AI模型助力APT檢測概述

1、AI模型助力APT檢測概述部分可觀下APT攻擊行為捕獲：馬爾可夫決策助力AI模型AgendaAPT威脅嚴峻AI模型助力APT檢測馬爾可夫決策助力AI模型 Data Exfiltration 檢測與防御 總結(jié)極光行動（2009-2019）夜龍行的（2007-2011）沙蟲（2009-2019）震網(wǎng)（2006-2010）Duqu（2007-2012）火焰（2010-2012）高斯（2010-2011）黑袋行動（2010-2011）索尼事件（2014）TAO攻擊（1998-2013）KBS事件（2003-2013）Hearbeat（2009-2012）Hangover（2010-2013）Darkh

2、otel APT（2018-2019）海蓮花（2012-2018）Winnti（2009-2013）Safe行動（2012-2013）RSA入侵（2011）APT1（2009-2019）烏克蘭電網(wǎng)攻擊（2015.12）響尾蛇APT（2012-2019）網(wǎng)絡旅行者（2004-2013）全球高級持續(xù)威脅（APT）以精確打擊要害及核心信息竊取為主要目， 對企業(yè)網(wǎng)絡安全，信息資產(chǎn)安全構(gòu)成嚴重威脅。APT | 威脅持續(xù)中Social EngineeringSpear phishing0-Day ExploitsCustom MalwareMalware Variants metamorphism & p

3、ackerConvert/Encrypted Tunnel攻擊行為挖掘 | Cyber Kill Chain and ATT&CK智能檢測 | 基于人工智能和大數(shù)據(jù)的威脅分析檢測AI模型 平臺漏洞 盒子安全 專家C&C 連接內(nèi)部異常訪問異常數(shù)據(jù)傳輸網(wǎng)絡流量分析郵件附件Web頁面下載文件其它文件文件分析智能檢測 | 基于人工智能的威脅檢測建模監(jiān)督學習DGA檢測模型DNS隧道檢測模型惡意加密流量檢測非監(jiān)督學習Webshell檢測模型異常流量檢測模型ICMP隧道檢測深度學習惡意文件檢測模型僵尸網(wǎng)絡檢測惡意文件家族檢測復雜性檢測能力/時間Decision Tree Random forest logi

4、stics regression Isolation forestk-means SVM困境 | 未知的威脅嚴峻，防御是與時間賽跑有效處理有效告警沒有告警誤報造成的平均損失: 每年130萬美元40 %4 %19 %快速響應平均降低了40%的成本反應慢造成的損失: 成本增加40%40 %新型攻擊：隱蔽 偽裝APT 0day 滲透入侵無處不在挑戰(zhàn) | 海量告警響應 & 模型準確性提升模型存在 噪聲無法及時響應， 資產(chǎn)數(shù)據(jù)已受損模型運算成本提升模型準確性快速響應部分可觀環(huán)境（檢測模型存在噪聲）弱智能體強智能體解決 | 構(gòu)造一個強智能體analyze，block，passnormal，anomalyS

5、tate : blocking，passing計算資源、算力、分析損耗DGA模型惡意文件模型Webshell模型DNS隧道模型ICMP隧道模型加密流量模型Mysql模型含噪音的AI模型集RewardObservationAction部分可觀馬爾可夫決策馬爾可夫模型 | MC HMM MDP POMDPNo observation uncertainty, with decisionWith observation uncertainty, no decisionWith both observation uncertainty and decisionMarkov Chain(MC)Hidde

6、n Markov Model (HMM)Markov Decision Process(MDP)Partially Observable Markov Decision Process (POMDP)WORLDObservation RewardActionSEPolicybAgent察目前狀態(tài)，必須根據(jù)部分區(qū)域觀測結(jié)果推斷狀態(tài)的分布。S是有限集，其中sS代表一個狀態(tài)A是有限集，其中aA代表一個行動T：SA(S)稱為狀態(tài)轉(zhuǎn)移函數(shù)，用T(s, a, s)表示在狀 態(tài)s上執(zhí)行a達到s的概率P(s|s, a)R：SAR稱為回報函數(shù)，R(s, a)表示在s上執(zhí)行行動a所得即時回報Z是一個有限集，zZ代

7、表一個觀察O： SA()稱為觀察函數(shù)，O(s, a, z)表示執(zhí)行a達 到s觀察到z的概率P(z |s, a)框架 | 部分可觀馬爾可夫決策過程（POMDP）Transition DynamicsPOMDP 通過六元組（S，A，T，R，Z，O）表示一個序貫決策過程。相對于MDP，智能體并無法直接觀(4的充分統(tǒng)計量Agent通過維持一個信度狀態(tài)b來對其歷史進行總結(jié), b0代表初始信度狀態(tài)。( = Pr( = |, 1, 1, . . . 0, 0( = (0, (1, (2, . . . , (, (定義 | 基于POMDP的APT攻擊行為捕獲策略對于一個給定策略，在初始信念狀態(tài)下，按策略執(zhí)行動

8、作得到累計代價值為：( = (, ( + (|, (其中，(, ( = (, (|, ( = ( (, , ( (, (, POMDP模型目標是求解使累計代價值最小的最優(yōu)策略* ，即b， 有下式成立：+1( (+1 求出POMDP決策模型為：+( = (, + ( (, , (, , (POMCP | 蒙特卡洛搜索樹Default PolicyTree PolicySelectionExpansionSimulationBackpropagation通過郵件附件、漏 洞利用、植入后門 等方式感染主機與遠端C&C服務器 連接獲取控制命令竊取憑證，提升系 統(tǒng)權(quán)限，感染其他 主機數(shù)據(jù)收集數(shù)據(jù)傳遞日志

9、協(xié)議沙箱情報滲透Webshell惡意文件 模型模型C&C連接DGA模型C2服務端 模型橫移感染橫移檢測UEBA模型命令執(zhí)行隱蔽隧道僵尸網(wǎng)絡檢測模型傳輸惡意加密 流量模型攻擊行為檢測模型（弱AI）POMDP（強AI）World（S，A，T，R，Z，O）Agent觀 察 值/ 獎 懲動 作APT攻擊行為捕獲 | 弱AI 強AI案例介紹Data Exfiltration 檢測和抵御近幾年數(shù)據(jù)泄露事件0200000000400000000600000000800000000First American CorporationFacebook TruecallerZynga Canva Capital

10、OneJustdial Mobile TeleSystems (MTS)Quest DiagnosticsAdobe Inc.StockX2019 Bulgarian revenue agency hackDoorDash DesjardinsUniversiti Teknologi MARAHealth Sciences Authority (Singapore)WestpacMinistry of Health (Singapore)2019年 企業(yè)數(shù)據(jù)泄露統(tǒng)計02000000004000000006000000008000000001E+09AcFunSacramento BeeTick

11、etflyPaneraFacebookMyHeritageAadhaarUnderArmour華住旗下酒店圓通2018年 企業(yè)數(shù)據(jù)泄露統(tǒng)計數(shù)據(jù)泄露 | 方式在進化以前現(xiàn)在DataExfiltration | Hidden TunnelBotnet MonetizationAbnomal Web or Ad ActivityCryptocurrency MiningBrute-Foce AttackOutbound DoSOutbound Port SweepOutbound SpamCommand and ControlExternal Remote AccessHidden DNS Tunn

12、elHidden HTTP/S TunnelSuspicious RelaySuspect Domain ActivityMalware UpdatePeer-to-PeerPulling InstructionsSuspicious HTTPStealth HTTP PostTOR ActivityThreat Intel MatchReconnaissanceInternal Darknet ScanPort ScanPort SweepSMB Account ScanKerberos Account ScanFile Share EnumSuspicious LDAP QueryRDP

13、ReconRPC ReconLateral MovementSuspicious Remote ExecSuspicious Remote DesktopSuspicious AdminShell KnockerAutomated ReplicationBrute-Force AttackSMB Brute-ForceKerberos Brute ForceSuspicious Kerberos ClientSuspicious Kerberos AccountKerberos Server ActivityRansomware File ActivitySQL Injection Activ

14、ityExfiltrationData SmugglerSmash and GrabHidden DNS TunnelHidden HTTP/S TunnelAI模型 | 基于機器學習的DNS隱蔽隧道檢測模型查 詢 域 名 舉 例 ： 0ufb582xgcxaabacuqa4xzabagdvasfsicyka wrfxdahixa.aaqigumdecfrup cikhnyryf7dlk6pvclqvdzh.2hse mtaah3w2r通過DNS隧道攻擊監(jiān)督學習方式DNS隧道數(shù)據(jù)流量316268對正常數(shù)據(jù)流量320677對使用隨機森林算法，檢測準確度95%特征：響應時間間隔平均值和方差；查詢域

15、名長度平均值和 方差；應答段長度平均值和方差；查詢子域名各字符信息熵 平均值和方差；查詢類型頻率AI模型 | 基于機器學習的惡意HTTPS流量檢測模型解析流量生成，conn.log、ssl.log、x509.log連接四元組（SrcIP，DstIP，DstPort，協(xié)議）SSL聚合（一個連接記錄、一個SSL記錄、一個證書記錄）連接記錄是非ssl的Connection .log中的連接記錄包含28特征（SSL聚合和連接記錄的數(shù)量、持續(xù)時間均值.）POMDP模型 | 針對 DataExfiltration 設計DataExfiltration POMPD模型是一個具有狀態(tài)空間S、動作空間A、狀態(tài)轉(zhuǎn)

16、移T、觀測空間Z、觀測概率O和報酬函數(shù)R的元組（S，A，T，Z，O，R） 狀態(tài)空間定義 觀察空間定義阻止態(tài)、放行態(tài)AI模型分析、阻止、放行合法流量、隧道流量S = Sblocking, Spassing 動作空間定義A = Aanalyze, Ablock, ApassZ = Zregular, ZtunnelDataExfiltration POMPD模型是一個具有狀態(tài)空間S、動作空間A、狀態(tài)轉(zhuǎn)移T、觀測空間Z、觀測概率O和報酬函數(shù)R的元組（S，A，T，Z，O，R） 狀態(tài)轉(zhuǎn)移函數(shù)定義當前狀態(tài)下，執(zhí)行動作a，轉(zhuǎn)移到s概率狀態(tài)s下，執(zhí)行動作a，獲 得觀察值z概率T(s,a)=11, , = |

17、, , = 1, , = |(|, = 觀察概率函數(shù)定義, 1 , = | = sin = = | = passing = = | = = 1 , = | = = |1,Q指代AI模型準確率POMDP模型 | 針對 DataExfiltration 設計狀態(tài)s下，執(zhí)行動作a，獲 得的即刻回報(, =, = passing, = , = , = 1 , = , = 1, = passing, = , , = POMCP 在線求解部分可觀的蒙特卡洛搜索樹算法L指代網(wǎng)絡安全等級，C指 代模型計算開銷POMDP模型 | 針對 DataExfiltration 設計DataExfiltration POMPD模型是一個具有狀態(tài)空間S、動作空間A、狀態(tài)轉(zhuǎn)移T、觀測空間Z、觀測概率O和報酬函數(shù)R的元組（S，A，T，Z，O，R） 報酬函數(shù)定義DNS隧道檢測基于POMDP決策強化狀態(tài)轉(zhuǎn)移圖 | 狀態(tài)轉(zhuǎn)移概率矩陣、觀測轉(zhuǎn)移概率矩陣Aanalyze-1.0Sblocking: Zregular-0.05, Ztunnel-0.95Spas