溯源图攻击检测综述《Threat Detection and Investigation with System-level Provenance Graphs: A Survey》笔记

《Threat Detection and Investigation with System-level Provenance Graphs: A Survey》笔记

论文基本信息

期刊名：《Computer & Security》

期刊级别：CCF-B

年份：2021

标题：《Threat Detection and Investigation with System-level Provenance Graphs: A Survey》

作者：Zhenyuan Li（Zhejiang University）、Qi Alfred Chen（University of California, USA）、Runqing Yang（Zhejiang University）、Yan Chen（Northwestern University, USA）、Wei Ruan（Zhejiang University）

Abstract

随着信息技术的发展，网络空间的范畴越来越宽，因此也暴露出越来越多的漏洞给攻击者。传统的 mitigation-based 防御战略难以应对当前复杂的形势。安全相关人员迫切需要更好的工具来描述和建模用于防御的攻击。（背景段）

（说完背景开门见山，直接指出溯源图的优势）溯源图具有强大的语义表达能力和攻击历史关联能力，是一种理想的威胁建模方法。**（介绍本文内容）首先，本文介绍了系统级溯源图的基本概念，然后提出了一种基于溯源图进行攻击检测的典型系统架构，其包含三部分：data collection module，data management module，threat detection module。每个模块包含几个组成部分，涉及不同的研究问题。本文系统地对现有的方法进行分类，并比较之（综述文章的特点）。（本文/综述的意义）**基于这些比较，本文确定了用于实际部署的技术选择策略。本文还提供了关于现有工作的 insights 和 challenges，以指导该领域的未来研究。

1. Introduction

第一段：攻击各式各样，防御者需不断修补各种漏洞（引用他人文献指出背景）——> 传统攻击已经不适用，需设计更具鲁棒性和通用的攻击机制（指出必要性）——> 以一个现有研究举例 ——> 提出溯源图（强大的提取表达能力和相当高的效率）

第二段：现在越来越多的研究关注于基于溯源图的攻击检测方法（图1举例溯源图，能够分析因果关系）——> 使用溯源图的优势（3点）

使用溯源图的优势：

• 溯源图通过表示系统对象之间的交互关系来显示系统执行的过程。对于所有执行过程来说，这种依赖关系是固有的。像Audit log这样的非结构化日志也可以转换为溯源图
• 溯源图支持具备语义感知和健壮性的检测。与非结构化审计日志相比，具有空间和时间信息的溯源图更难以被攻击者伪造。此外，溯源图提供了更丰富的语义。因此，安全分析人员可以进行更有效和彻底的攻击研究
• 溯源图保存系统所有的执行历史。APT攻击是一种持续时间长、隐蔽性强的攻击。为了研究此类攻击，分析人员需要访问并了解整个攻击历史。实际上，系统执行历史对于需要索引攻击点的任何攻击，以及了解攻击的危害都是必要的

第三段：为了利用好以上优势，需要设计基于溯源图的攻击检测系统（3部分，data collection module，data management module，threat detection module）

第四段：分别介绍以上3个模块的作用

• data collection module：数据采集模块是检测系统的基础。它需要能够高效而准确地收集系统级的溯源信息
• data management module：数据管理模块是采集器和探测器之间的桥梁。它负责提供高效、快速的查询接口，同时高效、节约地存储大量数据
• threat detection module：威胁检测模块需要处理大量的数据，以尽可能低的开销和最短的延迟来定位隐蔽的恶意行为

第五段：设计以上这样一个架构，需要考虑的四个研究问题：

• RQ1：如何在保持语义的同时尽可能减少数据存储的大小?
• RQ2：如何平衡溯源图存储的空间效率和查询的时间效率?
• RQ3：如何设计一个高效、鲁棒的入侵检测算法，平衡 true-positives 和 fasle-positives ?
• RQ4：如何尽可能缩短检测的响应时间?

RQ1 和 RQ2 在第五节会讨论，RQ3 和 RQ4 在第六节会讨论

第六段：本文贡献

• 本文是第一篇基于溯源图的攻击检测的全面综述文章
• 本文对现有论文中使用的各种代表性的技术进行了分类，并在2.2节中描述了如今基于溯源图的威胁检测系统的典型架构设计
• 本文使用各种性能指标来系统地比较第6节中数十个现有的检测系统。基于比较，我们在第7节中确定了用于实际部署的技术选择策略。此外，本文为未来的研究提供了多种 insights 和 challenges

第七段：其余章节部署（一般期刊文章是这样）

第2节介绍了系统级溯源图的背景知识，包括几个基本定义、检测系统的典型设计和简要的研究历史。第三节介绍了相关工作和本次研究的范围。第4、5和6节分别关注三个子模块。第7节从多个角度详细描述了不同方法的优缺点，并提供了多种 insights 和 challenges 。第8节给出本文的结论。

图1 溯源图示例。溯源图通过有向图（含时间顺序）表示系统中的 subject （如进程、线程等）和对象（如文件、注册表、网络sockets)之间的控制流和数据流之间的关系。

2. Background

2.1 Definition of System-level Provenance Graph

节点：所有系统级的实体（process，file等）

边：实体之间的操作

溯源图具有时间和空间属性，这些属性在溯源图中被称为因果关系，所以溯源图也被称为因果关系图。

DEFINITION 1：Subjects and Objects 节点

Subject （u）表示系统中的实体，对另一个实体（Obeject，v）执行操作

Subjects：processes, threads

Obejects：files, sockets

在不同的操作系统中，subject 和 object 的类型不同，但是在一个溯源图中去扩展具有多种类型的 subject 和 object （异质图）并不难。

DEFINITION 2：Events 边

Events 表示系统中两个实体之间的操作，一个事件包含四个属性，描述为：<subject，object，time，opreation> 或者 <u,v,t,o>

表1是常用的事件。

DEFINITION 3：Provenance Graph

溯源图是所有 subjects ，objects，events的集合，可表示为 G = (S,O,E)

DEFINITION 4：Causality Dependency

当v1 = u2∧t1 < t2时，两个事件e1 = (u1, v1, t1)和e2 = (u2, v2, t2)具有因果关系。

因果关系表示两个事件可能存在的数据流和控制流。但是，基于因果关系的分析将引入更多的错误依赖关系，导致更严重的爆炸问题。

DEFINITION 5.：Backward Tracking

向后：从单个检测点（例如，一个可疑的文件）开始，反向跟踪过程试图找到溯源图中所有对检测点有因果影响的节点

DEFINITION 6：Forward Tracking

向前：从单个检测点开始，前向跟踪过程试图找到溯源图中所有依赖于检测点的节点

向后跟踪和向前跟踪在攻击研究中被广泛地结合使用，以找到攻击的入口点和分析攻击的因果影响

2.2 Typical Design of Provenance Graph-based Detection System

如图2所示：

data collection module：

收集系统对象之间代表溯源信息的操作，这里溯源信息包含：粗粒度溯源信息（可以通过现有操作系统获取）和细粒度溯源信息（需要安装额外的工具），然后根据 DEFINITION 3 将这些所采集到的信息分成事件流，这些事件流将会转换到 data managenment module 或者一个基于流的检测系统。

data management module：

数据管理模块基于不同的规则，然后采用不同的数据 reduction 算法来删除多余的事件。对溯源图执行 reduction 操作，不仅能减少存储空间，也能够提前减少后续的检测或调查开销。压缩后的数据将存储在数据库中，该数据库经过适当设计，以支持频繁查询（第5.3节）和持久访问（第5.1节）。

threat detection module：

最大的挑战是实时产生大量的数据，且会包含许多噪声数据。另外，如何及时发现可疑事件也是一个挑战。

2.3 A Brief History of The Adoption of Provenance Graph in Threat Detection

如图3所示，本文研究了几十项研究工作，并观察到两个主要的技术趋势：

①细粒溯源图的研究。因为最开始的溯源图是粗粒度的，包含大量错误的依赖关系，会造成 “依赖爆炸” 问题。细粒度的数据收集可以从根本上缓解这个问题，但开销要高得多。

②实时威胁检测研究。对于真实场景来说，响应时间是至关重要的。例如，快速响应可以有效避免同一攻击，减少损失。然而，在建立完整的溯源图谱后进行的调查导致了较长的响应延迟。到目前为止，研究人员一直专注于基于流图的实时检测和调查。

3. Related Work and Scope of this Survey

在本节中，对基于系统级溯源图的威胁检测相关研究进行了全面的介绍。然后，本文定义这个调查的范围和描述该综述的调查方法。

3.1 Intrusion Detection

入侵检测在近几十年得到了广泛研究，可分为三类：基于签名，基于异常，结合多种方法。基于签名地方法地优势是能高效检测已知攻击，且少量false-positive。不足之处在于维持签名数据库需要大量人力。基于异常的方法能够检测 0-day 攻击，但是会产生大量 false-positive。也有研究人员结合多种方法来提升准确率。**（介绍完以往的研究，指出溯源图的优势）**利用溯源图进行攻击检测的优势：具有适当的粒度、建模所有数据流和信息流构成图、保持丰富的语义关系、轻量级地实时收集和分析、结合关联分析和因果分析，可以提升检测准确率。

3.2 Provenance

本文关注将系统级溯源信息建模成溯源图，它详细记录了系统级对象之间的信息流。这些信息在定位潜在的恶意行为（如信息泄漏等）时很有用。

3.3 Graphs for Security Purpose

图结构以其丰富的语义和强大的表示能力在网络安全领域得到了广泛的应用。根据图的不同性质，提取图的目的也不同。

**（先介绍以往用图来进行攻击检测的研究）**比如，控制流图（control flow graphs，CFGs）和 abstract syntax trees（ASTs）能够有效地为程序的结构和行为建模，并因此被广泛用于程序分析和恶意软件检测。此外， Bayesian attack graph 可以量化系统存在的风险和漏洞，以衡量系统的安全性。Petri net 是分布式系统控制和组成形式化分析的一个著名的操作模型。它可以在开销较大的情况下，对系统的安全性进行形式化分析。

**（点明他们的不足）然而，上述方法都不能以可接受的开销来有效建模系统级对象之间的信息流。（指出本综述的研究）**因此，本文将重点放在系统级的溯源图上，它既能跟踪信息流，又能很自然地进行相关分析。

3.4 Survey Methodology

（介绍作者收集文献写综述的方法）

第一步，作者们在google Scholar上搜索了几组关键词，包括 “provenance + causality + collection”, “provenance + causality + reduction”, 和 “provenance + causality + detection”，分别对应典型架构中的三个子模块。

但是，第一轮用关键词组合的搜索会错过很多相关的文献。因此，作者采用了一个研究论文的知识图谱工具，即Connected papers 点击进入。该工具不仅可以根据引文树进行检索，而且可以根据共被引和文献交叉进行检索。它会为每一篇输入论文构建一个知识图谱，在此基础上，可以找到很多相关的文献。

最后，使用 snowball 方法来定位一些文章。

4. data collection module

第一步，需要在目标主机上部署收集器来收集信息。通常，有两种收集器：粗粒度收集器，专注于系统级信息流，如文件读取、进程间通信。细粒度收集器，涉及进程内信息流跟踪。

4.1 Coarse-grained Provenance Collection

粗粒度数据收集器只跟踪系统级对象之间的来源，也称为系统级收集器。如今的大多数操作系统都有内置的审计系统，它可以在系统级对象之间提供必要的信息流。同时也有第三方工具，如 FUSE。对于不同的操作系统和审计工具，事件列表可能不同。对于 Linux ，所有对象抽取为文件。对于 windows 来说，读取和写入注册表是重要的操作。在实际场景中，安全分析人员应该自定义事件列表，以达到开销和功能之间的平衡。

4.2 Fine-grained Provenance Collection

**细粒度收集器能够解决 “依赖爆炸”问题，它能够更准确地关联输入和输出。**因此，研究人员提出了许多收集细粒度溯源信息的方法，如表2所示。

在此模块之后，收集的溯源信息可以直接传输到检测模块（第6节）或首先通过数据管理模块（第5节）。

5. Data Management Module

本节将从数据存储模型（§5.1）、数据规约算法（§5.2）和查询接口（§5.3）三个方面介绍如何设计这样一个理想的数据管理模块，并尝试回答上述提到的两个研究问题：

• RQ1: 在保持语义关系的前提下，如何尽可能地**减少数据存储量**？
• RQ2: 如何==平衡==溯源图存储的空间效率和查询的时间效率?

5.1 Data Storage Models

数据存储模型是整个数据管理模块的基础。

一个简单的想法是用图数据库（比如NoSQL）存储溯源图，它将所有数据存储为节点和边，并提供节点和边的语义查询接口。因此，执行图算法十分容易。 但是，存储大规模图会产生很大的I/O开销。为了缓解这一挑战，安全研究人员设计了检测算法，该算法对于流中的每个事件，只使用一次，并采用存储在缓存中的状态来表示事件历史。

以顶点为中心的数据库建立在关系数据库之上，将所有条目存储为< K, V >对，其中K是表示顶点（节点）的标识符，V是几个条目的列表，如父节点、子节点和规则。这种数据模型可以方便地计算节点之间的相互关系，因此在基于异常分析的检测系统中得到了广泛的应用。此外，关系数据库可以存储在磁盘上，并使用内存缓存加速，因此比基于图数据库的方法更可行。

5.2 Data Reduction Algorithms for Provenance Graphs

在这一节中，主要关注数据规约方法，指一些保证语义关系的数据规约算法。

**（动机，背景）**收集到的数据量（溯源图）十分庞大。因此，如何压缩溯源图是需要研究的问题。

溯源图是一种特殊的图，其数据主要包括节点（subjects和objects）和边（events）两部分。溯源图压缩的本质是删除尽可能多的不必要节点和边，同时保持尽可能多的语义关系。考虑以下三个问题：

• 如何定义需要保持的语义关系？

• 压缩算法的计算复杂度是多少？

• 压缩算法的有效性如何？

5.2.1 Data Reduction for Edges

Causality-Preserving Reduction (CPR)

因果关系的一个简单而直观的定义是，对对象的第一次写操作将影响后续的读取操作。因此，为了避免改变对象之间的因果关系，CPR只删除一对对象之间的重复写/读操作，而没有对目标对象的读/写进行操作。CPR可以完全保留图的拓扑结构，并确保大多数检测算法在压缩图上仍然有效。但是，该算法会丢失统计信息，包括访问频率等。在现实场景中，分析人员应该根据后续的分析来选择规约算法。

Full Dependence-Preserving Reduction (FDR) and Source Dependence-Preserving Reduction (SDR)

如图4所示（1,2——> 1-2，4,7——> 4-7），尽管CPR很好地保留了溯源图中的语义，但它的数据缩减率有限。为了进一步压缩溯源，有研究人员提出 dependence-preserving data compaction。Dependence-preserving reduction 只考虑源图的基本操作，即向后跟踪和向前跟踪。FDR和SDR依赖于源图的全局可达性，这比CPR的计算成本高得多。为了克服这些计算上的挑战，他们提出了versioned dependence graphs，它被广泛用于简化溯源的计算。

5.2.2 Data Reduction for Nodes

（背景） 目前技术的主要问题是它们涉及昂贵的运行开销。然而，系统级的来源图会迅速扩展。因此，需要轻量级的压缩算法。有研究人员提出其他方法（见论文）。

图5表示：在基于 Collection-based 和 Template-based 的 Reduction 之后，图的节点和边的变化。

5.3 Query Interface

介绍一些溯源图查询系统。这些查询系统提供了原始数据库无法提供或需要额外作用的 investigation capabilities:

• 因果关系索引
• 溯源图模式匹配
• 基于流的查询
• 异常分析

总之，查询系统为分析人员提供了全面的攻击调查能力。这些系统通常建立在成熟的流处理系统或数据库上，但通过专门设计的数据模型和查询语言考虑了溯源图的独有属性。

6. Threat Detection Module

**（也是先提出背景，然后再说明本文的研究（调查））**为了联系一个攻击中的多个实体，一个最简单的方法是采用回溯算法。然而，简单的回溯算法很难区分正常数据流和恶意控制流，且存在依赖爆炸的问题，因此精度很低。为了解决这一问题，提供实时、高效、低 fasle-positive 的威胁检测系统，研究者们提出了许多不同的方案。

在本节中，本文首先给出在使用溯源图进行威胁检测研究中常用的几个威胁模型（§6.1）。然后对现有的入侵检测系统进行比较，并尝试回答 §2.2 中总结的两个研究问题：

RQ3:如何设计一个高效、鲁棒的入侵检测算法，平衡true-positive和false-positive?

RQ4:如何尽可能缩短检测或溯源取证的响应时间?

6.1 Attack Models

6.1.1 Multi-Stage APT Attack (APT) Model

典型的APT攻击可以分为多个阶段，每个阶段都有一个特定的目标，并通过各种不同的技术来实现该目标。现实世界的攻击通常包括三个或更多阶段。因此，即使遗漏了某些阶段，安全分析人员仍然可以识别威胁，并使用数字取证技术完成遗漏的部分。同时，分析人员还可以采用多级特征来过滤误报。

6.1.2 Information Leakage (Leakage) Model

信息泄漏模型假设攻击者能够控制整个目标系统。目标是通过各种方式将指定的敏感信息传递给攻击者控制的端点。但与多阶段APT攻击模型不同的是，信息泄漏模型不关注具体的攻击技术，而是关注系统中的信息流，持续监控敏感信息是否流向未授权点。

6.1.3 General Attack (General) Model

一般的攻击要多样化得多。有像APT这样的低水平和隐蔽性攻击，也有像勒索软件这样的快速和公开的攻击。目标可能是窃取信息，也可能是纯粹的破坏。因此，需要更通用和详细的攻击模型来检测此类攻击。

6.2 Threat Detection and Investigation System Design

一个理想的威胁检测系统需要同时考虑三个属性：快速响应、高效和高精度。然而，一个溯源图的大小，即使经过压缩，也是非常大的。因此，基于溯源图的威胁检测可能会引入较高的空间和计算开销。为了在这三种属性之间找到一个平衡点，研究者们做了很多尝试。这些方法根据主要检测设计可分为三类：（这些方法在该综述中都能找到相关文献）

• tag propagation-based approaches

  首先，基于标签传播的方法尝试将系统执行历史增量存储在标签中，并利用标签传播过程跟踪因果关系。这些算法的时间复杂度大致为线性。此外，它们可以以流图作为输入，响应速度快。

• abnormal detection

  异常检测试图识别节点之间的异常交互关系。因此，这些方法将通过收集历史数据或来自并行系统的数据来建模正常行为，然后当检测某一未知行为时，若与模型相差过大，说明该行为为异常行为。

• graph matching-based approaches

  基于图匹配的方法试图通过匹配图中的子结构来识别可疑行为。然而，图匹配是计算复杂的。因此，研究人员尝试用图嵌入法、图素描法或近似法提取图的特征

如表3所示，目标攻击模型、基本检测算法、数据管理模型三者之间相互影响，基本决定了检测系统的设计流程。

6.2.1 Graph Matching-based Detection

图中近似的节点更有可能发挥相同的功能。因此，利用社区检测（发现）算法，分析人员能够在相同的攻击场景中关联节点。溯源图中的子结构可以完全描述恶意行为。因此，通过图匹配进行检测是一个非常直接的思想。然而，图匹配是np完全问题。因此，研究人员提出了许多近似方法。（具体看论文）

6.2.2 Anomaly Score-based Detection

与基于图的异常检测相比，基于异常值的检测方法需要调优的参数要少得多，因此更容易实现和部署。同时，基于异常值的检测方法通常采用以顶点为中心的关系数据库，速度比图数据库快得多。

6.2.3 Tag Propagation-based Detection

基于标签传播的检测方法可分为标签初始化和标签传播两个阶段。在标签初始化阶段，标签被分配给节点。节点的数量远远少于边的数量。因此，存储和更新标记是有效的。在标签传播阶段，根据预先设计的规则沿边传递标签。在这个阶段，不同的标签可以在同一个节点上出现，并一起对下游的计算进行分类。

然而，基于标签传播的方法也存在“依赖爆炸”问题。如果没有额外的控制，单个标签可能会扩散到各个地方，造成大量的FP。（因此，有学者提出 HOLMES来解决该挑战）

总之，基于标签传播的方法有以下优点。首先，标签初始化和传播过程取代了计算量大的图匹配算法，降低了开销；其次，基于标签传播的方法每次只处理一个事件，并相应地更新状态，很自然地支持流图输入，响应速度快；最后，存储在标签中的信息可以用来快速定位涉及入侵的点，从而避免繁琐的回溯算法。

7. DISCUSSION

在本节中，本文从几个基本的角度整体讨论基于溯源的威胁检测。首先，本文比较数据和检测模型的不同组合对性能指标的影响。然后，本文针对当前的依赖爆炸问题提出可能的解决方案。最后，本文讨论了不同的方法如何在TP和FP性之间取得平衡。此外，如表4所示，将为现实世界的实践和未来的研究提供多种 insights 和 challenges 。

7.1 How the Selection of Data Models and Detection Models Will Affect Performance？

检测模型和数据模型是威胁检测系统的两个重要组成部分，直接决定着威胁检测系统的性能。Insight1）： 有三个频繁使用的组合： “anomaly score + vertex-centric DB“， “tag propagation + Streaming graph” 和 “cached graph + others。

将数据作为图形缓存在图形数据库中是最直观和方便的方法。几乎所有的检测模型都适用于缓存图。**Insight 2）：这是一种效率低下的方法，因为图形数据库的性能很差。因此，在实践中不建议使用缓存图。**NoDoze等人提出以顶点为中心的数据库（本质上是一个关系数据库）为替代方案。而采用以顶点为中心的方式可以使节点的访问速度更快，但也使得对边的访问更加复杂和缓慢。因此，NoDoze等采用了基于异常评分的检测方法，只需要访问节点的信息。SLEUTH等人选择不缓存溯源图。相反，它们一次处理所有节点和边，以标签形式保存处理结果。此外，他们将图结构信息嵌入到标签传播过程中。Insight 3）：基于标签传播的检测方法可以将溯源图实时处理为一个流，因此具有最短的响应时间。

7.2 How to Solve the Dependence Explosion Problem？

依赖爆炸是由于溯源图和因果关系分析的粗粒度导致的常见问题，会带来额外的FP和开销。Insight 4）：可以通过采用细粒度的数据收集方法从根本上解决依赖爆炸问题，如§4.2所讨论的。Challenge 1）然而，这些方法涉及大量的运行时或开发开销，因此很难在现实场景中使用

为了缓解依赖爆炸问题，基于不同的假设提出了几种基于算法的方法。Nodoze等人根据相关事件之前发生的频率为每条边分配异常评分。然后，异常评分将沿着路径传播。而异常评分低的路径将被忽略。他们的基本假设是，攻击总是涉及溯源图中异常的边。然而，这种假设并不总是成立的。一个真实的例子是gitpwnd攻击，它完全使用git工作流来完成攻击。**但是，**攻击者可以有意避免触发此类检测的异常依赖关系。

SLEUTH及其后续工作采用基于标签衰减的方法。这些工作试图通过限制标签传播的轮数或时间来限制标签的传播。它们的基本假设是，攻击者将尽快执行攻击。然而，显然，攻击者可以通过长时间保持隐身或涉及更多的中间节点来扩展攻击链来绕过这种检测。

Insight 5：现有的基于算法的方法只能缓解依赖爆炸问题，并可能涉及潜在的漏洞。Challenge 2）：依赖爆炸问题仍然迫切需要更高效、更鲁棒的基于算法的解决方案 一种可能的解决方案是用高级语义信息确定底层信息流，如§4.2所述。

7.3 How to Balance the True-positive and False-positive

真阳性和假阳性是检测系统最关键和最基本的指标。**Insight 6：对于基于溯源的检测方法，现有的大多数检测模型都是基于序列的，而不是基于图的。**包括基于标签传播的方法和大多数异常检测方法。而基于图的检测方法通常有较长的响应时间和较高的开销。

采用相同的检测模型时，高真阳性和低假阳性往往是矛盾的。然而，安全分析人员仍然可以通过技术和参数调优的组合来寻求两者之间的平衡。（如HOLMES、POIROT）

challenge 3）：现有的基于序列的实时检测方法可能不够稳健，无法准确区分恶意行为和良性行为。因此，仍然需要设计并实现更健壮的检测模型。

7.4 Other Practical Challenges

Challenge 4）：缺乏统一的数据集和数据格式

统一的数据集和数据格式可以显著降低进一步研究、复制和定量比较的障碍。然而，据我们所知，唯一公开可用的基于溯源图的检测数据集是来自 Transparent Computing program 的Engagement 3和5数据集。大多数现有的工作必须依赖有限的自我收集的攻击数据。这些数据集只包含几十种攻击，很难代表现实世界中各种复杂的攻击。因此，人们迫切需要一个统一的数据集和数据格式。

Challenge 5）：缺乏对潜在规避行为的研究

反规避是侦查系统的核心竞争力。研究潜在的规避问题对于建立新的检测机制至关重要，使检测结果更加可靠。然而，在基于系统级溯源图的检测方面，这类研究仍然缺乏。（?）

7.5 An Ideal Detection Approach

综合以上讨论，本文呢提出一个理想的系统需具备的功能：

**实时：**理想的检测系统应该具有尽可能低的开销和尽可能短的响应时间。因此，系统必须能够在不缓存太多数据的情况下处理流溯源图。从性能的角度来看，基于标签传播的方法是最好的。

**健壮有效：**对于一个检测系统来说，鲁棒性和有效性意味着它需要在任何情况下准确地区分恶意行为和良性行为。也就是说，检测模型应该足够复杂，以演示恶意行为与良性行为之间的区别。从这个角度来看，基于图的检测方法比其他方法更好。

具体来说，可以尝试通过回答§2.2中提到的研究问题，并按照§5和§6中详细描述的现有工作来设计和实现这样一个系统。

8. CONCLUSION

作为一种系统行为抽取工具，溯源图被广泛用于威胁检测。本文提出了基于溯源图的威胁检测的典型系统架构。然后，系统地介绍和比较了所涉及的技术方法，并总结了未来研究中存在的挑战。

个人思考

本文是第一篇关于系统级溯源图攻击检测的全面综述文章，详细介绍了溯源图攻击检测相关的方法（文献），为刚刚涉足该领域的人提供了很好的指导。具体从溯源图攻击检测架构的三部分（data collection、data management、threat detection ）来看，分别比较了关于这三部分的方法（文献），指出它们的优势和不足。基于这些比较，作者提出了他们自己的 insights 和 challenges，能够指导未来关于溯源图的研究。

另外，综述中提到各个部分的文献，目前我并没有阅读过，若以后需具体研究各部分时，可以再去找相应的文献研读。