西安电子科技大学 | 基于双向深度学习的攻击图构建和威胁预测

原文标题：DeepAG: Attack Graph Construction and Threats Prediction With Bi-Directional Deep Learning
原文作者：Teng Li*; Ya Jiang; Chi Lin; Mohammad S.Obaidat; Yulong Shen; Jianfeng Ma
发表期刊：2023 IEEE Transactions on Dependable and Secure Computing (TDSC)
_原文链接：_https://ieeexplore.ieee.org/document/9684707
主题类型：攻击预测
笔记作者：三鹿
主编：黄诚@安全学术圈

论文工作

提出了一个利用系统日志来检测威胁和预测攻击路径的框架DeepAG。DeepAG利用transformer模型对系统日志的语义信息建模来检测APT攻击序列。还利用LSTM网络提出了攻击路径的双向预测，达到了比传统的BiLSTM更高的性能。此外，利用先前检测到的攻击序列和预测路径，DeepAG构建攻击者可能遵循的攻击图来破坏网络。最后，DeepAG还提供了词汇外(OOV)文字处理和在线更新机制，以适应在检测和预测阶段出现的新的攻击模式。

研究目标

• 精准预测：为了保证预防的有效性，DeepAG需要以高精度和实时的方式检测威胁；

• 适应新模式：为了克服学习不足，DeepAG应该学习新的模式，并在处理意外日志时取得良好的性能；

• 图处理：单步预测不足以捕捉攻击阶段之间的关系。为了直观地获得更多的主动预防策略，DeepAG应该将依赖关系可视化成一个图。

论文贡献

• 利用transformer模型用向量表示日志序列，减少了语义信息的损失，并且可以并行处理日志向量进行攻击检测；

• 首次提出了包括前向和后向LSTM在内的双向模型来定位系统日志上的异常点，它避免了单个LSTM模型的偏差，提高了性能；

• DeepAG可以通过攻击图对攻击序列之间的非线性依赖关系进行建模，并标记出异常点，从而直观地向用户展示攻击路径，帮助用户进行主动防御；

• DeepAG在攻击检测方面表现出较低的运行时开销(不到1秒)，还可以成功地对几乎100%的序列进行检测，同时提高了定位攻击点的精度。

威胁模型

上图描述了一个完整渗透攻击的九个关键阶段，这样的网络攻击给当前网络安全带来了两个挑战：

• 更多漏洞：越来越复杂的工作带来了更多的漏洞和漏洞，使系统难以维护和检测攻击。

• 长持续时间：网络攻击具有很强的连续性，图1只是整个计划的一小部分。经过长期的准备和计划，攻击者通常会在目标网络中潜伏数月甚至数年。通过反复渗透，攻击方法和路径不断改进和发起。

系统模型

图2描述了DeepAG的大致框架，共分为五个部分:文本表征、训练阶段、检测阶段、预测阶段和图处理。

文本表征

首先将日志转换为索引和向量，为了对日志句子进行矢量化，作者利用从日志中提取的信息构建了特定于日志的词嵌入集，并对OOV词进行了处理。理论上，如果有一个或多个OOV词的周围上下文的例子，那么就可以推断出目标词的向量。最后，将日志中的单词表示为嵌入，并将日志输入到变压器编码器块中，就可以输出日志的矢量表示。

训练阶段

为了训练用于检测APT序列的变压器模型，作者使用编码器对连续日志句子的向量序列进行处理，从而得到用于二值分类的日志序列表示。另一方面，为了训练用于预测攻击阶段的双向模型，作者使用索引序列训练两个lstm。一种是按顺序训练的正向LSTM，另一种是按反转顺序训练的反向LSTM。最后可以得到两个独立的LSTM模型。

检测阶段

用预训练好的词嵌入集对每个词进行向量化后，通过编码器块对每个对日志句子进行编码，得到对日志句子的向量表示。接下来，将日志向量序列输入到变压器模型中，并得到该序列的最终日志表示，以便判断是否存在包含的攻击。

预测阶段

DeepAG可以通过双向模型进行在线预测。

图处理

为了呈现攻击的可能路径，需要执行高级抽象。

当前不足与挑战

• “好的”网络安全领域数据集获取困难；

• 数据清洗和标注高度依赖专业网络安全工程师的经验与知识；

• DeepAG计算量较大对运行环境和配置要求较高；

• 深度学习框架十分复杂难以避免存在一定未知或已知的bug；

• 网络安全环境变化极快，维护系统非常困难；

• DeepAG的抗攻击能力有待检验和提高；

• 在图构建的评估中，很难测试生成攻击图的准确性。

总结

为了帮助主动预防多步骤攻击，本文提出了可用于检测攻击序列和预测潜在攻击的DeepAG，此外，DeepAG还可以通过在线更新和OOV文字处理器机制来处理意外模式。它还可以构建攻击图，直观地展示攻击路径，对更复杂的情况进行建模，帮助用户减轻分析负担，快速掌握攻击者的策略。此外，作者发现DeepAG在提供同时实现攻击检测和预测的框架方面具有潜力。尽管DeepAG的表现比其他技术状态要好，但不同类型日志之间的语义差距很难消除。在未来的工作中，作者将尝试修复语义差距，并提高DeepAG处理更全面类型日志的性能。

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com