ProvAgent: Threat Detection Based on Identity-Behavior Binding and Multi-Agent Collaborative Attack Investigation

ProvAgent es un marco de trabajo que mejora la detección y la investigación de amenazas avanzadas persistentes (APT) mediante la combinación de modelos tradicionales para el filtrado de anomalías, un aprendizaje de contraste gráfico para la vinculación de identidad y comportamiento, y un sistema multiagente autónomo que reconstruye procesos de ataque con alta precisión y bajo costo.

Lo esencial

¡Claro que sí! Imagina que la seguridad informática es como la seguridad de una ciudad gigante y muy compleja.

Aquí tienes la explicación del paper "ProvAgent" usando analogías sencillas:

🏙️ El Problema: La Ciudad y los Vigilantes Cansados

Imagina que tienes una ciudad llena de millones de personas (los datos de tu computadora). Los ladrones (los hackers avanzados o APTs) no entran rompiendo la puerta; se mezclan con la gente, usan disfraces y hacen cosas que parecen normales para pasar desapercibidos.

Antes, había dos formas de vigilar la ciudad:

1. Los guardias viejos (Modelos tradicionales): Tenían una lista de "cosas prohibidas". Si veían algo que no estaba en la lista, lo ignoraban. Pero los ladrones modernos son muy listos y no siguen la lista.
2. Los detectives humanos: Tenían que revisar millones de cámaras de seguridad (registros) manualmente. El problema es que los sistemas antiguos gritaban "¡ALERTA!" por cosas inocentes (como alguien abriendo una ventana para ventilar). Esto cansaba a los detectives, los dejaba agotados y, al final, ignoraban las alertas reales.

El dilema: Los sistemas automáticos gritan demasiado (falsas alarmas) y los humanos no pueden revisar todo.

---

🦸‍♂️ La Solución: ProvAgent (El Equipo de Detectives Inteligentes)

Los autores crearon ProvAgent, que es como un nuevo sistema de seguridad que combina la velocidad de una máquina con la inteligencia de un equipo de detectives. Funciona en dos fases:

1. El Filtro Inteligente (EPD): "El Portero que conoce a todos"

Imagina un portero en la entrada de un edificio.

• Cómo funciona antes: El portero solo miraba si la persona llevaba un abrigo rojo (una regla fija). Si alguien llevaba un abrigo azul pero hacía algo raro, el portero no sabía qué hacer.
• Cómo funciona ProvAgent: Este portero conoce la identidad de cada persona y lo que suelen hacer.
  • Si ves a un camión de bomberos (un proceso llamado nginx), esperas que transporte agua o apague fuegos.
  • Si ese mismo camión de bomberos empieza a robar joyas (hacer operaciones de red extrañas), el portero sabe inmediatamente que algo va mal, aunque el camión parezca normal por fuera.
  • La magia: Usa una técnica llamada "aprendizaje por contraste" para aprender qué es normal para cada "identidad". Si el comportamiento no coincide con la identidad, suena la alarma.
  • Resultado: Grita mucho menos, pero cuando grita, es casi seguro que hay un ladrón.

2. El Equipo de Detectives (MAI): "Los Agentes que investigan solos"

Una vez que el portero da una alerta, entra en acción el Equipo de Agentes. En lugar de un solo detective abrumado, ProvAgent tiene un equipo de 4 agentes con IA (Inteligencia Artificial) que trabajan juntos como un equipo humano:

• 🕵️‍♂️ El Analista (El Gatekeeper): Recibe la alerta. Revisa si es una falsa alarma comparándola con lo que hacen los "ciudadanos buenos". Si es real, la pasa al siguiente.
• 🔍 El Investigador (El Forense): Va al lugar de los hechos. Busca pistas alrededor del sospechoso. "¿Quién más estaba cerca? ¿Qué archivos tocó?". Encuentra más ladrones que el portero no vio.
• 🧠 El Líder (El Estratega): Mira el panorama completo. "Espera, si robaron el banco, ¿dónde está el coche de fuga? Falta un paso". Si falta algo, el Líder formula una hipótesis: "Creo que hubo un robo de credenciales antes". Le pide al Investigador que busque esa pista específica.
• 📝 El Reportero (El Redactor): Cuando tienen toda la historia, escribe un informe claro y fácil de entender para los humanos, explicando cómo ocurrió el robo paso a paso.

El ciclo de "Hipótesis-Verificación":
A diferencia de los sistemas antiguos que solo miran lo que tienen delante, este equipo piensa. Si algo no encaja, se preguntan: "¿Qué podría estar pasando aquí?" y van a buscar la prueba. Si no la encuentran, descartan la sospecha. Esto evita que se pierdan pistas importantes.

---

🏆 Los Resultados: ¿Por qué es genial?

1. Menos ruido, más precisión: ProvAgent reduce drásticamente las falsas alarmas. No cansa a los humanos con alertas de "alguien abriendo una ventana".
2. Investigación automática: Puede reconstruir toda la historia del ataque (desde el primer paso hasta el robo final) sin que un humano tenga que revisar millones de líneas de código.
3. Barato: Hacer esta investigación profunda cuesta menos de 6 centavos de dólar al día (¡sí, menos que un café!).
4. Robusto: Incluso si los ladrones intentan disfrazarse mezclándose con gente inocente, ProvAgent detecta que su "comportamiento" no coincide con su "identidad".

En resumen

ProvAgent es como cambiar de tener un guardia de seguridad que solo mira si llevas un abrigo rojo, a tener un sistema inteligente que conoce a cada ciudadano por su nombre y sabe exactamente qué debería estar haciendo. Si ves a un bombero robando joyas, el sistema lo sabe al instante y luego envía a un equipo de detectives de IA para que resuelvan el caso, encuentren a todos los cómplices y te cuenten la historia completa, todo mientras tú te tomas un café tranquilo.

Resumen técnico

Resumen Técnico: ProvAgent

1. El Problema

Las Amenazas Persistentes Avanzadas (APT) representan un desafío crítico para la ciberseguridad moderna debido a su naturaleza multi-etapa y sigilosa. El estado actual de la detección basada en procedencia (Provenance-based EDR) enfrenta dos paradojas principales que limitan su eficacia en entornos reales:

• Escepticismo de los expertos vs. Dependencia de expertos: Los analistas humanos desconfían de los modelos tradicionales para detectar ataques complejos (generando falsos positivos o perdiendo ataques sutiles), pero al mismo tiempo no pueden procesar manualmente los enormes volúmenes de registros de auditoría sin ayuda de modelos.
• Fatiga de alertas y falsos positivos: Los enfoques actuales (basados en heurísticas, anomalías o LLMs simples) a menudo generan un ruido excesivo. Los métodos de anomalía suelen confundir la heterogeneidad operativa legítima con ataques debido a la falta de consistencia entre la identidad de una entidad (ej. nombre del proceso, ruta de archivo) y su comportamiento.
• Investigación superficial: Las herramientas existentes carecen de capacidad de razonamiento profundo y causal. Los LLMs actuales se usan a menudo como "asesores" pasivos en flujos de trabajo rígidos, sin autoridad para investigar activamente, lo que resulta en informes incompletos o sesgados hacia eventos de bajo nivel (como escaneos de puertos) en lugar de reconstruir la narrativa completa del ataque.

2. Metodología: El Marco ProvAgent

ProvAgent propone un nuevo paradigma que evoluciona de la colaboración humano-modelo a una colaboración entre sistemas multi-agente y modelos tradicionales. El sistema consta de dos módulos principales:

A. Módulo de Detección Basada en Perfil de Entidad (EPD - Entity-Profile-based Detection)
Este módulo se encarga de la detección inicial de anomalías en registros masivos con alta fidelidad y bajo costo.

• Aprendizaje por Contraste de Grafos (Graph Contrastive Learning): En lugar de tratar todas las entidades de un tipo (ej. "proceso") por igual, ProvAgent utiliza aprendizaje por contraste para aprender representaciones donde las entidades con la misma identidad fina (ej. nginx en una ruta específica) tienen comportamientos similares, y las de identidades diferentes se separan.
• Vinculación Identidad-Conducta: Se definen perfiles de comportamiento basados en atributos finos (nombre de proceso, puerto, ruta de archivo). El sistema detecta anomalías cuando el comportamiento observado de una entidad no coincide con el perfil de su identidad declarada (ej. un proceso nginx que realiza operaciones de búsqueda de archivos típicas de find).
• Salida: Genera alertas de alta calidad (baja tasa de falsos positivos) que sirven como puntos de entrada para la investigación.

B. Módulo de Investigación Multi-Agente (MAI - Multi-Agent Investigation)
Este módulo simula la colaboración de un Centro de Operaciones de Seguridad (SOC) utilizando un marco de "Hipótesis-Verificación" cerrado. Utiliza Grandes Modelos de Lenguaje (LLMs) no como clasificadores, sino como agentes con autoridad investigativa.

• Arquitectura de Agentes:
  • Analista: Actúa como guardián. Valida las alertas iniciales comparándolas con comportamientos benignos de referencia para filtrar falsos positivos.
  • Investigador: Realiza análisis forense a nivel de eventos, reconstruye operaciones atómicas y descubre nuevas pistas (entidades vecinas) para expandir la investigación.
  • Líder: Realiza razonamiento estratégico de alto nivel. Organiza los hallazgos fragmentados en una cadena de ataque (Kill Chain) coherente, genera hipótesis sobre pasos faltantes o IOCs (Indicadores de Compromiso) espurios, y coordina la validación.
  • Reportero: Sintetiza la información en informes legibles para humanos.
• Mecanismo de Bucle Cerrado: El sistema opera iterativamente. El Líder formula hipótesis (ej. "falta un paso de escalada de privilegios"), el Investigador busca evidencia, y el Analista valida. Si una hipótesis no se confirma, se descarta. Esto mitiga las alucinaciones de los LLMs y evita bucles infinitos.

3. Contribuciones Clave

1. Marco Sinérgico: Combina la eficiencia de los modelos tradicionales para el filtrado inicial con la capacidad de razonamiento profundo de una arquitectura multi-agente.
2. EPD (Detección Basada en Perfil): Propone un método novedoso que utiliza aprendizaje por contraste de grafos para forzar una vinculación fina entre identidad y comportamiento, reduciendo drásticamente los falsos positivos causados por la heterogeneidad operativa.
3. MAI (Investigación Multi-Agente): Diseña un marco donde los LLMs actúan como analistas activos con autoridad de investigación, capaces de refutar hipótesis y reconstruir narrativas de ataque completas, superando las limitaciones de los enfoques basados en flujos de trabajo rígidos.
4. Evaluación Exhaustiva: Validación en conjuntos de datos reales (DARPA E3, E5, OpTC) demostrando superioridad sobre el estado del arte (SOTA).

4. Resultados y Evaluación

El sistema fue evaluado en tres conjuntos de datos públicos (DARPA E3, E5 y OpTC) comparado con seis sistemas SOTA (Threatrace, Kairos, Flash, MAGIC, Orthrus, OCR-APT).

• Detección de Anomalías: ProvAgent superó a todos los baselines en la detección de anomalías.
  • Logró una alta tasa de verdaderos positivos (TP) manteniendo una tasa de falsos positivos (FP) significativamente menor que métodos como Threatrace o Flash, que generan miles de alertas falsas.
  • En el conjunto de datos E3, ProvAgent detectó casi todos los ataques reales con un costo de falsos positivos manejable, mientras que otros métodos o perdían ataques (Orthrus) o inundaban al analista con ruido.
• Investigación y Reconstrucción:
  • ProvAgent logró reconstruir narrativas de ataque casi completas, identificando la mayoría de las etapas de la cadena de ataque (IC, C&C, PE, LM, etc.).
  • Expansión de IOCs: A diferencia de OCR-APT que redujo el número de IOCs tras la investigación (solo filtrando), ProvAgent aumentó el conjunto de IOCs detectados en un 160.7% tras la investigación, descubriendo ataques que el módulo EPD inicial había pasado por alto.
• Costo y Eficiencia:
  • La investigación automatizada tiene un costo mínimo de $0.06 por día de registros analizados.
  • El tiempo de razonamiento diario promedio es de ~0.25 horas.
• Robustez: ProvAgent demostró ser resistente a ataques de imitación (mimicry attacks), donde los adversarios inyectan estructuras benignas para engañar a los detectores. La vinculación identidad-conducta permite que el sistema mantenga la confianza en la detección incluso ante manipulación de la estructura local del grafo.

5. Significado e Impacto

ProvAgent representa un cambio de paradigma en la ciberseguridad de APTs:

• De la Detección a la Investigación Autónoma: Cierra la brecha entre la detección de anomalías y la investigación forense, reduciendo la dependencia de la intervención humana manual para validar alertas.
• Calidad sobre Cantidad: Prioriza la generación de alertas de alta fidelidad en lugar de intentar capturar toda la superficie de ataque, lo que alivia la fatiga de los analistas.
• Escalabilidad Económica: Demuestra que es posible realizar investigaciones profundas y automatizadas a un costo computacional y económico extremadamente bajo, haciéndolo viable para entornos empresariales a gran escala.
• Explicabilidad: Al basarse en la inconsistencia entre identidad y comportamiento, las alertas son inherentemente explicables (ej. "este proceso se comporta como X, pero su identidad es Y"), facilitando la toma de decisiones por parte de los analistas.

En conclusión, ProvAgent valida que la combinación de aprendizaje profundo estructurado (grafos) con la capacidad de razonamiento lógico de los agentes LLMs puede superar las limitaciones actuales de los sistemas EDR, ofreciendo una solución robusta, económica y autónoma para la detección y reconstrucción de amenazas avanzadas.