Kernel-Supported Cost-Effective Audit Logging for Causality Tracking
Kernel-Supported Cost-Effective Audit Logging for Causality Tracking abstract。
解决的问题
Linux 的 Audit 审计日志系统是常用的因果溯源分析系统,然而该系统存在性能问题。系统长时间运行和冗余日志占用了大量的存储空间,我们对此进行了详细的分析。
为了克服这个问题,我们提出了内核内的基于缓存的在线日志精简算法来提高 Audit 系统的记录性能。
Architecture
Audit 审计系统的架构:
KCAL 的架构:
KCAL 的细节结构:
架构工作流
task_struce 数据结构修改
此处修改包括:
unit dependency cache, box 2
read set, unit dependency cache 用来存储当前实体和依赖关系, box 4
process-level dependency cache, box 3
dependencies, box 5
File 数据结构修改
此处修改包括:
syscal events with timestamp, box ...
Robust Estimators in High Dimensions without the Computational Intractability
Robust Estimators in High Dimensions without the Computational Intractability abstract。
解决的问题
本文研究在不可知环境中高维分布学习,其中允许攻击者任意破坏样本的 epsilon-fraction.
即使在最基本的设置中,唯一已知的方法要么在计算上效率低下,要么因为误差保证中丢失了维度相关的因素。
因此提出以下问题:高维不可知分布学习在算法上是否可行?
本文工作
在本文的工作中,我们获得了第一个具有与维度无关的误差保证的高效计算算法,用于不可知地学习基本类的高维分布:
单个高斯分布
超立方体上的乘积分布
两种乘积分布的混合(自然平衡条件下
球形高斯分布
并且提出了三个算法:
贪婪迭代算法,每次迭代过滤一些损坏的样本,通过计算修改后的样本协方差矩阵的最高绝对特征值来获得过滤器
依赖凸编程的算法,为样本计算适当的权重,通过近似分离预言来进行异常值鉴别
标准评估器:经验平均值 empirical average, 可能无法正确评估去掉了 epsilon-fraction 的异常样本,所以提出了新 ...
Jangseung: A Guardian for Machine Learning Algorithms to Protect Against Poisoning Attacks
Jangseung: A Guardian for Machine Learning Algorithms to Protect Against Poisoning Attacks abstract。
解决的问题
很多智能城市应用依赖机器学习,然而对抗扰动可以嵌入到训练数据中导致模型返回错误的结果。
Jangseung是一个预处理器,可以在不影响准确性的情况下限制中毒攻击的影响。创建 Jangseung 是为了利用异常检测算法来保护支持向量机免受中毒数据影响。
思路与方法
数据扰动
通过添加数据扰动来评估本文提出方法的效果,添加数据扰动的方法是Munoz-Gonzalez等人提出的。
Janseung 防护
两个空数组被初始化,一个用来跟踪 受保护的支持向量机 guard SVM,一个用来跟踪 不受保护的支持向量机 unguard SVM.
两个独立的森林针对对应的标签(一个正样本AD+,一个负样本AD-)来训练。
然后根据两个模型的值来进行异常值检测,对于新的输入,先通过异常值检测器获得一个预测,如果预测为负样本则送入正样本训练的SVM获得一个pass值,如果预测为正阳被则送入负样 ...
Detection of Adversarial Training Examples in Poisoning Attacks through Anomaly Detection
Detection of Adversarial Training Examples in Poisoning Attacks through Anomaly Detection abstract。
解决的问题
数据投毒是针对机器学习系统的安全威胁,攻击者可以在训练数据中注入恶意样本来破坏学习过程。
最近在针对机器学习的攻击方面的工作表明,所谓的最优攻击策略可以成功地给线性分类器投毒,改变一小部分训练数据之后可以显著降低系统性能。
Architecture
在本文中,提出了一个可以降低基于异常值最佳投毒攻击的防御机制。
思路与步骤
从数据集中分离出一部分可信的数据
针对每一类训练一个基于距离的异常值检测器
给定一个数据集,为其中每个样本计算一个异常值q(x),并基于训练实例分数的经验累积分布函数 Empirical Cumulative distribution Function, ECDF 获得阈值
识别真实数据比例 alpha-percentile
CONAN: A Practical Real-Time APT Detection System With High Accuracy and Efficiency
CONAN: A Practical Real-Time APT Detection System With High Accuracy and Efficiency abstract。
解决的问题
针对 apt 攻击已经提出了各种结合上下文信息的实时检测机制,并且提出了基于溯源图的方法来对抗 apt 攻击。
然而,现有的实时 apt 检测机制由于检测模型不准确和溯源图规模不断扩大而存在准确性和效率问题。
Architecture
为了解决上述准确性问题,提出了新型的高准确率的 apt 检测模型,改模型可以去除不必要的阶段而聚焦。为了解决上述有效性问题,我们提出了一个基于状态的框架,该框架将事件看作数据流来进行处理,每个实体都以类似 FSA 的结构表示,而不存储历史数据。
检测模型 detection model
提出了 apt 三步攻击模型:
部署和执行攻击者代码
采集敏感信息和造成危害
与C&C服务器通信或者泄漏敏感数据
具体的检测方法是 跟踪可疑代码执行。
基于状态的框架
语义状态识别
首先定义了 atomic suspicious indicators(AS ...
AttacKG: Constructing Technique Knowledge Graph from Cyber Threat Intelligence Reports
AttacKG: Constructing Technique Knowledge Graph from Cyber Threat Intelligence Reports abstract。
解决的问题
网络攻击越来越复杂和多样,为了对抗这些攻击,安全分析人员总结和交换了关于系统的知识,也就是威胁情报(cyber threat intelligence)。然而,用自然语言文本编写成的CTI报告不是为自动分析而构建的,因此报告的使用需要人工进行网络情报恢复的繁琐工作。此外,个别高高通常仅涵盖攻击模式等有限方面,因此不足以提供具有多变体的攻击全景图。
Architecture
为了利用 cti 的优势,我们提出了 AttacKg 来自动从 cti 报告中提取结构化的攻击行为图并识别采用的技术。
然后,我们在报告中汇总网络情报,以手机技术的不同方面的信息,并将攻击行为图增强为技术知识图(technique knowledge graphs, TKGs)。TKGs 可以为下游依赖技术细节的任务提供攻击技术层级的知识,诸如 APT 检测。
思路和方法
从 CTI 报告提取攻击图
从 CTI ...
Dependence-Preserving Data Compaction for Scalable Forensic Analysis
Dependence-Preserving Data Compaction for Scalable Forensic Analysis abstract。
解决的问题
大型公司正在遭受长期的攻击,当一个攻击行为最终被发现,立即开始审计分析。系统审计日志提供了关键信息,不幸的是,长时间的日志采集使得其体积庞大。庞大的数据不仅消耗存储空间,而且也延缓了审计分析的速度。
因此本文提出了两种强大的精简技术来进行数据压缩。
思路与方法
保留依赖的精简方法 Dependence Preserving Reductions
将一个带时间戳的依赖图G定义为另一个图G‘,G’包含相同节点但是之拥有原图事件的子集。这种处理可以取出冗余事件,并且日志精简需要满足一下条件:
不会改变取证分析结果
不会影响对结果的理解
时间戳依赖图的可达性
持续依赖保持 continuous dependence(CD) preservation
全依赖保持 full dependence(FD) preservation
源依赖保持 source dependence(SD) preservation
优化计算 ...
On the Forensic Validity of Approximated Audit Logs
On the Forensic Validity of Approximated Audit Logs abstract。
解决的问题
审计日程已经成为了系统防御的基础工具,但是日志数据的笨重性质给管理员和安全分析人员带来了沉重的负担。为了解决这个问题,已经提出了多种技术来近似原始审计日志的内容,从而促进有效地存储和分析。
但是,这些近似日志的安全价值很难衡量(相对于原始日志),尚不清楚这些技术是否有效保留了对于调查威胁所需的取证证据。不幸的是,之前的工作只是对这个问题进行了案例证明,在特定攻击场景下保留了足够的证据。
本文为解决这个问题提出了方法。
思路与方法
为解决这个问题,作者通过形式化指标来解决文献中的这一差距,以量化不同威胁模型下近似审计日志的取证有效性。
取证有效性矩阵
使用三个互补的取证有效性指标评估审计日志近似方法。他们是:
无损 lossless
因果关系保持 causality-preserving
攻击保持 attack-preserving
Lossless
这个矩阵假设:
攻击者可能在恶意进程通信和协调方面,与系统级别抽象不同
causality- ...
CUSTOS: Practical Tamper-Evident Auditing of Operating Systems Using Trusted Execution
CUSTOS: Practical Tamper-Evident Auditing of Operating Systems Using Trusted Execution abstract。
解决的问题
系统审计已成成为了攻击调查和攻击事件相应的重要手段,不幸的是,攻击者在渗透进入目标环境后通常会进行反取证活动,从系统日志中掩盖他们的踪迹。虽然整个行业和文献中出现了各种防篡改日志记录的解决方案,但是这些技术不满足系统层审计框架的操作和可拓展性要求。
Architecture
所以,本文介绍了 CUSTOS,一种用于检测系统日志篡改的实用框架。
思路及方法
CUSTOS 由防篡改日志记录层和去中心化审计协议组成,前者可以通过对底层日志框架的最小更改来验证日志完整性,而后者可以在企业级网络中近乎实时地检测日志完成性的违规操作。
CUSTOS 之所以使用,是因为我们可以将加密日志提交的成本与创建和存储日志事件的行为分离,而无需牺牲安全性,利用现成的可信执行环境的功能。
Tamper-Evident Logger
tamper-evident 记录协议有5个例程,具体如图:
初始化 I ...
ProPatrol: Attack Investigation via Extracted High-Level Tasks
ProPatrol: Attack Investigation via Extracted High-Level Tasks abstract。
解决的问题
内核审计日志是对网络攻击进行取证调查的宝贵信息来源。然而,审计日志中粗粒度的依赖信息会导致构建的攻击图包含错误或者规模过大。
为了解决这个问题,提出本方法。
Architecture
为了解决这个问题,作者提出了一个系统 PROPATROL,该系统里使用了在安全敏感环境中使用的企业应用程序系列中的开放式分区设计。
本方法的优点是,不依赖源代码或者二进制指令,而仅需要应用结构的先验知识即可开展分析。
一言以蔽之,该系统就是要将大量的系统执行划分成彼此独立的应用/进程执行。
思路和实现
学习了一个模型将溯源信息输出到活动的执行单元,一个执行单元就是应用程序的一部分,它处理作为用户活动的输入或者一组输入。
基于规则的活动执行单元识别