- 简介随着高级持续性威胁(APT)的复杂性和破坏性增加,越来越倾向于确定一系列行动以实现攻击者的目标,称为攻击调查。目前,分析师构建来自关键事件的因果关系分析的来源图,以捕获与攻击相关的关键事件。然而,由于来源图的巨大规模和关键事件的稀缺性,现有的攻击调查方法存在高误报率、高开销和高延迟的问题。为此,我们提出了SPARSE,一种从流日志中构建关键组件图(即由关键事件组成)的高效实时系统。我们的关键观察是:1)关键事件存在于可疑语义图(SSG)中,该图由可疑实体之间的交互流组成;2)实现攻击者目标的信息流以路径的形式存在。因此,SPARSE使用两阶段框架实现攻击调查(即构建SSG和执行路径级上下文分析)。首先,SPARSE以状态为基础的模式运行,其中事件作为流进行消耗,通过语义传递规则和存储策略轻松访问与POI事件相关的SSG。然后,SPARSE从SSG中识别与POI事件相关的所有可疑流路径(SFPs),量化每个路径的影响以过滤不相关的事件。我们在一个真实的大规模攻击数据集上进行的评估表明,SPARSE可以在1.6秒内生成一个关键组件图(~113个边),比回溯图(~227,589个边)小了2014倍。SPARSE在过滤不相关边方面比其他最先进的技术高效25倍。
- 图表
- 解决问题提出一种高效的实时系统SPARSE,用于从流式日志中构建关键组件图,以进行攻击调查。
- 关键思路SPARSE使用两阶段框架来实现攻击调查,即构建可疑语义图(SSG)和执行路径级上下文分析。通过语义传输规则和存储策略,SPARSE以状态为基础的模式运行,从流中消耗事件,轻松访问与POI事件相关的SSG。然后,SPARSE从SSG中识别与POI事件相关的所有可疑流路径(SFP),量化每个路径的影响以过滤不相关的事件。
- 其它亮点SPARSE可以在1.6秒内生成关键组件图(~113个边),比回溯图(~227,589个边)小2014倍。在过滤不相关的边方面,SPARSE比其他现有技术高25倍。论文使用了真实的大规模攻击数据集进行评估。
- 近期的相关研究包括:基于图的攻击调查方法,使用深度学习技术进行攻击检测,以及使用机器学习技术进行入侵检测。
沙发等你来抢
去评论
评论
沙发等你来抢