原文标题:DeepAG: Attack Graph Construction and Threats Prediction With Bi-Directional Deep Learning
原文作者:Teng Li*; Ya Jiang; Chi Lin; Mohammad S.Obaidat; Yulong Shen; Jianfeng Ma
发表期刊:2023 IEEE Transactions on Dependable and Secure Computing (TDSC)
原文链接:https://ieeexplore.ieee.org/document/9684707
主题类型:攻击预测
笔记作者:三鹿
主编:黄诚@安全学术圈
提出了一个利用系统日志来检测威胁和预测攻击路径的框架DeepAG。DeepAG利用transformer模型对系统日志的语义信息建模来检测APT攻击序列。还利用LSTM网络提出了攻击路径的双向预测,达到了比传统的BiLSTM更高的性能。此外,利用先前检测到的攻击序列和预测路径,DeepAG构建攻击者可能遵循的攻击图来破坏网络。最后,DeepAG还提供了词汇外(OOV)文字处理和在线更新机制,以适应在检测和预测阶段出现的新的攻击模式。
上图描述了一个完整渗透攻击的九个关键阶段,这样的网络攻击给当前网络安全带来了两个挑战:
图2描述了DeepAG的大致框架,共分为五个部分:文本表征、训练阶段、检测阶段、预测阶段和图处理。
首先将日志转换为索引和向量,为了对日志句子进行矢量化,作者利用从日志中提取的信息构建了特定于日志的词嵌入集,并对OOV词进行了处理。理论上,如果有一个或多个OOV词的周围上下文的例子,那么就可以推断出目标词的向量。最后,将日志中的单词表示为嵌入,并将日志输入到变压器编码器块中,就可以输出日志的矢量表示。
为了训练用于检测APT序列的变压器模型,作者使用编码器对连续日志句子的向量序列进行处理,从而得到用于二值分类的日志序列表示。另一方面,为了训练用于预测攻击阶段的双向模型,作者使用索引序列训练两个lstm。一种是按顺序训练的正向LSTM,另一种是按反转顺序训练的反向LSTM。最后可以得到两个独立的LSTM模型。
用预训练好的词嵌入集对每个词进行向量化后,通过编码器块对每个对日志句子进行编码,得到对日志句子的向量表示。接下来,将日志向量序列输入到变压器模型中,并得到该序列的最终日志表示,以便判断是否存在包含的攻击。
DeepAG可以通过双向模型进行在线预测。
为了呈现攻击的可能路径,需要执行高级抽象。
为了帮助主动预防多步骤攻击,本文提出了可用于检测攻击序列和预测潜在攻击的DeepAG,此外,DeepAG还可以通过在线更新和OOV文字处理器机制来处理意外模式。它还可以构建攻击图,直观地展示攻击路径,对更复杂的情况进行建模,帮助用户减轻分析负担,快速掌握攻击者的策略。此外,作者发现DeepAG在提供同时实现攻击检测和预测的框架方面具有潜力。尽管DeepAG的表现比其他技术状态要好,但不同类型日志之间的语义差距很难消除。在未来的工作中,作者将尝试修复语义差距,并提高DeepAG处理更全面类型日志的性能。
安全学术圈招募队友-ing
有兴趣加入学术圈的请联系 secdr#qq.com