SoK: Harmonizing Attack Graphs and Intrusion Detection Systems

Dit paper biedt een systematische analyse van de integratie van aanvalsgrafieken en detectiesystemen voor inbraken, introduceert een nieuwe levenscyclus die een continue feedbacklus tussen beide technologieën mogelijk maakt om de detectie en respons op cyberdreigingen te verbeteren, en identificeert de noodzaak van een verenigd raamwerk voor toekomstige ontwikkeling.

De kern

Titel: Hoe je een slimme alarmcentrale en een slimme veiligheidsplan samenvoegt

Stel je voor dat je een heel groot, druk kantorengebouw hebt. Er zijn duizenden mensen die binnenkomen, telefoons gebruiken en computers openen. Om dit gebouw veilig te houden, heb je twee dingen nodig:

1. De Alarmcentrale (IDS - Intrusion Detection System): Dit is een supergevoelige camera en sensor die overal hangt. Hij ziet elke beweging. Als iemand een raam openzet of een vreemd geluid hoort, gaat hij piepen. Het probleem? Hij piept ook als een kat over de vloer loopt of als de wind een raam opent. Er zijn dus heel veel valse alarmen.
2. Het Slimme Veiligheidsplan (AG - Attack Graph): Dit is een gedetailleerde plattegrond van het gebouw. Hij toont niet alleen de deuren, maar ook welke deuren openstaan, welke sloten kapot zijn en welke route een inbreker zou kunnen nemen om bij de kluis te komen. Dit plan is heel slim, maar het is statisch. Het weet niet of er nu iemand aan het werk is.

Het Probleem
Tot nu toe werken deze twee systemen vaak los van elkaar.

• De Alarmcentrale schreeuwt om hulp bij elke kleine beweging (veel valse alarmen).
• Het Veiligheidsplan is perfect, maar het wordt niet bijgewerkt met wat er echt gebeurt. Het blijft een theorie.

De auteurs van dit paper zeggen: "Waarom laten we ze niet samenwerken?" Ze hebben 73 bestaande onderzoeken onderzocht en ontdekten dat mensen ze al wel proberen te koppelen, maar vaak op een heel eenzijdige manier. Soms gebruiken ze het plan om de alarmen te filteren, of gebruiken ze de alarmen om het plan te maken. Maar er ontbreekt een levendige cyclus waar ze elkaar continu verbeteren.

De Oplossing: Een Levende Cyclus
De auteurs stellen een nieuw idee voor: een levende cyclus (een 'lifecycle'). Stel je dit voor als een danspartij tussen twee partners die elkaar voortdurend leren kennen:

1. De Alarmcentrale ziet iets: De camera ziet een vreemde beweging (een alarm).
2. Het Plan checkt het: Het systeem kijkt direct in het Veiligheidsplan: "Is dit een mogelijke route naar de kluis?"
   • Ja? Dan is het een echt gevaar. Alarm!
   • Nee? Dan is het waarschijnlijk een kat of de wind. Valse alarm, negeren.
3. Het Plan leert: Als de Alarmcentrale een nieuwe manier ziet om binnen te komen (bijvoorbeeld via een raam dat ze niet kenden), wordt dit direct toegevoegd aan het Veiligheidsplan. Het plan wordt slimmer.
4. De Alarmcentrale wordt slimmer: Omdat het plan nu slimmer is, kan de Alarmcentrale beter weten waar ze moet opletten. Ze piept minder vaak voor niets.

De Experimenten (De Proef)
De auteurs hebben dit idee getest in een virtueel gebouw (met een dataset genaamd CIC-IDS2017). Ze hebben gezien dat:

• Als ze het plan gebruikten om de alarmcentrale te helpen, er minder valse alarmen waren.
• Als de alarmcentrale nieuwe dingen zag, het plan sneller en slimmer werd.
• Zelfs als ze niet heel veel data hadden, werkte deze samenwerking al goed. Het was als een beginnende agent die door een slimme kaart al snel de weg wist.

Waarom is dit belangrijk?
In de echte wereld veranderen hackers hun methodes elke dag. Een statisch plan is snel verouderd. Een alarmcentrale die alleen maar piept, maakt mensen doof voor echte gevaren.

Door deze twee systemen te laten dansen in een levende cyclus, krijg je een beveiliging die:

• Minder piept voor niets (minder stress voor de beveiliging).
• Sneller leert van nieuwe aanvallen.
• Beter begrijpt wat er echt aan de hand is.

Kortom:
Dit paper zegt: "Stop met het bouwen van aparte systemen. Laat je alarmcentrale en je veiligheidsplan met elkaar praten, zodat ze samen een onneembare verdediging vormen die elke dag slimmer wordt."

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "SOK: HARMONIZING ATTACK GRAPHS AND INTRUSION DETECTION SYSTEMS" in het Nederlands.

Probleemstelling

Het detecteren en reageren op cyberaanvallen wordt steeds moeilijker door de hoge volumetrie en complexiteit van netwerkverkeer. Hoewel Intrusion Detection Systems (IDS) uitstekend zijn in het identificeren van afwijkend gedrag, missen ze vaak het vermogen om deze afwijkingen te correlateren over verschillende knooppunten heen. Aan de andere kant dienen Attack Graphs (AG) als een fundamenteel model voor het analyseren van aanvalstrategieën en het plannen van mitigatie, maar ze kampen vaak met schaalbaarheidsproblemen en worden zelden dynamisch bijgewerkt op basis van real-time data.

Hoewel de conceptuele link tussen IDS en AG al lang wordt erkend, ontbreekt er een gemeenschappelijke structuur voor hun integratie. Bestaande onderzoeken zijn gefragmenteerd en richten zich vaak op geïsoleerde problemen (zoals het verminderen van false positives of het verbeteren van de schaalbaarheid van AG's) zonder een unificerend kader voor dynamische, real-world netwerken. Er is geen framework dat IDS en AG behandelt als één cohesief, adaptief systeem.

Methodologie

De auteurs hebben een Systematization of Knowledge (SoK) uitgevoerd, waarbij ze 73 relevante wetenschappelijke publicaties hebben geanalyseerd. De methodologie omvatte:

1. Zoekstrategie: Gebruik van bibliografische zoekmachines (ACM, IEEE, Scopus, etc.) met specifieke zoekopdrachten rondom "intrusion detection", "attack graph", en "alert correlation".
2. Selectiecriteria: Papers werden geselecteerd op basis van duidelijke beschrijvingen van de IDS- en AG-specifieken en de integratiedoelstellingen.
3. Taxonomie: De auteurs hebben een nieuwe taxonomie ontwikkeld om de bestaande integratiemethoden te categoriseren op basis van hoe de twee systemen aan elkaar worden gekoppeld en met welk doel.
4. Proof-of-Concept: Om de haalbaarheid van hun voorgestelde oplossing te demonstreren, hebben ze een experimentele implementatie gebouwd met behulp van de CIC-IDS2017 dataset.

Belangrijkste Bijdragen

1. Nieuwe Taxonomie van AG-IDS Integratie

De analyse van de 73 papers resulteerde in vier hoofdcategorieën van integratiebenaderingen:

• AG|IDS (IDS-based AG Generation): Het gebruik van IDS-alerts om Attack Graphs te genereren. Dit helpt bij het correleren van alerts en het identificeren van veelvoorkomende aanvalspaden, maar wordt vaak beperkt door schaalbaarheidsproblemen bij real-time verwerking.
• IDS[AG] (AG-integrated IDS): Het inbedden van AG-kennis in het detectieproces van de IDS. Dit wordt gebruikt om de detectieregels te verfijnen, alerts te correleren met aanvalspaden, of runtime-detectie mogelijk te maken.
• IDS → AG (AG-based IDS Refinement): Het gebruik van AG's om de output van de IDS te valideren of te verfijnen (bijvoorbeeld het filteren van false positives door te checken of een alert past binnen een mogelijk aanvalspad).
• Hybride Benaderingen: Combinaties van de bovenstaande categorieën. De auteurs merken op dat er geen enkel bestaand werk alle drie de richtingen (AG|IDS, IDS[AG], en IDS → AG) in één continu proces integreert.

2. Het Voorgestelde AG-IDS Levenscyclus Framework

Het paper introduceert een nieuw, continu AG-IDS levenscyclus-model. In tegenstelling tot statische, eenmalige integraties, is dit een feedback-loop waarbij:

• IDS-outputs worden gebruikt om AG's bij te werken (ontdekking van nieuwe kwetsbaarheden).
• Bijgewerkte AG's worden gebruikt om de detectiecapaciteiten van de IDS te verbeteren (verfijning van modellen).
• Dit creëert een adaptief systeem dat kan evolueren met veranderende bedreigingen en netwerkomstandigheden.

3. Experimentele Validatie (Proof-of-Concept)

De auteurs hebben het levenscyclus-model getest op de CIC-IDS2017 dataset met een Decision Tree-gebaseerde IDS. De resultaten tonen aan dat:

• AG|IDS: Het genereren van AG's op basis van IDS-alerts leidt tot een drastische reductie in het aantal aanvalspaden (van ~11.800 naar ~360), wat de schaalbaarheid verbetert en de cyberrisico-inschatting realistischer maakt.
• IDS[AG]: Het integreren van AG-kennis (aanvalspaden) als feature in het IDS-model verbetert de detectie-accuraatheid en verlaagt de False Positive Rate (FPR), zelfs bij beperkte trainingsdata.
• IDS → AG: Het gebruik van AG's om IDS-alerts te valideren (bijv. het omkeren van een "aanval" naar "benign" als er geen geldig aanvalspad is) verlaagt de FPR aanzienlijk.

Resultaten en Bevindingen

• Schaalbaarheid: Traditionele AG-generatie is vaak onpraktisch door de combinatorische explosie van mogelijke paden. De AG|IDS-benadering filtert dit naar alleen relevante, geobserveerde paden.
• Prestatieverbetering: De integratie van AG en IDS resulteert in consistente verbeteringen in Accuracy, F1-score en een vermindering van de FPR. De verbetering is het grootst wanneer de AG's van hoge kwaliteit zijn en wanneer de trainingsdata beperkt is (wat vaak het geval is in vroege levenscyclus-fasen).
• Datasets: Een kritieke bevinding is dat veel bestaand onderzoek afhankelijk is van verouderde datasets (zoals DARPA2000) of gesimuleerde data, wat de generaliseerbaarheid naar real-world scenario's beperkt.
• ML-gebruik: Machine Learning (ML) wordt onderbenut in AG-IDS integratie. Veel werken gebruiken nog steeds statische modellen (zoals Bayesiaanse netwerken of Markov-ketens) in plaats van geavanceerde technieken zoals Graph Neural Networks (GNNs) of neuro-symbolische AI.

Significantie en Toekomstperspectief

Dit paper is significant omdat het voor het eerst een systematisch overzicht biedt van het veld en een duidelijk gat identificeert: het ontbreken van een continu, bidirectioneel integratiekader.

De voorgestelde levenscyclus biedt een blauwdruk voor de toekomst van netwerkbeveiliging:

• Adaptiviteit: Het stelt systemen in staat om dynamisch te reageren op nieuwe kwetsbaarheden en aanvalstactieken.
• Vermindering van False Positives: Door contextuele kennis (AG) te koppelen aan ruwe alerts (IDS), kan de operationaliteit van Security Operation Centers (SOCs) worden verbeterd.
• Richting voor Onderzoek: Het paper identificeert kansen voor verder onderzoek, waaronder het ontwikkelen van gestandaardiseerde benchmarks, het gebruik van neuro-symbolische AI voor betere interpretatie, en het integreren van meerdere databronnen (Multi-source integration).

Kortom, het paper pleit voor een verschuiving van statische, eenrichtingsintegraties naar een dynamische, zelflerende ecosysteem waar IDS en AG elkaar continu versterken.