Dependence-Preserving Data Compaction for Scalable Forensic Analysis abstract。

解决的问题

大型公司正在遭受长期的攻击,当一个攻击行为最终被发现,立即开始审计分析。系统审计日志提供了关键信息,不幸的是,长时间的日志采集使得其体积庞大。庞大的数据不仅消耗存储空间,而且也延缓了审计分析的速度。
因此本文提出了两种强大的精简技术来进行数据压缩。

思路与方法

保留依赖的精简方法 Dependence Preserving Reductions

将一个带时间戳的依赖图G定义为另一个图G‘,G’包含相同节点但是之拥有原图事件的子集。这种处理可以取出冗余事件,并且日志精简需要满足一下条件:

  • 不会改变取证分析结果
  • 不会影响对结果的理解

时间戳依赖图的可达性

持续依赖保持 continuous dependence(CD) preservation

def

全依赖保持 full dependence(FD) preservation

def

源依赖保持 source dependence(SD) preservation

def

优化计算量的精简算法 efficient computation of reduction

简单版本依赖图

eg

algo naive

优化版本和全依赖保留 optimized versioning and FD preservation

冗余边优化 redundant edge optimization(REO)

eg

全局冗余边优化 global redundant edge optimization(REO*)

冗余节点优化 redundant node optimization(RNO)

循环优化 cycle-collapsin optimazation(CCO)

源依赖保留有效性优化 effectiveness of FD-optimizations

正确性和优化效果 correctness and optimality