ALchemist: Fusing Application and Audit Logs for Precise Attack Provenance without Instrumentation
ALchemist: Fusing Application and Audit Logs for Precise Attack Provenance without Instrumentation abstract。
解决的问题
网络攻击变得越来越复杂和持久,很多当前最先进的方法不是要求源码注释或者软件应用的指令 就是依赖高质量的执行配置文件作为基础,进行异常检测。
为解决此问题,提出 ALchemist。
Architecutre
提出的 ALchemist 基于:
- 内置的应用程序日志可以提供关键的高层级语义
- 审计日志可以提供低层级细粒度的信息
- 而两者共享大量的基本元素
思路与具体实现
日志数据处理
本文提出的溯源图和NoDoze生成的溯源图的区别:
两种日志的对比:
统一模型:
归一化的数据:
审计日志融合
基于规则的审计日志融合,具体的规则如下:
对火狐浏览器日志进行融合的案例:
需求驱动的数据日志推理
输入一个 POI 事件,然后针对这个事件进行反向传播分析。
All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.