Alert-Driven Attack Graph Generation Using S-PDFA

April 12, 2024

SAGE概述 #

SAGE（入侵警报驱动的攻击图提取器）直接从入侵警报生成AG，而无需先验漏洞和网络拓扑信息。它采用了一个可解释的序列学习管道，利用入侵警报之间的时间和概率依赖。SAGE可以直接增强现有的入侵检测系统（IDS），用于对大量警报进行分类，从而只产生少数几个AG。这些警报驱动的AG开启了一种新的手段，可以获取有关攻击者策略的情报，而无需调查数千个入侵警报。

局限性 #

机器学习支持的攻击者策略识别的一个特殊挑战是严重警报的稀缺性-大多数警报与网络扫描相关联，由于其广泛使用，分析师对此不感兴趣[18]。因此，频繁模式挖掘和最长公共子序列等频率分析方法本质上是不合适的，因为它们丢弃了不频繁的行为。

相反，我们使用FlexFringe自动机学习框架学习了一个可解释的基于后缀的概率确定性有限自动机（S-PDFA）[19]。我们调整学习算法并转换警报数据，使得生成的模型强调不常见的严重警报，而不丢弃任何低严重性警报。该模型总结了导致严重攻击阶段的攻击路径。它可以区分具有相同签名但不同上下文的警报，即，攻击开始时的扫描和攻击中途的扫描是不同的，因为前者表示侦察，后者表示攻击进展。有针对性的攻击图是在每个受害者，每个目标的基础上从S-PDFA中提取的。

贡献 #

我们的主要贡献是：

1. 我们提出了基于后缀的概率确定性有限自动机（S-PDFA），一个可解释的序列模型，专注于不频繁的严重警报，而不丢弃任何低严重性警报。该模型总结了数据集中的攻击路径。
2. 我们提供了正式的定义，SAGE的组件，包括一个彻底的可解释性分析SAGE和警报驱动的AG它产生。
3. 我们利用三个安全测试竞争数据集来广泛评估SAGE。我们表明它是可推广的，AG提供了关于攻击者策略，战略差异和指纹路径的可操作情报。

第2节描述了SAGE的两个实际用例。我们在第3节中简要介绍了相关工作。SAGE的体系结构及其可解释性方面的沿着在第4节中说明。第5节和第6节描述了实验设置和警报驱动攻击图的全面分析。我们将在第7节讨论SAGE的局限性，并在第8节总结。