土地利用攻撃の検出向上
新しいアプローチで、先進的なデータ手法を使って微妙なサイバー脅威の検出を強化する。
― 1 分で読む
サイバーセキュリティは現代技術の重要な部分で、攻撃者がシステムをどのように悪用するかを理解することが防御に欠かせない。攻撃者が使う方法の一つは「リビングオフザランド」で、これはシステムに既にある正当なツールを利用することを意味する。これにより、通常の活動に溶け込み、検出を避けることができる。このアーティクルでは、特にリバースシェルを使った悪意のある活動が、データ強化を通じて検出モデルのトレーニングに使うデータを改善することでどう検出できるかを探る。
リビングオフザランド攻撃
リビングオフザランド攻撃は、ハッキングされたデバイス上の既存のソフトウェアを使って有害な行動を行うことを指す。新しい悪意のあるソフトウェアをアップロードする代わりに、攻撃者は正当なアプリケーションを操作して有害なコマンドを実行する。これにより、彼らの活動はシステムの通常の使用パターンに似ているため、目立ちにくくなる。
リバースシェルは、この攻撃で使われる特定の技術だ。これにより、攻撃者はハッキングされたマシンを通じてリモートシステムにアクセスできる。攻撃者は自分のデバイスからコマンドを送り、ネットワーク接続を通じてシェル操作をリダイレクトする。WindowsやLinuxのシステム上の多くの一般的なアプリケーションがこの機能を可能にする。
この技術を使う攻撃者は、アマチュアハッカーから政府に支援された高度なグループまで様々だ。リバースシェルの使用は、ロシアとウクライナの間の現在進行中の状況など、最近の紛争で注目を集めている。
検出の課題
リバースシェル活動や他のリビングオフザランド戦術を検出するのは難しい。アプリケーションによって実行される正当なコマンドが悪意のあるコマンドを隠すことがあり、システムログを慎重に分析しないと特定が難しい。また、脅威は活動を隠す方法を使うことがあり、検出システムでは多くの誤警報が発生する。
機械学習は検出を改善する潜在的な解決策を提供するが、既存のモデルは正当な活動が満載の環境で苦労することがある。多くの攻撃は稀な文脈で発生し、圧倒的に正常なコマンドと混ざってしまい、検出器が効果を発揮しない。そのため、人間のオペレーターは多くの誤警報を精査する必要があり、現実のシナリオでは非現実的だ。
データ強化による検出改善
これらの課題に対処するため、この研究では機械学習モデルのトレーニングのために現実的なデータセットを作成する新しい方法を提案している。目標は、検出モデルがリバースシェルコマンドを正確に識別できるようにすることだ。
提案された方法はデータ強化フレームワークを導入している。このアプローチは、正当なログの文脈内での悪意のある活動の例を増やす。既知の攻撃に関するインテリジェンスを使って、研究者は実際のコマンドと慎重に作成された悪意のある例の両方を含むデータセットを生成する。
強化プロセスは、企業ネットワークから収集されたベースラインデータセットから始まる。このデータセットには、システムによって通常生成される大量の正当な活動が含まれている。それを強化するために、攻撃テンプレートがデータセットに挿入され、通常の操作との関連を維持しつつ、潜在的な脅威の多様な表現を作成する。
実験とデータセット作成
研究者は、強化されたデータセットでどのモデルと技術が最も効果的かを見つけるために広範なテストを行った。14の異なるセットアップに焦点を当て、さまざまなモデルと特徴抽出技術を考慮した。
研究の重要な部分は、Linuxシステム上でリアルタイムに記録されたコマンドラインデータを集約して現実的なデータセットを作成することだった。研究者は、限られた時間内に数百万のイベントを収集し、それらをフィルタリングして、典型的なシステムの挙動を正確に表現するように整理した。
強化に使用された攻撃テンプレートは、リバースシェルの悪用の既知の方法から引き出されている。それぞれのテンプレートには、コマンド構造の変化を許すプレースホルダーが含まれており、生成されたコマンドが多様でありながら機能的である。
モデル性能に関する発見
データセットを作成した後、研究者はさまざまな構成を使用して機械学習モデルをトレーニングした。各組み合わせの効果を分析し、どのセットアップが悪意のある活動を最もよく検出できるかを見た。
研究のハイライトの一つは、特に勾配ブースティング決定木(GBDT)の伝統的な機械学習モデルのパフォーマンスだった。この方法は、正常と悪意のあるコマンドを区別する優れた能力を示し、素晴らしい真陽性率を達成しながら低い偽陽性率を維持した。
さらに、研究者たちは、適切な強化なしに悪意のあるコマンドをデータセットに注入するだけでは効果的な検出モデルが得られないことを指摘した。さまざまな悪意のあるコマンドの表現を使用することが、予測性能を向上させるために重要だった。
モデルの堅牢性
データ強化を通じて検出を改善するだけでなく、研究は敵が使用する可能性のある攻撃に対するモデルの堅牢性にも取り組んでいる。攻撃者がデータを操作して検出を回避すると、機械学習モデルの効果が弱まる可能性がある。
研究者は、攻撃者がトレーニングデータに影響を与え、意図的にノイズを導入してモデルの性能を劣化させる、モデル非依存の脅威を仮定した。彼らは、モデルがそのような攻撃にどれだけ抵抗できるかを調べるためにさまざまなシナリオをシミュレートした。
実験の結果、多くのモデルは効果的であり続けたが、一部は他より脆弱であることがわかった。GBDTモデルは、他のニューラルネットワークモデルに比べて敵対的ノイズに対してより大きなレジリエンスを示し、このタスクには堅牢な選択肢となった。
回避技術と今後の研究
検出システムを回避するためのさまざまな技術が存在し、研究者はそれらをテストで探求した。彼らは、悪意のあるコマンドの中に無害なコマンドを導入して、モデルがどれだけ脅威を識別できるかを見た。結果は、敵対的トレーニングを使用することで、モデルがそのような操作に効果的に対処できる能力が向上したことを示した。
研究はまた、現在のアプローチの限界を指摘した。データセットとモデルは、未知の技術の特定の特性を見落としたり、より複雑なコマンドに埋め込まれた悪意のある行動を認識できなかったりする可能性がある。今後の研究は、他のオペレーティングシステムや方法論をカバーするようにこの研究を拡張することができる。
結論
リバースシェルを使ったリビングオフザランド攻撃の検出はサイバーセキュリティにおいて大きな課題だ。しかし、先進的なデータ強化手法を用いてトレーニングデータセットを改善することで、機械学習モデルはこれらの微妙な脅威を特定するための準備が整う。
サイバー脅威の風景が進化し続ける中、検出技術の研究と改善が熟練した敵からシステムを守るために重要になるだろう。共同の努力とドメイン知識を活用することで、より安全なデジタル環境のために検出システムを強化できる。
タイトル: Robust Synthetic Data-Driven Detection of Living-Off-the-Land Reverse Shells
概要: Living-off-the-land (LOTL) techniques pose a significant challenge to security operations, exploiting legitimate tools to execute malicious commands that evade traditional detection methods. To address this, we present a robust augmentation framework for cyber defense systems as Security Information and Event Management (SIEM) solutions, enabling the detection of LOTL attacks such as reverse shells through machine learning. Leveraging real-world threat intelligence and adversarial training, our framework synthesizes diverse malicious datasets while preserving the variability of legitimate activity, ensuring high accuracy and low false-positive rates. We validate our approach through extensive experiments on enterprise-scale datasets, achieving a 90\% improvement in detection rates over non-augmented baselines at an industry-grade False Positive Rate (FPR) of $10^{-5}$. We define black-box data-driven attacks that successfully evade unprotected models, and develop defenses to mitigate them, producing adversarially robust variants of ML models. Ethical considerations are central to this work; we discuss safeguards for synthetic data generation and the responsible release of pre-trained models across four best performing architectures, including both adversarially and regularly trained variants: https://huggingface.co/dtrizna/quasarnix. Furthermore, we provide a malicious LOTL dataset containing over 1 million augmented attack variants to enable reproducible research and community collaboration: https://huggingface.co/datasets/dtrizna/QuasarNix. This work offers a reproducible, scalable, and production-ready defense against evolving LOTL threats.
著者: Dmitrijs Trizna, Luca Demetrio, Battista Biggio, Fabio Roli
最終更新: 2024-12-16 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2402.18329
ソースPDF: https://arxiv.org/pdf/2402.18329
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。