定义
构建方法
主机侧
BackTracker
挖掘进程、文件与文件名之间的因果依赖关系
- 进程直接依赖关系:创建、内存共享和通信对其他进程的直接影响关系
- 进程之间的间接依赖关系:操作相同的文件或对象关联到一起的进程
- 进程与文件之间的依赖关系:进程与文件之间存在直接操作关系,如读写等
- 进程与文件名:通过包含文件名的系统调用来构建文件名到进程的依赖关系 ??
不足之处 :通过事先定义的规则关联不同进程,本质是一种依赖关系,缺少因果语义
MCI
利用ldx因果推理模型挖掘系统调用级日志中的因果关系。通过改变系统调用的输入,观察输出的变化来推断因果关系。
OmegaLog
集成应用程序事件日志与系统日志,通过应用程序事件序列识别事件处理的环路解决依赖关系爆炸的问题
网络侧
zeek-osquery
RTAG
构建工具
PACED
OPM
分析方法
基于异常检测
构建正常行为参考模型,严重偏离参考模型的行为认为是攻击行为
基于外部知识
利用专家知识构建威胁子图,从溯源图中匹配满足威胁子图的相关子图
HOLMES
实时的汇总攻击者的攻击行为,并基于kill-chain(攻击链)构建高级溯源图。
本质上HOLMES是通过专家实现了由底层日志数据到TTP的映射。如图4所示,中间层HSG是基于MITRE的ATT&CK框架做的一种语义层的抽象,它描述了近200种行为模式和TTP。
RapSheet
参考ATT&CK
扫一扫
528
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
