,Haoyu Wang,Fei Shao,Jiedong Chen,Yao Guo,Xiangqun Chen,and Ding Li*（NDSS 2024）13NodLink：基于人工智能的APT攻擊實時檢測與溯源算法 關鍵洞察：與攻擊有關的溯源事件具有異常性和聚合性兩大特點異常性：攻擊往往容易引入在統計上較為異常的事件，攻擊引入統計異常事件的概率是普通活動的20倍聚合性：攻擊引入的統計異常事件在拓撲上比較接近，在溯源圖中平均為2跳14NodLink：基于人工智能

9、的APT攻擊實時檢測與溯源算法 主要思路：通過局部探索，減少計算復雜度現有機器學習方法需要運行全局的圖學習算法（圖神經網絡，消息傳播），復雜度高15NodLink：基于人工智能的APT攻擊實時檢測與溯源算法 與深信服合作，在深信服數據集和系統上做原型驗證誤報比現有實時檢測方法減少3個數量級以上，并超過現有離線方法漏報率也小于現有方法16NodLink：基于人工智能的APT攻擊實時檢測與溯源算法 與深信服合作，在深信服數據集和系統上做原型驗證數據處理速度比現有準確的離線方法提高2個數量級以上，與基于規則的方法相當設計的STP算法比其他局部探索算法快最多8000多倍17NodLink：基于人工智能

10、的APT攻擊實時檢測與溯源算法 在深信服的用戶真實數據中，檢測出7個真實攻擊，并且被深信服工程師確認18NoDrop：高效安全的溯源數據采集器SEC 23-a 數據采集器（agent）負責監控系統中的溯源事件，是溯源分析的基礎但是現有數據采集器開銷過大同時存在丟包現象Auditing Frameworks Need Resource Isolation:A Systematic Study on the Super Producer Threat to System Auditing and Its MitigationPeng Jiang,Ruizhe Huang,Ding Li*,Yao

11、Guo,Xiangqun Chen,Jianhai Luan,Yuxin Ren and Xinwei Hu(SEC 23)19NoDrop：高效安全的溯源數據采集器問題：現有方法采用一種集中式處理架構，破壞了操作系統中的進程間數據隔離包括cgroup的隔離當系統中存在超級生產者時部分采集器會丟包，導致安全漏洞（Sysdig,Lttng and Linux Audit）（PDoS攻擊）部分采集器會導致被監控系統性能顯著下降（Camflow）（PADoS攻擊）20NoDrop：高效安全的溯源數據采集器解決思路：為溯源數據提供進程級隔離挑戰：如何高效地實現隔離？方法：將現有集中式的架構，轉變為分布

12、式的架構在每個進程自己的地址空間內提供溯源日志的處理邏輯復用操作系統自身的進程間隔離機制不破壞cgroup等機制數據0丟失，性能低損耗NoDrop：高效安全的溯源數據采集器RQ1:防止丟包SysdigLTTngLinux AuditNODROPDefault120/120107/120120/1200/120Cgroup115/120107/120120/1200/120Table.Attack success rate of the PDoS attack(#success/#attempts)NODROP可防止PDoS攻擊。NODROP沒有事件丟失。NODROP的PDoS攻擊成功率為零。N

13、oDrop：高效安全的溯源數據采集器RQ2:防止性能干擾 當super producer的工作負載增長時，無論硬件配置如何，NODROP都能保持應用程序的性能穩定。NODROP對PADoS攻擊具有免疫能力。23總結與展望 溯源分析是構建下一代智能化APT攻擊檢測系統的關鍵技術 目前溯源分析面臨著成本過高、準確性不足、安全性不足的問題 提出高精度的溯源分析算法NodLink以及高效高可靠數據采集器NoDrop 目前NodLink和NoDrop正在準備進入華為openEuler社區，計劃在openEuler未來版本中實現落地感謝各位，歡迎提問，歡迎合作相關工作由華為中軟及openEuler社區資助