姜鹏辉的个人博客 GreyNius

【精读】HOLMES:实时APT攻击检测

2020-02-19

类型 |内容
– |–
标题 |HOLMES:Real-time APT Detection through Correlationof Suspicious Information Flows 时间 |2019 会议 |S&P 引用 |Milajerdi S M, Gjomemo R, Eshete B, et al. Holmes: real-time apt detection through correlation of suspicious information flows[C]//2019 IEEE Symposium on Security and Privacy (SP). IEEE, 2019: 1137-1152. DOI|10.1109/SP.2019.00026

作者简介

Sadegh M. Milajerdi, Rigel Gjomemo, Birhanu Eshete, R. Sekar, V.N. Venkatakrishnan
分别来自
University of Illinois at Chicago
University of Michigan-Dearborn
Stony Brook University

摘要

HOLMES系统实现了一种用于检测APT攻击的新方法.
HOLMES受现实世界APT的若干案例研究的启发,这些案例研究突显了APT参与者的一些共同目标。 简而言之,HOLMES希望产生一个检测信号,该信号指示APT活动中活动的协调集的存在。 我们的方法解决的主要挑战之一是开发一套使检测信号稳定可靠的技术。 在较高的层次上,我们有效开发的技术利用了在攻击活动中产生的可疑信息流之间的相关性。 除了具有检测能力外,HOLMES还能够生成高级图表,概述攻击者的实时行为。 分析师可以使用此图进行有效的网络响应。 对我们针对某些实际APT的方法进行的评估表明,HOLMEScan可检测出高精度和低误报率的APT活动。 HOLMES生成的紧凑的高级图形有效地总结了正在进行的攻击活动,并且可以辅助实时网络响应操作。


Comments

Content