This is WhyWe Can’t Cache Nice Things: Lightning-Fast Threat Hunting using Suspicion-Based Hierarchical Storage abstract。

解决的问题

近来因果分析的方法可以加速事件反应,但是只是在因果图构建后才行。不幸的是现有的因果图生成技术主要是离线的,并且通常需要耗费很长的时间,给攻击者很大的时间窗口来擦除脚印获得持续访问并移动到其他机器。
为了解决此问题,提出本文方法。

Architecture

arch

为了解决上述问题,提出了 SWIFT,一个威胁攻击调查系统来提供高吞吐量的因果关系跟踪和实时因果图生成功能。

  • 设计了一个内存中的图形数据库,它能够以最少的磁盘操作实现空间高效的图形存储和在线因果图跟踪。
  • 提出了一种分层存储系统,该系统将因果图的取证相关部分保存在主内存中,同时将其余部分存储在磁盘中。
  • 为了在调查过程中识别相关的因果图,设计了一个异步缓存落盘策略,该策略计算因果图中最可疑的部分,并仅在主内存中缓存该部分。

威胁模型及假设

arch
arch

前提假设

arch
arch

节点为中心的因果图

可疑因果路径

arch
arch

溯源缓存

arch

可疑缓存

arch