Towards a Timely Causality Analysis for Enterprise Security
Towards a Timely Causality Analysis for Enterprise Security abstract。
解决的问题
随着 APT 攻击的涌现,攻击因果分析成为了分析该类攻击的重要手段。 但是由于该类分析是一个时间敏感的任务,所以构建一个能够及时提取出攻击信息的因果溯源系统是第一步。 然而之前的工作无法达到这个要求,该类工作主要集中于因果依赖关系剪枝,将无关的攻击事件去除。
因此本文提出一种解决该问题的方法。
Architecture
文章提出 PROITRACKER,一个前后向因果关系跟踪器,可以在溯源过程中自动优先考虑异常因果关系依赖的调查。
特别是,针对系统事件进行优先级评估,并通过事件稀有程度建立了一个参考模型。
时间约束的异常优先因果跟踪
上述为基本算法,还设计了事件优先级,事件的优先级通过扇出、事件稀有度和数据流打分。
下一步是为优先度函数的参数分配权值。
参考模型
数据采集
首先采集相似主机上的数据,其次对数据进行抽象,最后使用时间窗口来限定范围和计数。
参考分数定义
All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.