多步攻击检测关键技术研究展望

信息安全研究 ›› 2024, Vol. 10 ›› Issue (5): 396-.

多步攻击检测关键技术研究展望

谢国杰1张旭2于洋2赵程遥1胡佳1王浩铭2蒋沐辰2胡程楠2

1(浙江省数据开放融合关键技术研究重点实验室杭州310052)
2(北京航空航天大学杭州创新研究院杭州310051)

出版日期:2024-05-20 发布日期:2024-05-20
通讯作者: 谢国杰工程师.主要研究方向为数字化转型、数据价值发掘、数据安全、数字政府建设和工业互联网建设. xieguojie1698@dingtalk.com
作者简介:谢国杰工程师.主要研究方向为数字化转型、数据价值发掘、数据安全、数字政府建设和工业互联网建设. xieguojie1698@dingtalk.com 张旭硕士，助理研究员.主要研究方向为入侵检测、多步攻击检测. zhangxu_bhhyy@buaa.edu.cn 于洋硕士，高级工程师.主要研究方向为数据标准、数据安全. bhhz_cybersecurity@163.com 赵程遥硕士，高级工程师.主要研究方向为数据治理、数据共享和数据安全. zhaocy@zj.gov.cn 胡佳主要研究方向为数字化转型、数字政府建设、数据开发利用. jia.huj@dtzhejiang.com 王浩铭硕士,高级工程师.主要研究方向为网络安全、数据安全. wanghaoming1006@163.com 蒋沐辰博士.主要研究方向为物联网数据采集、数能协作技术、无线网络协议、网络空间安全. 824344715@qq.com 胡程楠硕士，助理研究员.主要研究方向为拟态安全、工控安全. hcnhcn012@126.com

Key Technologies and Research Prospects in Multi-step Attack Detection

Xie Guojie1, Zhang Xu2, Yu Yang2, Zhao Chengyao1, Hu Jia1, Wang Haoming2, Jiang Muchen2, and Hu Chengnan2#br#

#br#

1(Key Laboratory of Open Data of Zhejiang Province, Hangzhou 310052)
2(Hangzhou Innovation Institute of Beihang University, Hangzhou 310051)

Online:2024-05-20 Published:2024-05-20

摘要/Abstract

摘要： 多步攻击检测技术通过分析告警日志数据，挖掘攻击场景，辅助实现高威胁攻击路径的早期发现，从而降低安全威胁风险，提高网络和信息系统的安全性.分别介绍了多步攻击检测的3种关键技术：基于告警相似性、基于告警因果知识和基于模型的多步攻击检测技术.通过比较分析，剖析了3种技术的差异.同时，还探讨了多步攻击检测技术的未来发展方向，包括与隐私计算、溯源图和因果推断等技术的融合.这些技术的融合将为网络安全提供新思路和方法，以应对不断复杂化的安全威胁.

关键词: 多步攻击检测, 告警相似度, 因果知识, 隐私计算, 溯源图, 因果推断

Abstract: Multistep attack detection technology leveragesalert log data analysis to uncover attack scenarios, aiding in the early detection of highthreat attack paths. This ultimately reduces security risks and enhances the safety of networks and information systems. This paper introduces three key technologies of multistep attack detection: alert similaritybased, alert causalitybased, and modelbased approaches. Through comparative analysis, the differences between these techniques are examined. Furthermore, this paper explores the future directions for multistep attack detection technology, including integration with privacy computation, provenance graph, and causality inference techniques. These integrations promise to offer novel approaches and methodologies for network security in the face of increasingly complex threats.

Key words: multi-step attack detection, alert similarity, causality knowledge, privacy computation, provenance graph, causality inference

中图分类号:

TP393.08

谢国杰, 张旭, 于洋, 赵程遥, 胡佳, 王浩铭, 蒋沐辰, 胡程楠, . 多步攻击检测关键技术研究展望[J]. 信息安全研究, 2024, 10(5): 396-.

参考文献

［1］Neuschmied H, Winter M, Stojanovic B, et al. APTattack detection based on multistage autoencoders［J］. Applied Sciences, 2022, 12(13): 68166816［2］Wang Li, Li Zhitang, Wang Qihong, et al. A novel technique of recognising multistage attack behaviour［J］. International Journal of High Performance Computing & Networking, 2010, 6(34): 174180［3］Haas, S, Fischer, M. GAC: Graphbased alert correlation for the detection of distributed multistep attacks［C］ Proc of the 33rd Annual ACM Symp on Applied Computing. New York: ACM, 2018: 979988［4］Tao Xiaoling, Jia Fei, YuYuelin, et al. An intrusion alarm data association analysis method［C］ Proc of the 19th IEEE Int Conf on Mobile Ad Hoc and Smart Systems (MASS). Piscataway, NJ: IEEE, 2022: 99107［5］Ramaki A A, Amini M, Atani R E. RTECA: Real time episode correlation algorithm for multistep attack scenarios detection［J］. Computers & Security, 2015, 49: 206219［6］王文娟, 杜学绘, 单棣斌. 基于动态概率攻击图的云环境攻击场景构建方法［J］. 通信学报, 2021, 42(1): 117［7］Yang Ju, Zhou Liang, Wang Le, et al. A multistep attack detection framework for the power system network［C］ Proc of the 7th IEEE Int Conf on Data Science in Cyberspace (DSC). Piscataway, NJ: IEEE, 2022: 18［8］Holgado P, Villagrá V, Vázquez L, et al. Realtime multistep attack prediction based on hidden markov models［J］. IEEE Trans on Dependable and Secure Computing, 2017, 17(1): 134147［9］Zhang Xu, Wu Ting, Zheng Qiuhua, et al. Multistep attack detection based on pretrained hidden Markov models［J］. Sensors, 2022, 22(8): 28742874［10］Huang Yonghui, Sun Yi, Lin Kaixiang, et al. An effective reconstruction method of the APT attack based on hidden Markov model［J］. Journal of Circuits, Systems and Computers, 2022, 31(6): 22501082250108［11］Ramaki Ali Ahmadian, KhosraviFarmad Masoud, Bafghi Abbas Ghaemi. Real time alert correlation and prediction using Bayesian networks［C］ Proc of the 12th Int Iranian Society of Cryptology Conf on Information Security and Cryptology (ISCISC). Piscataway, NJ: IEEE, 2015: 99103［12］Liu Jianyi, Liu Bowen, Zhang Ru, et al. Multistep attack scenarios mining based on neural network and Bayesian network attack graph［C］ Proc of the 5th Int Conf on Artificial Intelligence and Security. Piscataway, NJ: IEEE, 2019: 6274［13］Zhou Peng, Zhou Gongyan, Wu Dakui, et al. Detecting multistage attacks using sequencetosequence model［J］. Computers & Security, 2021, 105: 102203102203［14］Mao Beifeng, Liu Jing, Lai Yingxu, et al. MIF: A multistep attack scenario reconstruction and attack chains extraction method based on multiinformation fusion［J］. Computer Networks, 2021, 198: 108340108340［15］Cheng Qiumei, Wu Chunming, Zhou Shiying. Discovering attack scenarios via intrusion alert correlation using graph convolutional networks［J］. IEEE Communications Letters, 2021, 25(5): 15641567［16］李洪成, 吴晓平. 支持告警序列差分隐私保护的网络入侵关联方法［J］. 计算机工程, 2018, 44(5): 128132［17］Li Zitong, Chen Jiale, Zhang Jiale, et al. Detecting advanced persistent threat in edge computing via federated learning［C］ Proc of the 1st Int Conf on Security and Privacy in Digital Economy. Berlin: Springer, 2020: 518523［18］Sun Xiaoyan, Dai Jun, Liu Peng, et al. Using Bayesian networks for probabilistic identification of zeroday attack paths［J］. IEEE Trans on Information Forensics and Security, 2018, 13(10): 25062521［19］Milajerdi S M, Gjomemo R, Eshete B, et al. Holmes: Realtime APT detection through correlation of suspicious information flows［C］ Proc of 2019 IEEE Symp on Security and Privacy (SP). San Francisco, CA: IEEE, 2019: 11371152

[1]	秦体红, 汪宗斌, 刘洋, 马姚, 刘金华, . 基于商密SM9算法同态加密方案[J]. 信息安全研究, 2024, 10(6): 513-.
[2]	杨波, 邱晓慧, 佟冬, 胡师阳, . 人工智能与隐私计算测评应用实践方案[J]. 信息安全研究, 2023, 9(E2): 25-.
[3]	张嵩, 李雪岩, 汪诚, 田明, . 数字经济时代数据安全治理的探索和研究[J]. 信息安全研究, 2023, 9(E1): 137-.
[4]	沈传年, 徐彦婷, 陈滢霞. 隐私计算关键技术及研究展望[J]. 信息安全研究, 2023, 9(8): 714-.
[5]	余晗, 梁音, 宋继勐, 李何筱, 奚溪, 原洁璇, . 数据安全共享技术发展综述及在能源电力领域应用研究[J]. 信息安全研究, 2023, 9(3): 208-.
[6]	朱悦, 庄媛媛, . 联邦学习的个人信息保护合规分析框架[J]. 信息安全研究, 2023, 9(2): 162-.
[7]	李博, 郑华祥, 李绍宾, . 基于隐私计算的政务数据开放技术平台设计与实践[J]. 信息安全研究, 2023, 9(12): 1203-.
[8]	李闯, 陈欣, 金凡, . 公正第三方在典型隐私计算场景中的作用研究[J]. 信息安全研究, 2023, 9(11): 1086-.
[9]	张兴, 赵卫国, 覃艺, 陈谦, 王影, . 基于可信计算3.0的大数据安全计算管控系统设计与实现[J]. 信息安全研究, 2022, 8(E2): 61-.
[10]	韩蒙, 杨波, 邱晓慧, 林昶廷, . 面向金融行业的可信隐私计算评测解决方案[J]. 信息安全研究, 2022, 8(E2): 120-.
[11]	蒋才平, 亢洋, 李景华, 郭小波, 田青. 网络身份认证中隐私计算技术应用初探[J]. 信息安全研究, 2022, 8(9): 863-.
[12]	邱勤, 徐天妮, 于乐, 吕欣, 袁捷, 张峰, 张滨, . 算力网络安全架构与数据安全治理技术[J]. 信息安全研究, 2022, 8(4): 340-.
[13]	马英, . 一种基于隐私计算的数据共享模型研究[J]. 信息安全研究, 2022, 8(2): 122-.
[14]	安鹏, 张卓晖, 喻波. 基于微服务与隐私计算技术的数据安全共享服务平台[J]. 信息安全研究, 2022, 8(10): 1000-.
[15]	魏国富石英村. 人工智能数据安全治理与技术发展概述?[J]. 信息安全研究, 2021, 7(2): 110-119.