CICAPT-IIoT

Name: CICAPT-IIoT
Creator: 加拿大网络安全研究所
Published: 2024-07-16 07:08:34
License: 暂无描述

arXiv2024-07-16 更新2024-08-06 收录

下载链接：

http://arxiv.org/abs/2407.11278v1

下载链接

链接失效反馈

官方服务：

资源简介：

CICAPT-IIoT数据集是由加拿大网络安全研究所开发，专门针对工业物联网环境中的高级持续性威胁（APT）检测。该数据集通过混合测试平台生成，结合了真实和模拟的工业物联网组件，以展示现代技术系统的复杂性和多样性。数据集包含网络日志和来源数据，涵盖了超过20种不同的攻击技术，这些技术被分为八个主要的攻击战术，模拟了APT攻击的不同阶段，如数据收集和外泄、发现和横向移动、防御规避和持久性等。该数据集的创建旨在为开发全面的网络安全措施提供基础，并支持网络安全专家构建创新和高效的安全解决方案。

The CICAPT-IIoT Dataset was developed by the Canadian Institute for Cybersecurity, specifically targeted at advanced persistent threat (APT) detection in industrial internet of things (IIoT) environments. It is generated through a hybrid testbed that combines real and simulated IIoT components to demonstrate the complexity and diversity of modern technological systems. The dataset contains network logs and source data, covering more than 20 distinct attack techniques, which are categorized into eight major attack tactics that simulate different stages of APT attacks, such as data collection and exfiltration, discovery and lateral movement, defense evasion and persistence, and others. The creation of this dataset aims to provide a foundation for developing comprehensive cybersecurity measures, and to support cybersecurity experts in building innovative and efficient security solutions.

提供机构：

加拿大网络安全研究所

创建时间：

2024-07-16

搜集汇总

数据集介绍

构建方式

CICAPT-IIoT数据集的构建基于一个模拟的工业物联网（IIoT）环境，该环境通过结合真实和模拟的IIoT组件来模拟现实世界中的IIoT系统。数据集的生成涉及多个阶段，包括建立基线行为（模拟正常系统操作）和模拟APT攻击（使用APT29战术）。数据收集包括网络日志、系统日志和由SPADE服务生成的 provenance 数据。网络日志通过NS3网络模拟器收集，系统日志通过Linux审计守护进程（Auditd）收集，而 provenance 数据则由系统日志转换而来。

特点

CICAPT-IIoT数据集的特点在于其全面性和真实性。它不仅包括网络日志，还包括 provenance 数据，这为研究人员提供了丰富的上下文信息，有助于区分良性事件和恶意事件。数据集涵盖了超过20种不同的攻击技术，分为8个主要攻击策略，这些策略映射到APT攻击场景中，类似于APT29活动。此外，数据集在正常行为和恶意活动之间存在着显著的不平衡，这与现实世界中的IIoT环境相符。

使用方法

使用CICAPT-IIoT数据集时，研究人员可以访问两个主要的数据文件夹：phase1数据（基线行为）和phase2数据（包含攻击）。每个文件夹包含 provenance 数据和网络数据。provenance 数据以CSV格式提供，包含图中的节点和边。网络数据以pcap格式存储，但可以进一步处理为包含每个数据包67个特征的CSV格式。此外，攻击信息文件提供了有关在实验期间执行的所有攻击的必要信息，包括攻击时间、攻击PID和攻击类别。研究人员可以利用这些数据来训练和评估基于机器学习的入侵检测系统，特别是针对APT攻击的检测。

背景与挑战

背景概述

随着工业互联网的迅猛发展，智能传感器、高级分析和强大连接的融合推动了工业流程的实时数据驱动决策和运营效率的提升。然而，工业物联网（IIoT）面临着来自高级持续性威胁（APT）的严重挑战，这种威胁因其隐蔽性、持久性和针对性而备受关注。现有的网络安全数据集往往缺乏在IIoT环境中检测APT所需的关键属性。鉴于此，研究人员提出了CICAPT-IIoT数据集，旨在为IIoT环境中的APT检测任务提供必要的信息。该数据集由来自新不伦瑞克大学计算机科学学院的研究人员Erfan Ghiasvand、Suprio Ray、Shahrear Iqbal、Sajjad Dadkhah和Ali A. Ghorbani共同创建，并于2024年7月发布。CICAPT-IIoT数据集通过在半控制环境中开发一个IIoT测试平台，并包含超过20种在APT活动中常用的攻击技术，为研究人员提供了研究APT检测方法的基础。

当前挑战

CICAPT-IIoT数据集面临的挑战主要涉及APT检测在IIoT环境中的复杂性。首先，APT攻击通常具有复杂性、持久性、针对性和隐蔽性，这使得传统的基于签名和基于异常的威胁检测系统难以有效检测长期运行的APT活动。其次，构建数据集过程中，研究人员需要确保数据集的多样性和真实性，以反映真实世界的IIoT环境。此外，APT攻击的多阶段特性要求数据集涵盖所有相关阶段、战术和技术，以全面代表APT活动。最后，数据集的不平衡性，即正常行为与恶意活动之间的比例差异巨大，也带来了挑战，因为过采样技术可能会扭曲APT在现实世界中的表现。

常用场景

经典使用场景

CICAPT-IIoT数据集被广泛用于工业物联网（IIoT）环境中的高级持续性威胁（APT）攻击检测研究。它包含了超过20种攻击技术，分为8个主要攻击策略，涵盖了APT攻击的各个阶段，如数据收集和泄露、防御规避、持久性、横向移动等。这些攻击技术在现实世界的APT攻击中非常常见，因此该数据集可以用于训练和评估机器学习模型，以检测和预防IIoT环境中的APT攻击。

衍生相关工作

CICAPT-IIoT数据集的发布促进了基于数据源和入侵检测的APT检测研究的发展。它为研究人员提供了丰富的数据资源，有助于开发新的检测技术和算法，以应对APT攻击的挑战。此外，该数据集还可以用于评估和比较不同的APT检测方法，以确定哪些方法在实际应用中最为有效。

数据集最近研究