ALchemist: Fusing Application and Audit Logs for Precise Attack Provenance without Instrumentation abstract。

解决的问题

网络攻击变得越来越复杂和持久,很多当前最先进的方法不是要求源码注释或者软件应用的指令 就是依赖高质量的执行配置文件作为基础,进行异常检测。
为解决此问题,提出 ALchemist。

Architecutre

arch

提出的 ALchemist 基于:

  • 内置的应用程序日志可以提供关键的高层级语义
  • 审计日志可以提供低层级细粒度的信息
  • 而两者共享大量的基本元素

思路与具体实现

日志数据处理

本文提出的溯源图和NoDoze生成的溯源图的区别:

comparasion

两种日志的对比:

two logs

统一模型:

unified model

归一化的数据:

normalized data

审计日志融合

基于规则的审计日志融合,具体的规则如下:

rules

对火狐浏览器日志进行融合的案例:

eg rules

需求驱动的数据日志推理

输入一个 POI 事件,然后针对这个事件进行反向传播分析。