On the Forensic Validity of Approximated Audit Logs
On the Forensic Validity of Approximated Audit Logs abstract。
解决的问题
审计日程已经成为了系统防御的基础工具,但是日志数据的笨重性质给管理员和安全分析人员带来了沉重的负担。为了解决这个问题,已经提出了多种技术来近似原始审计日志的内容,从而促进有效地存储和分析。
但是,这些近似日志的安全价值很难衡量(相对于原始日志),尚不清楚这些技术是否有效保留了对于调查威胁所需的取证证据。不幸的是,之前的工作只是对这个问题进行了案例证明,在特定攻击场景下保留了足够的证据。
本文为解决这个问题提出了方法。
思路与方法
为解决这个问题,作者通过形式化指标来解决文献中的这一差距,以量化不同威胁模型下近似审计日志的取证有效性。
取证有效性矩阵
使用三个互补的取证有效性指标评估审计日志近似方法。他们是:
- 无损 lossless
- 因果关系保持 causality-preserving
- 攻击保持 attack-preserving
Lossless
这个矩阵假设:
- 攻击者可能在恶意进程通信和协调方面,与系统级别抽象不同
causality-preserving
这个矩阵假设:
- 攻击者在恶意进程通信和协调方面,与系统抽象相同
attack-perseving
这个矩阵假设:
- 攻击者的系统级行为偏离良性行为
LOGAPPROX 近似算法
审计日志近似精简的工作流:
All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.