Sfetcu, Nicolae (2024), Apărarea împotriva atacurilor cibernetice prin învățarea automată, Cunoașterea Științifică, 3:2, 56-65, DOI: 10.58679/CS74213, https://www.cunoasterea.ro/apararea-impotriva-atacurilor-cibernetice-prin-invatarea-automata/
Defending Against Cyber Attacks Through Machine Learning
Abstract
Defending against cyberattacks has become a critical priority for organizations around the world. As attackers continually develop their tactics, techniques and procedures, traditional defense mechanisms are often insufficient. Machine learning (ML) has emerged as a powerful tool in the cybersecurity arsenal, providing a dynamic and proactive approach to threat detection and mitigation. Defending against cyberattacks using machine learning involves using algorithms and models to detect, prevent and respond to different types of cyber threats.
This essay explores how machine learning contributes to cyber defense, highlighting its methods, advantages, and challenges.
Keywords: cyberattacks, advanced persistent threats, machine learning, cyber defense, cyber warfare
Rezumat
Apărarea împotriva atacurilor cibernetice a devenit o prioritate critică pentru organizațiile din întreaga lume. Pe măsură ce atacatorii își dezvoltă continuu tacticile, tehnicile și procedurile, mecanismele tradiționale de apărare sunt adesea insuficiente. Învățarea automată (ML) a apărut ca un instrument puternic în arsenalul securității cibernetice, oferind o abordare dinamică și proactivă pentru detectarea și atenuarea amenințărilor. Apărarea împotriva atacurilor cibernetice folosind învățarea automată implică utilizarea algoritmilor și modelelor pentru a detecta, a preveni și a răspunde la diferite tipuri de amenințări cibernetice.
Acest eseu explorează modul în care învățarea automată contribuie la apărarea cibernetică, evidențiind metodele, avantajele și provocările sale.
Cuvinte cheie: atacuri cibernetice, amenințări persistente avansate, învățarea automată, apărarea cibernetică, războiul cibernetic
CUNOAȘTEREA ȘTIINȚIFICĂ, Volumul 3, Numărul 2, Iunie 2024, pp. 56-65
ISSN 2821 – 8086, ISSN – L 2821 – 8086, DOI: 10.58679/CS74213
URL: https://www.cunoasterea.ro/apararea-impotriva-atacurilor-cibernetice-prin-invatarea-automata/
© 2024 Nicolae SFETCU. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorilor.
Apărarea împotriva atacurilor cibernetice prin învățarea automată
Ing. fiz. Nicolae SFETCU[1], MPhil
nicolae@sfetcu.com
[1] Academia Română – Comitetul Român de Istoria și Filosofia Științei și Tehnicii (CRIFST), Divizia de Istoria Științei (DIS), ORCID: 0000-0002-0162-9973
Introducere
Apărarea împotriva atacurilor cibernetice a devenit o prioritate critică pentru organizațiile din întreaga lume. Pe măsură ce atacatorii își dezvoltă continuu tacticile, tehnicile și procedurile, mecanismele tradiționale de apărare sunt adesea insuficiente. Învățarea automată (ML) a apărut ca un instrument puternic în arsenalul securității cibernetice, oferind o abordare dinamică și proactivă pentru detectarea și atenuarea amenințărilor. Apărarea împotriva atacurilor cibernetice folosind învățarea automată implică utilizarea algoritmilor și modelelor pentru a detecta, a preveni și a răspunde la diferite tipuri de amenințări cibernetice.
Învățarea automată în securitatea cibernetică
Învățarea automată, un subset al inteligenței artificiale (AI), implică antrenarea sistemelor informatice pentru a învăța din date, a identifica tipare și a lua decizii cu intervenție umană minimă. În securitatea cibernetică, algoritmii ML pot analiza cantități mari de date, învățând din incidentele anterioare pentru a detecta anomalii care pot indica un atac cibernetic.
Una dintre aplicațiile principale ale ML în securitatea cibernetică este în detectarea atacurilor noi sau sofisticate. Metodele tradiționale de detectare bazate pe semnături sunt ineficiente împotriva exploatărilor zero-day sau a amenințărilor persistente avansate (APT) care nu se potrivesc cu semnăturile malware cunoscute. Cu toate acestea, algoritmii ML pot detecta anomalii în traficul de rețea sau comportamentul utilizatorilor care se abat de la normele stabilite, semnalând o potențială breșă de securitate.
De exemplu, algoritmii de învățare nesupravegheată pot procesa datele de trafic din rețea fără etichete predefinite, identificând modele neobișnuite care ar putea indica o activitate rău intenționată. În mod similar, modelele de învățare supravegheată, instruite pe seturi de date de comportamente malițioase și benigne cunoscute, pot clasifica și prezice natura noilor activități din rețea.
ML permite, de asemenea, analiza predictivă în securitatea cibernetică, unde modelele pot prognoza potențialele vulnerabilități și vectorii de atac viitori pe baza tendințelor actuale. Analizând datele din diverse surse, inclusiv rețelele sociale, forumurile din webul întunecat și datele istorice despre atacuri, modelele ML pot prezice care vulnerabilități sunt susceptibile de a fi exploatate sau ce tipuri de campanii de phishing vor apare.
Sim et al.[1] au aplicat combinația dintre metafora imună și programarea genetică în lucrarea lor, „Network for Lifelong Learning (NELLI) System”, un prim pas către crearea sistemelor L2O care continuă să se adapteze în timp. NELLI generează independent un grup de algoritmi de optimizare care are capacitatea de a rezolva o gamă diversă de instanțe de problemă. Adaptarea sistemului imunitar artificial combinată cu integrarea abordărilor optimizate de învățare automată continuă pentru a prezice instanțe de atac oferă un potențial mare de a pre-genera algoritmi în anticiparea cererii viitoare[2].
Eke, Petrovski, și Ahriz[3] a investigat aplicarea RNN-urilor stivuite în ansamblu optimizate pentru învățare profundă și variantele sale așa cum sunt inspirate de abordarea Life-Long Learning Optimizer (L2O) pentru îmbunătățirea performanței în sistemele de detectare a intruziunilor (IDS) Propune o abordare nouă, folosind rețele neuronale profunde pentru detectarea APT în mai mulți pași, efectuând o serie de experimente pentru a evalua abilitatea acestui model.
Quintero-Bonilla și Martín del Rey[4] vorbesc despre un nou sistem bazat pe învățarea automată numit MLAPT, prezentat și de Ghafir et al.[5] care a detectat atacurile APT prin alerte timpurii care sunt analizate de algoritmi ML, care funcționează în trei faze: detecția amenințărilor, corelarea alertelor, și predicția atacurilor. De asemenea o arhitectură cadru distribuită pentru detectarea APT (DFA-AD) este descrisă în Sharma et al.[6], care clasifică evenimentele într-un mediu distribuit și le corelează pentru a detecta tehnicile utilizate de APT, în trei faze: fluxul de trafic este colectat, procesat și analizat prin recunoaștere folosind algoritmi de învățare automată; se corelează evenimentele generate în faza anterioară pentru a fi evaluate, se creează un sistem de vot pentru informații; și generarea eventual de alerte în cazul unui atac APT. Siddiqui et al.[7].au prezentat un mecanism de clasificare a anomaliilor bazat pe fractal, folosind k-NN și dimensiunea fractală de corelare (FD) ca algoritmi de clasificare a anomaliilor pentru a testa setul de date și compararea rezultatelor. Shenwen, Yingbo, și Xiongjie[8] studiază un sistem de detectarea APT bazat pe procesul arhitecturii big data, folosind algoritmi k-NN cu big data, în patru etape: corelarea datelor, procesarea big data cu un cluster Hadoop, analiza APT pentru detectarea atacurilor din vulnerabilități și conexiuni suspecte, și detectarea APT folosind instrumentul Mahout. Bai et al.[9] a abordat anomaliile pentru detectarea sesiunilor RDP (protocol de desktop la distanță) rău intenționate. Zhang et al.[10] propune o metodă de scenariu de atac asupra jurnalelor de securitate IDS folosind modelul KCI (kill chain intrusion) în patru faze: colectare de informații, intruziune, extindere latentă și furt de informații. Cei mai folosiți algoritmi din aceste modele au fost k-NN, SVM și DT[11].
Ghafir et al.[12] propun un nou sistem de detectare a intruziunilor pentru detectarea și predicția APT, în două faze principale: reconstrucția scenariului de atac, și decodarea atacului folosind modelul Markov ascuns (HMM) pentru a determina secvența cea mai probabilă de etape APT. În plus, este dezvoltat un algoritm de predicție pentru a prezice următorul pas al campaniei APT. Modelul Markov ascuns (HMM) este utilizat și în Mandiant[13] pentru a antrena modele folosind traficul de rețea observat în condiții normale de rețea și pentru a detecta secvențele de deviere ale observațiilor de trafic. HMM abordează provocarea de a oferi informații complete despre campania de atac. Ghafir et al. propun un IDS nou pentru detectarea și predicția APT, folosind algoritmul Viterbi pentru a determina secvența cea mai probabilă de etape APT. Prognoza etapelor APT dezvăluie ciclul de viață APT în fazele sale incipiente, și ajută și la înțelegerea strategiilor și obiectivelor atacatorului.
Al-Saraireh și Masarweh[14] descriu o metodologie de arhitectură a unui model de detecție APT, în mai multe etape: colectarea și preprocesarea datelor, clasificarea setului de date, și utilizarea unui model de detectare ML pentru a testa setul de date. Mecanismul de detectare implică:
- colectarea datelor
- implementarea preprocesării datelor
- extragerea caracteristici și implementarea selecției caracteristicilor
- divizarea datelor în porțiuni de instruire și testare
- construirea unui model și evaluarea.
Avantajele ML în apărarea cibernetică
Modelele ML pot procesa și analiza eficient mai multe date decât ar putea gestiona analiștii umani, făcând posibilă monitorizarea rețelelor complexe și extinse în timp real.
În loc să reacționeze la atacuri după ce au loc, sistemele bazate pe ML pot prezice și preveni atacurile înainte ca acestea să se producă, reducând daunele potențiale.
Modelele ML învață și se adaptează continuu la noile amenințări, asigurându-se că mecanismele de apărare evoluează în tandem cu peisajul în schimbare a amenințărilor cibernetice.
Modalități de contracarare a atacurilor cibernetice
Iată câteva modalități cheie în care învățarea automată poate fi aplicată pentru apărarea cibernetică:
- Detectarea anomaliilor: Algoritmii de învățare automată pot fi antrenați pentru a stabili o linie de bază a comportamentului normal al rețelei și pentru a identifica abaterile care pot indica un atac cibernetic. Anomaliile pot include modele neobișnuite de trafic în rețea, acces neașteptat la sistem sau comportament anormal al utilizatorului.
- Inteligența și clasificarea amenințărilor: Modelele de învățare automată pot fi antrenate pe seturi mari de date de amenințări cibernetice cunoscute pentru a clasifica datele primite și a identifica activitățile potențiale rău intenționate. Aceasta poate implica clasificarea e-mailurilor ca spam sau tentative de phishing, identificarea semnăturilor malware sau semnalarea traficului suspect de rețea.
- Analiza predictivă: Tehnicile de învățare automată, cum ar fi analiza predictivă, pot prognoza potențialele amenințări cibernetice pe baza datelor istorice și a tendințelor actuale. Prin analizarea tiparelor în datele atacurilor cibernetice, organizațiile se pot anticipa și se pot pregăti pentru viitoare atacuri mai eficient.
- Analiza comportamentală: Învățarea automată poate fi utilizată pentru a analiza comportamentul utilizatorilor, dispozitivelor și aplicațiilor dintr-o rețea pentru a identifica acțiunile anormale sau rău intenționate. Prin monitorizarea tiparelor de comportament neobișnuite, organizațiile pot detecta amenințările interne, conturile compromise sau încercările de acces neautorizat.
- Managementul vulnerabilităților: Algoritmii de învățare automată pot ajuta la identificarea și prioritizarea vulnerabilităților din software și sisteme prin analizarea datelor de la scanere de vulnerabilități, sisteme de gestionare a corecțiilor și alte surse. Acest lucru ajută organizațiile să-și concentreze resursele pe abordarea celor mai critice deficiențe de securitate.
- Răspuns în timp real: Modelele de învățare automată pot permite răspunsuri automate la amenințările cibernetice în timp real, cum ar fi blocarea adreselor IP suspecte, punerea în carantină a dispozitivelor infectate sau declanșarea alertelor pentru ca echipele de securitate să investigheze în continuare.
- Învățare automată de protecție: Învățarea automată de protecție implică dezvoltarea apărării împotriva atacurilor concepute special pentru a evita detectarea de către algoritmii de învățare automată. Aceasta include tehnici precum diversificarea modelelor, ingineria caracteristicilor și învățarea ansamblului pentru a îmbunătăți rezistența împotriva adversarilor sofisticați.
- Autentificarea utilizatorului și controlul accesului: Învățarea automată poate îmbunătăți sistemele de autentificare a utilizatorilor prin analizarea biometricelor comportamentale, cum ar fi tiparele de tastare sau mișcările mouse-ului, pentru a verifica identitățile utilizatorilor într-un mod mai sigur. În plus, învățarea automată poate ajuta la identificarea și atenuarea riscurilor de control al accesului prin analiza permisiunilor și activității utilizatorilor.
Modele posibile pe baza ciclului de viață
Un model de ciclu de viață pentru atacurile cibernetice avansate în general, și amenințarea persistentă avansată (APT) în special, în cinci etape, este propus de Quintero-Bonilla și Martín del Rey[15], unde în fiecare etapă au fost incluse cele mai des utilizate TTP asociate, conform MITRE[16]. APT a fost împărțită în acțiuni pasive (care nu modifică datele – ex: scanarea porturilor) și active (care modifică datele – ex: atacuri DDoS), incluzând de la atacuri de inginerie socială la atacuri specifice precum accesul neautorizat la servere. Învățarea automată (ML) este folosită de potențialele ținte pentru analiza unor cantități mari de date, precum alerte IDS, jurnale sau conexiuni la distanță neautorizate; pentru a identifica orice comportament anormal în rețea asociat cu un atac APT.
Pentru detectarea APT pe baza ciclului de viață al APT, Quintero-Bonilla și Martín del Rey[17] propun următoarele etape:
- Descoperirea țintei: explorarea pasivă a rețelei în care atacatorul poate efectua tehnici de scanare porturi (de exemplu, instrumente Nmap), să caute servicii indexate pe Internet (camere de supraveghere web, servere sau sisteme SCADA, cu instrumente precum Shodan), profiluri publice în rețelele sociale ale angajaților și instrumente de recunoaștere OSINT (de exemplu, picior de păianjen).
- Pentru protecție, este recomandat să închideți porturile neutilizate, să utilizați firewall-uri, IDS și conexiuni virtuale private securizate (VLAN și VPN), să creați politici de parole și să cunoașteți organizația utilizatorilor.
- Exploatarea: obținerea accesului la rețea prin vulnerabilitățile detectate, folosind tehnici precum spear-phishing pentru conturi valide sau replicare prin USB. Atacatorul exploatează vulnerabilitatea detectată folosind scripting, Powershell și execuția de utilizator, apoi gestionarea la distanță pentru a stabili o conexiune cu rețeaua țintă.
- Pentru prevenție, evitați utilizarea dispozitivelor personale în rețea și deschiderea fișierelor suspecte. Tehnicile de ML permit crearea de soluții automate, de exemplu un modul care scanează emailurile pentru linkuri sau fișiere rău intenționate. Sau se poate folosi scanarea traficului de rețea pentru conexiuni la distanță neautorizate, analiza jurnalelor pentru activități, sau actualizări de software anormale. Implementarea soluțiilor ML necesită un set de date de antrenament în fluxul normal al organizației și un alt set de date cu flux de rețea anormal. Testele trebuie să fie efectuate într-un mediu controlat. Algoritmii ML cu cele mai bune rezultate au fost k-NN și SVM.
- Intruziunea internă: după compromiterea gazdei, atacatorul escaladează privilegiile pentru a accesa informații de interes, aceasta este cea mai lungă etapă. Persistența se face prin acces redundant, manipularea contului sau un shell web. Accesul la acreditări poate fi obținut prin tehnici de forță brută, manipularea contului, autentificarea forțată sau eliminarea acreditărilor. Evitarea sistemelor de apărare (IDS, IPS, firewall) se poate face prin conexiuni proxy și ascunderea fișierelor sau a informațiilor.
- Ca soluții de protecție sunt tehnicile ML pentru analiza jurnalelor generate de IDS/IPS pentru detectarea posibilelor modele de atac APT (acces nereușit la serviciile SSH, FTP sau telnet), analiza jurnalelor de sistem (instalări de programe neautorizate, directoare, și fișiere cu nume codificate, gazde necunoscute în rețea). Se pot utiliza algoritmi ML precum k-means, NB și SVM.
- Setarea canalelor de extracție a datelor: stabilirea unei conexiuni cu serverul C&C pentru a trimite informațiile, de obicei comprimate și criptate și limitând dimensiunea pachetelor. Atacatorul poate folosi tehnici de flux rapid pentru conexiuni, datele fiind inițial colectate la un loc într-o zonă din rețea și transmise în pachete mici la momente diferite. Extragerea datelor poate fi automatizată și realizată pe medii diferite, folosind protocoalele de generare a domeniilor, instrumentele de acces la distanță și criptarea multistrat.
- Pentru detectarea exfiltrării de date se pot folosi tehnicile ML pentru a căuta gazde cu date criptate, conexiuni cu adrese IP aleatorii și DNS și fluxuri de date criptate către servere necunoscute și neautorizate. Algoritmii k-NN și k-means pot fi utilizați pentru detectarea APT.
- Ștergerea urmelor: după finalizarea misiunii, atacatorul elimină urmele de atac din rețea din sistemele compromise (jurnale, fișiere comprimate, software instalat sau malware). Dacă atacatorul a ajuns în această etapă, în principiu victima nu va mai afla că a fost atacată.
Provocări și considerații
Calitatea și disponibilitatea datelor: Eficacitatea modelelor ML depinde în mare măsură de calitatea și cantitatea datelor de antrenament. Datele părtinitoare, incomplete sau cu zgomot pot duce la predicții inexacte și la rezultate fals pozitive.
Atacurile adverse: Atacatorii pot manipula datele de intrare sau procesul de învățare în sine, ducând la atacuri adverse împotriva modelelor ML. Asigurarea integrității și securității sistemelor ML este o provocare semnificativă.
Complexitate și transparență: Modelele ML, în special algoritmii de învățare profundă, pot fi complexe și lipsite de transparență, ceea ce face dificilă înțelegerea modului în care ajung la anumite decizii. Această problemă de „cutie neagră” poate complica depanarea și încrederea în deciziile bazate pe ML.
Concluzie
Învățarea automată oferă o abordare promițătoare pentru îmbunătățirea apărării securității cibernetice, oferind capacitatea de a detecta, prezice și răspunde la amenințările cibernetice mai efectiv și mai eficient decât metodele tradiționale. Cu toate acestea, valorificarea ML în apărarea cibernetică necesită o analiză atentă a provocărilor, inclusiv calitatea datelor, atacurile adverse și complexitatea modelelor ML. Pe măsură ce peisajul amenințărilor cibernetice continuă să evolueze, integrarea ML în strategiile de securitate cibernetică va fi crucială pentru a face față atacatorilor.
Este important de reținut că, deși învățarea automată poate îmbunătăți semnificativ capacitățile de apărare cibernetică, aceasta nu este un panaceu universal și ar trebui utilizată împreună cu alte măsuri de securitate, cum ar fi criptarea, actualizări regulate de software și formarea angajaților pentru a crea o strategie cuprinzătoare de securitate cibernetică. Este esențial să echilibrăm dependența de ML cu supravegherea umană pentru a ne asigura că apărarea cibernetică rămâne robustă, transparentă și adaptabilă la natura în continuă schimbare a amenințărilor cibernetice.
În plus, organizațiile trebuie să rămână vigilente și să își adapteze continuu apărarea pentru a aborda amenințările cibernetice în evoluție. Fiecare organizație trebuie să includă în planul său de securitate cibernetică politicile de securitate adaptate la infrastructura sa. Identificarea posibilelor atacuri pe etape facilitează detectarea atacurilor cibernetice, ajutând la anticiparea acestor comportamente anormale în rețea.
Bibliografie
- Al-Saraireh, Jaafer, and Ala’ Masarweh. “A Novel Approach for Detecting Advanced Persistent Threats.” Egyptian Informatics Journal 23, no. 4 (December 1, 2022): 45–55. https://doi.org/10.1016/j.eij.2022.06.005.
- Bai, Tim, Haibo Bian, Abbas Abou Daya, Mohammad Salahuddin, Noura Limam, and Raouf Boutaba. A Machine Learning Approach for RDP-Based Lateral Movement Detection, 2019. https://doi.org/10.1109/LCN44214.2019.8990853.
- Eke, Hope Nkiruka, Andrei Petrovski, and Hatem Ahriz. “The Use of Machine Learning Algorithms for Detecting Advanced Persistent Threats.” In Proceedings of the 12th International Conference on Security of Information and Networks, 1–8. SIN ’19. New York, NY, USA: Association for Computing Machinery, 2019. https://doi.org/10.1145/3357613.3357618.
- Ghafir, Ibrahim, Mohammad Hammoudeh, Vaclav Prenosil, Liangxiu Han, Robert Hegarty, Khaled Rabie, and Francisco J. Aparicio-Navarro. “Detection of Advanced Persistent Threat Using Machine-Learning Correlation Analysis.” Future Generation Computer Systems 89 (December 1, 2018): 349–59. https://doi.org/10.1016/j.future.2018.06.055.
- Ghafir, Ibrahim, Konstantinos G. Kyriakopoulos, Sangarapillai Lambotharan, Francisco J. Aparicio-Navarro, Basil Assadhan, Hamad Binsalleeh, and Diab M. Diab. “Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats.” IEEE Access 7 (2019): 99508–20. https://doi.org/10.1109/ACCESS.2019.2930200.
- Mandiant. “APT1 | Exposing One of China’s Cyber Espionage Units.” Mandiant, 2013. https://www.mandiant.com/resources/reports/apt1-exposing-one-chinas-cyber-espionage-units.
- Quintero-Bonilla, Santiago, and Angel Martín del Rey. “A New Proposal on the Advanced Persistent Threat: A Survey.” Applied Sciences 10, no. 11 (January 2020): 3874. https://doi.org/10.3390/app10113874.
- Sharma, Pradip Kumar, Seo Yeon Moon, Daesung Moon, and Jong Hyuk Park. “DFA-AD: A Distributed Framework Architecture for the Detection of Advanced Persistent Threats.” Cluster Computing 20, no. 1 (March 1, 2017): 597–609. https://doi.org/10.1007/s10586-016-0716-0.
- Shenwen, Lin, Li Yingbo, and Du Xiongjie. “Study and Research of APT Detection Technology Based on Big Data Processing Architecture.” 2015 IEEE 5th International Conference on Electronics Information and Emergency Communication, May 2015, 313–16. https://doi.org/10.1109/ICEIEC.2015.7284547.
- Siddiqui, Sana, Salman Khan, K. Ferens, and Witold Kinsner. Detecting Advanced Persistent Threats Using Fractal Dimension Based Machine Learning Classification, 2016. https://doi.org/10.1145/2875475.2875484.
- Sim, Kevin, Emma Hart, and Ben Paechter. “A Lifelong Learning Hyper-Heuristic Method for Bin Packing.” Evolutionary Computation 23 (February 10, 2014). https://doi.org/10.1162/EVCO_a_00121.
- Swisscom. “Report on the Threat Situation | SME | Swisscom,” 2019. https://www.swisscom.ch/en/business/sme/downloads/report-threat-situation-switzerland-2019.html.
- Zhang, Ru, Yanyu Huo, Jianyi Liu, and Fangyu Weng. “Constructing APT Attack Scenarios Based on Intrusion Kill Chain and Fuzzy Clustering.” Security and Communication Networks 2017 (December 27, 2017): e7536381. https://doi.org/10.1155/2017/7536381.
Note
[1] Sim, Hart, and Paechter, “A Lifelong Learning Hyper-Heuristic Method for Bin Packing.”
[2] Eke, Petrovski, and Ahriz, “The Use of Machine Learning Algorithms for Detecting Advanced Persistent Threats.”
[3] Eke, Petrovski, and Ahriz.
[4] Quintero-Bonilla and Martín del Rey, “A New Proposal on the Advanced Persistent Threat.”
[5] Ghafir et al., “Detection of Advanced Persistent Threat Using Machine-Learning Correlation Analysis.”
[6] Sharma et al., “DFA-AD.”
[7] Siddiqui et al., Detecting Advanced Persistent Threats Using Fractal Dimension Based Machine Learning Classification.
[8] Shenwen, Yingbo, and Xiongjie, “Study and Research of APT Detection Technology Based on Big Data Processing Architecture.”
[9] Bai et al., A Machine Learning Approach for RDP-Based Lateral Movement Detection.
[10] Zhang et al., “Constructing APT Attack Scenarios Based on Intrusion Kill Chain and Fuzzy Clustering.”
[11] Quintero-Bonilla and Martín del Rey, “A New Proposal on the Advanced Persistent Threat.”
[12] Ghafir et al., “Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats.”
[13] Mandiant, “APT1 | Exposing One of China’s Cyber Espionage Units.”
[14] Al-Saraireh and Masarweh, “A Novel Approach for Detecting Advanced Persistent Threats.”
[15] Quintero-Bonilla and Martín del Rey, “A New Proposal on the Advanced Persistent Threat.”
[16] Swisscom, “Report on the Threat Situation | SME | Swisscom.”
[17] Quintero-Bonilla and Martín del Rey, “A New Proposal on the Advanced Persistent Threat.”
Acesta este un articol cu Acces Deschis (Open Access) distribuit în conformitate cu termenii licenței de atribuire Creative Commons CC BY SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/).
Lasă un răspuns