PaperNote - 一种情报驱动的安全感知APT防御机制

2023-11-01 23:58

本文主要是介绍PaperNote - 一种情报驱动的安全感知APT防御机制,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

原文标题:An Intelligence-Driven Security-Aware Defense Mechanism for Advanced Persistent Threats

原文作者:Yuqing Li, Wenkuan Dai, Jie Bai, Xiaoying Gan, Member, IEEE, Jingchao Wang, and Xinbing Wang, Senior
Member, IEEE

原文来源:TIFS 2018

原文链接:https://ieeexplore.ieee.org/abstract/document/8386813

文章目录

  • 1 摘要
  • 2 简介
    • 2.1 挑战及应对措施
    • 2.2 主要贡献
  • 3 系统设计

这是一篇偏向于理论的文章,其中有非常多的公式,较为抽象,因此仅总结了文章的主要思路。

1 摘要

现今的安全防护工作,要么着眼于一次性的攻击事件,要么将检测和响应策略分离开。如此一来会忽略APT攻击的持久性和风险异质性(risk heterogeneity,不同类别的风向)。因此,本问题提出了以威胁情报为支撑的基于李雅普诺夫(Lyapunov-based)的安全感之防御机制,其鲁棒性的防御策略指定来源于异质性知识。

本文提出的机制,在理论上可以证明其具有有限的队列积压、收益最优、无下溢情况、对检测误差具有鲁棒性。

2 简介

集成了检测和响应能力之后,情报驱动的安全防护将会是一种有效的方法,威胁情报包括威胁环境、影响和动机等。

许多安全防护领域的核心问题是如何进行高效率的安全资源分配,从攻防对抗的角度来看,资源分配问题可以放在博弈论的背景下,通过相互的战略行为分析,为有效的防御决策提供建议。

另一个研究重点是风险管理。使用攻击图或攻击树之类的表现形式,防御者可以根据网络状态之间的因果关系评估风险,并进一步确定最低成本的防御措施。

2.1 挑战及应对措施

本文主要解决了以下两个挑战:

  • 动态、长时间响应
  • 安全感知响应:即优先响应高风险的攻击。除了攻击概率这样的风险异质性,还有别的吗?

为此,本文提出了基于李雅普诺夫的情报驱动防御机制,以实现长期的安全感知响应。考虑具有N个独立主机,一个攻击者和一个防御者。在威胁情报的支持下,我们构建了一个攻击图,该攻击图建模了攻防对抗。受到FlipIt Game的启发,每个对抗结果都会随着攻击图的变化而显现,其中每个玩家都可以通过支付费用来控制目标主机。从防御者的角度来看,整个系统的利润是解决攻击所获得的防御效用与所产生的防御成本之差。最后的目标是实现“长期收益最大化”。

  • 优先级感知的虚拟队列(priority-aware virtual queues):用于计算风险随时间的演变,它与攻击队列一起,为队列优化提供了主机异质性的融合。

  • 风险准入控制策略(tolerable risk admission control policy):为了适应主机的风险承受能力,避免资源浪费。设定一个阈值,当主机的风险等级较低时,新的攻击事件可以被加入待响应事件中;若主机的风险等级较高时,表明当前的风险已经超过了主机的处理能力,将会禁止新的攻击事件加入待响应事件中。

  • 防御控制策略(defense control policy):两步决策

    • 使用基于拍卖的分布式分配算法,攻击事件竞争响应机会,高风险的受攻击主机(high-risk,host-attack)具有较高的优先级
    • 然后在获胜的攻击事件之间按比例分配公平的资源

2.2 主要贡献

(1)从攻击和风险等级两个角度来进行安全感知,提出了基于李雅普诺夫的、情报驱动的防御机制

(2)在威胁情报的支持下,将攻防对抗过程建模为动态攻击图。

(3)将该防御机制应用于由Cyberxingan开发的基于机器学习的异常检测系统中进行验证。

3 系统设计

系统设计的三个步骤是:检测、响应(重点)、状态更新,下图可以形象地理解本文提出的机制:

在这里插入图片描述

这篇关于PaperNote - 一种情报驱动的安全感知APT防御机制的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/326668

相关文章

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

一种改进的red5集群方案的应用、基于Red5服务器集群负载均衡调度算法研究

转自: 一种改进的red5集群方案的应用: http://wenku.baidu.com/link?url=jYQ1wNwHVBqJ-5XCYq0PRligp6Y5q6BYXyISUsF56My8DP8dc9CZ4pZvpPz1abxJn8fojMrL0IyfmMHStpvkotqC1RWlRMGnzVL1X4IPOa_  基于Red5服务器集群负载均衡调度算法研究 http://ww

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一

Linux 安全弹出外接磁盘

命令行操作 首先,需要卸载硬盘上的所有分区,可以使用umount来卸载分区 清空系统缓存,将所有的数据写入磁盘 sync 列出已挂载的文件系统 使用lsblk或者df命令来查找要卸载的分区 lsblk or df -h 确保没有文件正在使用 使用lsof 命令来检查 sudo lsof |grep /dev/sdc 卸载分区 假设硬盘的分区是 /dev/sdc1,使用u

3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)

所谓的协议 协议只是一种规则,你不按规则来就无法和目标方进行你的工作 协议说白了只是人定的规则,任何人都可以定协议 我们不需要太了解细节,这些制定和完善协议的人去做的,我们只需要知道协议的一个大概 HTTPS 协议 1、概述 HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据

【小迪安全笔记 V2022 】信息打点9~11

第9天 信息打点-CDN绕过篇&漏洞回链8接口探针&全网扫指&反向件 知识点: 0、CDN知识-工作原理及阻碍 1、CDN配置-域名&区域&类型 2、CDN绕过-靠谱十余种技战法 3、CDN绑定-HOSTS绑定指向访问 CDN 是构建在数据网络上的一种分布式的内容分发网。 CDN的作用是采用流媒体服务器集群技术,克服单机系统输出带宽及并发能力不足的缺点,可极大提升系统支持的并发流数目,减少或避