CONAN: A Practical Real-Time APT Detection System With High Accuracy and Efficiency abstract。

解决的问题

针对 apt 攻击已经提出了各种结合上下文信息的实时检测机制,并且提出了基于溯源图的方法来对抗 apt 攻击。
然而,现有的实时 apt 检测机制由于检测模型不准确和溯源图规模不断扩大而存在准确性和效率问题。

Architecture

arch

为了解决上述准确性问题,提出了新型的高准确率的 apt 检测模型,改模型可以去除不必要的阶段而聚焦。为了解决上述有效性问题,我们提出了一个基于状态的框架,该框架将事件看作数据流来进行处理,每个实体都以类似 FSA 的结构表示,而不存储历史数据。

检测模型 detection model

eg

提出了 apt 三步攻击模型:

  • 部署和执行攻击者代码
  • 采集敏感信息和造成危害
  • 与C&C服务器通信或者泄漏敏感数据

具体的检测方法是 跟踪可疑代码执行。

基于状态的框架

语义状态识别

cmp

首先定义了 atomic suspicious indicators(ASIs) ,具体如下:

ASIs

数据结构

data structure

状态转移

基于规则的状态转移,具体如下:

rules