27.08.2021
Unser Paper mit dem Titel “Multi-Stage Attack Detection via Kill Chain State Machines” wurde auf dem CCS Workshop CYSARM ‘21 zur Veröffentlichung akzeptiert.
Das Paper beschreibt eine formalisiertes Kill Chain Modell zur Erkennung von sogenannten Advanced Persistent Threat (APT) Angriffen. Diese mehrstufigen Angriffe zeichnen sich durch eine komplexe Struktur und die hochentwickelten Fähigkeiten der Angreifer aus. Unser Modell kann zur Erkennung von potentiellen Angriffskampagnen im Netzwerk verwendet werden, indem die Daten der Netzwerkmonitore in mehreren Schritten aggregiert und kombiniert werden, sodass schlussendlich eine kompakte graphbasierte Repräsentation von zusammenhängenden Vorfällen entsteht.
Wir testen unseren Ansatz auf dem Datenset CSE-CIC-IDS2018 der Universität New Brunswick, indem wir einen APT Angriff in das Datenset einfügen und die resultierenden Netzwerkdaten mithilfe des Kill Chain Modells kontextualisieren. Die resultierenden Graphen liefern einen präzisen Überblick über die Abfolge an einzelnen Angriffen in der APT Kampagne. Sie können von menschlichen Threat Huntern zur weiteren Analyse und Mitigation genutzt werden.
Wir werden unsere Ergebnisse Ende November auf dem virtuellen Workshop vorstellen und den Austausch mit internationalen Forschern suchen.
Abstract:
Today, human security analysts need to sift through large volumes of alerts they have to triage during investigations. This alert fatigue results in failure to detect complex attacks, such as advanced per- sistent threats (APTs), because they manifest over long time frames and attackers tread carefully to evade detection mechanisms. In this paper, we contribute a new method to synthesize scenario graphs from state machines. We use the network direction to derive poten- tial attack stages from single and meta-alerts and model resulting attack scenarios in a kill chain state machine (KCSM). Our algo- rithm yields a graphical summary of the attack, called APT scenario graphs, where nodes represent involved hosts and edges infection activity. We evaluate the feasibility of our approach by injecting an APT campaign into a network traffic data set containing both benign and malicious activity. Our approach then generates a set of APT scenario graphs that contain our injected campaign while reducing the overall alert set by up to three orders of magnitude. This reduction makes it feasible for human analysts to effectively triage potential incidents.