原文标题：SLEUTH: Real-time attack scenario reconstruction from COTS audit data
原文作者：Hossain M N(石溪大学/Stony Brook University ), Milajerdi S M(伊利诺大学芝加哥分校/University of Illinois at Chicago), Wang J(石溪大学)
发表会议：26th USENIX Security Symposium (USENIX Security 17)
原文链接：https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-hossain.pdf
笔记作者：[email protected]
笔记小编：[email protected]

主要问题

• 事件的存储和分析
• 分析实体的优先级
• 攻击场景重建
• 处理正常使用的情况(攻击期间的正常活动，如软件下载)
• 快速交互式推理(例如提供可能的猜想)

本文工作

• 提出了一种实时重构企业主机攻击场景的方法和系统
• 开发了一种与平台无关、基于内存、审计日志数据的依赖关系图抽象方法(dependency graph abstraction of audit-log data)(紧凑的主存依赖图表示)，用于解决事件的高效存储和分析问题
• 开发了一种基于标记的方法(tag-based approach)，用于识别最有可能涉及攻击的主题、对象和事件，解决分析实体的优先级问题
• 开发了利用标签进行根本原因识别和影响分析的新算法
• 开发了用于标签初始化和传播的可定制策略框架(customizable policy framework for tag initialization and propagation)

SLEUTH

实验

总结与思考

• 本文技术属于溯源图的范畴，将进程、文件等视为node，将其对应的操作视为edge，基于操作系统的日志来生成graph，通过标记tag的方式来寻找攻击的入口，另外使用了如基于主存、筛选节点等方式提高效率。生成graph的效果在实验结果给出的图中体现得比较清晰。
• 本文系统的核心技术是tag的标定以及对应的策略框架，对应文中的第3、4节。但是具体的技术细节没有太详细地阐述，尤其是策略框架只给出了几个例子来说明，实验部分的结果亦无法看出节点对应的tag，再加上本文的代码没有开源，故要复现文中实验的效果可能还需要做相当多的工作。

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com