weixin_46255747的博客

这里遍历的是图的子结构。其二：在于Unicorn的流式特性和Streamspot的流式特性是不同的，Unicorn的流式特性按照时间戳生成迭代的直方图，从而生成迭代的图形草图。（2）从1->2，Unicorn将图转换为了直方图，其中直方图中的每个元素描述了图的一个独特子结构，这个子结构考虑到子结构中顶点和边上附加的异构标签，以及这些边的时间顺序。（3）从2-3，由于溯源图的特点，即使在k=1的情况下，S（K-shingle全集）也可能以组合的方式基于增加，因此使用chunk（在之后简化为C）进行分割。

在捕获层本文主要介绍了四种捕获（取证）工具，分别是：（1）虚拟化层监控：主要用于监控虚拟机的相关行为信息。最近的基于虚拟化层的方法利用了记录和重放（RR）技术在VMM中嵌入的便利性[89, 90]。尤其值得注意的是，季等人[88]利用这种方法实现了对虚拟机逐条指令执行的重放，并收集了高保真的数据溯源。这种方法的一个重要优点是，在生成重放所需的跟踪之外，在RR系统中不需要运行时审计；相反，分析师可以以任何粒度的后验方式提取入侵证据。（2）内核级监控。

高级持续性威胁（APT（Advanced Persistent Threat）），本质是针对性攻击。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。主要针对企业和政府重要信息资产的，对信息系统可用性、可靠性构成极大挑战的信息安全威胁其一般受国家或大型组织操控，受国家利益或经济利益驱使，由具有丰富经验的黑客团伙实施，具有技术性强、持续时间长、危害性较大等特点，是近年来出现的新型综合性网络攻击手段。监视系统，观察系统之间的响应，并将生成的内核级审计事件作为系统审计日志。