APT生命周期模型(图1),也称为“杀伤链”,该模型使人们可以了解APT如何共同实现其参与者的目标。典型的APT攻击包括成功的渗透(例如,通过下载驱动或鱼叉式网络钓鱼攻击),侦察,命令和控制(C&C)通信(有时使用远程访问木马(RAT)),特权升级(通过利用漏洞),通过网络的横向移动,机密信息的泄露等。
1 介绍
如今,警报关联通常使用安全信息和事件管理(SIEM)系统来执行,例如Splunk [10],LogRhythm [7]和IBM QRadar [6]。这些系统从多个来源收集日志事件和警报,并将它们关联起来。这种相关性经常利用容易获得的指示符,例如时间戳。这些关联方法很有用,但是它们通常缺乏(a)对警报和实际入侵实例之间存在的复杂关系的理解,以及(b)将长时间在不同主机上发生的攻击步骤组合在一起所需的精度(几周,有时甚至是几个月)。
问题:
本文所解决的主要问题是实时检测正在进行的APT攻击活动(包括长时间跨许多主机的许多不同步骤组成),并向分析师提供攻击情况的高级解释,基于企业的主机日志和IPS警报。
此问题有三个主要方面,分别如下:
•警报生成:从主机的低级事件跟踪开始,我们必须以有效的方式生成警报。我们如何生成警报,以尝试考虑攻击者可能采取的任何重要步骤?此外,必须注意确保我们不会产生大量的嘈杂警报。
•警报关联:这里的挑战是将来自攻击者多种活动的警报组合成可靠的信号,以指示正在进行的APT战役。
•攻击场景介绍:需要将正在进行的APT活动的指标传达给人类(网络分析人员)。为了有效发挥作用,这种交流必须是直观的,并且需要从高层次总结攻击,以使分析人员迅速意识到战役的范围和规模。
方法和贡献:
在本文中,我们提出了一个名为HOLMES的系统,该系统解决了上述所有方面。 HOLMES首先从主机审核数据(例如Linux审核或Windows ETW数据)开始,然后产生检测信号,以描绘正在进行的APT活动的阶段。在高层次上,HOLMES新颖地使用了APT杀伤链作为解决APT检测上述三个方面所涉及的技术挑战的关键参考。我们在下面描述了我们的关键思想及其意义,并在第三节中进行了详细的技术描述。
首先,HOLMES旨在将主机日志中发现的活动以及企业中发现的任何警报直接映射到终止链。这种设计选择允许HOLMES生成在语义上接近APT参与者的活动步骤(“战术,技术和程序”(TTP))的警报。通过这样做,HOLMES可以提高警报生成过程在攻击活动的步骤级别上的工作,而不是在低级审核日志中如何体现出来。因此,我们解决了产生重要性警报的重要挑战。在我们的实验中,我们发现,为期五天的审核日志集合包含大约3M个低级事件,而HOLMES仅从中提取86个可疑活动步骤。
HOLMES中的第二个重要思想是使用系统中低级实体(文件,进程等)之间的信息流作为警报关联的基础。要看到这一点,请注意,杀伤链的内部侦察步骤取决于成功的初步妥协和立足点。特别是,侦查步骤通常使用攻击者在立足点建立过程中安装的命令和控制代理程序(过程)启动,从而展现出两个阶段所涉及的过程之间的流动。此外,侦查通常涉及运行在立足点建立阶段下载的恶意软件(文件),从而说明了文件到流程的流程。同样,成功的横向移动阶段以及渗透阶段都使用侦察阶段收集的数据。因此,通过检测与APT步骤相关的低级事件并使用信息流将它们链接起来,可以构造APT参与者使用的新兴杀伤链。
HOLMES的第三项主要贡献是开发了高级方案图(HSG)。 HSG的节点对应于TTP,并且边缘表示在TTP中涉及的实体之间的信息流。 HSG为高置信度检测APT提供了基础。为此,我们提出了一些新的想法。首先是HSG中祖先覆盖的概念。我们将展示此概念如何帮助评估HSG节点之间的依赖关系强度。然后可以删除弱依赖性,以消除许多错误警报。其次,我们开发了降噪技术,进一步降低了与良性活动相关的依赖性。第三,我们开发了排名和优先级排序技术,以修剪掉与APT活动无关的大多数节点和边缘。这些步骤在IV-D,IV-E和IV-F节中有详细说明。使用这些技术,我们证明了HOLMES能够在攻击和良性场景之间做出清晰的区分。
最后,HSG随时可以提供有关活动的非常紧凑的直观摘要,从而为攻击理解做出了重要贡献。例如,从一个10M审计记录的数据集开始,我们能够使用仅16个节点的图形来总结一次高级攻击活动。网络分析人员可以使用提出的HSG相对轻松地快速推断出攻击的总体情况(范围和程度)。
评估。我们根据DARPA透明计算程序生成的数据对HOLMES进行了评估,该程序由专业的红队模拟在由不同平台组成的网络上的多个网络攻击。我们为Linux,FreeBSD和Windows实现了适当的系统审核数据解析器,以处理它们的审核数据并将其转换为通用的数据表示和分析格式。使用系统审核数据的优势在于,它是可靠的信息源,并且没有未经授权的篡改(在不受威胁的内核威胁模型下)。
对HOLMES在9个真实APT攻击场景上的评估以及在为期两周的实时实验中将其作为实时入侵检测工具运行表明,HOLMES能够清楚地区分攻击和良性情况,可以发现高精度的网络攻击并进行召回(第六节)。
