On the Forensic Validity of Approximated Audit Logs abstract。

解决的问题

审计日程已经成为了系统防御的基础工具,但是日志数据的笨重性质给管理员和安全分析人员带来了沉重的负担。为了解决这个问题,已经提出了多种技术来近似原始审计日志的内容,从而促进有效地存储和分析。
但是,这些近似日志的安全价值很难衡量(相对于原始日志),尚不清楚这些技术是否有效保留了对于调查威胁所需的取证证据。不幸的是,之前的工作只是对这个问题进行了案例证明,在特定攻击场景下保留了足够的证据。

本文为解决这个问题提出了方法。

思路与方法

为解决这个问题,作者通过形式化指标来解决文献中的这一差距,以量化不同威胁模型下近似审计日志的取证有效性。

取证有效性矩阵

使用三个互补的取证有效性指标评估审计日志近似方法。他们是:

  • 无损 lossless
  • 因果关系保持 causality-preserving
  • 攻击保持 attack-preserving

Lossless

这个矩阵假设:

  • 攻击者可能在恶意进程通信和协调方面,与系统级别抽象不同

definition

causality-preserving

这个矩阵假设:

  • 攻击者在恶意进程通信和协调方面,与系统抽象相同

definition

attack-perseving

这个矩阵假设:

  • 攻击者的系统级行为偏离良性行为

definition

LOGAPPROX 近似算法

审计日志近似精简的工作流:

workflow