【网络安全】数据驱动的APT归因和人工智能/机器学习(AI-ML)研究

【网络安全】数据驱动的APT归因和人工智能/机器学习(AI-ML)研究
2023-9-16 23:44:23 Author: 丁爸情报分析师的工具箱(查看原文) 阅读量:6 收藏

数据驱动的APT归因和人工智能/机器学习(AI-ML)研究

2022 TF-CSIRT &首届虚拟研讨会

为什么?如何?怎么啦？

目的:提高归因

为什么?

航空是重要的基础设施-易受到“战略”威胁(因此能够很好识别APT组织）

针对航空的网络攻击很“流行”，对媒体很有吸引力

世界各地都在使用非常相似的技术

归因不是一种执念……但我们需要提高对未来袭击的预测能力

如何?两步方法

基于sw的工具，根据MITRE攻击和ck TTPs识别潜在的apt

人工智能/机器学习(AI-ML)应用程序分析攻击上下文，以细化归因

总结

问题归因

解决方案:两步法

步骤1:AFiT

步骤2:人工智能/机器学习(AI-ML)工具

APT29是已被属性化(SVR)的威胁组织。他们至少在欧洲和北约成员国的网络中运作，据报道APT29在2015年夏天入侵了民主党。

2021年4月，美国和英国政府向俄罗斯对外情报局妥协网络行动;酒吧APT29, Cozy Bear和The Dukes。受害者包括咨询、科技、电信等亚洲和中东地区。

针对APT29的MITRE攻击和ck映射

问题:归因

这是哪个APT组?

如果缺少一些信息怎么办?

解决方案

数据驱动的APT归因

基于观测到的TTPs

2步法:

步骤1:AFiT工具

步骤2:从免费文本中提取(TTP)数据的AI/ML工具

第一步:基于软件的工具——对手查找工具(AFIT)

由etm - cert开发的免费工具

APT数据库来自MITRE ATT&CK

用于演示如何使用MITRE ATT&CK

支持MITRE at&ck在航空领域的推广和使用

使用TTPs预测APT组织

支持基于TTP相似性的预测

攻击者查找工具(AFiT)

攻击者查找工具(AFiT)

第二步:基于AI/ML的工具

人工智能/机器学习(AI-ML)的应用程序

在免费文本中查找和构建数据(尽管大多数数据不能共享)

创建可以发现模式并做出更好预测的人工智能/机器学习(AI-ML)模型

通过考虑网络攻击报告中提供的上下文信息来改进预测

增加某些apts的可能性，减少或排除其他apts

人工智能/机器学习应用——合作和信息共享

联邦机器学习

只共享模型，因为数据不能共享

FEDn项目https://scaleoutsystems.github.io/fedn/

有两种使用方式:

冻结模式:简单地使用-无需进一步丰富

充实模式:应用它，用更新的数据集进一步充实模型

呼吁合作

AFiT工具:如果您感兴趣可以使用，无需与我们共享数据。

报告错误、建议等。

人工智能/机器学习(AI-ML)的应用

联邦学习方法:

基于您的数据集训练模型

在本地训练模型的基础上充实“中心”模型

无需与我们共享数据

上述资料完整原文及机器翻译已上传知识星球

长按识别下面的二维码可加入星球

里面已有8000多篇资料可供下载

越早加入越便宜

续费五折优惠

文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MTE0NTE3Mw==&mid=2651138887&idx=1&sn=e34c01f213d0ae85ceba91d2eb3d3994&chksm=f1af5c7dc6d8d56b945d5a04b6e65fcc6c1769e4ad43488da56132952394c0c739fa7615cbd2&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh