【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023)

这篇具有很好参考价值的文章主要介绍了【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

作者:伊利诺伊大学芝加哥分校-Akul Goyal、Gang Wang、Adam Bates;维克森林大学-Xueyuan Han、
引用:Goyal A, Han X, Wang G, et al. Sometimes, You Aren’t What You Do: Mimicry Attacks against Provenance Graph Host Intrusion Detection Systems[C]//30th Network and Distributed System Security Symposium. 2023.
原文地址:https://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_f207_paper.pdf
开源代码:https://bitbucket.org/sts-lab/mimicry-provenance-generator/src/master/



1. 摘要

​ 我们揭示了系统设计选择允许模仿攻击继续在来源图主机入侵检测系统(prov-hids)中大量存在。针对典型的prove - ids,我们开发了规避策略,允许攻击者隐藏在良性进程行为中。

​ 针对公共数据集进行评估,我们证明攻击者可以在不修改底层攻击行为的情况下始终逃避检测(100%成功率)。

​ 通过开源我们的代码和数据集,这项工作将作为评估未来prov-hids的基准。

2. 引言

​ 由于IDS对系统正常状态的表示存在各种缺陷,攻击者有可能将其行为模式化,从而使其与良性进程无法区分。

​ 选择了五个典型的prov-hids:StreamSpot, Unicorn, ProvDetector,Pagoda和一个Full Graph Autoencoder。剖析了这些系统的内部工作原理,以了解每种方法如何牺牲完整来源图的历史背景来产生有效和可推广的分类模型。然后,我们开发了一个候选模仿工具的语料库,用于制作针对这些系统的逃避攻击。

​ DARPA+streamspot数据集,百分百逃过检测

【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023),论文阅读笔记,论文阅读

攻击者可以使用模仿攻击(橙色子图)修改他们的攻击子图——虽然实际的攻击逻辑保持不变,但攻击者可以派生出类似合法进程活动的其他进程。这些活动可能足以混淆分类器,从而导致对攻击的错误分类。

3. 规避策略

​ 初步观察:(1)对手可以对攻击的嵌入施加影响;(2)攻击嵌入的对抗性添加可以使其与良性行为难以区分。

​ prov-hids对图的解构通过有界分支(γ)和深度(β)将图的邻域相互分离。例如,独角兽作者认为最大深度为3,而ProvDetector构建的路径最大深度为10。因此,即使注入的行为具有恶意祖先,如果该行为的嵌入表示与攻击图的根的距离超过β跳数,则该行为的嵌入表示将映射到良性行为。

滥用未加权图编码:当Prov-HIDS以每个子结构的权重相等的方式总结图时,攻击者可以通过添加额外的活动来改变图的嵌入。首先分析目标系统,以识别与良性活动相关的大量图子结构。然后,他们选择一批可参数化大小的良性子结构,并复制产生这些结构的系统活动。通过在攻击图中加入良性子结构,可以任意降低异常子结构的显著性,使攻击图落在良性聚类的决策边界内。

滥用分布图编码:这些技术侧重于总结子结构分布,以突出异常活动为代价保留了全局图结构对目标系统进行分析,假设恶意图中的子结构分布与良性图中的子结构分布明显不同。攻击者首先分析目标系统,以确定与良性活动相关的每个观察到的子结构的相对频率。然后,他们选择一批良性的子结构,保持这种分布,并复制产生这些子结构的系统活动,使任何恶意子结构的规范化表示占嵌入的比例越来越小。

滥用下采样图编码:攻击者首先分析目标系统,同时监视下采样函数在不同观察序列上的行为。然后,他们选择一批可参数化大小的良性子结构序列,绕过下采样操作。

4. 评估

【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023),论文阅读笔记,论文阅读

【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023),论文阅读笔记,论文阅读文章来源地址https://www.toymoban.com/news/detail-635482.html

到了这里,关于【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络防御和入侵检测

    网络防御和入侵检测是维护网络安全的关键任务,可以帮助识别和阻止未经授权的访问和恶意行为。以下是一些基本的步骤和方法,用于进行网络防御和入侵检测。 网络防御: 防火墙设置: 部署防火墙来监控和控制网络流量,阻止未经授权的访问和恶意流量。 访问控制:

    2024年02月11日
    浏览(49)
  • Snort入侵检测系统实验

    实验内容 搭建网络防御环境 学习使用检测工具Snort 对网络进行攻击,查看和分析网络防御工具报告 对实验结果进行分析整理,形成结论 安装入侵检测系统 Snort 安装daq依赖程序,输入如下命令: sudo apt-get install flex sudo apt-get install bison sudo apt install aptitude sudo aptitude install l

    2023年04月19日
    浏览(44)
  • 设备安全——入侵检测IDS

    IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性) 设备本身(IDS系统)是一个软件与硬件的组合系统。 IDS的作用:实时监测 经典检测模型 通用的入侵检测系统抽象模型 ● 主

    2024年02月08日
    浏览(45)
  • 网络安全之入侵检测

    目录 网络安全之入侵检测 入侵检测经典理论  经典检测模型 入侵检测作用与原理 意义 异常检测模型(Anomaly Detection) 误用检测模型(Misuse Detection) 经典特征案例 ​编辑自定义签名  ​编辑 签名检查过程 检测生命周期 信息收集的方法 信息分析 异常检测 --- 统计分析、

    2023年04月13日
    浏览(39)
  • shell脚本-入侵检测与告警

    利用inotifywait命令对一些重要的目录作一个实施监控,例如:当/root 、/usr/bin 等目录发生改变的,利用inotifywait看可以对其作一个监控作用。 inotifywait 是一个 Linux 下的命令行工具,用于监视文件系统的变化。它基于 inotify 机制,可以实时监控文件或目录的变化,并在发生变化时

    2024年02月16日
    浏览(43)
  • Linux入侵检测学习笔记1

    入侵检测: 查看系统日志          查看安全相关的日志 查看异常流量 查看可疑进程 文件安全性检查 本地检测方法 云平台的检测方法 查看系统日志: 系统日志大概分两类: messages:系统日志,信息量比较大。服务的启动停止的信息。 secure:安全日志,所有系统登录的

    2024年02月09日
    浏览(46)
  • 入侵检测——IDS概述、签名技术

    IDS(intrusion detection system)入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它会对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全。 入侵检测系统模型: 检测器: 分析和

    2024年02月15日
    浏览(42)
  • Linux入侵检测学习笔记2

    查看异常流量: iftop:动态显示网络接口流量信息: iftop工具是一款实时流量监控工具,可用于监控TCP/IP连接等,必须以root用户的身份运行。 安装方法: iftop命令的使用:   中间两个左右箭头,表示的是流量的方向。 TX:发送流量 RX:接收流量 TOTAL:总流量 Cum:运行ifto

    2024年02月09日
    浏览(65)
  • 安全防御——IDS(入侵检测系统)

    IDS(intrusion detection system)入侵检测系统 是一种对网络传输进行实时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 专业上讲IDS就是依照一定的安全策略,对网络、系

    2024年01月21日
    浏览(44)
  • 网络安全之入侵检测系统

    入侵 :指一系列试图破坏信息资源 机密性 、 完整性 和 可用性 的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。 入侵检测 :是通过从计算机网络系统中的若干 关键节点 收集信息,并 分析 这些信息,监控网络中是否有违反安全策略的行为或者是

    2024年02月13日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包