Threat Detection and Investigation with System-level Provenance Graphs: A Survey

标签：关系型数据库   忽略   cti   res   开始   存储   system   ati   网络端口   

一篇介绍基于系统级溯源图进行入侵检测的综述性论文。

总结一些消化过后的idea，尽量brife。

一、什么是系统级溯源图？

系统级溯源图，将系统中的因果性事件，转化为使用主体（进程、线程、服务、用户等）与客体（文件、注册表、网络端口等）表示的有向关系图。

二、无规矩不成方圆

定义1：主体指向客体，分别用u和v表示

定义2：事件包含四要素：{u;v;t;o}　　t表示时间戳，o表示事件包含的特定内容

定义3：溯源图G = {S;O;E}　　S是主体集合，O是客体集合，E是事件集合　　图中节点是主体/客体，边是事件

定义4：对于两个事件 e1 = (u1; v1; t1) 和 e2 = (u2; v2; t2) ，若v1 = u2 且 t1 < t2，则e1和e2具有因果关系

定义5：后向追踪，从检测点开始，找出所有因果关系上可能影响检测点的其他节点

定义6：前向追踪，从检测点开始，找出所有因果关系上可能依赖于检测点的其他节点

三、数据管理模块相关

1.数据存储机制

（1）图数据库，内存消耗较大，因此设计了streaming graph

（2）关系型数据库，以<K,V>对组织，存储在磁盘，缓存在内存

2.数据缩减算法

（1）图中关系缩减

　　a) Causality-Preserving Reduction (CPR)　　仅保留影响最终因果关系的边，忽略对最终因果无影响的边

　　b)Full Dependence-Preserving Reduction (FDR)　　仅保留因果关系，忽略频率信息

　　c)Source Dependence-Preserving Reduction (SDR)　　在环中仅保留起点和终点的必需边，忽略“过路边”

（2）图中节点缩减

　　FP-growth　　效率不如关系缩减

3.查询接口

介绍了一些便于进行前向追踪和后向追踪的特制化查询接口

Threat Detection and Investigation with System-level Provenance Graphs: A Survey

标签：关系型数据库   忽略   cti   res   开始   存储   system   ati   网络端口   

原文地址：https://www.cnblogs.com/xmalll/p/13775978.html