APT Saldırı Tespiti için İlk Çevrimiçi Sistem

Araştırmacılar, APT’lerin (Gelişmiş Kalıcı Tehditlerin) kuruluşlara mali zarar verdiğine dikkat çekiyor. APT modellemede, bu kayıpları azaltmak ve tespitin daha iyi yapılabilmesi için kaynak grafikleri kullanılabilir. Bu da gerçek zamanlı sistemlerin ne kadar önemli olduğunu gösteriyor.

Mevcut çevrimiçi sistemler basitliğe öncelik veriyor ancak karmaşık grafikler oluşturarak yöneticilerin sonuçları yorumlamasını zorlaştırıyor.

İlgili üniversitelerden ve kuruluşlardan aşağıdaki siber güvenlik araştırmacıları yakın zamanda APT saldırı tespitine yönelik ilk çevrimiçi sistem olan “NODLINK”i tasarladılar:-

• Shaofei Li (Yüksek Güvenilirliğe Sahip Yazılım Teknolojileri (MOE) Anahtar Laboratuvarı)
• Feng Dong (Huazhong Bilim ve Teknoloji Üniversitesi)
• Xusheng Xiao (Arizona Eyalet Üniversitesi)
• Haoyu Wang (Huazhong Bilim ve Teknoloji Üniversitesi)
• Fei Shao (Case Western Reserve Üniversitesi)
• Jiedong Chen (Sangfor Teknolojileri A.Ş.)
• Yao Guo (Yüksek Güvenilirliğe Sahip Yazılım Teknolojileri (MOE) Anahtar Laboratuvarı)
• Xiangqun Chen (Yüksek Güvenilirliğe Sahip Yazılım Teknolojileri (MOE) Anahtar Laboratuvarı)
• Ding Li (Yüksek Güvenilirliğe Sahip Yazılım Teknolojileri (MOE) Anahtar Laboratuvarı)

Teknik Analiz

APT saldırılarıyla mücadele etmek için uygulayıcılar ve araştırmacılar, kaynak verilerindeki sistem olaylarını analiz eder. Mevcut sistemler çoğunlukla ölüm sonrası analiz sunarak gecikmelere ve önemli mali kayıplara neden oluyor.

Araştırmacılar, gerçek zamanlı APT tespiti için hızlı yanıtlar ve daha az yanlış pozitif sonuç sunan ve APT soruşturma verimliliğini artıran çevrimiçi sistemler oluşturuyor.

Doğru, uygun maliyetli çevrimiçi APT tespiti oluşturmak zordur. Kaynak temelli sistemlerin doğruluğu, zamanlılığı ve kaynak kısıtlamalarını dengelemesi gerekir.

Araştırmacılar, NODLINK’i Sangfor’un SOC’sine dağıtıyor ve bunu gerçek dünya senaryolarında test ederek, daha az hatalı pozitif sonuçla saldırıları tespit etmede HOLMES ve UNICORN’dan daha iyi performans gösteriyor.

Çevrimiçi STP, bir grafikte ortaya çıkan köşeleri birbirine bağlarken maliyetleri en aza indirmeyi amaçlamaktadır. Sabit yaklaşımlı NP-tam bir problemdir.

NODLINK, kısa uyarı grafikleri oluşturmak için kaynak olay akışlarını işleyen ve aşağıdaki dört aşama aracılığıyla her 10 saniyede bir anormallikleri tespit eden çevrimiçi bir APT algılama sistemidir: –

• Bellek Önbelleği Oluşturmada
• Terminal Tanımlaması
• Hopset İnşaatı
• Kapsamlı Tespit

Uzun vadeli saldırıları tespit etmek için NODLINK, düğüm bilgilerini bir grafik veritabanında saklar ve erişim için benzersiz md5 değerlerini kullanır. Bu, APT saldırı kampanyalarının tamamını tespit etmesine olanak tanır.

NODLINK, terminal tespiti için süreç düğümlerinin anormallik puanlarını değerlendirmek üzere bir VAE modeli kullanır. Girdi ve yeniden oluşturulmuş vektörler arasındaki farkı ölçerek kararsız süreçler için yanlış pozitifleri azaltır.

NODLINK’in çevrimiçi olarak bir şeyler bulabilmesi için FastText, VAE ve SV modellerini çevrimdışı olarak eğitmesi ve tuhaflıkların eşiklerini ayarlamak için geçmiş verileri kullanması gerekir.

Ancak bunun dışında NODLINK, Grubbs testi ve VAE sayesinde eğitim setlerindeki küçük saldırı verilerine karşı sağlamlığını koruyor. Kirlenmiş veri kümeleriyle yapılan testler doğruluğunu doğruladı ve çeşitli işletim sistemlerinde çok yönlüdür.

Bunun dışında NODLINK, kaynakları şüpheli olaylara verimli bir şekilde tahsis ederek mevcut sistemlerden daha iyi performans göstererek, gerçek zamanlı olarak ayrıntılı APT tespiti sunar.

Patch Manager Plus: 850’den fazla üçüncü taraf uygulamaya otomatik olarak hızlı bir şekilde yama yapın – Ücretsiz Denemeyi Deneyin.

Ayrıca Okuyun:

Yeni BLISTER Kötü Amaçlı Yazılım, Tespitten Kaçmak için Geçerli Kod İmzalama Sertifikalarından Yararlanıyor

Emotet Kötü Amaçlı Yazılımın Arkasındaki Bilgisayar Korsanları Artık Devlet Kurumlarına Saldırıyor