【网络安全】数据驱动的APT归因和人工智能/机器学习(AI-ML)研究
2023-9-16 23:44:23 Author: 丁爸 情报分析师的工具箱(查看原文) 阅读量:9 收藏

数据驱动的APT归因和人工智能/机器学习(AI-ML)研究

2022 TF-CSIRT &首届虚拟研讨会

为什么?如何?怎么啦?
目的:提高归因
为什么?
航空是重要的基础设施-易受到“战略”威胁(因此能够很好识别APT组织)
针对航空的网络攻击很“流行”,对媒体很有吸引力
世界各地都在使用非常相似的技术
归因不是一种执念……但我们需要提高对未来袭击的预测能力
如何?两步方法
基于sw的工具,根据MITRE攻击和ck TTPs识别潜在的apt
人工智能/机器学习(AI-ML)应用程序分析攻击上下文,以细化归因

总结
问题归因
解决方案:两步法
步骤1:AFiT
步骤2:人工智能/机器学习(AI-ML)工具

APT29是已被属性化(SVR)的威胁组织。他们至少在欧洲和北约成员国的网络中运作,据报道APT29在2015年夏天入侵了民主党。

2021年4月,美国和英国政府向俄罗斯对外情报局妥协网络行动;酒吧APT29, Cozy Bear和The Dukes。受害者包括咨询、科技、电信等亚洲和中东地区。

针对APT29的MITRE攻击和ck映射

问题:归因

这是哪个APT组?

如果缺少一些信息怎么办?

解决方案
数据驱动的APT归因
基于观测到的TTPs
2步法:
步骤1:AFiT工具
步骤2:从免费文本中提取(TTP)数据的AI/ML工具

第一步:基于软件的工具——对手查找工具(AFIT)
由etm - cert开发的免费工具
APT数据库来自MITRE ATT&CK
用于演示如何使用MITRE ATT&CK
支持MITRE at&ck在航空领域的推广和使用
使用TTPs预测APT组织
支持基于TTP相似性的预测

攻击者查找工具(AFiT)

攻击者查找工具(AFiT)

第二步:基于AI/ML的工具

人工智能/机器学习(AI-ML)的应用程序
在免费文本中查找和构建数据(尽管大多数数据不能共享)
创建可以发现模式并做出更好预测的人工智能/机器学习(AI-ML)模型
通过考虑网络攻击报告中提供的上下文信息来改进预测
增加某些apts的可能性,减少或排除其他apts

人工智能/机器学习应用——合作和信息共享
联邦机器学习
只共享模型,因为数据不能共享
FEDn项目https://scaleoutsystems.github.io/fedn/
有两种使用方式:
冻结模式:简单地使用-无需进一步丰富
充实模式:应用它,用更新的数据集进一步充实模型

呼吁合作
AFiT工具:如果您感兴趣可以使用,无需与我们共享数据。
报告错误、建议等。
人工智能/机器学习(AI-ML)的应用
联邦学习方法:
基于您的数据集训练模型
在本地训练模型的基础上充实“中心”模型
无需与我们共享数据

上述资料原文及机器翻译已上传知识星球

    长按识别下面的二维码可加入星球

    里面已有8000多篇资料可供下载

    越早加入越便宜

    续费五折优惠


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MTE0NTE3Mw==&mid=2651138887&idx=1&sn=e34c01f213d0ae85ceba91d2eb3d3994&chksm=f1af5c7dc6d8d56b945d5a04b6e65fcc6c1769e4ad43488da56132952394c0c739fa7615cbd2&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh