- 博客(20)
- 收藏
- 关注
RSS订阅原创 【论文阅读】WATSON:通过聚合上下文语义从审计日志中抽象出行为(NDSS-2021)
WATSON: Abstracting Behaviors from Audit Logs via Aggregation of Contextual Semantics
2023-09-06 14:29:44
1388
7
原创 【论文阅读】POIROT:关联攻击行为与内核审计记录以寻找网络威胁(CCS-2019)
POIROT: Aligning Attack Behavior with Kernel Audit Records for Cyber Threat Hunting
2023-08-22 14:37:54
1543
2
原创 【论文阅读】HOLMES:通过关联可疑信息流进行实时 APT 检测(S&P-2019)
HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows
2023-08-21 20:14:12
1819
原创 【论文阅读】CONAN:一种实用的、高精度、高效的APT实时检测系统(TDSC-2020)
现有的实时APT检测机制由于检测模型不准确和来源图尺寸不断增大而存在准确性和效率问题。为了解决准确性问题,我们提出了一种新颖而准确的APT检测模型,该模型消除了不必要的阶段,将重点放在剩余的阶段,并改进了定义。为了解决效率问题,我们提出了一个基于状态的框架,在这个框架中,事件作为流被消耗(consume),每个实体都以类似于FSA(有限状态自动机)的结构表示,而不存储历史数据。通过在数据库中仅存储千分之一的事件来重建攻击场景。
2023-08-21 11:00:03
1651
原创 【论文阅读】SHADEWATCHER:使用系统审计记录的推荐引导网络威胁分析(S&P-2022)
误报、依赖专家知识、粗粒度检测信号在本文中,我们认识到网络安全中的威胁检测与信息检索中的推荐之间的结构相似性。通过将系统实体交互的安全概念映射到用户-项目交互的推荐概念,我们通过预测系统实体对其交互实体的偏好来识别网络威胁。受推荐系统中的 “通过项目辅助信息建模高阶连接” 的启发,定制了一个自动检测系统 SHADEWATCHER。它通过图神经网络发挥审计记录中高阶信息的潜力,提高检测效率配备动态更新,以更好地泛化错误警报现实生活和模拟网络攻击场景评估几秒钟内查明来自近百万系统实体交互的威胁。
2023-08-17 17:26:46
1900
原创 Ubuntu22.04复现SHADEWACHER(手动安你就慢了)
因为我是打算跑TC数据集,所以跳过audit安装。我的Ubuntu使用的是。
2023-08-15 10:17:54
485
2
原创 【论文阅读】NoDoze:使用自动来源分类对抗威胁警报疲劳(NDSS-2019)
威胁警报疲劳”或信息过载问题:网络分析师会在大量错误警报的噪音中错过真正的攻击警报。NODOZE 首先生成警报事件的因果关系图。然后,它根据相关事件在企业中之前发生的频率,为依赖图中的每条边分配一个异常分数。然后使用一种新颖的网络扩散算法沿着图的相邻边缘传播这些分数,并生成用于分类的聚合异常分数。
2023-08-11 16:25:25
1655
原创 【论文阅读】DEPCOMM:用于攻击调查的系统审核日志的图摘要(S&P-2022)
提出了 DEPCOMM,这是一种图摘要方法,通过将大图划分为以进程为中心的社区并为每个社区提供摘要,从依赖图生成摘要图。每个社区都由一组相互协作以完成某些系统活动(例如文件压缩)的亲密进程以及这些进程访问的资源(例如文件)组成。在社区内,DEPCOMM 进一步识别由不太重要和重复的系统活动引起的冗余边,并对这些边进行压缩。DEPCOMM 为依赖图平均生成 18.4 个社区,比原始图小约 70 倍。
2023-08-11 15:08:25
1399
原创 DARPA-TC-engagement5-theia部分数据格式分析
EventSubjectObject和Principal,分别代表系统事件、主体、客体和用户。各种大类中子类的数量,取决于CDM的版本。ShadeWatcher使用的是e3的数据,采用的是CDM18,而e5默认使用的是CDM20。相较于cdm18,发生了一些变化,主要是改变了一些字段,增加了一些类型。这些类型大多是系统调用,用于细化事件类型。本文以ShadeWatcher和转换出来的小样本数据为参考依据对数据格式进行分析,可能存在遗漏。json数据样例(只包含EVENT)可在我。
2023-08-09 16:24:16
2461
11
原创 【论文阅读】EULER:通过可扩展时间链接预测检测网络横向移动(NDSS-2022)
提出了 EULER 的框架。它由堆叠在模型不可知序列编码层(例如递归神经网络)上的不可知图神经网络模型组成。根据 EULER 框架构建的模型可以轻松地将其图形卷积层分布在多台机器上,以实现大幅性能提升。EULER 模型可以高效地高精度识别实体之间的异常连接,并且优于其他无监督技术。
2023-08-07 19:38:24
1426
原创 【论文阅读】UNICORN:基于运行时来源的高级持续威胁检测器(NDSS-2020)
高级持续性威胁 (APT) 由于其 “低速” 攻击模式和频繁使用零日漏洞利用而难以检测。介绍了UNICORN,一种基于异常的 APT 检测器,可有效利用数据来源进行分析。通过广泛而高效的图分析,探索提供丰富上下文和历史信息的溯源图(provenance graphs),以识别没有预定义攻击签名的隐秘异常活动。使用图摘要(graph sketch)技术,它总结了长时间运行的系统执行和空间效率,以对抗发生在很长一段时间内的慢动作攻击。
2023-08-07 15:15:57
3030
4
原创 【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023)
Sometimes, You Aren’t What You Do: Mimicry Attacks against Provenance Graph Host Intrusion Detection Systems
2023-08-07 14:59:32
3204
原创 DARPA TC-e3/e5数据集bin转json
文件内容theia存放原始数据的文件夹数据库,已经不需要了,但是logstash以来这个数据库,所以还是保留了logs存放json文件的地方logstash日志收集器,负责收集解压出来的log4j日志,然后输出到本地文件镜像的配置文件一个模式文件,用于规范化数据格式,负责从log到json的转换官方的java包,用于解压、读取并参考上述数据规范生成标准格式的数据通过socket发送。
2023-08-07 14:53:56
3216
11
原创 【论文阅读】DEPIMPACT:反向传播系统依赖对攻击调查的影响(USENIX-2022)
观察到:(1)与POI事件高度相关的依赖关系通常表现出与不太相关的依赖关系不同的属性集(例如,数据流和时间);(2)POI事件通常与几个攻击条目(例如,下载文件)有关。 基于此,我们提出了DEPIMPACT,一个识别依赖图(即子图)关键组件的框架,通过(1)为边分配判别依赖权重,以区分代表攻击序列的关键边和不太重要的依赖关系,(2)将依赖影响从POI事件向后传播到入口点,(3)对排名靠前的入口节点进行前向因果分析,过滤掉前向因果分析中没有发现的边。
2023-07-24 16:42:56
2086
原创 【论文阅读】RapSheet:端点检测和响应系统的战术来源分析(S&P-2020)
Tactical Provenance Analysis for Endpoint Detection and Response Systems端点检测和响应系统的战术来源分析(S&P-2020)
2023-05-14 20:45:07
1195
1
原创 【论文阅读】You Are What You Do:通过数据来源分析寻找隐蔽的恶意软件
You Are What You Do:通过数据来源分析寻找隐蔽的恶意软件
2023-04-23 16:08:49
1313
2
原创 【论文阅读】xNIDS:可解释的基于深度学习的网络入侵检测系统的主动入侵响应(USENIX-2023)
xNIDS:可解释的基于深度学习的网络入侵检测系统的主动入侵响应(USENIX-2023)
2023-03-05 18:36:02
4038
2
原创 【论文阅读】DISTDET:一种高性价比的分布式网络威胁检测系统(USENIX-2023)
【USENIX-2023】DISTDET:一种高性价比的分布式网络威胁检测系统
2023-03-02 21:55:50
1172
5
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人