TAGS: Real-time Intrusion Detection with Tag-Propagation-based Provenance Graph Alignment on Streaming Events

网络攻击的演变和进步对现有的安全产品构成了挑战。最近集中研究基于溯源图的检测已经证明了它在攻击检测和调查方面的有效性。然而，将这些方法应用于实践中遇到了一些挑战，例如高开销、响应缓慢、解释性和可扩展性低等问题。 为了实现实用的攻击检测和调查，我们提出了TAGS，一种基于标签传播的流式溯源图对齐系统。利用基于标签的中间结果缓存机制以及精心设计的传播规则，我们消除了存储和复制原始数据处理的需求。这种方法有效地减少了内存存储要求，最小化了数据处理开销，便于快速进行流式图对齐，同时显著节省了CPU和内存资源。因此，TAGS可以实时检测和调查各种网络攻击。此外，TAGS允许分析师灵活地定制攻击查询图，以识别数据流中的扩展攻击。 我们对包含257.42 GB审计日志的两个大型公共数据集进行了实验评估，其中包括12个相关的查询图，涵盖多种攻击技术和场景。结果表明，TAGS足够高效，可以处理每秒176K个事件，并足够准确地识别大规模数据中的所有29个对齐。此外，它可以有效地处理依赖爆炸问题，具有稳定的低级内存消耗（小于300MB），仅产生3个误报。总体而言，TAGS的性能显著优于现有的最先进方法。

TAGS论文试图解决实时检测和调查网络攻击的问题，尤其是在大规模数据集上的高效性和可扩展性。

TAGS利用标签传播机制和精心设计的传播规则来实现流式溯源图对齐，有效地缓解了内存存储需求和数据处理开销，从而实现了快速的实时图形对齐，同时显著节省了CPU和内存资源。

TAGS实验评估了两个大规模的公共数据集，其中包含12个不同大小的查询图，覆盖了多种攻击技术和场景。结果表明，TAGS可以处理每秒176K个事件，同时准确识别所有29个对齐，消耗低于300MB的内存，仅产生3个误报。TAGS的性能明显优于现有的方法。

与此相关的最新研究包括《基于深度学习的网络入侵检测》、《基于机器学习的网络入侵检测：综述》、《基于流量的网络入侵检测技术研究》等。