记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

使用贝叶斯网络来识别0day攻击路径

2019-03-02 01:15

作者:{Esi}@ArkTeam

原文作者:Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen

原文标题:Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths

原文出处:IEEE Transactions on Information Forensics and Security, 2018, 13(10): 2506-2521.

执行各种安全措施(例如入侵检测系统等)可以为计算机网络提供一定程度的保护。但是面对0day攻击,这种安全措施往往不尽如人意。由于攻击者和防御者之间的信息不对称,检测0day攻击仍然是一个挑战。为了更好的检测0day攻击,我们认为在攻击路径上进行检测是一种更加可行的策略,0day攻击路径可以认为是整个攻击路径中包含一个或多个0day攻击。这样认为的原因是攻击者很难确保攻击路径上的所有攻击都是0day攻击,因此可以做出以下假设:

1)可以通过某种方式检测非0day攻击,例如通过入侵检测系统等;

2)可检测的非0day攻击与0day攻击具有一定的链接关系。

在本文中,我们提出了一种概率方法,并实现了原型系统ZePro,用于0day攻击路径识别。在本文的方法中,0day攻击路径本质上是一个图。为了捕获零日攻击,首先通过分析系统调用使用对象实例来构建超图。为了进一步揭示隐藏在超图中的0day攻击路径,我们的系统基于实例图构建贝叶斯网络。通过将入侵证据作为输入,贝叶斯网络能够计算出被感染的对象实例的概率。通过依赖关系连接高概率的实例形成一条路径,即0day攻击路径。


图1系统架构

本文的主要贡献有以下四点:

  • ZePro是第一个采用概率方法来进行0day攻击路径识别的研究。
  • 提出了构建网络范围超图,然后确定隐藏在其中的零日攻击路径。
  • 第一次通过引入对象实例图来构建OS级别的贝叶斯网络。
  • 设计并实现了ZePro,可以有效地自动识别0day攻击路径。

为了进行实验评估,我们构建了一个网络商店测试平台,以模拟小规模的真实企业网络,如图2的攻击场景,整个实验分为了3步进行:

  1. 攻击者利用漏洞CVE-2008-0166通过暴力密钥猜测攻击获得SSH服务器的root权限。
  2. 由于NFS服务器上的导出表未正确设置,攻击者可以将恶意可执行文件上传到NFS上的公共目录。恶意文件包含可以利用特定工作站上的漏洞的特洛伊木马程序。公共目录在测试台网络中的所有主机之间共享,以便工作站可以访问和下载此恶意文件。
  3. 一旦恶意文件被安装并安装在工作站上,攻击者就能够在工作站上执行任意代码。


图2 攻击场景

由于通常很难获得0day漏洞,我们用已知漏洞来进行模拟。例如,假设当前时间是2008年12月31日,CVE-2009-2692被视为0day漏洞。此外,其他安全漏洞(如NFS上的配置错误)也可视为一种特殊类型的未知漏洞,只要这些漏洞不被漏洞扫描程序扫描到即可。

实验结果表明ZePro能够重建攻击故事情节,例如攻击如何发生,访问了哪些文件,以及引发的警报是否具有相关性等,本文方法的一个优点是,即使没有为特定漏洞提供证据,所识别的路径也提供了揭示隐藏漏洞的上下文。

知识来源: www.arkteam.net/?p=4253

阅读:103083 | 评论:0 | 标签:ArkDemy 论文笔记 0day

想收藏或者和大家分享这篇好文章→复制链接地址

“使用贝叶斯网络来识别0day攻击路径”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云