Tracing the Chain: Deep Learning for Stepping-Stone Intrusion Detection - 专知论文

会员服务 ·

0

关联 · 入侵检测 · 深度学习 · 攻击 · 运维 ·

Tracing the Chain: Deep Learning for Stepping-Stone Intrusion Detection

翻译：追踪链：深度学习用于跳板入侵检测

Nate Mathews,Nicholas Hopper,Matthew Wright

Stepping-stone intrusions (SSIs) are a prevalent network evasion technique in which attackers route sessions through chains of compromised intermediate hosts to obscure their origin. Effective SSI detection requires correlating the incoming and outgoing flows at each relay host at extremely low false positive rates -- a stringent requirement that renders classical statistical methods inadequate in operational settings. We apply ESPRESSO, a deep learning flow correlation model combining a transformer-based feature extraction network, time-aligned multi-channel interval features, and online triplet metric learning, to the problem of stepping-stone intrusion detection. To support training and evaluation, we develop a synthetic data collection tool that generates realistic stepping-stone traffic across five tunneling protocols: SSH, SOCAT, ICMP, DNS, and mixed multi-protocol chains. Across all five protocols and in both host-mode and network-mode detection scenarios, ESPRESSO substantially outperforms the state-of-the-art DeepCoFFEA baseline, achieving a true positive rate exceeding 0.99 at a false positive rate of $10^{-3}$ for standard bursty protocols in network-mode. We further demonstrate chain length prediction as a tool for distinguishing malicious from benign pivoting, and conduct a systematic robustness analysis revealing that timing-based perturbations are the primary vulnerability of correlation-based stepping-stone detectors.

翻译：跳板入侵（SSIs）是一种普遍的网络规避技术，攻击者通过将会话路由经过多个被攻陷的中介主机链来隐藏其来源。有效的SSI检测需要在每个中继主机上以极低的误报率关联入站和出站流量——这一严格要求使得经典统计方法在实际运维环境中难以胜任。我们将ESPRESSO（一种结合基于Transformer的特征提取网络、时间对齐多通道间隔特征及在线三元组度量学习的深度学习流关联模型）应用于跳板入侵检测问题。为支持训练与评估，我们开发了一个合成数据收集工具，能够生成五种隧道协议（SSH、SOCAT、ICMP、DNS及多协议混合链）下的真实跳板流量。在所有五种协议下，无论是主机模式还是网络模式检测场景，ESPRESSO均显著优于当前最先进的DeepCoFFEA基线：在标准突发协议的网络模式中，当误报率为$10^{-3}$时，其真正率超过0.99。我们进一步展示了将链长预测作为区分恶意与良性跳板的手段，并进行了系统的鲁棒性分析，揭示了基于时间的扰动是基于关联的跳板检测器的主要脆弱点。

0

相关内容

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》

专知会员服务

11+阅读 · 3月16日

深度学习中的架构后门：漏洞、检测与防御综述

深度学习中的架构后门：漏洞、检测与防御综述

专知会员服务

12+阅读 · 2025年7月19日

基于深度学习的入侵检测系统：综述

基于深度学习的入侵检测系统：综述

专知会员服务

15+阅读 · 2025年4月11日

《多跳战术网络中 5G 及其他侧链路通信的作用》

《多跳战术网络中 5G 及其他侧链路通信的作用》

专知会员服务

29+阅读 · 2024年6月6日

《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页

《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页

专知会员服务

24+阅读 · 2024年6月3日

《在 ISTN 架构上使用决策树机器学习的网络入侵检测系统》美海军2022最新79页论文

《在 ISTN 架构上使用决策树机器学习的网络入侵检测系统》美海军2022最新79页论文

专知会员服务

25+阅读 · 2022年12月2日

《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文

《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文

专知会员服务

28+阅读 · 2022年10月7日

对抗机器学习在网络入侵检测领域的应用

对抗机器学习在网络入侵检测领域的应用

专知会员服务

35+阅读 · 2022年1月4日

深度学习赋能的恶意代码攻防研究进展

深度学习赋能的恶意代码攻防研究进展

专知会员服务

30+阅读 · 2021年4月11日

【论文推荐】深度学习中的异常实例检测:综述，Anomalous Instance Detection in Deep Learning: A Survey

【论文推荐】深度学习中的异常实例检测:综述，Anomalous Instance Detection in Deep Learning: A Survey

专知会员服务

97+阅读 · 2020年3月17日

【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告，美国空军研究实验室

【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告，美国空军研究实验室

专知

69+阅读 · 2022年12月3日

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

专知

11+阅读 · 2022年10月28日

Xsser 一款自动检测XSS漏洞工具

Xsser 一款自动检测XSS漏洞工具

黑白之道

14+阅读 · 2019年8月26日

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

专知

79+阅读 · 2019年4月24日

【斯坦福李飞飞等人Nature论文】基于深度学习检测ICU中的患者移动

【斯坦福李飞飞等人Nature论文】基于深度学习检测ICU中的患者移动

专知

20+阅读 · 2019年3月2日

最新49页《深度学习异常检测综述》论文，带你全面了解深度学习异常检测方法

最新49页《深度学习异常检测综述》论文，带你全面了解深度学习异常检测方法

专知

137+阅读 · 2019年1月14日

深度学习时代的目标检测算法

深度学习时代的目标检测算法

炼数成金订阅号

40+阅读 · 2018年3月19日

迁移学习在深度学习中的应用

迁移学习在深度学习中的应用

专知

24+阅读 · 2017年12月24日

什么是迁移学习？它都用在深度学习的哪些场景上？这篇文章替你讲清楚了

什么是迁移学习？它都用在深度学习的哪些场景上？这篇文章替你讲清楚了

AI100

16+阅读 · 2017年12月23日

侦测欺诈交易（异常点检测）

侦测欺诈交易（异常点检测）

GBASE数据工程部数据团队

20+阅读 · 2017年5月10日

无线多跳网络物理层安全理论与关键技术研究

国家自然科学基金

2+阅读 · 2017年12月31日

基于学习的智能化漏洞挖掘关键技术研究

国家自然科学基金

6+阅读 · 2017年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

进近条件下社交感知航空自组网安全态势可靠共享方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

网络安全威胁踪源分析方法研究

国家自然科学基金

19+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

分布式中继网络中的物理层攻击检测技术研究

国家自然科学基金

0+阅读 · 2015年12月31日

基于网络活动分析的窃密木马检测技术研究

国家自然科学基金

0+阅读 · 2015年12月31日

面向大数据的安全迁移学习方法

国家自然科学基金

31+阅读 · 2015年12月31日

基于概率本体的CPS入侵检测方法研究

国家自然科学基金

1+阅读 · 2014年12月31日

SecureScan: An AI-Driven Multi-Layer Framework for Malware and Phishing Detection Using Logistic Regression and Threat Intelligence Integration

Arxiv

0+阅读 · 4月28日

Enhancing Anomaly-Based Intrusion Detection Systems with Process Mining

Arxiv

0+阅读 · 4月20日

Beyond Nodes vs. Edges: A Multi-View Fusion Framework for Provenance-Based Intrusion Detection

Arxiv

0+阅读 · 4月16日

SentinelSphere: Integrating AI-Powered Real-Time Threat Detection with Cybersecurity Awareness Training

Arxiv

0+阅读 · 4月8日

Deep Recurrent Hidden Markov Learning Framework for Multi-Stage Advanced Persistent Threat Prediction

Arxiv

0+阅读 · 4月1日

Analyzing animal movement using deep learning

Arxiv

0+阅读 · 3月25日

In-network Attack Detection with Federated Deep Learning in IoT Networks: Real Implementation and Analysis

Arxiv

0+阅读 · 3月23日

Cross-site scripting adversarial attacks based on deep reinforcement learning: Evaluation and extension study

Arxiv

0+阅读 · 3月20日

Deep Learning for Contextualized NetFlow-Based Network Intrusion Detection: Methods, Data, Evaluation and Deployment

Arxiv

0+阅读 · 3月3日

TrapFlow: Controllable Website Fingerprinting Defense via Dynamic Backdoor Learning

Arxiv

0+阅读 · 2月20日

VIP会员

文章信息

相关主题

最新内容

美国从乌克兰无人机战争中学习经验

美国从乌克兰无人机战争中学习经验

专知会员服务

5+阅读 · 6月21日

ICML 2026 | 面向视觉语言模型的语义鲁棒性认证

ICML 2026 | 面向视觉语言模型的语义鲁棒性认证

专知会员服务

2+阅读 · 6月21日

综述 | 智能体电子设计自动化：从“交接有效性”重新理解Agentic EDA

综述 | 智能体电子设计自动化：从“交接有效性”重新理解Agentic EDA

专知会员服务

2+阅读 · 6月21日

深入解读 Palantir AIP：全球最具争议的人工智能平台究竟如何运作

深入解读 Palantir AIP：全球最具争议的人工智能平台究竟如何运作

专知会员服务

13+阅读 · 6月20日

ICML 2026 | 多任务贝叶斯上下文学习：让 Transformer 在测试时显式适应新先验

ICML 2026 | 多任务贝叶斯上下文学习：让 Transformer 在测试时显式适应新先验

专知会员服务

5+阅读 · 6月19日

ACL 2026综述 | 大规模手语数据集：资源、基准与标注标准

ACL 2026综述 | 大规模手语数据集：资源、基准与标注标准

专知会员服务

8+阅读 · 6月19日

ICML 2026 Spotlight | SmoothSMoE：解析稀疏 MoE 路由不连续

ICML 2026 Spotlight | SmoothSMoE：解析稀疏 MoE 路由不连续

专知会员服务

7+阅读 · 6月18日

综述 | 周期表视角下的大模型推理：范式、方法与失败模式

综述 | 周期表视角下的大模型推理：范式、方法与失败模式

专知会员服务

9+阅读 · 6月18日

《廉价自杀式无人机战争的军事战略影响：乌克兰和伊朗案例研究》

《廉价自杀式无人机战争的军事战略影响：乌克兰和伊朗案例研究》

专知会员服务

11+阅读 · 6月18日

《面向反无人机作战的联邦式可解释射频–光电/红外情报融合：边缘人工智能优化、电子战韧性及分布式监视验证》

《面向反无人机作战的联邦式可解释射频–光电/红外情报融合：边缘人工智能优化、电子战韧性及分布式监视验证》

专知会员服务

11+阅读 · 6月18日

ICML 2026 | FR3D：解耦自车运动的未来动态三维重建世界模型

ICML 2026 | FR3D：解耦自车运动的未来动态三维重建世界模型

专知会员服务

7+阅读 · 6月17日

【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体

【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体

专知会员服务

12+阅读 · 6月17日

学习数据的几何：形状空间分析数学综述

学习数据的几何：形状空间分析数学综述

专知会员服务

8+阅读 · 6月17日

《现代防空系统综述：架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述

《现代防空系统综述：架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述

专知会员服务

21+阅读 · 6月17日

定向能反无人机系统最新发展动态

定向能反无人机系统最新发展动态

专知会员服务

10+阅读 · 6月17日

相关VIP内容

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》

专知会员服务

11+阅读 · 3月16日

深度学习中的架构后门：漏洞、检测与防御综述

深度学习中的架构后门：漏洞、检测与防御综述

专知会员服务

12+阅读 · 2025年7月19日

基于深度学习的入侵检测系统：综述

基于深度学习的入侵检测系统：综述

专知会员服务

15+阅读 · 2025年4月11日

《多跳战术网络中 5G 及其他侧链路通信的作用》

《多跳战术网络中 5G 及其他侧链路通信的作用》

专知会员服务

29+阅读 · 2024年6月6日

《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页

《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页

专知会员服务

24+阅读 · 2024年6月3日

《在 ISTN 架构上使用决策树机器学习的网络入侵检测系统》美海军2022最新79页论文

《在 ISTN 架构上使用决策树机器学习的网络入侵检测系统》美海军2022最新79页论文

专知会员服务

25+阅读 · 2022年12月2日

《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文

《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文

专知会员服务

28+阅读 · 2022年10月7日

对抗机器学习在网络入侵检测领域的应用

对抗机器学习在网络入侵检测领域的应用

专知会员服务

35+阅读 · 2022年1月4日

深度学习赋能的恶意代码攻防研究进展

深度学习赋能的恶意代码攻防研究进展

专知会员服务

30+阅读 · 2021年4月11日

【论文推荐】深度学习中的异常实例检测:综述，Anomalous Instance Detection in Deep Learning: A Survey

【论文推荐】深度学习中的异常实例检测:综述，Anomalous Instance Detection in Deep Learning: A Survey

专知会员服务

97+阅读 · 2020年3月17日

热门VIP内容

开通专知VIP会员享更多权益服务

ICML 2026 | 面向视觉语言模型的语义鲁棒性认证

深入解读 Palantir AIP：全球最具争议的人工智能平台究竟如何运作

美国从乌克兰无人机战争中学习经验

综述 | 智能体电子设计自动化：从“交接有效性”重新理解Agentic EDA

相关资讯

【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告，美国空军研究实验室

【蜂群无人机控制关键技术】《基于深度学习进行无线电信号和协议分类以自动发现波形漏洞》2022最新102页报告，美国空军研究实验室

专知

69+阅读 · 2022年12月3日

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

专知

11+阅读 · 2022年10月28日

Xsser 一款自动检测XSS漏洞工具

Xsser 一款自动检测XSS漏洞工具

黑白之道

14+阅读 · 2019年8月26日

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

最新最权威《深度学习显著目标检测综述》论文代码数据发布，带你全面了解显著目标检测方法

专知

79+阅读 · 2019年4月24日

【斯坦福李飞飞等人Nature论文】基于深度学习检测ICU中的患者移动

【斯坦福李飞飞等人Nature论文】基于深度学习检测ICU中的患者移动

专知

20+阅读 · 2019年3月2日

最新49页《深度学习异常检测综述》论文，带你全面了解深度学习异常检测方法

最新49页《深度学习异常检测综述》论文，带你全面了解深度学习异常检测方法

专知

137+阅读 · 2019年1月14日

深度学习时代的目标检测算法

深度学习时代的目标检测算法

炼数成金订阅号

40+阅读 · 2018年3月19日

迁移学习在深度学习中的应用

迁移学习在深度学习中的应用

专知

24+阅读 · 2017年12月24日

什么是迁移学习？它都用在深度学习的哪些场景上？这篇文章替你讲清楚了

什么是迁移学习？它都用在深度学习的哪些场景上？这篇文章替你讲清楚了

AI100

16+阅读 · 2017年12月23日

侦测欺诈交易（异常点检测）

侦测欺诈交易（异常点检测）

GBASE数据工程部数据团队

20+阅读 · 2017年5月10日

相关论文

SecureScan: An AI-Driven Multi-Layer Framework for Malware and Phishing Detection Using Logistic Regression and Threat Intelligence Integration

Arxiv

0+阅读 · 4月28日

Enhancing Anomaly-Based Intrusion Detection Systems with Process Mining

Arxiv

0+阅读 · 4月20日

Beyond Nodes vs. Edges: A Multi-View Fusion Framework for Provenance-Based Intrusion Detection

Arxiv

0+阅读 · 4月16日

SentinelSphere: Integrating AI-Powered Real-Time Threat Detection with Cybersecurity Awareness Training

Arxiv

0+阅读 · 4月8日

Deep Recurrent Hidden Markov Learning Framework for Multi-Stage Advanced Persistent Threat Prediction

Arxiv

0+阅读 · 4月1日

Analyzing animal movement using deep learning

Arxiv

0+阅读 · 3月25日

In-network Attack Detection with Federated Deep Learning in IoT Networks: Real Implementation and Analysis

Arxiv

0+阅读 · 3月23日

Cross-site scripting adversarial attacks based on deep reinforcement learning: Evaluation and extension study

Arxiv

0+阅读 · 3月20日

Deep Learning for Contextualized NetFlow-Based Network Intrusion Detection: Methods, Data, Evaluation and Deployment

Arxiv

0+阅读 · 3月3日

TrapFlow: Controllable Website Fingerprinting Defense via Dynamic Backdoor Learning

Arxiv

0+阅读 · 2月20日

相关基金

无线多跳网络物理层安全理论与关键技术研究

国家自然科学基金

2+阅读 · 2017年12月31日

基于学习的智能化漏洞挖掘关键技术研究

国家自然科学基金

6+阅读 · 2017年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

进近条件下社交感知航空自组网安全态势可靠共享方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

网络安全威胁踪源分析方法研究

国家自然科学基金

19+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

分布式中继网络中的物理层攻击检测技术研究

国家自然科学基金

0+阅读 · 2015年12月31日

基于网络活动分析的窃密木马检测技术研究

国家自然科学基金

0+阅读 · 2015年12月31日

面向大数据的安全迁移学习方法

国家自然科学基金

31+阅读 · 2015年12月31日

基于概率本体的CPS入侵检测方法研究

国家自然科学基金

1+阅读 · 2014年12月31日

微信扫码咨询专知VIP会员