With the increasing sophistication of Advanced Persistent Threats (APTs), the demand for effective detection and mitigation strategies and methods has escalated. Program execution leaves traces in the system audit log, which can be analyzed to detect malicious activities. However, collecting and analyzing large volumes of audit logs over extended periods is challenging, further compounded by insufficient labeling that hinders their usability. Addressing these challenges, this paper introduces SAGA (Synthetic Audit log Generation for APT campaigns), a novel approach for generating find-grained labeled synthetic audit logs that mimic real-world system logs while embedding stealthy APT attacks. SAGA generates configurable audit logs for arbitrary duration, blending benign logs from normal operations with malicious logs based on the definitions the MITRE ATT\&CK framework. Malicious audit logs follow an APT lifecycle, incorporating various attack techniques at each stage. These synthetic logs can serve as benchmark datasets for training machine learning models and assessing diverse APT detection methods. To demonstrate the usefulness of synthetic audit logs, we ran established baselines of event-based technique hunting and APT campaign detection using various synthetic audit logs. In addition, we show that a deep learning model trained on synthetic audit logs can detect previously unseen techniques within audit logs.


翻译:随着高级持续性威胁(APT)日益复杂化,对有效检测与缓解策略及方法的需求不断攀升。程序执行会在系统审计日志中留下痕迹,通过分析这些日志可检测恶意活动。然而,长期收集与分析海量审计日志具有挑战性,加之标签信息不足进一步阻碍了其可用性。为应对这些挑战,本文提出SAGA(面向APT攻击活动的合成审计日志生成方法),这是一种生成细粒度标记合成审计日志的新方法,能够模拟真实系统日志并嵌入隐蔽的APT攻击。SAGA可生成任意时长的可配置审计日志,将正常操作的良性日志与基于MITRE ATT&CK框架定义的恶意日志相融合。恶意审计日志遵循APT生命周期,在每个阶段融入多种攻击技术。这些合成日志可作为基准数据集,用于训练机器学习模型及评估各类APT检测方法。为验证合成审计日志的实用性,我们使用多种合成审计日志运行了基于事件的技术狩猎与APT攻击活动检测的现有基线方法。此外,我们证明基于合成审计日志训练的深度学习模型能够检测审计日志中先前未见过的攻击技术。

0
下载
关闭预览

相关内容

《基于动态图神经网络的恶意软件检测》
专知会员服务
14+阅读 · 1月28日
基于深度学习的伪装目标检测研究进展
专知会员服务
30+阅读 · 2025年4月12日
《利用 LLM 进行高级持续性威胁 (APT) 检测和智能解释》
专知会员服务
23+阅读 · 2025年2月14日
专知会员服务
34+阅读 · 2021年9月16日
专知会员服务
19+阅读 · 2021年6月10日
专知会员服务
56+阅读 · 2020年12月28日
异常检测(Anomaly Detection)综述
极市平台
20+阅读 · 2020年10月24日
视线估计(Gaze Estimation)简介(一):概述
CVer
10+阅读 · 2020年3月18日
SemanticAdv:基于语义属性的对抗样本生成方法
机器之心
14+阅读 · 2019年7月12日
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
国家自然科学基金
3+阅读 · 2017年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
19+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
56+阅读 · 2014年12月31日
VIP会员
相关基金
国家自然科学基金
3+阅读 · 2017年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
19+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
56+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员