李锭-下一代智能化终端入侵检测与溯源系统.pdf

1、下一代智能化终端入侵检测与溯源系统李锭，北京大学2 APT攻击是我国信息安全的重大威胁美国NSA对西北工业大学发动APT攻击，窃取超140GB数据专业化：由政府部门（特定入侵行动办公室TAO）的专业黑客发动，广泛采用0day攻击和漏洞APT：高级可持续性威胁分散化：40余种不同的NSA专属网络攻击武器、攻击链路多达1100余条、操作的指令序列90余个长期化：持续时间可达数月甚至数年，长期窃取被害者数据特点3APT攻击对入侵检测系统提出新的要求专业化：由政府部门（特定入侵行动办公室TAO）的专业黑客发动，广泛采用0day攻击和漏洞分散化：40余种不同的NSA专属网络攻击武器、攻击链路多达1100

2、余条、操作的指令序列90余个长期化：持续时间可达数月甚至数年，长期窃取被害者数据自适应：可主动学习系统行为模式，检测0day攻击可溯源：可自动关联多种攻击手段长时效：能够长时间连续监控入侵行为漏洞扫描日志审计NIDS防火墙云查杀病毒扫描现有方法缺乏溯源能力，综合防御能力弱只有少数产品符合部分要求APT防御技术需求4基于溯源分析的新一代APT攻击防御技术自适应：基于行为的系统异常检测可溯源：溯源图关联分散化攻击长时效：24小时不间断实时监控系统行为，持续检测系统入侵实时监控系统行为日志（文件访问、网络访问、进程交互），构建溯源图，利用机器学习技术检测APT攻击目标：基于溯源图的APT攻击准确检测

3、和溯源特点方法5溯源分析系统：系统架构 在每一个终端上安装探针，收集系统溯源事件 目前探针包括Sysdig，Linux Audit，ETW，Datadog agent等 将溯源数据汇总到一个数据流上，由监管服务器分析处理 监管服务器运行检测算法，在海量溯源数据中识别与攻击有关的数据，并输出描述攻击的溯源图 可能将关键溯源数据存入数据库中，以便事后查验取证6 当前工业界在关心什么？学术界是否和工业界保持一致？RQ1 有效性:工业界是否认可溯源分析的有效性?RQ2 瓶颈：是什么原因导致工业界不愿意采用很多学术界提出的技术？RQ3 差距:目前学术界提出的主要技术，能否满足工业界的需求？我们的技术是否

4、有用？我们还需要优化什么？我们还需要做什么？7 一个面向工业界的实证研究Are We There Yet?An Industrial Viewpoint on Provenance-based Endpoint Detection and Response Tools Feng Dong,Shaofei Li,Peng Jiang,Ding Li,Haoyu Wang,Liangyi Huang,Xusheng Xiao,Jiedong Chen,Xiapu Luo,Yao Guo,Xiangqun Chen,(CCS 2023)我们的实证研究包括四个部分：采访谈话：对象包括10位国内主流互联

5、网企业的安全团队负责人 在线问卷：对象包括48名安全工程师 文献调研：20篇近期发表在安全顶会上的论文 测量分析：在8种不同硬件环境下对6种主流溯源分析技术进行研究2.在线问卷1.采访谈话3.文献调研4.测量分析主要考量因素量化考虑指标评估论文未评估指标探究论文指标是否符合期望 8 研究结果：采访谈话及在线问卷 工业界认为溯源分析是比传统方法更有效的技术 四位负责人已经在自己负责的系统中采用了溯源分析技术 成本是工业界的主要关注点9研究结果：文献调研及测量分析运行开销 当前技术运行开销较大，难以满足工业界要求 运行开销可高达接近600%结果不够准确简洁，需要大量人工分析排除错误，人力成本高 几

6、乎没有学术论文关注溯源分析技术的开销和成本误报数量/天（预期值0.01）溯源图大小（预期值50）10结论 RQ 1 有效性：工业界认可溯源分析的有效性 4/10的安全团队已经在采用溯源分析技术 所有的安全团队负责人都表示认可溯源分析的有效性 RQ 2 瓶颈：成本是目前工业界采用溯源分析的主要瓶颈 RQ 3 差距：当前学术界主要关注算法准确性，对成本的关注度不足11现有方法局限：系统不安全，分析算法不准确，成本高开销大，黑客可攻击分析不准确，成本高NodLink:高精度实时分析算法NoDrop:高效高可靠数据采集器12NodLink：基于人工智能的APT攻击实时检测与溯源算法 问题：如何在海量溯