日韩一区二区三区无码av
国产成人免费无庶挡视频 你的位置:日韩一区二区三区无码av > 国产成人免费无庶挡视频 > 精品国产第一国产综合精品 溯源图技能在入侵检测与威迫分析中的应用

精品国产第一国产综合精品 溯源图技能在入侵检测与威迫分析中的应用

发布日期:2022-05-12 01:10    点击次数:154

精品国产第一国产综合精品 溯源图技能在入侵检测与威迫分析中的应用

点击蓝字存眷咱们

当代信息系统中存在的繁多破绽一直是膺惩者进行膺惩的“关节”冲破点,因此破绽检测照旧成为绝交方的一门必修课。但常见的破绽检测方法中,无极测试袒护率不及,基于符号施行要领的考据方法又对检测缔造的性能有较高条目,此外破绽发现后的补洞过程也极为耗时。

入侵检测与威迫分析系统的研发为抗争膺惩提供了更径直、更快速的新方法, 能很大程度缓解上述问题。关联词,现存的入侵检测系统大多依赖于提炼自已有膺惩的膺惩特征,如入侵筹备(Indicator of Compromise,IoC)等,其四肢检测依据并未信得过支配到膺惩的重点,使得留心者老是过期一步。膺惩者老是不错通过找到新的膺惩面,构造多阶段多变的复杂膺惩来绕此类检测。因此,安全筹商人员和从业人员亟需从头探究传统的入侵检测决策,想象出新一代愈加通用和鲁棒的入侵检测机制来检测多样禁止变化的入侵形态。

图1.可怜金字塔(The Pyramid of Pain)模子

David Bianco很早便提倡了入侵检测的 “可怜金字塔模子”(如图1所示) ,筹商指出相干于 “Hash 值”、“IP 地址”等底层入侵筹备,“膺惩器具” 和 “膺惩计策、技能、进程(TTPs)” 等高层特征在入侵检测中有更大的价值,也更难以分析和改变。这是因为底层的入侵筹备的出现更具巧合性,因此膺惩者很容易改变这些筹备来秘籍检测。此外,无文献膺惩和 “Live-off-the-Land” 膺惩等膺惩技能的出现,使得膺惩活动波及的底层特征与日常活动齐全无法划分。而高头绪特征中带有丰富的语义信息(包括膺惩的方法、方针、欺骗的技能等),更具鲁棒性。关于膺惩者而言,膺惩计策、技能、进程(TTPs)与其最终的膺惩方针径直相干,很难被信得过的改变,因此对入侵检测更故真义。同期,语义信息不错很好的匡助安全分析人员同一膺惩,包括入侵的阶梯、可能的亏损等,从而针对性地做出对应的止损和弥补方法。

►►►

系统溯源图先容

2015 年,美国国防部高等筹商筹商署(DARPA)启动的一项名为 “透明狡计(Transparent Computing)” 的科研神色为上述问题的处分提供了可能性。该神色旨在通过将当今不透明的狡计系统变得透明,援救海量的系统日记建模,从而为后续的高头绪要领活动分析和高效地入侵检测提供撑持。具体来说,该神色将斥地一套数据聚集与建模系统来记载和建模总共系统和聚集实体(包括程度、文献、聚集端口等)过头之间的互动和因果关系(Causal Dependency)。这些实体和关系不错以图的体式默示,如图2所示,一般被称为 “溯源图(Provenance Graph)” 粗略 “因果图(Causality Graph)”。

图2.Firefox破绽入侵溯源例

上图是一个欺骗Firefox破绽进行入侵的溯源图例子:膺惩者从x.x.x.x:80发起膺惩,欺骗Firefox的破绽创建并启动了mozillanightly浏览器插件,该插件通过cmd施行环境信息赢得大喊赢得明锐信息后回传到x.x.x.x:443,临了创建burnout.bat断根总共入侵萍踪。(箭头标的代表数据流粗略适度流标的)

溯源图是一个带有时间信息的有向图,两个节点之间可能有多条不同属性(包括时间和具体操作等)的边。该图准确的记载了系统实体间的交互关系,包含丰富的信息。前文提到的膺惩图不错看作溯源图中提炼并轮廓后的,与膺惩径直相干的部分子图。但需要指出的是,溯源图记载的并不是细粒度的数据流和适度流,而是可能的因果适度关系,因此在进行多跳的分析时会引入失误的依赖,导致中枢的依赖爆炸问题,这亦然基于溯源图入侵检测的中枢问题。

►►►

基于系统溯源图的入侵检测框架

图3.基于系统溯源图的入侵检测系统框架及关节技能

溯源图能很好地规复系统中的多样活动,使其成为了连年来入侵检测范围热点有后劲的筹商标的。安全筹商者在其基础上想象了多种模子来进行系统中坏心活动地检测与分析,包括 “数据采集、贯通和压缩”,“数据存储与压缩”,和 “入侵检测和溯源分析” 在内的好多具体筹商问题。咱们整理了威迫分析与检测系统的全体框架,如图3所示。以下,咱们将具体照看框架的三个模块并对其中技能进行分析:

01

数据聚集模块

数据聚集是总共检测和分析系统的基础。一般而言,基于溯源图的威迫检测系统会聚集系统日记四肢数据源,包括 Windows 的内置日记系统 Event Tracing for Windows(ETW)、Linux 的日记系统 Auditd等。基于依赖分析的方法的一个宽绰的挑战是 “依赖爆炸问题”。失误的依赖会导致后续分析的支拨与误报指数型增长,导致分析的失败,而细粒度的数据聚集不错从根柢上缓解这一问题。

02

数据照料模块

系统日记为威迫分析提供了多数有价值的信息, xxxx18一20岁hd第一次关联词其巨大的数据量给数据的存储和分析带来了很大的压力。因此在数据照料模块中,咱们一方面需要提供合理的数据存储模子来存储海量的数据并提供高效的查询分析接口,另一方面要尝试通过压缩和剪枝去除冗余的数据。

数据存储模子 欺骗图结构存储溯源图是一种处分思绪,但受溯源图限制适度,将图齐全存储在实质内存中是不施行的,只可在小限制的实验中使用,无法大限制部署。因此,筹商者们提倡了将图中总共边视为数据流,每个边只处理一次,并欺骗节点上标签记载狡计过程的决策。为了加以划分,咱们将用图数据存储图的决策称为 “缓存图”,流式处理的决策为“流式图”。流式图决策存在上风的原因在于溯源图中边的数目远强大于节点数目,因此查询节点的属性着力比查询边的着力高得多。相通地,一些筹商以节点四肢键,边为值,将溯源图存储在查询着力更高的关系型数据库中,咱们称之为 “节点数据库”。

图4.对边数据的压缩算法

图5.对节点数据的压缩算法

数据压缩算法 溯源图上的数据压缩算法不错梗概分为两类:一类是通用的压缩算法,尽可能地保持了溯源图的信息;另一类与检测和分析算法耦合,使用有较大的局限性,而本文主要分析前者。

通用的压缩算法又不错分为对节点数据的压缩和对边数据的压缩两类,分别如图4和图5所示。基于的节点算法着力浮动较大,在要领开动化相比粗俗的场景(如数据分析等)着力较好。为压缩边数据,筹商者们先提倡了语义保持的不同界说,包括 “因果保持”等与对应的压缩算法。全体而言,由于溯源图中边的基数更大,对边的压缩算法时常全体的压缩率更高。可是,这些通用的压缩方法不成从根柢上处分依赖爆炸问题,在处理大限制的、实体间依赖关系复杂的溯源图时作用特别有限。

03

威迫检测与分析模块

表1.现存基于系统溯源图的入侵检测系统的分类

溯源图提供了丰富的语义信息,撑持多种检测分析决策,国产成人免费无庶挡视频如表1所示。这些检测决策探究了不同的膺惩模子,针对不同膺惩模子提倡来不同的检测模子,梗概不错分为几类:

第一类,亦然最直觉的一种方法是子图匹配,在溯源图中定位膺惩活动轮廓出的膺惩图。准确的图匹配的支拨过大,因此筹商者提倡了几种无极匹配方法,包括:基于威迫谍报的图对齐、基于图镶嵌的机器学习匹配等。

第二类方法是用节点标签缓存狡计收尾,并用标签的传递代替复杂的图狡计的 “标签传播(TagPropagation)算法”。这类算法一般使用流式图四肢数据模子,幸免了多数的数据读写操作,因此全体着力最高, 但也对检测和分析算法作出了更多的适度。

第三类是特别检测模子。已有的溯源图上的特别检测模子一般先寻找局部的特别点,并通过依赖分析关联特别点,从而作出全局的判断。

相干阅读

存眷 | 一种可高度躲闪检测的新威迫:HEAT

人工智能威迫检测的两大篡改实践

加密威迫检测:篡改流量安全处分决策

互助电话:18311333376互助微信:aqniu001投稿邮箱:editor@aqniu.com



Powered by 日韩一区二区三区无码av @2013-2022 RSS地图 HTML地图