ProPatrol: Attack Investigation via Extracted High-Level Tasks abstract。

解决的问题

内核审计日志是对网络攻击进行取证调查的宝贵信息来源。然而,审计日志中粗粒度的依赖信息会导致构建的攻击图包含错误或者规模过大。
为了解决这个问题,提出本方法。

Architecture

arch

为了解决这个问题,作者提出了一个系统 PROPATROL,该系统里使用了在安全敏感环境中使用的企业应用程序系列中的开放式分区设计。
本方法的优点是,不依赖源代码或者二进制指令,而仅需要应用结构的先验知识即可开展分析。
一言以蔽之,该系统就是要将大量的系统执行划分成彼此独立的应用/进程执行。

思路和实现

学习了一个模型将溯源信息输出到活动的执行单元,一个执行单元就是应用程序的一部分,它处理作为用户活动的输入或者一组输入。

基于规则的活动执行单元识别

rules