Advanced Persistent Threat Detection and Mitigation Using Machine Learning Model

The detection of cyber threats has recently been a crucial research domain as the internet and data drive people’s livelihood.Several cyber-attacks lead to the compromise of data security.The proposed system offers complete data protection from Advanced Persistent Threat(APT)attacks with attack detection and defence mechanisms.The modified lateral movement detection algorithm detects the APT attacks,while the defence is achieved by the Dynamic Deception system that makes use of the belief update algorithm.Before termination,every cyber-attack undergoes multiple stages,with the most prominent stage being Lateral Movement(LM).The LM uses a Remote Desktop protocol(RDP)technique to authenticate the unauthorised host leaving footprints on the network and host logs.An anomaly-based approach leveraging the RDP event logs on Windows is used for detecting the evidence of LM.After extracting various feature sets from the logs,the RDP sessions are classified using machine-learning techniques with high recall and precision.It is found that the AdaBoost classifier offers better accuracy,precision,F1 score and recall recording 99.9%,99.9%,0.99 and 0.98%.Further,a dynamic deception process is used as a defence mechanism to mitigateAPTattacks.A hybrid encryption communication,dynamic(Internet Protocol)IP address generation,timing selection and policy allocation are established based on mathematical models.A belief update algorithm controls the defender’s action.The performance of the proposed system is compared with the state-of-the-art models.

基于传染病和网络流模型分析APT攻击对列车控制系统的影响

高级可持续威胁(APT)是目前工业控制系统面临的主要威胁之一。APT攻击利用计算机设备漏洞入侵列车控制网络,感染并且扩散到网络中的其他设备,影响系统正常运行,因此评价APT攻击对列车控制系统的影响非常必要。提出一种基于传染病模型和网络流理论结合的APT攻击影响分析方法。首先,分析在APT攻击的不同阶段设备节点状态之间的转化规则,结合传染病理论建立APT攻击传播模型,研究攻击过程中的节点状态变化趋势;其次,把设备节点的状态变化融入网络流模型中,研究APT攻击过程中设备节点状态变化对列车控制网络中列车移动授权信息流的影响;最后,结合列车控制系统的信息物理耦合关系,分析APT攻击对列控系统整体性能的影响。仿真实验展现了APT攻击过程中节点状态变化的趋势,验证该方法在分析APT病毒软件在列车控制网络中的传播过程对列车控制系统整体性能影响的有效性,为管理者制定防御方案提供依据,提升列车控制系统信息安全水平。

A Cyber Kill Chain Approach for Detecting Advanced Persistent Threats

The number of cybersecurity incidents is on the rise despite significant investment in security measures.The existing conventional security approaches have demonstrated limited success against some of the more complex cyber-attacks.This is primarily due to the sophistication of the attacks and the availability of powerful tools.Interconnected devices such as the Internet of Things(IoT)are also increasing attack exposures due to the increase in vulnerabilities.Over the last few years,we have seen a trend moving towards embracing edge technologies to harness the power of IoT devices and 5G networks.Edge technology brings processing power closer to the network and brings many advantages,including reduced latency,while it can also introduce vulnerabilities that could be exploited.Smart cities are also dependent on technologies where everything is interconnected.This interconnectivity makes them highly vulnerable to cyber-attacks,especially by the Advanced Persistent Threat(APT),as these vulnerabilities are amplified by the need to integrate new technologies with legacy systems.Cybercriminals behind APT attacks have recently been targeting the IoT ecosystems,prevalent in many of these cities.In this paper,we used a publicly available dataset on Advanced Persistent Threats(APT)and developed a data-driven approach for detecting APT stages using the Cyber Kill Chain.APTs are highly sophisticated and targeted forms of attacks that can evade intrusion detection systems,resulting in one of the greatest current challenges facing security professionals.In this experiment,we used multiple machine learning classifiers,such as Naïve Bayes,Bayes Net,KNN,Random Forest and Support Vector Machine(SVM).We used Weka performance metrics to show the numeric results.The best performance result of 91.1%was obtained with the Naïve Bayes classifier.We hope our proposed solution will help security professionals to deal with APTs in a timely and effective manner.

Beyond Defense: Proactive Approaches to Disaster Recovery and Threat Intelligence in Modern Enterprises

As cyber threats keep changing and business environments adapt, a comprehensive approach to disaster recovery involves more than just defensive measures. This research delves deep into the strategies required to respond to threats and anticipate and mitigate them proactively. Beginning with understanding the critical need for a layered defense and the intricacies of the attacker’s journey, the research offers insights into specialized defense techniques, emphasizing the importance of timely and strategic responses during incidents. Risk management is brought to the forefront, underscoring businesses’ need to adopt mature risk assessment practices and understand the potential risk impact areas. Additionally, the value of threat intelligence is explored, shedding light on the importance of active engagement within sharing communities and the vigilant observation of adversary motivations. “Beyond Defense: Proactive Approaches to Disaster Recovery and Threat Intelligence in Modern Enterprises” is a comprehensive guide for organizations aiming to fortify their cybersecurity posture, marrying best practices in proactive and reactive measures in the ever-challenging digital realm.

一种基于ATT&CK的新型电力系统APT攻击建模

以新能源为主体的新型电力系统,新能源与多元负荷形态比例大幅提升。高比例的可再生新能源与电力电子设备的接入以及供给侧和需求侧的随机性,导致电网遭受的攻击面增大,攻击者利用隐蔽和复杂的手段针对新型电力系统发动高级可持续威胁攻击,严重影响电网调度与能源消纳。文章基于ATT&CK知识库建立了面向新型电力系统APT攻击的杀伤链模型,针对传统方法难以将APT攻击技术划分到杀伤链攻击阶段,从而导致安全员无法迅速做出防御决策的情况,提出了一种基于杀伤链模型的APT攻击技术阶段划分方法,并采用Bert模型对技术文本进行语义分析,自动将攻击技术划分到所属阶段。实验结果表明,文章所提方法比现有模型具有更好的效果。

结合动态行为和静态特征的APT攻击检测方法

针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transformer-Encoder算法识别APT恶意软件的准确率达到了95.8%。对识别出的APT恶意软件进行组织分类,提取软件调用的DLL(dynamic link library)和API(application programming interface),并组合成DLL:API的特征形式,将1D-CNN(one dimensional convolutional neural networks)算法应用于APT恶意软件组织分类的准确率达到了98.7%,比之前的方法提高了5个百分点。与热门的深度学习算法和机器学习算法的实验效果做对比,数据表明,提出的方法相比其他方法,准确率有较大提升。

APT攻击趋势分析和防御建议

APT(Advaneed Persistent Threat,高级持续性威胁)攻击严重威胁全球经济发展和国家安全稳定,文章首先简述了APT攻击的特点和生命周期,然后结合近年来APT攻击典型案例分析APT发展趋势和特点,最后提出提升我国APT监测和防御能力的方法建议。

基于半监督引导的网络APT检测知识图谱构建

各国信息系统等重要设施的高级持续性威胁(APT)攻击愈发频繁,且APT具有针对性强、隐蔽性好、破坏性大等特点。为了高效检测APT攻击,提出一种基于知识库的APT攻击检测方案。首先,通过搜集大量开源APT威胁数据,提出一种基于深度学习级联模型结构的新型APT知识获取方法。然后,针对数据的多源异构性,提出一种半监督Bootstrap的知识融合方法,以自动构建APT知识图谱。接下来,针对APT攻击检测识别的准确性,提出一种基于Bert+BiLSTM+Self-Attention+CRF模型的APT攻击检测方案,Bert模型提取文本特征,BILSTM提取输入语句与上下文之间的关系,融合Self-Attention机制关注上下文中的语义及APT实体间的关系,CRF模型根据标签间的依赖关系提取全局最优的输出标签序列,以得到APT攻击命名实体。实验表明,Bert+BiLSTM+Self-Attention+CRF模型的准确率、召回率、F1值分别达到88.69%、77.13%和82.5%,整体性能相较于现有方法更优。

一种应对APT攻击的安全架构:异常发现

威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全架构无法协助防御者及时发现威胁的存在.在深入剖析威胁的外延和内涵的基础上,详细探讨了威胁防御模型.提出了一种应对APT攻击的安全防御理论架构:异常发现,以立足解决威胁发现的难题.异常发现作为防御策略和防护部署工作的前提,通过实时多维地发现环境中存在的异常、解读未知威胁、分析攻击实施者的目的,为制定具有针对性的应对策略提供必要的信息.设计并提出了基于异常发现的安全体系技术架构:"慧眼",通过高、低位协同监测的技术,从APT攻击的源头、途径和终端3个层面监测和发现.

因果图表征的网络攻击数据集构建

高级可持续威胁攻击因其多阶段可持续的特性,已经成为现阶段网络攻击的主要形式。针对此类型攻击的检测、预测研究,不可避免地需要相关数据集的支撑。在构建数据集时,往往需要真实的网络与主机数据。但出于隐私与安全的考虑,很少有满足要求的开源数据集。现有的数据集也往往只提供原始的网络流和日志数据,对长时攻击上下文解析的缺乏导致单纯地利用神经网络进行数据包的恶性甄别和预测的实用性不足。为了解决这些问题,该文基于网络环境的真实攻击过程数据,构建并公布了一个基于因果图的网络攻击数据集。与传统的原始网络流和日志数据集相比,该数据集充分挖掘了攻击上下文中的因果关系,可以跨长时域对高级可持续威胁攻击进行建模,方便研究人员进行攻击检测与预测的研究。该数据集开源在https://github.com/GuangmingZhu/CausalGraphAPTDataset上。

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度。据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率。对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点。实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现。

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。

基于LDA模型的海量APT通信日志特征研究

为实现高级持续性威胁(APT)的通信检测,提出一种对服务器端和主机端日志数据的检测方法。通过建立IP地址数据库,采用DBSCAN聚类算法对海量日志数据进行收集和处理得到异常通信日志。利用高级持续性威胁14种通信特征的隐含狄利克雷分布(LDA)建模对异常通信日志进行检测。实验结果表明,与潜在语义分析和概率潜在语义分析检测模型相比,LDA建模提高了APT通信检测的效率和准确度。

一种考虑攻击连续性的告警关联聚合方法

现有告警关联聚合方法无法深度刻画攻击意图,难以挖掘告警之间的内在逻辑关系。针对上述问题,设计一种考虑攻击连续性的告警关联聚合方法。该方法按照源IP到目的IP过滤原始告警序列,从攻击载荷相似性、攻击者身份信息、攻击触发位置和武器平台信息等4方面出发评估相邻恶意请求的连续性,并以此为依据将初始告警聚合成组。在多种真实漏洞构建的场景中,开展2种不同类型的攻击实验。实验结果证明,所提算法能够在聚合冗余告警的同时区分攻击类型,为多步骤攻击的分析关联工作提供支撑。

铁路信号系统高级持续威胁攻击分析及应对措施研究

针对国内外日益猖獗的高级持续威胁攻击,首先从基本概念、攻击机理、生命周期等方面进行全方位剖析,深入研究社会工程学、木马后门、隐遁逃逸等高级持续威胁攻击常用到的关键技术。其次通过分析铁路信号系统的网络架构和业务特点,找出其可能遭受高级持续威胁攻击的途径及防御薄弱点。最后结合网络安全建设成熟度滑动标尺模型的5个阶段,从技术和管理两方面提出一系列应对措施,技术方面包括基于行为的网络流量分析技术、大数据关联分析技术、欺骗防御技术等,管理方面包括漏洞管理、供应链管理、安全意识培训等,旨在为铁路信号系统应对高级持续威胁攻击进行防御规划,并为未来的网络安全建设提供参考。

APT攻击分层表示模型

针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击树上下两层,并将其形式化定义。首先,将APT攻击分为由侦察、渗透、行动和撤出四个阶段组成的攻击链,并研究了各阶段特点;然后,研究各阶段中采取的攻击手段,并依据其逻辑关系组成攻击树。APT攻击按照攻击链分阶段依次进行,各阶段按照攻击树流程依次执行。案例分析表明,本模型相较攻击链模型具有粒度划分合理、攻击描述完备准确的优点。APT-HARM形式化地定义了APT攻击,为APT攻击的预测和防范提供了一种思路。

非对称信息条件下APT攻防博弈模型

针对目前缺少对高级持续威胁(APT)攻击理论建模分析的问题,提出了一种基于Flip It模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,考虑到攻防双方在博弈中观察到的反馈信息的不对称性以及防御效果的不彻底性,给出了在防御者采取更新策略时攻防双方的收益模型及最优策略的条件,同时给出并分别证明了达到同步博弈与序贯博弈均衡条件的定理;最后通过数例分析了影响达到均衡时的策略及防御收益的因素,并比较了同步博弈均衡与序贯博弈均衡。结果表明周期策略是防御者的最优策略,并且与同步博弈均衡相比,防御者通过公布其策略达到序贯博弈均衡时的收益更大。实验结果表明所提模型能够在理论上指导应对隐蔽性APT攻击的防御策略。

基于通信特征的APT攻击检测方法

高级持续性威胁(APT)已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提出了一种基于通信特征的APT攻击检测方法。为了提高该方法的检测效果,还提出了利用bloom filter对报文进行快速筛选和精确匹配相结合的双层通信特征匹配算法。实验结果表明,该方法具有较高的检测率和较低的误报率。

APT攻击详解与检测技术

高级持续性威胁(APT)以窃取特定目标的机密情报或者是破坏计算机系统为目的,严重威胁着企业、社会甚至是国家层面的信息安全。针对现有APT攻击检测技术不能完全有效地检测出APT攻击的问题,提出了APT攻击的检测思路。首先,从定义和实际情况出发对APT攻击的特征进行了总结,围绕APT攻击的生命周期详细分析了APT攻击的过程,并列举了常用的技术手段;然后,归纳了传统检测技术在应对APT攻击时的困难之处,总结了目前APT攻击检测技术以及它们的优缺点;最后,提出了检测APT攻击的思路。对APT攻击的检测应充分考虑对未知威胁的检测、对APT攻击的判断、对部分历史数据的分析以及实时性检测。

高等级安全网络抗APT攻击方案研究

文章在分析高安全等级网络所面临的APT攻击风险基础上,简述了高安全等级网络抗APT攻击方案的主要思想,阐述了高安全等级网络抗APT攻击方案设计,并提出了高安全等级网络抗APT攻击的思想和策略。