SHADEWATCHER

文章导航

× 文章目录

1. 1. SHADEWATCHER: 使用系统审计记录的建议指导的网络威胁分析
   1. 1.1. 概述
      1. 1.1.1. 现有检测系统
      2. 1.1.2. 研究动机
      3. 1.1.3. 使用的方法

S&P 2022 SHADEWATCHER: 使用系统审计记录的建议指导的网络威胁分析

SHADEWATCHER: 使用系统审计记录的建议指导的网络威胁分析

——by Zehua Ren （待更新）

S&P 2022

CCF A

[toc]

概述

网络安全中的威胁检测与信息检索中的推荐之间的结构相似性。通过将系统-实体交互的安全概念映射到用户-项目交互的推荐概念，通过预测系统实体对其交互实体的偏好来识别网络威胁。

开发了自动检测系统 SHADEWATCHER。它通过图神经网络检测审计记录中高阶信息，能够在几秒钟内查明来自近百万个系统实体交互的威胁。

Data provenance techniques：数据出处技术，以通过描述系统执行历史的出处图导航审计记录。来源数据中丰富的上下文使分析师能够对系统活动进行因果分析，以检测入侵、跟踪依赖关系和安全事件的原因。

现有检测系统

基于出处的检测器分为三类：

1. 基于统计的检测：通过稀有性量化审计记录的可疑程度
2. 基于规范的检测：已知攻击模式知识库匹配
3. 基于学习的检测：对良性行为进行建模并检测与它们的偏差

主要问题：

1）大量假告警 2）依赖专家知识 3）检测信号不准确

1. 基于统计的检测容易产生大量错误警报，统计分析只考虑出处图中的直接（因果）联系，而不是系统实体之间的微妙（语义）关系。
2. 基于规范的检测可以通过将攻击语义定义为安全策略来保持较低的误报率，但这种启发式方法的开发既耗时又容易出错。
3. 基于学习的检测旨在将审计记录的因果关系和语义全面纳入威胁分析。尽管检测精度很高，但当前的学习方法会产生粗粒度级别的检测信号。

研究动机

威胁行为者通常会通过分析人员认为可疑的意外系统实体交互来引发不需要的行为。可以通过确定系统实体与另一个实体交互的可能性来揭示网络威胁。这种交互的可能性可以通过利用起源图中的因果连通性来估计。这种连接性并没有捕捉到系统实体背后隐藏的语义意义：隐藏内因。

推荐系统用户和项目之间的直接连接，称为一阶连接，不足以比较不同项目之间的语义相似性。研究人员进一步考虑了项目的辅助信息捕获项目语义。其核心是辅助信息可以形成高阶连接，以链接在用户-项目交互中断开的相似项目。

我们的目标是结合系统实体的辅助信息来全面解释它们的交互。系统实体的语义可以从使用它们的上下文中揭示出来，我们利用上下文信息作为基础辅助信息来分析系统实体。此后，尽管在因果分析中被认为不相关，但具有相似上下文的系统实体将在语义上相关。

语义相似的系统实体会表现出相似的交互偏好。例如，敏感文件（例如 /etc/passwd 和 /etc/shadow）通常不与公共网络交互，否则表明数据泄露 。——威胁检测可以进一步指定为预测系统实体不“偏爱”其交互实体的可能性。与研究用户偏好的典型推荐场景相比，威胁检测针对系统实体不太喜欢的交互，因为此类交互通常是强攻击指标。

使用的方法

介绍了 SHADEWATCHER，这是第一个通过对系统实体交互的建议来分析网络威胁的系统。 SHADEWATCHER 使用上下文感知嵌入模型提取系统实体的辅助信息，该模型通过实体在运行系统中的使用来展开实体的语义。为了揭示系统实体的交互意图，SHADEWATCHER 采用了基于图神经网络的推荐模型，该模型通过递归地传播来自相邻实体的信息来利用高阶连通性。此外，SHADEWATCHER 会根据分析师对检测信号（即潜在的恶意交互）的反馈动态更新其模型。这允许 SHADEWATCHER 将错误推荐整合为额外的监督，以提高其检测能力。作为一种半监督方法，SHADEWATCHER 接受了未标记的良性系统实体交互与标记的分析师对错误警报的反馈相结合的训练。

方法优点(针对上述三种缺点)：

1. SHADEWATCHER 不是将历史频率作为衡量怀疑程度的指标，而是推断系统实体的内在语义以发现异常交互；
2. SHADEWATCHER 提供端到端的解决方案来检测威胁，而无需事先了解攻击；
3. SHADEWATCHER 产生细粒度的检测信号，突出攻击的关键指标。

SHADEWATCHER 有效区分良性和恶意系统实体交互，并以高精度和召回率检测网络威胁。证明了 SHADEWATCHER 的效率足以扩展到企业环境。