Główne pojęcia
Dirichlet-Verteilungsmodelle für Themen werden verwendet, um Angriffsverhaltensmuster in Honeypot-Daten unbeaufsichtigt zu erkennen und zu clustern.
Streszczenie
Die Studie untersucht Dirichlet-Verteilungsmodelle für Themen, um Angriffsverhaltensmuster in Honeypot-Daten unbeaufsichtigt zu erkennen und zu clustern. Honeypots sind spezielle Netzwerkrechner, die darauf ausgelegt sind, böswillige Angreifer anzulocken. Die Autoren analysieren die von Angreifern ausgegebenen Befehlszeilen, um ähnliche Angriffsgruppen zu finden und Ausreißer zu identifizieren.
Es werden zwei Modellansätze vorgestellt:
- Eingeschränktes Bayes'sches Clustering (CBC): Jede Sitzung hat ein primäres und ein sekundäres Thema. Die primären Themen repräsentieren die Absichten der Angreifer, während das sekundäre Thema häufig verwendete Befehle abdeckt.
- Verschachteltes eingeschränktes Bayes'sches Clustering (NCBC): Jede Sitzung hat eine Verteilung über befehlsspezifische Themen, die wiederum die Sitzungsthemen charakterisieren. Dies führt zu einer zweistufigen Clusterstruktur.
Die Modelle werden um die Möglichkeit einer unbekannten und unbegrenzten Anzahl von Themen und Vokabular erweitert, um die Evolution neuer Bedrohungen in der Praxis zu berücksichtigen.
Die Methoden werden auf Honeypot-Daten der Imperial College London angewendet. Dabei wird eine ungewöhnliche MIRAI-Variante entdeckt, die versucht, bestehende Krypto-Mining-Infrastruktur zu übernehmen, was mit herkömmlichen Themenmodellierungsansätzen nicht erkannt wurde.
Statystyki
Die Honeypot-Daten der Imperial College London umfassen etwa 40.000 einzigartige Sitzungen, die über 1,3 Millionen Mal beobachtet wurden.
Nach der Vorverarbeitung umfasst der Wortschatz 1.003 einzigartige Wörter, und es wurden 2.617 eindeutig beobachtete Sitzungen mit insgesamt 42.640 Befehlen und 261.283 Wörtern analysiert.
Für den Testdatensatz wurden 273 zusätzliche Sitzungen mit 5.011 Befehlen und 20.177 Wörtern verwendet.
Cytaty
"Honeypots spielen eine wichtige Rolle bei der Erkennung und dem Verständnis des Verhaltens von Angreifern."
"Jede beobachtete Sitzung könnte als eine zugrunde liegende latente Absicht angesehen werden."
"Automatisierte Bedrohungserkennung kann als Ergänzung zu deterministischen Klassifizierungsrahmen wie MITRE ATT&CK® angesehen werden und bietet eine weitere Ebene der Raffinesse bei der Erkennung von Angriffsmustern."