UISCOPE:Accurate, Instrumentation-free, and Visible Attack Investigation for GUI Applications

UISCOPE: Accurate, Instrumentation-free, and Visible Attack Investigation for GUI Applications abstract。

解决的问题

当前针对 GUI 程序的攻击调查方案存在准确率低的问题（依赖爆炸导致的）、需要额外工具并且可视化程度低。

• 分析结果不准确
• 需要额外的工具
• 缺乏可视化

针对 GUI-related 攻击，提出 UISCOPE，一种新型的用于 GUI 应用程序的新型准确的、无额外工具且具有可视化的攻击调查系统。

与其他方法的比较：

Architecture

本文的核心观点在于在 UI 元素/事件 和 底层系统事件 上同时进行因果分析，然后将系统事件与UI事件关联以提高精度和可视化。长时间运行的进程被划分为单独的UI转换，底层系统事件归因于这些转换，从而使得结果准确。
生成的图表包含因果相关的用户熟悉的UI元素，使其易于访问。

具体实现

UI元素和事件采集器

系统事件采集器

事件分析定义

UI Control Dependency:当一个UI组件可以直接影响另外的UI组件的时候，我们认为他们有控制依赖关系。

UI Content Dependency:当UI组件是树形结构组织的，类似于父节点拥有整个网页，子节点为其中一个元素，认为这种关系是内容依赖。

UI-System Dependency:如果一个UI组件导致系统事件，则认为他们有 UI-System 依赖。

System-System Dependency:系统实体之间有调用关系，则认为他们有系统间依赖。

UI 事件分析器

分析算法如下：

UI 事件分析器分析案例：

系统事件分析器

使用现有研究方法中的标准的因果分析方法。

关联分析器

UI-System Dependency

采集器从两个方面采集数据：可视化的前端和详尽信息的后端。

基于以下两个观察提出基于时间戳属性的方法：

• 在某一具体时间，一个应用仅有一个当前聚焦的 UI 树
• 系统事件和UI事件通常同时被相同的攻击行为触发

也就是说这两类事件在时间上是同时触发的，time-aligned.

系统和UI事件基于两个机制来进行关联：

• 初始事件，通常系统实体会跟一系列系统事件相关
• 时间戳，根据上述特点关联

后台活动

后台活动观察：

• 大多数新的网站活动在短时间内减少，并且后台活动不常见
• 大多数 socket 县城在网页加载期间初始化
• 后台活动通常是重复活动

关联分析案例：