Back-Propagating System Dependency Impact for Attack Investigation abstract。

解决的问题

系统审计日志上的因果分析成为了攻击调查的重要方法,给定一个事件(point-of-interest event, POI event),通过因果分析可以构建该事件的因果依赖图,使用因果依赖图来进行攻击序列的发现。
然而因果分析同行会产生一张极大的图,这会对安全专家的分析造成困难。
针对以上问题,提出解决方案。

Architecture

arch

从不同攻击的依赖图中,我们观察到一下特点:

  • 与 POI 事件高度相关的依赖项与 不太相关的依赖项相比,通常表现出不同的一组属性(eg. 数据流和时间)
  • POI 事件通常与一些攻击条目相关(eg. 下载文件)

基于上述观察,提出 DEPIMPACT 来识别依赖图中的关键部分,该框架通过以下方法实现:

  • 为边分配可以判断依赖重要性的权重
  • 将依赖影响从 POI 事件反向传播到入口点
  • 根据依赖影响排名,从排名靠前的入口节点执行前向因果关系分析,过滤掉前向因果关系分析中未找到的边

eg