ProTracer: Towards Practical Provenance Tracing by Alternating Between Logging and Tainting abstract。

解决的问题

现有的溯源分析方法要么遭受依赖爆炸问题,要么要求巨大的空间和运行时开销,这阻碍了他们在实践中的应用。

Architecture

arch

提出 ProTracer,一个轻量级的溯源跟踪系统,可以在系统事件日志记录和单元级污染传播之间交替。
该技术建立在动态系统事件处理的基础架构上,该基础架构具有非常轻量级的内核模块和处理并发、无序事件处理的复杂用户空间守护程序。

溯源分析的基本方法:

arch

Audit 架构:

arch

系统主要分为两个部分:内核模块用户空间守护进程,其中内核模块负责采集 syscall 事件信息并把它们写入到 ring buffer,用户空间守护进程负责获取和处理这些事件,包括决定是否记录事件或者执行污点传播。

arch
arch