Skip to main content
QUICK REVIEW

[論文レビュー] FRAPpuccino: Fault-detection through Runtime Analysis of Provenance

Xueyuan Han, Thomas Pasquier|arXiv (Cornell University)|Nov 30, 2017
Network Security and Intrusion Detection参考文献 29被引用数 25
ひとこと要約

FRAPpuccino (FRAP) は、有向非巡回プロバンエンスグラフを用いて正常なアプリケーション動作をモデル化することで、PaaS環境におけるランタイム障害および不正侵入を検出する、証明可能性に基づくランタイム障害・不正侵入検出システムである。プロバンエンスデータから特徴ベクトルを抽出するための動的スライディングウィンドウアルゴリズムを適用し、それらをクラスタリングすることで、高い正確性で異常を検出する。インストルメンテーション不要でスケーラブルなソリューションとして、大規模クラウドアプリケーションにおける動作の逸脱を特定可能にしている。

ABSTRACT

We present FRAPpuccino (or FRAP), a provenance-based fault detection mechanism for Platform as a Service (PaaS) users, who run many instances of an application on a large cluster of machines. FRAP models, records, and analyzes the behavior of an application and its impact on the system as a directed acyclic provenance graph. It assumes that most instances behave normally and uses their behavior to construct a model of legitimate behavior. Given a model of legitimate behavior, FRAP uses a dynamic sliding window algorithm to compare a new instance's execution to that of the model. Any instance that does not conform to the model is identified as an anomaly. We present the FRAP prototype and experimental results showing that it can accurately detect application anomalies.

研究の動機と目的

  • 従来のシステムコールベース手法が不十分となる、大規模なPaaS環境におけるランタイム障害およびサイバー攻撃の検出という増大する課題に対処すること。
  • エンドツーエンドのプロバンエンスデータを活用して包括的な動作モデルを構築する、スケーラブルでインストルメンテーション不要の異常検出システムを開発すること。
  • ストリーミングで動作する動的スライディングウィンドウメカニズムにより、プロバンエンスデータを処理することで、リアルタイムでの異常検出を可能にすること。
  • 個々のシステムコールシーケンスに依存するのではなく、プロセス間およびマシン間の依存関係を含む、包括的なシステムワイドな相互作用を捉えることで、検出精度を向上させること。

提案手法

  • FRAP は、プロバンエンスデータからラベル付き有向非巡回グラフ(DAG)を構築し、プロセス、システムエントリおよびユーザー間の相互作用を表現する。
  • Weisfeiler-Lehman グラフカーネルにインspiredされた再ラベル化機構を用いて、プロバンエンスDAGをn次元空間内の特徴ベクトルに変換する。
  • 動的スライディングウィンドウアルゴリズムにより、入力されるプロバンエンスストリームをリアルタイムで処理し、完全なプロバンエンス履歴を保存せずにオンライン検出を可能にする。
  • 正常なインスタンスからの特徴ベクトルをクラスタリングして、正当な動作のモデルを構築し、統計的手法を用いて顕著な逸脱を検出する。
  • FRAP は、プロバンエンスキャプチャに CamFlow を、効率的なグラフ処理に GraphChi を活用しており、分散システム全体にわたるスケーラブルな分析を可能にしている。
  • アプリケーションのインストルメンテーションを回避し、システムレベルのプロバンエンスデータにのみ依存することで、異種でマルチプロセスなクラウドアプリケーションに容易に展開可能である。

実験結果

リサーチクエスチョン

  • RQ1アプリケーションのインストルメンテーションを一切行わず、大規模なPaaSアプリケーションにおける正常動作を、プロバンエンスデータで効果的にモデル化できるか?
  • RQ2効率的に、コンパクトで解析可能な特徴ベクトルに変換できるように、プロバンエンスグラフをどのように処理すれば、リアルタイムでの異常検出が可能になるか?
  • RQ3プロバンエンスデータに動的スライディングウィンドウアプローチを適用することで、クラウド環境における低遅延でスケーラブルなランタイム異常検出が達成できるか?
  • RQ4障害および不正侵入の両方を同定する観点から、プロバンエンスベースの検出は、システムコールベースの動作分析と比較して、正確性に優れているか?
  • RQ5エンドツーエンドのシステム相互作用モデル化は、個々のプロセス分析では見逃されがちな、複雑なマルチプロセス異常を検出する上で、果たす役割は何か?

主な発見

  • FRAP は、正常な実行からのプロバンエンスデータを用いて、正当なアプリケーション動作を効果的にモデル化し、異常実行の正確な検出を可能にした。
  • プロバンエンスDAGから導出された特徴ベクトルのクラスタリングにより、高い検出正確性を達成しており、正常クラスタからの逸脱が、障害または不正侵入の兆候であると示している。
  • 動的スライディングウィンドウメカニズムにより、大規模なプロバンエンスストリームの効率的かつリアルタイム処理が可能となり、過剰なストレージオーバーヘッドを回避できる。
  • 選別されたイベントログではなくエンドツーエンドのプロバンエンスを用いることで、システム相互作用のより包括的な視認性が得られ、複雑で分散型の異常の検出が向上した。
  • システムエントリとアクションの文脈的関係を組み込むことで、従来のシステムコールベースのモデルに比べ、本アプローチは優れた性能を示した。
  • フレームワークはアプリケーションのインストルメンテーションなしで展開可能であり、生産用PaaS環境において実用的である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。