Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] SLEUTH: Real-time Attack Scenario Reconstruction from COTS Audit Data

Nahid Hossain, Sadegh M. Milajerdi|arXiv (Cornell University)|Jan 6, 2018
Network Security and Intrusion Detection参考文献 39被引用数 91
ひとこと要約

Sleuth はホスト監査データからプラットフォーム中立のメインメモリ依存関係グラフを構築し、リアルタイムの攻撃検出、根本原因分析、攻撃シナリオのコンパクトな視覚再構成を可能にする。 Windows、FreeBSD、Linux にわたる red-team 評価で大規模なデータ削減とリアルタイム性能を達成する。

ABSTRACT

We present an approach and system for real-time reconstruction of attack scenarios on an enterprise host. To meet the scalability and real-time needs of the problem, we develop a platform-neutral, main-memory based, dependency graph abstraction of audit-log data. We then present efficient, tag-based techniques for attack detection and reconstruction, including source identification and impact analysis. We also develop methods to reveal the big picture of attacks by construction of compact, visual graphs of attack steps. Our system participated in a red team evaluation organized by DARPA and was able to successfully detect and reconstruct the details of the red team's attacks on hosts running Windows, FreeBSD and Linux.

研究の動機と目的

  • OS監査ログを用いて、攻撃キャンペーンのリアルタイム検出と再構成を提供する。
  • メインメモリに格納された監査イベントの、コンパクトでプラットフォーム中立なグラフ表現を開発する。
  • タグベースの来歴情報を用いて分析を優先付け、根本原因と影響分析を導く。
  • ポリシー駆動のフレームワークを介して代替仮説検定を可能にし、偽陽性を減らしOS/アプリの変更に適応する。
  • 複数のOSにわたるDARPA主導のred-team評価で有効性を示す。

提案手法

  • 監査データを、主体(プロセス)と対象(ファイル、ソケット)を持つプラットフォーム中立のメインメモリ依存関係グラフとして表現し、監査イベントにラベル付きのエッジを付与する。
  • 依存関係をイベントごとに平均約10バイトで格納する超コンパクトなイベントエンコーディングを開発する。
  • 来歴と挙動から派生した信頼性(t-tags)と機密性(c-tags)タグを導入し、検出と分析をガイドする。
  • タグの初期化、伝搬、検出のためのルールベースのポリシーフレームワークを実装し、信頼されていない実行、低信頼コードによる改変、データ漏洩を識別する。
  • タグ誘導の最短経路探索(Dijkstraのアルゴリズム)によるバックワード分析(エントリーポイント探索)を実行して攻撃エントリーポイントを特定し、その後のフォワード影響分析で簡潔な攻撃シナリオグラフを構築する。
  • 攻撃を簡潔に要約するための視覚的なグラフ構築と剪定変換を提供する。

実験結果

リサーチクエスチョン

  • RQ1リアルタイムの監査データをメインメモリに効率的に格納・分析して、数秒〜分のうちに攻撃シナリオを再構築できるか?
  • RQ2タグベースの来歴情報とポリシー駆動の検出は、Windows、Linux、FreeBSD に跨って攻撃者のエントリーポイントと影響を正確に識別できるか?
  • RQ3バックワード(エントリーポイント)およびフォワード(影響)分析は、関連性のないデータをどれだけ効果的に絞り込み、キャンペーンのコンパクトでノイズの少ない表現を作成できるか?
  • RQ4ポリシー再設定による代替仮説検定は検出精度を向上させ、偽陽性/偽陰性を減らせるか?
  • RQ5現実的なred-team条件下で、エンタープライズ規模の監査データに対する Sleuth のスケーラビリティと性能はどの程度か?

主な発見

  • FreeBSD 監査データ 79 時間を 14 秒で処理、主メモリ使用量 84 MB、データ生成レートの 20,000x の高速分析を達成。
  • 3850万イベントを分析し、130イベントを含む攻撃シナリオグラフを生成、約5オーダーオブマグニチュードの削減。
  • 非常に高いデータ削減率(最大10万x)を達成し、偽陽性/偽陰性の少ない明確な意味論表現を形成。
  • システムは Windows、FreeBSD、Linux ホスト間で red-team 攻撃のリアルタイム検出と再構成を実証。
  • ポリシー駆動の再分類と再分析を通じた代替仮説の迅速な検証を可能にし、OS/アプリケーション固有のチューニングをサポート。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。