首席安全官Plus是由一羣科研院所的網絡空間安全研究人員發起成立的民間網絡空間安全知識平臺,努力打造“有特色、高水平、國際化”的網絡安全思想高地。圍繞“大數據、雲計算和人工智能”等高技術領域的網絡安全前沿技術、產業趨勢和資本市場,匯聚一流資源,產出一流安全洞察。如投稿,請發送到:[email protected]。
Usenix Security是信息安全領域“四大”頂級學術會議(此外還包括S&P,CCS,NDSS)之一,始於上世紀90年代初,每年涵蓋的安全領域包含:二進制安全、固件安全、取證分析、Web安全、隱私保護、惡意分析、硬件保護、智能合約等。Usenix Security 被中國計算機學會(CCF)列爲“網絡與信息安全”A類會議。本文選自Usenix Security'19技術報告(ATTACK2VEC: Leveraging Temporal Word Embeddings to Understand the Evolution of Cyberattacks)。
現代的網絡攻擊具有高度複雜性的特點,攻擊者往往會通過一系列攻擊步驟來達到破壞計算機系統目的,這一系列攻擊步驟通常包括偵測(Reconnaissance)、漏洞利用(Vulnerability Exploitation)、持久化(Persistence)和提權(PrivilegeEscalation)等。
其中,偵測用來尋找受害者設備上的漏洞;漏洞利用用來根據發現的漏洞進行滲透操作;持久化用來固定攻擊建立立足點,如在目標計算設備上安裝遠程訪問木馬;提權用來增加攻擊者訪問權限。值得注意的是,由於高級攻擊由多個攻擊步驟組成,攻擊者可以靈活選擇要利用的漏洞來調整攻擊步驟組合。
一、研究背景
現有工作主要聚焦於單個攻擊步驟(如,CVE漏洞利用)的演化以及獨立使用,這些工作雖然有助於我們深入理解單個攻擊步驟是如何被顯著利用的,但是並沒有告訴我們單個攻擊步驟是在如何在複雜網絡攻擊中運用的。
而研究攻擊步驟之間的關聯關係,能夠爲學術界和工業界提供寶貴的安全洞見,進而深入理解攻擊者的操作方式、攻擊方式以及演化趨勢,最終有助於設計出強有力的防禦系統來應對這些複雜的網路攻擊,同時有助於對攻擊進行溯源和取證,找到幕後黑手。
高級攻擊往往從漏洞利用開始,如當CVE發佈一個新漏洞時,攻擊者得知後會嘗試一系列策略來利用這個新漏洞,直至成功地實施攻擊達到可靠地損害計算機系統的目標。此後,這種綜合攻擊可能會被添加到工具軟件中進行商業化,供多個攻擊者使用。
本文中,將漏洞利用的相關攻擊步驟序列稱爲漏洞上下文(Context)。因此,深入理解漏洞利用的上下文並檢測其動態變化,有助於更好地掌握攻擊者的操作方式,有助於開發出增強的主動防禦系統,有助於提高企業和組織中的態勢感知能力。
二、研究問題
然而,已有的攻擊策略並不會隨着時間的推移而變得穩定,而是會隨着企業和組織部署新的防禦措施,或者攻擊者開發出了更有效的策略不在使用舊策略,而變得失效。
爲此,現有的防禦系統使用了監督學習模型來學習和訓練漏洞以及相關的上下文來檢測攻擊,但是隨着時間的推移,攻擊方式不斷演變,這些監督學習模型也不在有效,因此需要進行週期性的再訓練。
因此,現有技術在理解高級攻擊方面存在不夠及時高效的問題。
三、解決方案
爲了對攻擊步驟的上下文進行建模,Attack2Vec採用了自然語言處理領域中的詞嵌入(Word Embedding)技術。
詞嵌入技術是用於建模單詞之間關係的強大工具,它利用句子上下文(即,周圍單詞)將某一單詞表示成低維向量,這個低維向量能夠捕捉單詞的上下文以及與其他單詞之間的關係,從而允許我們理解單詞在不同語言中的使用方式。
同樣地,Attack2Vec將整個攻擊序列視爲一個句子,將每個步驟視爲一個單詞,進而計算攻擊步驟的嵌入。一旦將攻擊步驟之間的關係編碼到向量空間中,就可以定量地研究隱空間中的攻擊步驟的相似上下文,因此,Attack2Vec能夠以更有意義且可測量的方式理解網絡攻擊演變模式。
四、實驗評估
首先,研究團隊收集了商業入侵防禦系統(Intrusion Prevention System,IPS)兩年的安全告警作爲高級攻擊的數據集。在整個收集期間,研究團隊每週收集102張快照,每個快照涉及數千萬臺獨立計算設備的1.9億個告警,每個告警預示着攻擊者的一個攻擊步驟。此外,數據集中的告警類型超過8000種,從端口掃描到特定的CVE漏洞利用。需要補充說明的是,雖然這個數據集只包含基於簽名的告警,但是這些告警對於研究實戰化場景中的攻擊者行爲並不是毫無用處的。
其次,研究團隊使用Attack2Vec接入安全事件流,並使用時序詞嵌入技術來計算相關的上下文,實驗表明:
1)Attack2Vec能夠有效地監視安全事件是如何被利用的。例如,可以確定某個CVE漏洞何時開始被利用,何時它的利用變得穩定,何時攻擊者在利用時改變策略。
2)通過利用不同安全事件上下文之間的相似性,可以推斷出哪些事件經常被用作同一高級攻擊利用,使得Attack2Vec比現有技術以更及時的方式識別新出現的攻擊。例如,Attack2Vec能夠識別Mirai僵屍網絡的一個變種,包括它如何掃描Internet,如何試圖利用與Apache Struts相關的CVE漏洞;也能夠提前本文數據集來源單位72周識別出IOT相關的攻擊。
五、論文貢獻
1) 證明了時序詞嵌入技術是研究漏洞利用相關攻擊步驟以及演變模式有效的方法;
2) ATTACK2VEC能夠理解攻擊步驟的出現、演變和特徵;
3) ATTACK2VEC具有一定的識別新攻擊的能力。
版權聲明:本文爲首席安全官Plus原創文章,作者安未然,轉載請註明來源,謝謝!