The sophistication of cyberattacks penetrating into enterprise networks has called for predictive defense beyond intrusion detection, where different attack strategies can be analyzed and used to anticipate next malicious actions, especially the unusual ones. Unfortunately, traditional predictive analytics or machine learning techniques that require training data of known attack strategies are not practical, given the scarcity of representative data and the evolving nature of cyberattacks. This paper describes the design and evaluation of a novel automated system, ASSERT, which continuously synthesizes and separates cyberattack behavior models to enable better prediction of future actions. It takes streaming malicious event evidences as inputs, abstracts them to edge-based behavior aggregates, and associates the edges to attack models, where each represents a unique and collective attack behavior. It follows a dynamic Bayesian-based model generation approach to determine when a new attack behavior is present, and creates new attack models by maximizing a cluster validity index. ASSERT generates empirical attack models by separating evidences and use the generated models to predict unseen future incidents. It continuously evaluates the quality of the model separation and triggers a re-clustering process when needed. Through the use of 2017 National Collegiate Penetration Testing Competition data, this work demonstrates the effectiveness of ASSERT in terms of the quality of the generated empirical models and the predictability of future actions using the models.

中文翻译：

---

ASSERT：利用熵重新分配攻击合成和分离以实现预测性网络防御

渗透到企业网络的网络攻击的复杂性要求在入侵检测之外进行预测性防御，其中可以分析和使用不同的攻击策略来预测下一次恶意行为，尤其是不寻常的行为。不幸的是，考虑到代表性数据的稀缺性和网络攻击的不断发展，需要已知攻击策略训练数据的传统预测分析或机器学习技术并不实用。本文描述了一种新型自动化系统 ASSERT 的设计和评估，该系统不断合成和分离网络攻击行为模型，以便更好地预测未来的行动。它将流式恶意事件证据作为输入，将它们抽象为基于边缘的行为聚合，并将边缘与攻击模型相关联，其中每个代表一种独特的集体攻击行为。它遵循基于动态贝叶斯的模型生成方法来确定何时出现新的攻击行为，并通过最大化集群有效性指数来创建新的攻击模型。ASSERT 通过分离证据生成经验攻击模型，并使用生成的模型来预测看不见的未来事件。它不断评估模型分离的质量，并在需要时触发重新聚类过程。通过使用 2017 年全国大学渗透测试竞赛数据，这项工作证明了 ASSERT 在生成的经验模型的质量和使用模型的未来行动的可预测性方面的有效性。它遵循基于动态贝叶斯的模型生成方法来确定何时出现新的攻击行为，并通过最大化集群有效性指数来创建新的攻击模型。ASSERT 通过分离证据生成经验攻击模型，并使用生成的模型来预测看不见的未来事件。它不断评估模型分离的质量，并在需要时触发重新聚类过程。通过使用 2017 年全国大学渗透测试竞赛数据，这项工作证明了 ASSERT 在生成的经验模型的质量和使用模型的未来行动的可预测性方面的有效性。它遵循基于动态贝叶斯的模型生成方法来确定何时出现新的攻击行为，并通过最大化集群有效性指数来创建新的攻击模型。ASSERT 通过分离证据生成经验攻击模型，并使用生成的模型来预测看不见的未来事件。它不断评估模型分离的质量，并在需要时触发重新聚类过程。通过使用 2017 年全国大学渗透测试竞赛数据，这项工作证明了 ASSERT 在生成的经验模型的质量和使用模型的未来行动的可预测性方面的有效性。ASSERT 通过分离证据生成经验攻击模型，并使用生成的模型来预测看不见的未来事件。它不断评估模型分离的质量，并在需要时触发重新聚类过程。通过使用 2017 年全国大学渗透测试竞赛数据，这项工作证明了 ASSERT 在生成的经验模型的质量和使用模型的未来行动的可预测性方面的有效性。ASSERT 通过分离证据生成经验攻击模型，并使用生成的模型来预测看不见的未来事件。它不断评估模型分离的质量，并在需要时触发重新聚类过程。通过使用 2017 年全国大学渗透测试竞赛数据，这项工作证明了 ASSERT 在生成的经验模型的质量和使用模型的未来行动的可预测性方面的有效性。