Loading...

Ontology-based Advanced Persistent Attacks Detection

Mohammadzadeh Lajevardi, Amir | 2019

640 Viewed
  1. Type of Document: Ph.D. Dissertation
  2. Language: Farsi
  3. Document No: 52424 (19)
  4. University: Sharif University of Technology
  5. Department: Computer Engineering
  6. Advisor(s): Amini, Morteza
  7. Abstract:
  8. Advanced Persistent Threats (APTs), use hybrid, slow, and low-level patterns to leak and exfiltrate information, manipulate data, or prevent progression of a program or mission. Since current intrusion detection systems (IDSs) and alert correlation systems do not correlate low-level operating system events with network events and use alert correlation instead of event correlation, the intruders use low and hybrid events in order to make detection difficult for such detection systems. In addition, these attacks use low and slow patterns to bypass intrusion detection and alert correlation systems. Since most of the attack detection approaches use a short time-window, the slow APTs abuse this weakness to escape from detection systems. In these situations, the intruders increase the time of attacks and move as slowly as possible by some tricks such as using sleeper and wake up functions. In this thesis, a new solution is proposed for detecting APTs. The proposed approach uses low-level interception, knowledge-based system, system ontology, and semantic correlation to detect low-level and hybrid attacks. Since using semantic-based correlation is not applicable for detecting slow attacks due to its significant processing overhead, we proposed a scalable knowledge-base system that uses three different concepts and approaches to reduce the time complexity including 1) flexible sliding window called Vermiform window to analyze and correlate system events instead of using fixed-size time-window, 2) effective inference using a scalable inference engine called SANSA, and 3) data reduction by ontology-based data abstraction. We can detect the slow APTs that their attack duration is about several months. One of the main challenges in APT detection field is lack of a standard dataset for evaluation. One of our contributions in this thesis was proposing a standard dataset which can be used by other approaches for evaluation. Our evaluation results on this dataset shows 88.88% of sensitivity and 89.09% of specificity for our proposed approach
  9. Keywords:
  10. Advanced Persistent Treats ; Semantic Correlation ; Ontology ; Low-Level Attack ; Slow Attack ; Hybrid Attack

 Digital Object List

 Bookmark

  • 1 مقدمه
    • 1‏.‏1 شرح مسأله
    • 1‏.‏2 اهداف
    • 1‏.‏3 نوآوری‌های رساله
    • 1‏.‏4 ساختار مطالب
  • 2 ادبیات موضوع و صورت مسأله
    • 2‏.‏1 تهدید مانای پیشرفته
    • 2‏.‏2 تعاریف
    • 2‏.‏3 صورت مسأله
    • 2‏.‏4 جمع‌بندی
  • 3 کارهای پیشین
    • 3‏.‏1 پژوهش‌های پیشین در حوزه حملات مانای پیشرفته
    • 3‏.‏2 رویکرد‌های همبسته‌سازی هشدار
    • 3‏.‏3 رویکردهای شناسایی حملات مبتنی بر هستان‌شناسی
    • 3‏.‏4 مقایسه
    • 3‏.‏5 جمع‌بندی
  • 4 همبسته‌سازی معنایی جهت شناسایی حملات مانای پیشرفته ترکیبی و سطح پایین
    • 4‏.‏1 معماری روش شناسایی حملات ترکیبی و سطح پایین
    • 4‏.‏2 هستان‌شناسی سامانه
      • 4‏.‏2‏.‏1 اشیاء
      • 4‏.‏2‏.‏2 عامل‌ها
      • 4‏.‏2‏.‏3 اعمال
      • 4‏.‏2‏.‏4 استخراج هستان‌شناسی سامانه‌ی عامل ویندوز
    • 4‏.‏3 مخزن حافظه/دستکاری (MStore)
    • 4‏.‏4 مخزن خط‌مشی امنیتی (PStore)
    • 4‏.‏5 گام اول: رهگیری رویدادها
      • 4‏.‏5‏.‏1 رهگیری رویدادهای شبکه
      • 4‏.‏5‏.‏2 رهگیری رویدادهای سامانه‌ی عامل
    • 4‏.‏6 گام دوم: هنجارسازی رویدادها
    • 4‏.‏7 گام سوم: همبسته‌سازی رویدادها
      • 4‏.‏7‏.‏1 مخزن نمونه‌ها
      • 4‏.‏7‏.‏2 قواعد همبسته‌سازی
      • 4‏.‏7‏.‏3 استنتاج رابطه بین رویدادها
    • 4‏.‏8 گام چهارم: شناسایی دسترسی غیرمستقیم
      • 4‏.‏8‏.‏1 قواعد دسترسی غیرمستقیم
      • 4‏.‏8‏.‏2 استنتاج انتقال حافظه و دستکاری
    • 4‏.‏9 گام پنجم: بررسی خط‌مشی‌
    • 4‏.‏10 جمع‌بندی
  • 5 همبسته‌سازی معنایی مقیاس‌پذیر جهت شناسایی حملات آهسته و سطح‌ پایین
    • 5‏.‏1 محدودیت‌های همبسته‌سازی معنایی
    • 5‏.‏2 معماری روش شناسایی حملات آهسته و سطح پایین
    • 5‏.‏3 گام اول: رهگیری رویدادها
    • 5‏.‏4 گام دوم: هنجار‌سازی رویدادها
    • 5‏.‏5 گام سوم: پردازش مجموعه بزرگ رویدادها
    • 5‏.‏6 گام چهارم: بررسی خط‌مشی
    • 5‏.‏7 سامانه‌ی دانش‌مبنای مقیاس‌پذیر
      • 5‏.‏7‏.‏1 پنجره کرم‌واره
      • 5‏.‏7‏.‏2 بازشدن پنجره
      • 5‏.‏7‏.‏3 جمع‌شدن پنجره
      • 5‏.‏7‏.‏4 سایر محدودیت‌ها
    • 5‏.‏8 جمع‌بندی
  • 6 ارزیابی
    • 6‏.‏1 داده آزمون
      • 6‏.‏1‏.‏1 داده آزمون مبتنی بر سناریوی حملات مانای غیرآهسته
      • 6‏.‏1‏.‏2 داده آزمون مبتنی بر سناریوی حملات مانای آهسته
    • 6‏.‏2 نتایج ارزیابی
      • 6‏.‏2‏.‏1 معیارهای ارزیابی
      • 6‏.‏2‏.‏2 ارزیابی بر اساس داده آزمون مبتنی بر سناریوی حملات مانای غیرآهسته
      • 6‏.‏2‏.‏3 ارزیابی بر اساس داده آزمون مبتنی بر سناریوی حملات مانای آهسته
    • 6‏.‏3 تحلیل نتایج
  • 7 نتیجه‌گیری و کارهای آتی
    • 7‏.‏1 جمع‌بندی
    • 7‏.‏2 کارهای آتی
  • آ‍ علائم اختصاری
  • ب منطق توصیفی
  • پ چند نمونه خط‌مشی امنیتی
  • مراجع
  • واژه‌نامه‌ی فارسی به انگلیسی
  • واژه‌نامه‌ی انگلیسی به فارسی
...see more