ProvAgent: Threat Detection Based on Identity-Behavior Binding and Multi-Agent Collaborative Attack Investigation

ProvAgent is een nieuw raamwerk dat de dreigingsdetectie voor geavanceerde aanhoudende bedreigingen (APTs) verbetert door traditionele modellen te combineren met een multi-agent samenwerking voor autonome, diepgaande onderzoek, waarbij het gebruikmaakt van identiteit-gedrag binding en grafiekcontrasterend leren om nauwkeurige waarschuwingen te genereren en complete aanvalspaden te reconstrueren tegen een minimale kostprijs.

De kern

ProvAgent: De Slimme Rechercheur die Geen Vermoeidheid Kijgt

Stel je voor dat een groot bedrijf (zoals een bank of een overheidsdienst) een enorme berg bewakingsbeelden en logboeken heeft. Elke seconde worden er duizenden gebeurtenissen geregistreerd: wie op welke deur heeft geduwd, welk bestand is geopend, welke telefoon is opgenomen.

Het probleem? Advanced Persistent Threats (APT's) zijn als sluwe inbrekers. Ze doen zich voor als normale werknemers, gebruiken de normale deuren en doen precies wat ze moeten doen, maar dan op een heel verdachte manier. Traditionele beveiligingssystemen kijken vaak alleen naar de "deur" (het bestand) en roepen alarm als de deur open gaat. Maar dat leidt tot duizenden valse alarmen. De echte beveiligingsexperts (de mensen) raken dan overbelast, worden moe van het kijken naar alles wat "misschien" verdacht is, en slaan de echte inbraak misschien over.

ProvAgent is een nieuw systeem dat dit probleem oplost door twee slimme onderdelen te combineren: een snelle scanner en een team van digitale rechercheurs.

Hier is hoe het werkt, verteld in alledaagse termen:

1. De Snelle Scanner (EPD): "Ken je de persoon of alleen de kleren?"

Stel je voor dat je een club hebt. Normaal gesproken draagt de barman een schort en schenkt drankjes. De portier draagt een uniform en controleert ID's.

• Hoe oude systemen werken: Ze roepen alarm als iemand een schort draagt en een portier is. Of als iemand een drankje schenkt terwijl hij een portier zou moeten zijn. Dit leidt tot veel verwarring.
• Hoe ProvAgent werkt: Het kijkt niet alleen naar wat iemand doet, maar combineert dat met wie ze zijn.
  • Het systeem leert: "Een proces met de naam 'Nginx' (een webserver) moet zich gedragen als een webserver."
  • Als diezelfde 'Nginx' plotseling begint te doen alsof hij een zoekmachine is (zoals het commando find), dan roept het alarm.
  • De analogie: Het is alsof je ziet dat de barman plotseling de kassa van de bank overneemt en probeert geld te tellen. Dat is verdacht, zelfs als hij nog steeds zijn schort draagt.
  • Het resultaat: Het systeem filtert de duizenden valse alarmen eruit en geeft alleen de echte, hoogwaardige verdachten aan de rechercheurs door.

2. Het Team van Digitale Rechercheurs (MAI): "Het speurteam dat niet moe wordt"

Zodra de scanner een verdachte heeft gevonden, komt het tweede deel in beeld: een team van AI-agenten. In plaats van één robot die alles moet doen, werken ze samen als een echt recherche-team:

• De Analist (De Wachter): Kijkt naar het alarm en vraagt: "Is dit echt verdacht, of doet de barman gewoon iets ongebruikeligs omdat er veel drukte is?" Hij vergelijkt het gedrag met normale patronen. Als het gewoon een rare maar veilige actie is, gooit hij het alarm weg.
• De Rechercheur (De Onderzoeker): Als de Analist denkt "Ja, dit is verdacht", gaat deze agent aan het werk. Hij kijkt niet alleen naar de verdachte, maar zoekt naar zijn vrienden en connecties. "Wie heeft hij gebeld? Welke bestanden heeft hij geopend?" Hij bouwt een spoor van bewijs op.
• De Leider (De Strategist): Deze agent kijkt naar het grote plaatje. Hij vraagt zich af: "Hebben we nu een compleet verhaal? Missen we een stap? Als de inbreker de kassa heeft gepakt, waar is het geld dan gebleven? Misschien hebben we een stap gemist." Hij formuleert hypotheses en stuurt de Rechercheur terug om specifiek naar dat gat te zoeken.
• De Verslaggever: Zodra het verhaal compleet is, schrijft deze agent een duidelijk rapport voor de menselijke beveiligingsexpert, zodat die precies weet wat er is gebeurd en wat hij moet doen.

Waarom is dit zo speciaal?

1. Geen Vermoeidheid: Mensen raken moe van duizenden valse alarmen ("alert fatigue"). Dit AI-team werkt 24/7, wordt niet moe en controleert elke verdachte met de precisie van een senior rechercheur.
2. Zelfcorrigerend: Als de Rechercheur een fout maakt en een onschuldig persoon verdenkt, kan de Analist dat corrigeren. Als de Leider een gat in het verhaal ziet, stuurt hij het team terug om het op te lossen. Ze werken in een cirkel van "hypothese maken" en "bewijs zoeken".
3. Extreem Goedkoop: Het systeem is zo efficiënt dat het voor slechts $0,06 per dag (ongeveer 6 cent!) een volledige dag aan beveiligingsonderzoek kan doen. Dat is goedkoper dan een kopje koffie!
4. Slimme Detectie: Het systeem is getest op echte data en werkt beter dan de beste systemen die er nu zijn. Het vindt niet alleen de inbrekers, maar reconstructeert ook precies hoe ze het hebben gedaan, van de eerste binnendringing tot het stelen van de data.

Conclusie

ProvAgent is als het hebben van een onuitputtelijk team van super-slimme rechercheurs die samenwerken. Ze kijken niet alleen naar wat er gebeurt, maar begrijpen ook wie er is en of dat gedrag past bij die persoon. Hierdoor stoppen ze de echte inbrekers, negeren ze de onschuldige verwarring, en leveren ze een duidelijk verhaal op zonder dat de menselijke beveiligingsexpert overbelast raakt. Het is beveiliging die eindelijk werkt zoals het zou moeten werken: slim, snel en samenwerkend.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "ProvAgent: Threat Detection Based on Identity-Behavior Binding and Multi-Agent Collaborative Attack Investigation", vertaald en samengevat in het Nederlands.

1. Het Probleem

De paper adresseert de uitdagingen die Advanced Persistent Threats (APTs) vormen voor de moderne cybersecurity. APT's zijn multi-stadia, sluipende aanvallen die traditionele detectiemethoden vaak omzeilen. Bestaande oplossingen op basis van provenance (herkomst van data) lijden onder twee fundamentele paradoxen:

• Expert-scepticisme: Menselijke analisten twijfelen aan de capaciteit van traditionele detectiemodellen om complexe aanvallen te identificeren, wat leidt tot een gebrek aan vertrouwen in geautomatiseerde alerts.
• Expert-afhankelijkheid: Analisten kunnen enorme hoeveelheden ruwe logs niet handmatig verwerken zonder deze modellen, maar de modellen genereren vaak te veel valse positieven (alert fatigue).

Huidige systemen zijn vaak te gericht op het maximaliseren van Recall (het vinden van zoveel mogelijk incidenten), wat resulteert in een overvloed aan lage-kwaliteit alerts (zoals port scans) die analisten moeten filteren. Daarnaast missen bestaande methoden vaak de consistentie tussen identiteit en gedrag. Ze behandelen entiteiten (zoals processen) vaak te grof (bijv. alleen op type), waardoor ze niet kunnen onderscheiden of een specifiek proces (bijv. nginx) zich gedraagt zoals verwacht voor die specifieke identiteit.

2. Methodologie: ProvAgent Framework

ProvAgent introduceert een nieuw paradigma dat de samenwerking tussen mens en model vervangt door een samenwerking tussen traditionele modellen en een multi-agent systeem. Het systeem bestaat uit twee hoofdmodules:

A. Entity-Profile-based Detection (EPD)

Deze module is verantwoordelijk voor de initiële, kostenefficiënte screening van logs om hoogwaardige alerts te genereren met minimale valse positieven.

• Identiteit-Gedrag Binding: In plaats van alleen topologische afhankelijkheden te analyseren, gebruikt EPD Graph Contrastive Learning om een fijne-granulariteit binding te creëren tussen de identiteit van een entiteit (bijv. procesnaam, bestandspad, poort) en zijn gedrag.
• Feature Encoding: Nodes in het provenance-graf worden geëncodet op basis van:
  1. Semantische attributen (via Word2Vec).
  2. Actiefrequentie (normalisatie van operaties zoals READ/WRITE).
  3. Temporale statistieken (rustperiodes tussen gebeurtenissen).
• Detectie: Het systeem leert "profielen" van normale gedragingen voor specifieke identiteiten tijdens een trainingsfase (benigne logs). Tijdens detectie wordt gekeken of het gedrag van een entiteit overeenkomt met de verwachte profielen van zijn identiteit. Afwijkingen (bijv. een nginx-proces dat zich gedraagt als een find-utility) worden gemarkeerd als anomalieën.

B. Multi-Agent Investigation (MAI)

Deze module voert diepgaande, autonome onderzoeken uit op basis van de alerts van EPD, gebruikmakend van Large Language Models (LLMs). Het simuleert een Security Operations Center (SOC) met vier gespecialiseerde agenten die werken in een gesloten lus van Hypothese-Verificatie:

1. Analyst Agent: Fungeert als poortwachter. Hij valideert alerts door ze te vergelijken met een repository van benigne gedragingen (via attributen en vector-similariteit) om valse positieven te filteren.
2. Investigator Agent: Voert forensisch onderzoek uit op het niveau van gebeurtenissen. Hij reconstrueert tactische aanvalstappen (bijv. privilege escalation) en zoekt naar nieuwe aanwijzingen (leads) in de omliggende graf.
3. Leader Agent: Voert strategisch redeneren uit. Hij probeert gefragmenteerde gebeurtenissen te koppelen tot een coherent aanvalskanaal (Kill Chain). Hij formuleert hypothesen over ontbrekende stappen of potentiële valse positieven en stuurt deze terug naar de Analyst en Investigator voor verificatie.
4. Reporter Agent: Genereert menselijk leesbare rapporten met bewijs onderbouwde aanvalsnarratieven.

Dit proces is iteratief en voorkomt "hallucinaties" door cross-agent verificatie en een gedeelde repository van bewijsmateriaal.

3. Belangrijkste Bijdragen

• Synergetisch Framework: Een unieke integratie van de snelheid en kostenefficiëntie van traditionele GNN-modellen voor detectie met het diepe redeneervermogen van multi-agent LLM-systemen voor onderzoek.
• EPD (Entity-Profile-based Detection): Een nieuwe detectiemethode die Graph Contrastive Learning gebruikt om identiteit-gedrag binding af te dwingen, wat leidt tot alerts met een hoge fideliteit en minder valse positieven.
• MAI (Multi-Agent Investigation): Een autonoom onderzoeksframework dat LLMs gebruikt als actieve analisten (met onderzoeksbevoegdheid) in plaats van passieve adviseurs, waardoor valse positieven worden verwijderd en gemiste aanvallen worden ontdekt.
• Empirische Validatie: Uitgebreide evaluatie op real-world datasets (DARPA E3, E5, OpTC) die aantoont dat ProvAgent superieur is aan state-of-the-art (SOTA) methoden.

4. Resultaten

De evaluatie toont aan dat ProvAgent aanzienlijk beter presteert dan bestaande methoden (zoals Threatrace, Kairos, Flash, Orthrus, OCR-APT):

• Detectieprestaties: ProvAgent bereikt een betere balans tussen True Positives (TP) en False Positives (FP). Terwijl andere systemen ofwel geen aanvallen vinden (Orthrus) of overweldigd worden door valse positieven (Threatrace, MAGIC), vindt ProvAgent kritieke aanvalspunten met een veel lagere kosten voor valse positieven.
• Onderzoek en Herreconstructie:
  • ProvAgent verhoogt het aantal gedetecteerde IOCs (Indicators of Compromise) na het onderzoek met 160,7% ten opzichte van de initiële alerts (door gemiste aanvallen te vinden).
  • In tegenstelling tot OCR-APT (dat het aantal IOCs verlaagt door alleen te filteren), breidt ProvAgent het onderzoek uit.
  • Het systeem reconstrueert bijna volledige aanvalsnarratieven die alle belangrijke APT-fasen (zoals Initial Compromise, C&C, Lateral Movement) dekken.
• Kostenefficiëntie: Het geautomatiseerde onderzoek kost minimaal $0,06 per dag voor de gebruikte datasets, wat het zeer schaalbaar maakt.
• Robuustheid: Het systeem is bestand tegen mimicry-aanvallen (waarbij aanvallen zich voordoen als normaal gedrag), omdat het gebaseerd is op identiteit-gedrag inconsistentie in plaats van alleen structurele gelijkenis.

5. Betekenis en Impact

ProvAgent vertegenwoordigt een paradigmaverschuiving in cybersecurity:

1. Van Mens-Model naar Multi-Agent: Het lost het probleem van "alert fatigue" op door de menselijke expertise te simuleren via een agenten-netwerk, waardoor de afhankelijkheid van menselijke handmatige validatie wordt verminderd.
2. Fijne-granulariteit: Door zich te richten op de consistentie tussen de specifieke identiteit van een entiteit en zijn gedrag, lost het het probleem van valse positieven op dat voortkomt uit te grove classificaties.
3. Autonome Forensiek: Het bewijst dat LLMs, wanneer ze correct worden georchestreerd in een gesloten lus met verificatiestappen, in staat zijn om complexe, multi-stadia APT-aanvallen autonoom te reconstrueren en te verklaren, wat een grote stap is richting volledig geautomatiseerde Security Operations Centers (SOCs).

Kortom, ProvAgent biedt een schaalbare, kosteneffectieve en nauwkeurige oplossing voor het detecteren en onderzoeken van geavanceerde cyberdreigingen in grote enterprise-omgevingen.