[论文解读] HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows
Holmes 是一个实时 APT 检测系统,它利用 APT 杀伤链模型作为语义框架,关联主机日志和 IDS 告警中的可疑信息流。通过从关联告警构建高层次攻击图(HSG),它实现了对多阶段 APT 攻击活动的精确、低噪声检测,具有高精度和极少的误报。
In this paper, we present HOLMES, a system that implements a new approach to the detection of Advanced and Persistent Threats (APTs). HOLMES is inspired by several case studies of real-world APTs that highlight some common goals of APT actors. In a nutshell, HOLMES aims to produce a detection signal that indicates the presence of a coordinated set of activities that are part of an APT campaign. One of the main challenges addressed by our approach involves developing a suite of techniques that make the detection signal robust and reliable. At a high-level, the techniques we develop effectively leverage the correlation between suspicious information flows that arise during an attacker campaign. In addition to its detection capability, HOLMES is also able to generate a high-level graph that summarizes the attacker's actions in real-time. This graph can be used by an analyst for an effective cyber response. An evaluation of our approach against some real-world APTs indicates that HOLMES can detect APT campaigns with high precision and low false alarm rate. The compact high-level graphs produced by HOLMES effectively summarizes an ongoing attack campaign and can assist real-time cyber-response operations.
研究动机与目标
- 解决长期、多阶段高级持续性威胁(APT)攻击活动的检测挑战,这些活动可能持续数周或数月,并跨越多个主机。
- 克服传统 SIEM 和 IDS/IPS 系统依赖时间戳关联的局限性,这些系统无法捕捉复杂、跨主机的攻击关系。
- 为分析师提供正在进行的 APT 攻击活动的高层次、人类可读摘要,以支持实时网络响应。
- 通过 APT 杀伤链和信息流依赖关系建模攻击语义,减少告警噪声并提高检测精度。
- 实现实时检测和攻击场景重建,而无需应用层插桩或细粒度污点追踪。
提出的方法
- 使用内核审计数据(如 Linux auditd、Windows ETW)作为低级别系统事件的主要数据源。
- 使用杀伤链模型作为语义参考,将低级别系统事件映射到高级 APT 战术、技术与程序(TTPs)。
- 构建主内存中的依赖图,具有低内存占用,以跟踪事件之间的因果关系和信息流关系。
- 应用最小祖先覆盖概念,以减少溯源图爆炸,实现高效的增量计算。
- 通过基于 TTP 语义和信息流模式的关键攻击步骤优先化与抽象化,推导出高层次场景图(HSG)。
- 通过因果关系和数据流依赖关系关联告警,而非时间接近性,从而实现对缓慢、隐蔽 APT 的检测。
实验结果
研究问题
- RQ1如何通过利用攻击步骤之间的语义关系而非仅依赖告警的时间接近性,来改进 APT 检测?
- RQ2在多主机审计日志和 IDS 告警的基础上,能否自动生成高层次攻击图(HSG)以总结复杂的多阶段 APT 攻击活动?
- RQ3与传统的时间关联方法相比,系统事件之间信息流关联是否能显著降低 APT 检测中的误报率?
- RQ4APT 杀伤链模型作为语义框架,在将低级别系统事件映射为可操作的检测信号方面,其有效性如何?
- RQ5实时系统能否在保持可扩展性和低内存开销的同时,实现高精度和低误报率的 APT 检测?
主要发现
- Holmes 在真实环境中成功检测了九起 APT 攻击活动,实现了高精度和极低的误报率。
- 该系统生成紧凑的高层次攻击图(HSG),有效总结了攻击者的行动,使分析师能够快速理解攻击范围和进展。
- 通过使用信息流和因果关系而非时间接近性,Holmes 检测到传统时间关联技术难以发现的缓慢、隐蔽 APT 攻击。
- 最小祖先覆盖的使用减少了溯源图爆炸,实现了高效的增量计算和低内存占用。
- 与现有工具(如 Sleuth)相比,Holmes 在可扩展性和抽象层次上表现更优,生成了更可操作、更简洁的 HSG,且无需插桩支持。
- 当需要时,系统可适应细粒度污点追踪,但即使仅使用粗粒度审计日志也能有效运行,实现了性能与准确性的良好平衡。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。