用于检测网络攻击的自适应误用检测和机器学习
作者:Jean-Pierre Joosting
科技新闻 |
经过让-皮埃尔·茹斯汀
随着网络攻击日益成为公司和其他组织面临的主要风险,Fraunhofer FKIE 的研究人员开发了自适应误用检测系统 (AMIDES),这是一种开源网络安全系统,有可能显着改进网络入侵检测。
2024 年,网络攻击和工业间谍活动的威胁进一步加剧。Bitkom 数字协会的一项研究显示,德国十分之八的公司成为数据盗窃和类似攻击的受害者。网络入侵造成的损失高达数十亿欧元。但问题在于,攻击的性质和执行攻击的方法不断变化,攻击者通常只进行微小的更改来逃避检测。最终的结果是盗窃和篡改常常被忽视,直到为时已晚。
通过自适应误用检测来检测签名规避
到目前为止,组织中网络攻击的检测主要基于安全专家根据已知攻击编写的签名。这些签名是 SIEM 系统的核心。然而,波恩 Fraunhofer FKIE 的研究人员发现,攻击者很容易绕过许多此类签名。尽管来自相关领域的称为异常检测的方法可以用作识别攻击的替代方法,尽管存在签名规避,但这种方法经常会产生大量的误报——事实上,如此多的误报甚至无法全部被识别。调查了。
为了解决这个问题,Fraunhofer FKIE 的研究人员着手寻求实际平衡,开发了一个系统,依靠机器学习来识别与现有签名相似但又不完全匹配的攻击。AMIDES 使用监督机器学习来识别潜在的规则规避行为,同时最大限度地减少误报。免费提供的开源软件主要针对已经拥有中央安全监控系统和结构并正在寻求改进的大型组织。
“签名是检测企业网络中网络攻击的最重要方法,但它们并不是灵丹妙药,”Fraunhofer FKIE 研究员兼入侵检测和分析研究小组组长 Rafael Uetz 表示。– 通过稍微修改攻击,恶意活动通常可以在不被发现的情况下进行。攻击者使用各种技术来掩盖他们正在做的事情并逃避检测,例如在命令行中插入虚拟字符。攻击者专门编写了他们的命令,这样签名就找不到它,”他解释了网络犯罪分子所采用的策略。
AMIDES 从安全相关事件中提取特征,例如新启动程序的命令行。然后使用机器学习来识别与匹配检测规则的命令行相似但不完全匹配的命令行。在这种情况下,AMIDES 将触发警报。作者将这种方法称为自适应误用检测,因为它首先接受环境正常行为方式的训练,从而适应目标环境,从而能够正确区分潜在攻击和无害事件。
自适应误用检测允许规则归因
除了启动潜在规避警告的选项之外,新方法还提供了研究人员称之为规则归因的功能。当触发传统规则来检测滥用时,分析人员可以简单地显示该规则以找出发生了什么,因为除了签名之外,规则通常还包含有意义的标题和描述。但许多基于机器学习的系统缺乏这种优势,而只是在没有进一步上下文的情况下生成警告。由于自适应误用检测是从 SIEM 检测规则中学习的,因此在训练期间可以获得有关哪些规则包含哪些功能的信息,从而使 AMIDES 能够判断哪些规则可能已被规避。
AMIDES 已使用德国政府机构的真实数据通过广泛的测试进行了评估。Uetz 评论道:“这些测试表明我们的解决方案有可能显着改进网络入侵检测。”
设置为默认敏感度级别后,AMIDES 成功识别了 70% 的逃避尝试,且没有触发误报。就速度而言,测量结果表明,即使在非常大的企业网络中,该系统也足以进行实时操作。
图片:Fraunhofer FKIE 的研究人员开发了 AMIDES,这是一种开源系统,有可能显着改进网络入侵检测并应对网络攻击不断上升的趋势。版权所有加琳娜·佩什科娃 / Skorzewiak。
www.fkie.fraunhofer.de/en.html
如果您喜欢这篇文章,您也会喜欢以下文章:订阅不要错过它们:
关于《用于检测网络攻击的自适应误用检测和机器学习》的评论
暂无评论