This is WhyWe Can’t Cache Nice Things: Lightning-Fast Threat Hunting using Suspicion-Based Hierarchical Storage
This is WhyWe Can’t Cache Nice Things: Lightning-Fast Threat Hunting using Suspicion-Based Hierarchical Storage abstract。
解决的问题
近来因果分析的方法可以加速事件反应,但是只是在因果图构建后才行。不幸的是现有的因果图生成技术主要是离线的,并且通常需要耗费很长的时间,给攻击者很大的时间窗口来擦除脚印获得持续访问并移动到其他机器。
为了解决此问题,提出本文方法。
Architecture
为了解决上述问题,提出了 SWIFT,一个威胁攻击调查系统来提供高吞吐量的因果关系跟踪和实时因果图生成功能。
设计了一个内存中的图形数据库,它能够以最少的磁盘操作实现空间高效的图形存储和在线因果图跟踪。
提出了一种分层存储系统,该系统将因果图的取证相关部分保存在主内存中,同时将其余部分存储在磁盘中。
为了在调查过程中识别相关的因果图,设计了一个异步缓存落盘策略,该策略计算因果图中最可疑的部分,并仅在主内存中缓存该部分。
威胁模型及假设
前提假设
节点为中心的因果图
可 ...
General, Efficient, and Real-Time Data Compaction Strategy for APT Forensic Analysis
General, Efficient, and Real-Time Data Compaction Strategy for APT Forensic Analysis abstract。
解决的问题
存储系统日志进行 apt 攻击审计是常见的做法,但是大量的数据不仅消耗存储空间还消耗算力。
在不影响审计分析的情况下对数据进行压缩是一种做法,而且已经有几种方法被提出。但是在现实场景中,跨平台问题、大规模数据处理问题和实时性表现都无法达到可用性的要求。
因此针对这些苦难提出本文方法。
Architecture
为了解决上述问题,对于系统级别审计日志提出了一种通用有效和具有实时性的数据压缩方法。
它不涉及程序内部分析也不依赖特定操作系统类型,包括两个策略:
保留全局语义(global semantics, GS)数据压缩,决定删除冗余的不影响全局依赖的事件
可疑语义(suspicious semantics, SS)数据压缩,
如果审计分析的目的是还原攻击链,SS 将在 GS 保留下来的事件上进行上下文分析,然后删除那些与攻击无关的部分。
背景介绍
日志追溯记录部分
ETW:Win ...
EXTRACTOR: Extracting Attack Behavior from Threat Reports
EXTRACTOR: Extracting Attack Behavior from Threat Reports abstract。
解决的问题
威胁情报对于有效识别和快速反应网络攻击来说十分重要,但是这些知识通常在大量的文本中,很难对其加以利用。
为了解决此问题,提出本文方法。
Architecture
本文提供了一种新的方法和工具,可以从 威胁情报 报告中精确地自动提取简洁的攻击行为。
并且 EXRACTOR 对于文本不做强假设,能够从非结构化文本中提取攻击行为作为溯源图。
存在的挑战:
文本冗长
威胁情报文本复杂
关系提取
实现
标准化
为了有效解决 威胁情报 CTI 的文本复杂性,必须找到一些重要句型,在此通过标准化实现。
标签化:
同质化:
使用两个专门构造的词典对名词断语和动词执行同质化,将 CTI 报告中存在的名词和动词的不同行话和同义词映射到可以在审计日志中观察到的实体和操作。
转换:
在此处 将被动语态转换成主动语态,有助于发现系统主体(过程)和系统对象,使因果关系推断更加准确。
使用 POS 和 DP 标记检测句子语态,然后进行转换。
经过此处的转换,长 ...
AIQL: Enabling Efficient Attack Investigation from System Monitoring Data
AIQL: Enabling Efficient Attack Investigation from System Monitoring Data abstract。
解决的问题
出于对抗 APT 攻击的需要,系统调用监控和即时溯源分析得到人们的重视。然而,现有的基于关系和图的查询系统缺乏对攻击活动关键属性的刻画,并且查询效率低下,因为他们语义无关的设计无法利用系统监控数据的属性来加速查询执行。
因此本文针对此问题提出解决方案。
Architecture
为了解决上述问题,提出了一种建立在现有的监控工具和数据库之上的新型查询系统,该系统采用新型优化设计支持及时的攻击调查。
提供:
特定领域的数据模型来拓展存储
特定领域的查询语言,AIQL,集成了用于攻击调查的关键原语
基于数据特征和查询语义的优化查询引擎
系统提供了特殊的结构来表示:
多步骤攻击
攻击依赖追溯
异常系统行为
数据模型和存储
数据模型
存储
时空分区 time and space partitioning
采集到的数据具有时空特点,查询一般查询某一段时间内的记录,所以对于数据存储从时间和空间上来进行分区 ...
SAQL: A Stream-based Query System for Real-Time Abnormal System Behavior Detection
Saql: A Stream-based Query System for Real-Time Abnormal System Behavior Detection abstract。
解决的问题
APT 攻击 emerging,针对系统活动的监控成为了一种解决方案,但是阻止攻击者造成深层次的损害是一个时间敏感的任务,现有的方案无法在可接受时间内大规模的溯源数据上进行基于专家知识的异常检测。
因此提出本方案解决该问题。
Architecture
本文提出的是一种新型的基于流的查询系统,该系统将企业中多个主机聚合的实时事件源作为输入,并且提供异常查询引擎,该引擎查询事件源根据特定异常活动来识别异常行为。
为了促进基于专家知识的异常表达任务,系统提供了一种特定的查询语言 SAQL,给分析人员提供了:
基于规则的异常检测
基于事件序列的异常检测
基于异常值的异常检测
SAQL语言设计
多事件特征匹配
全局限制
事件特征
滑动窗口
事件时间关系
事件属性关系
状态计算
状态块
状态变量
状态集群
告警条件检查
返回和过滤
SAQL 执行引擎
查询执行引擎
并发查询引擎
GrAALF:Supporting Graphical Analysis of Audit Logs for Forensics
GrAALF:Supporting Graphical Analysis of Audit Logs for Forensics abstract。
解决的问题
系统层次的审计是系统审计中重要一环,包含很多底层信息,可以捕获恶意用户活动,但是对于一台服务器来说每小时可以生成超过250万审计日志。对如此巨大的数据进行存储和处理,将会非常消耗计算能力和时间。
Architecture
因此,本文提出一个图形化系统 GrAALF 来有效加载、存储、处理、查询和展示系统事件,支撑计算机系统审计。
与其他相关系统,如AIQL、SAQL相比,GrAALF 提供了:
更加灵活的多后台存储方案
易于使用的符合直觉的记录查询
提供了近乎实时追溯更长的系统事件序列的能力,以帮助识别和隔离
同样重要的,AIQL、SAQL并不开源,而GrAALF是开源的
系统组成
整个系统大致分为三层:
日志获取层,log ingestion layer
日志存储层,log storage layer
查询与可视化层,query and visualization layer
最后是系统性能分析和 case st ...
UISCOPE:Accurate, Instrumentation-free, and Visible Attack Investigation for GUI Applications
UISCOPE: Accurate, Instrumentation-free, and Visible Attack Investigation for GUI Applications abstract。
解决的问题
当前针对 GUI 程序的攻击调查方案存在准确率低的问题(依赖爆炸导致的)、需要额外工具并且可视化程度低。
分析结果不准确
需要额外的工具
缺乏可视化
针对 GUI-related 攻击,提出 UISCOPE,一种新型的用于 GUI 应用程序的新型准确的、无额外工具且具有可视化的攻击调查系统。
与其他方法的比较:
Architecture
本文的核心观点在于在 UI 元素/事件 和 底层系统事件 上同时进行因果分析,然后将系统事件与UI事件关联以提高精度和可视化。长时间运行的进程被划分为单独的UI转换,底层系统事件归因于这些转换,从而使得结果准确。
生成的图表包含因果相关的用户熟悉的UI元素,使其易于访问。
具体实现
UI元素和事件采集器
系统事件采集器
事件分析定义
UI Control Dependency:当一个UI组件可以直接影响另外的UI组件的时 ...
Robust Learning-Enabled Intelligence for the Internet of Things: A Survey From the Perspectives of Noisy Data and Adversarial Examples
Robust Learning-Enabled Intelligence for the Internet of Things: A Survey From the Perspectives of Noisy Data and Adversarial Examples 综述abstract。
abstract
本文将讲究能够实现 iot 智能的高可靠性和高 resilience 的 robust 机器学习模型最新技术和代表性作品。
将会关注鲁棒性的两个方面:
机器学习模型训练数据包含噪声和恶意样本时的训练
神经网络和强化学习框架的可靠性
对于数据去噪来说,现有工作主要从两个方面出发:
对数据预处理,进行去噪和缺值补充
对模型加强,训练可以处理噪声和缺值的鲁棒性模型
AI 驱动的 iot 边缘计算和鲁棒性对 iot 应用的影响
在这里给出了两个场景:
噪声数据,由于设备或者人为故障产生的噪声数据和由于隐私等问题产生的缺值数据
对抗样本,攻击者投毒的恶意攻击样本
其中关于数据补全或者异常值取出的研究如下:
对抗样本的 robust 学习和机器学习模型的可靠性
神经网络可靠 ...
A Unified Framework for Analyzing and Detecting Malicious Examples of DNN Models
A Unified Framework for Analyzing and Detecting Malicious Examples of DNN Models abstract。
Contribution
从防御的角度系统研究了对抗样本和后门样本的区别,确定了对抗性和后门示例在对模型突变、激活空间和特征空间中的行为的敏感性方面的异同。
应用四种方法检测对抗样本攻击和后门攻击,取得了较好的效果
对抗样本与后门攻击
两种攻击的比较:
对抗样本是与输入样本绑定的,输入一个样本就需要计算一次扰动;
相反,后门攻击中的扰动是固定的;
对于特定模型而言,对抗样本攻击是消极的,假设该模型无法被修改。
而后门攻击则假设可以修改模型参数,当然修改后的模型在分类正常样本上性能不会受到影响这一点是需要保证的
对抗样本是通过添加扰动使得该样本逼近决策边界导致分类错误(扰动根据样本不同而不同的
后门攻击的扰动是固定偏移,通过修改模型参数改变决策边界,并通过扰动修改样本点位置,使得分类错误,如可视化图所示
缓解措施
对抗样本缓解措施
对抗样本大致有四种缓解措施:
将对抗样本也做为训练数据训练模 ...
STATEFUL DETECTION OF MODEL EXTRACTION ATTACKS
STATEFUL DETECTION OF MODEL EXTRACTION ATTACKS abstract。
Architecture
文章提出了 VarDetect 来检测模型萃取攻击,相比现有的工作有以下优点:
可以成功分出三种不同的攻击,该模型将攻击分为三类
VarDetect 不需要访问攻击者数据
对两类自适应攻击也有效
具体检测步骤为:
将输入的杨被送入编码器获取其参数分布
将参数排列获得嵌入向量
计算 MMD 判断是否为异常
注:MMD 为 Maximum Mean Discrepancy 最大平均差异,现有研究成果表明,如果两个数据集分布相同,那么他们的 MMD 趋近于 0.
具体算法