GHAFIR, Ibrahim, Mohammad HAMMOUDEH, Václav PŘENOSIL, Liangxiu HAN, Robert HEGARTY, Khaled RABIE a Francisco J. APARICIO-NAVARRO. Detection of Advanced Persistent Threat Using Machine-Learning Correlation Analysis. Future Generation Computer Systems. Elsevier, roč. 89, Dec, s. 349-359. ISSN 0167-739X. doi:10.1016/j.future.2018.06.055. 2018.
Další formáty:   BibTeX LaTeX RIS
Základní údaje
Originální název Detection of Advanced Persistent Threat Using Machine-Learning Correlation Analysis
Název česky Detekce pokročilé hrozby s využitím samoučící strojové korelační analýzy
Autoři GHAFIR, Ibrahim (760 Sýrie, garant, domácí), Mohammad HAMMOUDEH (826 Velká Británie a Severní Irsko), Václav PŘENOSIL (203 Česká republika, domácí), Liangxiu HAN (826 Velká Británie a Severní Irsko), Robert HEGARTY (826 Velká Británie a Severní Irsko), Khaled RABIE (826 Velká Británie a Severní Irsko) a Francisco J. APARICIO-NAVARRO (826 Velká Británie a Severní Irsko).
Vydání Future Generation Computer Systems, Elsevier, 2018, 0167-739X.
Další údaje
Originální jazyk angličtina
Typ výsledku Článek v odborném periodiku
Obor 10200 1.2 Computer and information sciences
Stát vydavatele Nizozemské království
Utajení není předmětem státního či obchodního tajemství
WWW Future Generation Computer Systems
Impakt faktor Impact factor: 5.768
Kód RIV RIV/00216224:14330/18:00101837
Organizační jednotka Fakulta informatiky
Doi http://dx.doi.org/10.1016/j.future.2018.06.055
UT WoS 000444360500028
Klíčová slova česky kybernetické útoky; pokročilá trvalá hrozba; malware; systém detekce narušení; korelace výstrah; strojové učení
Klíčová slova anglicky Cyber attacks; Advanced persistent threat; Malware; Intrusion detection system; Alert correlation; Machine learning
Příznaky Mezinárodní význam, Recenzováno
Změnil Změnil: prof. Ing. Václav Přenosil, CSc., učo 169249. Změněno: 2. 7. 2019 10:25.
Anotace
As one of the most serious types of cyber attack, Advanced Persistent Threats (APT) have caused major concerns on a global scale. APT refers to a persistent, multi-stage attack with the intention to compromise the system and gain information from the targeted system, which has the potential to cause significant damage and substantial financial loss. The accurate detection and prediction of APT is an ongoing challenge. This work proposes a novel machine learning-based system entitled MLAPT, which can accurately and rapidly detect and predict APT attacks in a systematic way. The MLAPT runs through three main phases: (1) Threat detection, in which eight methods have been developed to detect different techniques used during the various APT steps. The implementation and validation of these methods with real traffic is a significant contribution to the current body of research; (2) Alert correlation, in which a correlation framework is designed to link the outputs of the detection methods, aims to identify alerts that could be related and belong to a single APT scenario; and (3) Attack prediction, in which a machine learning-based prediction module is proposed based on the correlation framework output, to be used by the network security team to determine the probability of the early alerts to develop a complete APT attack. MLAPT is experimentally evaluated and the presented system is able to predict APT in its early steps with a prediction accuracy of 84.8%.
Anotace česky
Zdokonalené trvalé hrozby (Advanced Persistent Threats - APT)jako jeden z nejzávažnějších typů kybernetických útoků způsobily velké obavy v celosvětovém měřítku. APT označuje přetrvávající víceúrovňový útok s úmyslem ohrozit systém a získat informace z cíleného systému, který může způsobit významné škody a značnou finanční ztrátu. Přesná detekce a předpovídání APT je neustálou výzvou. Tato práce navrhuje nový systém založený na strojovém učení s názvem MLAPT, který může systematickým způsobem přesně a rychle detekovat a předvídat útoky APT. MLAPT prochází třemi hlavními fázemi: (1) detekce hrozeb, v níž bylo vyvinuto osm metod detekce různých technik používaných během různých kroků APT. Zavedení a validace těchto metod v reálném provozu je významným přínosem pro současný výzkum; (2) korelace výstrah, korelační rámec pro propojení výstupů detekčních metod. Má za cíl identifikovat výstrahy, které by mohly být příbuzné a patří k jedinému scénáři APT a (3) predikce útoku, ve kterém je navržen modul pro predikci založený na strojovém učení založený na výstupu korelačního rámce, který má použít bezpečnostní tým k určení pravděpodobnosti včasného varování při vývoji kompletního útoku APT. MLAPT byl experimentálně testován s výsledkem, že je schopen předpovědět APT v raných krocích s přesností předpovědi 84,8%.
Návaznosti
OFMASUN201301, projekt VaVNázev: CIRC - Mobilní dedikované zařízení pro naplňování schopností reakce na počítačové incidenty
VytisknoutZobrazeno: 29. 3. 2024 09:51