基于角色的无监督横向运动检测提升网络攻击识别

本文主要探讨了"基于角色的横向运动检测与无监督学习"这一主题，作者Brian A.鲍威尔来自约翰霍普金斯大学应用物理实验室。文章聚焦于网络攻击中的关键环节——横向移动，这是一种黑客在入侵成功后在目标网络中从一个系统转移到另一个系统的重要步骤。传统的基于规则的防御方法往往难以识别通过受损账户进行的、看似正常的活动，如使用传递哈希凭证或远程桌面协议。 为了克服这个挑战，作者提出了一种创新的无监督学习方法，该方法利用系统的角色及其在网络中执行的功能来检测异常的系统间连接。他们观察到，随着时间的推移，系统与远程主机之间的通信可以形成稳定的角色组，这些角色反映了支持连接的进程的动态行为模式，如域控制器与工作站间的交互。当这些正常模式被攻击者破坏以促进横向移动时，它们会产生可识别的异常序列。 具体实施中，作者首先使用无监督学习算法对系统进行聚类，根据角色对系统之间的通信模式进行分析。通过频繁项集挖掘技术，他们能够识别出那些罕见的、不符合正常角色关联的通信序列，这些序列可能指示了恶意的横向移动行为，比如连接到远程主机并采用新角色。 文章强调了机器学习，特别是无监督学习在检测网络攻击中的潜力，因为这些技术能够处理没有预定义模式的数据，从而提高检测到未知威胁的能力。此前的研究，如Ahmad等人（2021）、Buczak和Guven（2016）、Hagemann和Katsarou（2020）以及Magán-Carrillo等人（2020），已经证明了机器学习在检测不同类型网络攻击（如恶意软件传播、拒绝服务攻击和僵尸网络）方面的有效性。然而，本文提出的基于角色的无监督学习方法进一步扩展了这一领域，针对横向移动这种复杂的攻击形态提供了新颖且有效的检测策略。