Back-Propagating System Dependency Impact for Attack Investigation
Back-Propagating System Dependency Impact for Attack Investigation abstract。
解决的问题
系统审计日志上的因果分析成为了攻击调查的重要方法,给定一个事件(point-of-interest event, POI event),通过因果分析可以构建该事件的因果依赖图,使用因果依赖图来进行攻击序列的发现。
然而因果分析同行会产生一张极大的图,这会对安全专家的分析造成困难。
针对以上问题,提出解决方案。
Architecture
从不同攻击的依赖图中,我们观察到一下特点:
- 与 POI 事件高度相关的依赖项与 不太相关的依赖项相比,通常表现出不同的一组属性(eg. 数据流和时间)
- POI 事件通常与一些攻击条目相关(eg. 下载文件)
基于上述观察,提出 DEPIMPACT 来识别依赖图中的关键部分,该框架通过以下方法实现:
- 为边分配可以判断依赖重要性的权重
- 将依赖影响从 POI 事件反向传播到入口点
- 根据依赖影响排名,从排名靠前的入口节点执行前向因果关系分析,过滤掉前向因果关系分析中未找到的边
All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.