Advanced Persistent Threat (APT) attack usually refers to the form of long-term, covert and sustained attack on specific targets, with an adversary using advanced attack techniques to destroy the key facilities of an organization. APT attacks have caused serious security threats and massive financial loss worldwide. Academics and industry thereby have proposed a series of solutions to detect APT attacks, such as dynamic/static code analysis, traffic detection, sandbox technology, endpoint detection and response (EDR), etc. However, existing defenses are failed to accurately and effectively defend against the current APT attacks that exhibit strong persistent, stealthy, diverse and dynamic characteristics due to the weak data source integrity, large data processing overhead and poor real-time performance in the process of real-world scenarios. To overcome these difficulties, in this paper we propose \sn{}, a stable, efficient and real-time APT detection system for Linux hosts. In the aspect of data collection, audit is selected to stably collect kernel data of the operating system so as to carry out a complete portrait of the attack based on comprehensive analysis and comparison of existing logging tools; In the aspect of data processing, redundant semantics skipping and non-viable node pruning are adopted to reduce the amount of data, so as to reduce the overhead of the detection system; In the aspect of attack detection, an APT attack detection framework based on ATT\&CK model is designed to carry out real-time attack response and alarm through the transfer and aggregation of labels. Experimental results on both laboratory and Darpa Engagement show that our system can effectively detect web vulnerability attacks, file-less attacks and remote access trojan attacks, and has a low false positive rate, which adds far more value than the existing frontier work.


翻译:高级持续威胁(APT)攻击通常指长期、隐蔽和持续攻击特定目标的形式,其对手使用先进的攻击技术摧毁一个组织的关键设施。APT攻击在全世界造成严重的安全威胁和巨大的财政损失。因此,学术界和工业界提出了一系列办法来探测APT攻击,例如动态/静态代码分析、交通检测、沙箱技术、端点检测和反应等。然而,现有防御系统未能准确和有效地防御目前APT攻击的形式,这些攻击由于数据源完整性薄弱、大量数据处理间接费用和现实世界情景过程中的实时性能差,表现出强烈的持久性、隐性、多样性和动态性特征。为了克服这些困难,我们在本文件中建议建立稳定、高效和实时APT探测系统。在数据收集方面,选择审计可精确地收集操作系统的内核反应数据,以便在全面分析和比较现有记录工具的基础上对攻击进行彻底的直观、隐蔽性、不易变现和动态性特征描述; 在数据处理过程中,远程检测结果显示系统检测速度显示速度,从而降低基于实验室的系统检测数量,从而减少基于实验室进行不精确的检测和不精确的系统进行攻击。

0
下载
关闭预览

相关内容

专知会员服务
18+阅读 · 2021年6月10日
【干货书】Linux命令行与shell脚本编程大全,第3版818页pdf
专知会员服务
61+阅读 · 2020年12月30日
Linux导论,Introduction to Linux,96页ppt
专知会员服务
78+阅读 · 2020年7月26日
开源书:PyTorch深度学习起步
专知会员服务
50+阅读 · 2019年10月11日
MMDetection v2.0 训练自己的数据集
CVer
30+阅读 · 2020年8月9日
msf实现linux shell反弹
黑白之道
49+阅读 · 2019年8月16日
CCF A类 | 顶级会议RTSS 2019诚邀稿件
Call4Papers
10+阅读 · 2019年4月17日
Github项目推荐 | pikepdf - Python的PDF读写库
AI研习社
9+阅读 · 2019年3月29日
HoneyDrive - 蜜罐Linux发行版
黑白之道
3+阅读 · 2018年5月2日
Soft-NMS – Improving Object Detection With One Line of Code
统计学习与视觉计算组
6+阅读 · 2018年3月30日
carla无人驾驶模拟中文项目 carla_simulator_Chinese
CreateAMind
3+阅读 · 2018年1月30日
已删除
将门创投
7+阅读 · 2017年7月11日
Deep Learning for Deepfakes Creation and Detection
Arxiv
6+阅读 · 2019年9月25日
Clustered Object Detection in Aerial Images
Arxiv
5+阅读 · 2019年8月27日
Arxiv
4+阅读 · 2018年1月19日
VIP会员
相关资讯
MMDetection v2.0 训练自己的数据集
CVer
30+阅读 · 2020年8月9日
msf实现linux shell反弹
黑白之道
49+阅读 · 2019年8月16日
CCF A类 | 顶级会议RTSS 2019诚邀稿件
Call4Papers
10+阅读 · 2019年4月17日
Github项目推荐 | pikepdf - Python的PDF读写库
AI研习社
9+阅读 · 2019年3月29日
HoneyDrive - 蜜罐Linux发行版
黑白之道
3+阅读 · 2018年5月2日
Soft-NMS – Improving Object Detection With One Line of Code
统计学习与视觉计算组
6+阅读 · 2018年3月30日
carla无人驾驶模拟中文项目 carla_simulator_Chinese
CreateAMind
3+阅读 · 2018年1月30日
已删除
将门创投
7+阅读 · 2017年7月11日
Top
微信扫码咨询专知VIP会员