MCI: Modeling-based Causality Inference in Audit Logging for Attack Investigation
MCI: Modeling-based Causality Inference in Audit Logging for Attack Investigation abstract。
Architecture
在本文中,开发了一个基于因果推理的模型来进行审计日志分析,并且该方法不需要任何应用指令或者内核修改。
它利用了最近的动态分析和双重执行(LDX),可以推断系统调用之间精确因果关系,但不幸的是需要加倍的消耗资源,例如cpu时间和内存的消耗。
对于每个应用来说,我们使用LDX获得一组原始操作的精确的因果模型。每个模型都是一系列具有相互依赖关系的系统调用,其中一些是由内存操作引起的,因此隐含在系统调用级别,这些模型由支持各种复杂性的语言描述,例如常规的、上下文无关的,甚至上下文敏感的。在生产运行中,部署了一个新的解析器来解析审计日志以对实例进行建模,从而得出因果关系。
model construction
trace parsing with models
All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.