原文作者：Tiantian Zhu , Jiayu Wang, Linqi Ruan , Chunlin Xiong , Jinkai Yu, Yaosheng Li, Yan Chen, Fellow, IEEE, Mingqi Lv , and Tieming Chen
原文标题：General, Efficient, and Real-Time Data Compaction Strategy for APT Forensic Analysis
原文链接：https://ieeexplore.ieee.org/abstract/document/9417210
原文来源：IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY
笔记作者：[email protected]
文章小编：[email protected]

介绍

一旦检测到APT攻击事件，取证分析将使用系统审计日志来快速定位入侵点，并确定攻击的影响。由于APT攻击的高持久性，将存储大量数据以满足取证分析的需要，这不仅带来了巨大的存储开销，而且还急剧增加了计算成本（在现实世界中，政府和企业往往需要同时在数千台机器上收集数据，原始数据量很容易达到PB级）。因此，需要实现数据压缩方法，本文提出了一种通用、高效、实时的系统日志级数据压缩方法。

针对APT攻击的取证分析

取证分析通常使用系统日志记录实体（例如：进程、文件、套接字）和实体之间的信息流（也称为系统事件，例如：读、写、创建），以有向图（称为溯源图）的形式直观地显示实体之间的依赖关系。如下为一个溯源图的例子：

获取系统日志的方法：

Windows-ETW（Event Tracing for Windows）

Linux- Linux audit

取证分析的目的在于：

1）获取攻击的起点——反向分析

2）利用溯源图分析攻击的影响——正向分析

反向分析：当系统中的一个实体被标记为可疑时，在图中迭代搜索目标实体上其他实体的历史角色，直到该实体没有入边

正向分析：从起点开始（起点通常是通过反向分析确定的攻击的入口点），确定哪些实体受到了攻击的影响

方法

本文主要实现了维护全局语义的数据压缩（GS，Global Semantics）和基于可疑语义的数据压缩（SS，Suspicious Semantics ）

GS

可以利用源实体的语义属性，以较低的开销删除到同一目标实体的等效信息流。压缩后，剩余的数据仍然保持系统中所有实体之间的依赖关系，而不会丢失语义。

其核心思想为，在源顶点语义不变的前提下，保留对目标顶点有影响的第一个事件

如上图所示，G为原始溯源图，G'为利用GS策略压缩后的溯源图。当t>1时，文件1已经包含来自进程A的数据，随后的写入操作（即t=2，3）不会引入新的语义，可以删除，即删除t=2、3、5、6的事件。

又如上图所示，进程A在时间范围{1,5}内没有变化（假设没有其他顶点对进程A有影响），t=3时的写操作可能会更改文件1的内容，但不会向文件1添加新的语义，因此可以删除t=3,5,4,6的事件。

SS

通过使用实体上下文，自动确定事件是否可疑（即与攻击相关），可以删除与攻击无关的事件。

首先定义可疑语义传播规则，如下图所示（如ID=4的事件表示，若可疑进程将数据写入文件，则该文件将包含可疑语义，该文件也被标记为可疑）：

其次还需要自行定义哪些事件是与攻击相关的，本文定义了三种类型：高价值数据流（比如一些隐私文档，涉密文件等）、不受信任的数据流（比如进程与未知站点通信）和不受信任的控制流（可疑代码执行，比如一些高危的命令行语句）

使用SS策略进行数据压缩，如下图所示：

t=1时，进程A读取了可疑文件，进程A将变得可疑，然后t=2的写事件将可疑语义传输到文件1；t=3时，进程A读取与攻击无关的普通文件，相应的事件可以删除。因此，最后的结果为：删除了t=3和t=4的事件，完成了数据压缩

实验结果

数据集是让用户正常使用Windows和Linux系统而生成的系统日志，其中对W-2和L-2两台电脑模拟了真实APT攻击。

下图是针对不同类型的日志事件分别使用GS和SS策略进行数据压缩的压缩比：

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com