论文笔记
关注
分享
扫一扫
文章平均质量分 91
NUAAYYMM
加油吧
展开
-
(论文笔记10.Tactical Provenance Analysis for Endpoint Detection and Response Systems(CCF A)2020)
AbstractEndpoint Detection and Response (EDR) tools 通过将系统事件与已知的敌对行为相匹配,提供对复杂入侵的可见性,一般来说正规企业检测APT攻击就是使用这种方法。问题:1.EDR会产生大量的误报2.由于大量的低级系统日志,验证和确定这些威胁警报的准确性需要繁琐的手工工作。3.由于日志保留的巨大资源负担,在实际中,描述长期攻击活动的系统日志经常在调查之前被删除(灾难性遗忘,增量学习?)1.Introduction已有的检测技术:在企业中一般采原创 2022-01-03 22:13:26 · 1658 阅读 · 0 评论 -
(论文笔记09.Feature analysis for data-driven APT-related malware discrimination(CCF B)2021)
本文主要研究恶意软件,重点是区别APT相关恶意软件和非APT恶意软件之前的关系,并且寻找其中的可解释性。Contribution:本文的最大贡献应该是贡献了一个数据集,可以进一步的研究其中的问题。1. Introduction分类:在研究与apt相关的恶意软件时考虑不同类型的特征将会很有趣,这不仅是为了提高准确性,也是为了更好地了解其本质。因此,本工作提出使用静态、动态和网络相关的特征、可解释的和通过领域知识选择的特征,以及知名的机器学习技术来分析apt相关的恶意软件与无任何已知关联的通用恶意软原创 2022-01-01 17:05:09 · 1062 阅读 · 1 评论 -
(论文笔记08.Y ou Are What Y ou Do: Hunting Stealthy Malware via Data Provenance Analysis(CCF B)2020)
本文研究对象是stealthy malware,这种恶意软件难以检测的原因在于:因为恶意软件通常不会在文件中暴露其恶意负载(payload),而是将其恶意行为隐藏在进程的良性行为中。概述stealthy malware1.stealthy malware将其恶意逻辑隐藏在良好信任进程的内存空间中,或者将其存储在很少有人关注的位置,如Windows注册表或服务配置。2.stealthy malware最小化了常规文件系统的使用,相反,只使用网络缓冲区、注册表和服务配置的位置,以逃避传统的基于文件的恶意原创 2021-12-28 17:13:38 · 1427 阅读 · 0 评论 -
(论文笔记07.Survivalism: Systematic Analysis of Windows Malware Living-Off-The-Land(CCF A)2021)
本片论文主要研究的是在Windows系统下的恶意软件所利用的哪些系统原生带的或者易于安装的二进制文件,以及其运行的目的。由于我的研究方式重点是放在APT上,所以重点关注APT相关的内容1. 概述1.1描述一下LOTL技术LotL技术指的是使用已经存在于系统上或易于安装的二进制文件(例如,经过签名的合法管理工具)来进行post-exploitation activity.1.2 APT组织中使用LotL技术2. 背景2.1 A. LotL BinariesLiving-Off-The-La原创 2021-12-24 15:25:21 · 1191 阅读 · 0 评论 -
(论文笔记06.High Fidelity Data Reduction for Big Data Security Dependency Analyses(CCF A)2016)
High Fidelity Data Reduction for Big Data Security Dependency Analyses(CCF A)这是我读的条理最清晰的一篇文章了!1.ABSTRACTWe found that some events have identical dependency impact scope, and therefore they can be safely aggregated.(有相同的依赖影响范围,可以聚合),所以提出了方法 Causality Pr原创 2021-12-08 16:52:38 · 1037 阅读 · 0 评论 -
(论文笔记05. Accurate, Low Cost and Instrumentation-Free Security Audit Logging for Windows(CCF B)2015)
Accurate, Low Cost and Instrumentation-Free Security Audit Logging for Windows(CCF B)1. ABSTRACT该技术建立在Windows事件跟踪(ETW)的基础上。通过分析ETW日志和应用程序可执行文件的关键部分,可以构建一个模型,将ETW日志解析为表示进程中独立子执行的单元。在单位级别推断的因果关系提供了更高的准确性,允许我们执行准确的攻击调查和高效的日志缩减。2.INTRODUCTION对于APT等新型攻击,它们往原创 2021-11-20 15:00:10 · 561 阅读 · 0 评论 -
(论文笔记04. High Accuracy Attack Provenance via Binary-based Execution Partition(CCF B)2013)
High Accuracy Attack Provenance via Binary-based Execution Partition(CCF B)1.Abstract通过从应用程序的二进制文件中逆向工程一种循环(loop),我们还对可能导致单元之间工作流程(workflow)的指令进行逆向工程。检测这样的工作流程对于揭示单元(unit)之间的因果关系是至关重要的。然后对单元边界和单元依赖执行选择性日志记录。本文提出的方法有可忽略的运行开销和较低的空间开销,它可以有效地捕获我们所研究的每个攻击情况的最原创 2021-11-15 20:19:40 · 743 阅读 · 1 评论 -
(论文笔记03. LogGC: Garbage Collecting Audit Log(CCF A) 2013)
LogGC: Garbage Collecting Audit Log(CCF B)1.Abstract基于日志审计取证的关键挑战是:产生日志文件的大小(每天可能会以Gigabytes的速率增加)提出方法:本文提出了一种LogGC,一种带有垃圾收集能力(Garbage Collecting)的审计日志系统。效果:可以大大减少系统事件之间的假依赖,以提高GC的效率。我们的结果表明,对于普通用户系统,LogGC可以减少14倍的审计日志大小,而对于服务器系统,LogGC可以减少37倍的审计日志大小,而不原创 2021-11-10 00:08:45 · 691 阅读 · 0 评论 -
(论文笔记02. A Process Coloring Approach(CCF B) 2006)
Provenance-Aware Tracing of Worm Break-in and Contaminations: A Process Coloring Approach(CCF B)1.Abstract为了研究自传播网络蠕虫的利用和污染,需要一种来源感知的跟踪机制。来源不明导致难以快速准确地识别蠕虫的入侵点(即,在受感染的主机中运行的远程可访问的脆弱服务),并且会引起大量的日志数据检查开销。本文介绍了一种基于源头感知的蠕虫入侵和污染追踪方法——进程着色(Process Coloring)法的设原创 2021-11-07 15:53:17 · 3024 阅读 · 0 评论 -
(论文笔记01.Backtracking Intrusions(CCF A) 2003)
Backtracking Intrusions (CCF A) 20031.ABSTRACT分析入侵是一项艰巨的任务,主要是手工操作,因为系统管理员缺乏所需的信息和工具,无法轻松理解攻击中发生的步骤顺序。BackTracker的目标是自动识别入侵过程中可能发生的步骤序列。从单个检测点(例如,可疑文件)开始,BackTracker识别可能影响该检测点的文件和进程,并在依赖关系图中显示事件链。我们使用BackTracker分析了几个针对我们设置为“蜜罐”的计算机的真实攻击。在每种情况下,BackTracke原创 2021-11-04 16:48:54 · 936 阅读 · 0 评论