TapTree：基于进程树的主机行为建模与威胁检测框架

# TapTree：基于进程树的主机行为建模与威胁检测框架 在当今的企业环境中，主机行为建模对于检测和分析网络攻击至关重要。审计日志包含系统级事件，常被用于行为建模，但将审计日志中的低级系统事件映射到高级行为是识别主机上下文行为以检测潜在网络威胁的一大挑战。本文介绍的 TapTree 是一种基于进程树的自动化技术，旨在解决这一问题。 ## 1. 背景与问题分析 ### 1.1 网络威胁现状 现代信息系统是当代企业和组织的关键组成部分，内部威胁检测在网络安全领域正迅速发展。高级持续威胁（APT）攻击对信息系统构成巨大威胁，攻击者先突破目标系统内的主机，再通过内部网络渗透其他主机以窃取敏感信息。因此，在攻击造成重大损害之前，及时有效地检测端点计算机上的恶意行为至关重要。 ### 1.2 现有解决方案的局限性 典型主机产生的日志事件数量巨大，处理大量审计日志事件并过滤无关系统事件以识别代表性主机行为需要大量的手动工作。现有的解决方案，如标签传播和图匹配，大多依赖领域专家知识或专家定义规则的知识库，这限制了其实际应用。 ### 1.3 传统异常检测方法的不足 现有的异常检测方法将用户操作转换为序列，分析日志条目之间的顺序关系，然后使用深度学习、自然语言处理等序列处理技术从先前事件中学习并预测下一个事件。然而，这种方法忽略了其他关系，如用户日常活动在时间上的逻辑关系，以及日志可能由多个线程、别名或任务同时生成的情况。如果忽略这些关系，基于连续日志的预测方法可能会失去可靠性。 ## 2. TapTree 概述 ### 2.1 假设条件 TapTree 设计用于处理具有层次和顺序性质的复杂事件数据结构。假设行为在内核级别进行审计，其活动记录在系统调用审计日志中。底层审计日志监控平台的完整性和安全性被视为可信计算基础的一部分。 ### 2.2 核心思路 TapTree 通过系统生成的进程树自动封装原始审计日志事件中的主机上下文行为，识别任务（进程树）内和任务/行为间频繁出现的关系，为不太常见的关系赋予更高的区分权重。 ## 3. TapTree 系统设计 ### 3.1 进程树构建 进程树的层次结构反映了计算机系统中运行进程之间的因果关系，为事件提供了有价值的上下文信息。TapTree 使用基于进程链的启发式技术，将反映主机行为的日志条目之间的关系映射到任务进程树中。主要考虑以下三种关系来生成进程树： - **父子关系**：形成所有运行操作系统进程的层次结构。 - **顺序关系**：跟踪之间的顺序关系。 - **逻辑关系**：任务之间的逻辑关系。 任务进程树用元组 \(T := (V, E, R)\) 表示： - \(V\) 是节点集，其中 \(v \in V\) 表示启动事件的程序路径。 - \(E \subset V \times V \times R\) 是有向边集，其中 \(e = (u, v, r) \in E\) 表示执行程序之间的按时间顺序排列的关系。 - \(R\) 是节点 \(V\) 之间可能出现的集合，其中 \(r \in R\) 是正整数。每个 \(e \in E\) 被赋予一个权重 \(w(u, v) : R^+\)，表示两个程序相互调用的频率/出现次数。 ### 3.2 主机行为融合 #### 3.2.1 时间树集生成 时间树集是唯一任务进程树的集合，具有相同元素数量和关系/边的树会被合并。由于树是加权的，两个或多个相似树之间的边的权重等于其边权重的总和。形式上，任务树的时间树集 \(F \subseteq T\) 是一组（\(n \geq 0\)）不相交的加权有向树，满足特定条件。 #### 3.2.2 树聚类 此方法合并树内的关系以避免重复模式，通过切割边的子集 \(C \subseteq E\) 来