論文の概要: Investigation of Advanced Persistent Threats Network-based Tactics, Techniques and Procedures

• arxiv url: http://arxiv.org/abs/2502.08830v1
• Date: Wed, 12 Feb 2025 22:38:50 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-14 13:47:00.398807
• Title: Investigation of Advanced Persistent Threats Network-based Tactics, Techniques and Procedures
• Title（参考訳）: ネットワークに基づく高度な脅威対策, 技術, 手順の検討
• Authors: Almuthanna Alageel, Sergio Maffeis, Imperial College London,
• Abstract要約: 本研究では22年以上にわたるAPT(Advanced Persistent Threats)の進化について検討した。 私たちは、その回避技術と、何ヶ月、何年にもわたって検出されていない方法に重点を置いています。 回避テクニックをデプロイする最も一般的なプロトコルは、APTキャンペーンの81%がHTTP(S)を使っている。
• 参考スコア（独自算出の注目度）: 1.0787328610467801
• License:
• Abstract: The scarcity of data and the high complexity of Advanced Persistent Threats (APTs) attacks have created challenges in comprehending their behavior and hindered the exploration of effective detection techniques. To create an effective APT detection strategy, it is important to examine the Tactics, Techniques, and Procedures (TTPs) that have been reported by the industry. These TTPs can be difficult to classify as either malicious or legitimate. When developing an approach for the next generation of network intrusion detection systems (NIDS), it is necessary to take into account the specific context of the attack explained in this paper. In this study, we select 33 APT campaigns based on the fair distribution over the past 22 years to observe the evolution of APTs over time. We focus on their evasion techniques and how they stay undetected for months or years. We found that APTs cannot continue their operations without C&C servers, which are mostly addressed by Domain Name System (DNS). We identify several TTPs used for DNS, such as Dynamic DNS, typosquatting, and TLD squatting. The next step for APT operators is to start communicating with a victim. We found that the most popular protocol to deploy evasion techniques is using HTTP(S) with 81% of APT campaigns. HTTP(S) can evade firewall filtering and pose as legitimate web-based traffic. DNS protocol is also widely used by 45% of APTs for DNS resolution and tunneling. We identify and analyze the TTPs associated with using HTTP(S) based on real artifacts.
• Abstract（参考訳）: データ不足とAPT(Advanced Persistent Threats)攻撃の複雑さは、それらの振る舞いを理解する上での課題を生み出し、効果的な検出テクニックの探索を妨げている。 効果的なAPT検出戦略を構築するためには,業界から報告された戦術,技術,手順(TTP)を検討することが重要である。 これらのTTPは、悪意または正当なものと分類することは困難である。 次世代ネットワーク侵入検知システム(NIDS)のアプローチを開発する際には,本論文で説明した攻撃の具体的な状況を考慮する必要がある。 本研究では過去22年間の公正な分布に基づいて33のAPTキャンペーンを選択し、時間とともにAPTの進化を観察した。 私たちは、その回避技術と、何ヶ月、何年にもわたって検出されていない方法に重点を置いています。 主にDNS(Domain Name System)によって処理されるC&Cサーバなしでは,APTは操作を継続できないことがわかった。 我々は、動的DNS、タイポスクワット、TLDスクワットなど、DNSに使用されるいくつかのTPを識別する。 APTオペレータの次のステップは、被害者との通信を開始することだ。 回避テクニックをデプロイする最も一般的なプロトコルは、APTキャンペーンの81%でHTTP(S)を使用することです。 HTTP(S)はファイアウォールのフィルタリングを回避し、正当なWebベースのトラフィックとして振る舞う。 DNSプロトコルは、DNS解決とトンネリングのためにAPTの45%が広く使用している。 実アーティファクトに基づいて,HTTP(S) による TTP の識別と解析を行う。

関連論文リスト

• Detecting APT Malware Command and Control over HTTP(S) Using Contextual Summaries [1.0787328610467801]
  本稿では,APTマルウェアのコマンドを検知し,コンテキストサマリを用いてHTTP(S)の制御を行うアプローチであるEarlyCrowを提案する。 EarlyCrowの設計は、最近APTキャンペーンで使われたツールによって生成されたトラフィックに存在するTPに着目した、新しい脅威モデルによって通知される。 EarlyCrowはPairFlowと呼ばれる新しい多目的ネットワークフローフォーマットを定義しており、PCAPキャプチャのコンテキスト概要を構築するために利用される。
  論文  参考訳（メタデータ） (2025-02-07T22:38:39Z)
• AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
  CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。 我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。 また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
  論文  参考訳（メタデータ） (2024-08-04T09:53:50Z)
• Reflected Search Poisoning for Illicit Promotion [2.0355793807035094]
  RSPに基づく不正プロモーションに関する最初のセキュリティ研究を行う。 RSPを介して配布されるIPTは、大規模で、継続的に成長し、違法なカテゴリーと自然言語の両方で多様である。 我々は14種類の違法なカテゴリーに属する1100万以上の異なるIPTを同定した。
  論文  参考訳（メタデータ） (2024-04-08T09:10:02Z)
• TREC: APT Tactic / Technique Recognition via Few-Shot Provenance Subgraph Learning [31.959092032106472]
  本稿では,深層学習技術を活用することで,APT戦術を証明グラフから認識する最初の試みであるTRECを提案する。 干し草の山」問題に対処するために、TRECは大きな前兆グラフから小さくコンパクトな部分グラフを分割する。 チームによって収集・公開されているカスタマイズデータセットに基づいてTRECを評価した。
  論文  参考訳（メタデータ） (2024-02-23T07:05:32Z)
• NODLINK: An Online System for Fine-Grained APT Attack Detection and Investigation [15.803901489811318]
  NodLinkは、検出粒度を犠牲にすることなく高い検出精度を維持する最初のオンライン検出システムである。 そこで本研究では,APT攻撃検出における従来の手法よりも高速な,メモリ内キャッシュ,効率的な攻撃スクリーニング手法,および新しい近似アルゴリズムを提案する。
  論文  参考訳（メタデータ） (2023-11-04T05:36:59Z)
• The Key to Deobfuscation is Pattern of Life, not Overcoming Encryption [0.7124736158080939]
  本稿では,プロトコルのトランザクションパスに沿ったキー位置から測定値を合成することにより,ソースの難読化に有効な新しい手法を提案する。 本稿では,オンラインペルソナと生来のIPアドレスを,生活パターン(PoL)分析に基づいて関連付ける。 インターネット上の正しい場所での監視では、HTTPS(DoH)上のDNSとTLS(DoT)上のDNSは、100%の精度で難読化可能であることを示す。
  論文  参考訳（メタデータ） (2023-10-04T02:34:29Z)
• DPTDR: Deep Prompt Tuning for Dense Passage Retrieval [53.217524851268216]
  ディーププロンプトチューニング(DPT)は多くの自然言語処理(NLP)タスクで大きな成功を収めている。 しかし、微細チューニング(FT)が依然として支配的な高密度検索においては、十分に解明されていない。 本稿では,DPTに基づく検索手法,すなわち検索指向の中間事前学習と統合負のマイニングの2つのモデル非依存型およびタスク非依存型戦略を提案する。
  論文  参考訳（メタデータ） (2022-08-24T12:55:00Z)
• Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
  エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。 既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。 以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
  論文  参考訳（メタデータ） (2022-07-20T19:49:09Z)
• Towards Automated Classification of Attackers' TTPs by combining NLP with ML Techniques [77.34726150561087]
  我々は,NLP(Natural Language Processing)と,研究におけるセキュリティ情報抽出に使用される機械学習技術の評価と比較を行った。 本研究では,攻撃者の戦術や手法に従って非構造化テキストを自動的に分類するデータ処理パイプラインを提案する。
  論文  参考訳（メタデータ） (2022-07-18T09:59:21Z)
• Adversarial Attacks and Defense for Non-Parametric Two-Sample Tests [73.32304304788838]
  本稿では,非パラメトリックTSTの障害モードを逆攻撃により系統的に明らかにする。 TST非依存的な攻撃を可能にするために,異なる種類のテスト基準を協調的に最小化するアンサンブル攻撃フレームワークを提案する。 そこで本研究では,TSTの強化のために,逆対を反復的に生成し,深層カーネルを訓練する最大最小最適化を提案する。
  論文  参考訳（メタデータ） (2022-02-07T11:18:04Z)
• TANTRA: Timing-Based Adversarial Network Traffic Reshaping Attack [46.79557381882643]
  本稿では,TANTRA(Adversarial Network Traffic Reshaping Attack)を提案する。 我々の回避攻撃は、ターゲットネットワークの良性パケット間の時間差を学習するために訓練された長い短期記憶(LSTM)ディープニューラルネットワーク(DNN)を利用する。 TANTRAは、ネットワーク侵入検出システム回避の平均成功率99.99%を達成します。
  論文  参考訳（メタデータ） (2021-03-10T19:03:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。