A novel approach for APT attack detection based on combined deep learning model
Do Xuan, C., Dao, M.H. A novel approach for APT attack detection based on combined deep learning model. Neural Comput & Applic 33, 13251–13264 (2021).
(师兄说这篇文章不太好,开始看文章还是要从顶刊顶会上面看)
APT攻击一般分为一下几个共有阶段:
- 侦查
- 准备
- 瞄准
- 进一步获取
- 数据收集
- 维护
根据APT本身的生命周期和阶段,有三种基本的检测apt攻击的方法
- 监控方法
- APT检测方法
- 异常检测
- 机器学习【原因:数据处理平台的发展】
效率低的原因:APT攻击缺乏公开的数据集、数据不均衡、使用标准吗协议
- 机器学习【原因:数据处理平台的发展】
- 模式匹配
- 图分子
- 异常检测
- 欺骗方法
※新方法
与传统简单提取APT特征和行为进行分析不同,找出IP最基本和最具有特征的特征对正常行为和APT行为的IP进行分类。具体步骤如下:
- 利用CICFlowMeter(网络流量提取工具)将网络流量分为源IP和目的IP对,并且按照时间步长排序。
- 将整个按照IP分组的流放入CNN-LSTM和CNN-MLP等组合深度学习模型中提取IP最基本的特征,该特征能够区分正常ip和APTip
- 根据新提取的特征进行IP分类检测
CNN-MLP 结合模型分析
- 建立一个基于流的网络:与研究独立的流不同,使用研究对象作为帧,对于一个帧的创建处理过程如下
- 分割阶段 :将相同IP的流分成一组,然后再讲他们分成同样大小的小团体(经试验,帧大小为50时效果最好。)
- 填充阶段:如果流量不能被50整除,采用零填充后技术
- 基于帧提取IP特征:将第一步构建的帧作为CNN网络的输入,包括卷积层、MaxPooling和ReLU激活函数,提取相邻流特征。CNN提取的特征被平展成向量,通过MLP网络继续学习
- 对帧进行分类,但是分类对象由单一的流变成了帧,最后决定是帧属于哪一类
CNN-LSTM模型分析
- 主要是解决无法利用有关时间的流量参数
整个模型的处理与CNN-MLP相似,不同的点是将CNN网络的输出向量通过与X轴连接作为LSTM的输入。
LSTM的结果为一个向量,包含了CNN-LSTM提取和选择帧后的突出特征
最后这个向量继续由Softmax回归网络计算进行分类
结论
- 组合模型的效果要优于单独的深度学习网络
- 联合深度学习模型进行IP分析、提取和分类APT攻击检测方法与其他方法相比具有优越性
深度学习用于APT检测的前人工作
- 深度学习堆栈模型的提出:提出五层深度学习模型,其中包括可以在每一层中使用的算法,特别在第四层中介绍了一些深度学习算法(RNN/LSTM/GNN/GDB)
- 提出在线无监督深度学习系统,用于过滤系统日志数据以便分析APT攻击系统。主要是结合RNN.LSTM深度学习算法扥西检测
- 提出CNN深度学习算法检测基于DNS活动的APT攻击,提取了三个主要特征组:基于域名,基于DNS请求行为,基于响应行为的关系特征
- 基于移动DNS日志的APT攻击检测方法,通过4个特征组:DNS请求、应答特征、基于域的特征,基于时间的特征,基于whois的特征
- 基于网络流量的三个特征组检测和监控APT攻击:域名词汇特征,排序功能,DNS查询功能
- 利用APT域和APT ip之间的相关性分析检测APT攻击方法—基于机器学习算法检测出APT域,并将这些域作为特征与其他IP行为相结合作为检测APT攻击的基础(该实验部分表明使用分析域和IP之间的相关性技术比单独的技术有更高的效率)
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)