(论文笔记01.Backtracking Intrusions(CCF A) 2003)

最新推荐文章于 2024-07-25 18:39:37 发布
最新推荐文章于 2024-07-25 18:39:37 发布
阅读量781 收藏 2
点赞数 4
分类专栏: 论文笔记 文章标签: 目标跟踪 人工智能 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ll14856lk/article/details/121080879
版权

Backtracking Intrusions (CCF A) 2003

1.ABSTRACT

分析入侵是一项艰巨的任务,主要是手工操作,因为系统管理员缺乏所需的信息和工具,无法轻松理解攻击中发生的步骤顺序。BackTracker的目标是自动识别入侵过程中可能发生的步骤序列。从单个检测点(例如,可疑文件)开始,BackTracker识别可能影响该检测点的文件和进程,并在依赖关系图中显示事件链。我们使用BackTracker分析了几个针对我们设置为“蜜罐”的计算机的真实攻击。在每种情况下,BackTracker都能够有效地突出用于进入系统的入口点,以及从入口点到我们注意到入侵点的步骤序列。支持BackTracker所需的日志记录增加了9%的运行时间开销,并为操作系统密集型工作负载每天生成1.2 GB的日志数据.

2.INTRODUCTION

2.1 Question

目前来(在2003年)说大多数的检测,它们不能提供攻击期间泄露的完整历史,大多数工具和信息来源的一般限制是将入侵者的动作(或由这些动作引起的状态)与合法用户的动作/状态混合在一起。即使在日志和磁盘状态包含足够的信息来理解攻击的情况下,识别从最初的妥协到检测点的事件序列在很大程度上仍然是一个手动过程。

2.2 Solution

这篇文章描述了一个叫做BackTracker的工具,它试图解决当前工具和信息源的不足,从而帮助管理员更容易地理解在攻击期间发生了什么。从一个检测点向后工作,BackTracker识别可能导致被检测到的修改的事件链。然后,管理员可以将她的侦查工作集中在这些事件链上,从而更快、更容易地识别漏洞。为了识别这些事件链,BackTracker记录了导致操作系统对象之间最直接依赖的系统调用(例如,创建进程,读取和写入文件)。BackTracker的目标是为大多数攻击提供有用的信息;它不能提供每一次可能的攻击的完整信息。相当于提供一个攻击链,通过这个链来关联攻击的历史活动

本文在两个组件中实现了Linux的BackTracker:一个在线组件记录事件,另一个离线组件绘制与攻击相关的事件。BackTracker目前跟踪许多(但不是所有)相关的操作系统事件。我们发现,这些事件可以在适当的时间和空间开销下被记录和分析,而BackTracker生成的输出有助于理解针对我们设置为“蜜罐”的计算机的几次真实攻击(本文是对设置好的蜜罐进行真实攻击测试效果

3.DESIGN OF BACKTRACKER

网络级日志为远程攻击提供了更多信息,但加密或混淆会使它们变得无用,应用程序级日志(如Apache的HTTP请求日志)语义丰富。但是,它们不提供攻击者自己程序的信息,而且它们可以被获得特权访问权的攻击者禁用。
BackTracker通过观察系统级对象(如文件、文件名、进程)和事件(如系统调用)来工作。这个级别是应用程序级别(语义丰富但易于禁用)和机器级别(难以禁用但语义较差)之间的折中。与应用程序级日志记录不同,系统级日志记录不能分离应用程序中的对象(例如,用户级线程),而是将应用程序视为一个整体。(虽然对内核进行攻击也可以扰乱系统级别的判断,但是那种攻击难度要大的多)。

3.1 Objects(对象)

本文作者提出了三种类型的系统级对象与BackTracker的分析相关:进程文件文件名

  1. 进程进程ID版本号唯一标识,BackTracker跟踪一个进程,从它被fork或克隆系统调用(可以理解为创建进程的系统调用)创建一直到进程结束。
  2. 文件包括特定于该文件的任何数据或元数据(如其内容、所有者或修改时间),文件由设备inode号版本号唯一标识。因为文件是用inode号而不是名称标识的,所以BackTracker跨重命名操作跟踪文件(意思应该是就是根据inode号来跟踪文件,所以文件即使重名了也能正确找到文件)
  3. 文件名对象是指将名称映射到文件对象的目录数据。文件名对象由规范名称唯一标识,规范名称是包含所有./和…/(应该是包含存储目录地址的),注意文件和文件名是不一样的,文件不通过文件名唯一标识。文件名更像是一种存储位置目录数据的记录

可以使用不同的粒度跟踪对象,而不是进程、文件和文件名。可以跟踪细粒度对象(如文件块)或粗粒度对象(如目录中的所有文件)。以更细的粒度跟踪对象可以减少错误依赖,但会更困难,并可能导致更高的开销(查的越细,开销越大)。

3.2 Potential Dependency-Causing Events(潜在的因果依赖事件)

依赖关系由三个部分指定:源对象接收对象时间间隔

  1. 例如,进程读取文件会导致该进程(接收对象)依赖于该文件(源对象)。
    使用时间间隔来减少错误的依赖。
  2. 例如,在时间10读取文件的进程并不依赖于在时间10之后对文件的写操作。时间是以递增的事件计数器来度量的。除非另有说明,事件的间隔时间从系统调用时开始,到系统调用返回时结束。
  3. 一些类型的事件(如共享内存访问)在较长的时间间隔内聚合为单个事件,因为很难确定单个事件的时间。(大概是说比如共享内存访问这种有较长事件间隔的多个事件聚合成为单个事件处理)
3.2.1 Process/Process Dependencies(进程和进程之间的依赖)

是指一个进程直接影响另一个进程执行的事件,一个进程可以通过创建它、与它共享内存或发出信号来直接影响另一个进程

  1. 如果一个进程创建了另一个进程,那么就存在一个父进程->子依赖关系,因为父进程初始化了子进程的存在,而且子进程的地址空间是用来自父进程地址空间的数据初始化的
  2. 除了传统的fork系统调用外,Linux还支持克
最低0.47元/天 解锁文章
NUAAYYMM
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PS6_Backtracking.ipynb
11-09
PS6_Backtracking.ipynb
人工智能驱动的智能城市网络安全防御:基于MDATA模型的新型攻击检测框架
qq_45613066的博客
09-19 570
在网络系统GGG中,我们可以预先获得资产和漏洞集合(AGA_GAG​和WGW_GWG​安全产品可以产生警报,我们将这个集合表示为ALARMGalarmGt1alarmGt2ALARMG​alarmG​t1​alarmG​t2​...。目标是检测对系统施加的攻击。我们将问题定义如下。问题 1. 多步攻击S1S(1)S1S2S(2)S2, … 多步攻击SSS在网络系统。
DNS Rebinding Attack
liuyuyang1023的博客
03-18 750
DNS Rebinding Attack Examples of DNS rebinding attacks DNS rebinding attacks have been known for quite a long time. For example, Stanford Web Security Research Team posted a whitepaper about DNS rebin...
最新 CCF A 类人工智能会议论文下载汇总 (含2023)
u014546828的博客
10-28 1万+
2021年部分 CCF A 类会议论文下载地址汇总 AAAI 2021 :https://dblp.uni-trier.de/db/conf/aaai/aaai2021.html ICLR 2021 :https://openreview.net/group?id=ICLR.cc/2021/Conference CVPR 2021 :https://openaccess.thecvf.com/CVPR2021?day=all ACL-IJCNLP 2021 :https://2021.aclweb.
2021年内CCF-A类会议收录的区块链论文的分布情况
软件工程小施同学 的专栏
06-17 2071
Huawei Huang, Jian Zheng, Jan. 5th, 2022投稿是论文发表过程中一个不可忽视的重要环节。只有知彼知己,找准合适的会议和期刊,才能有针对性地进行投稿,使论文成果得以有效、快速地发表。CCF-A类推荐会议与期刊列表是国内计算机学科类各个研究方向声誉最好的论文发表指引。虽然在每一个领域都有若干推荐的A类顶会,但并不是所有CCF-A类会议都适合作为区块链相关研究论文的投稿对象。为了了解各个CCF-A会议对区块链相关研究论文的不同偏好,也同时为了有效避免“表错情、会错意”的投稿失误
CCF的A类期刊和会议有哪些?人工智能顶会ACL,ICML,NeurIPS,ICLR论文投稿时间以及影响因子等
热门推荐
qq_43391414的博客
04-29 6万+
CCF学术评价的官方网址: https://www.ccf.org.cn/Academic_Evaluation/By_category/。 这个网址太难找了,从CCF的官网去找学术评价,愣是找不到。 对于人工智能方向,CCF的A类会议有: EMNLP竟然在B类中。 计算机下其他方向的期刊和会议评级见:CCF评级(一个70多页的pdf)。 其将计算机分为很多个子方向,每个子方向分为期刊和会议,然后又根据期刊或会议质量评级为A,B,C类。 ...
qishi.rar_knight backtracking
09-14
《骑士巡游与递归回溯算法解析》 在计算机科学中,递归算法是一种解决问题的方法,它将问题分解为更小的子问题,并通过调用自身来解决这些子问题。这种策略在处理某些特定类型的问题时,如图的遍历、搜索、排序等,...
beibao.zip_01背包_beibao
09-21
01背包问题是一种经典的计算机科学优化问题,常用于资源分配、任务调度等领域。在这个问题中,我们有一个容量为V的背包,以及n件物品,每件物品都有一个重量w[i]和价值v[i]。目标是在不超过背包总容量的情况下,选择...
python爱心代码高级python-backtracking.rar
05-16
"Python爱心代码高级python-backtracking.rar"这个压缩包很可能包含了一系列使用Python实现的高级回溯法(backtracking)代码示例。回溯法是一种通过试探性的决策来寻找问题解决方案的算法,它在无法找到解决方案时...
基于springboot智能排课系统的论文和ppt.rar
08-14
2. **回溯法(Backtracking)**: 另一种可能采用的策略,通过逐步构建解决方案并撤销不良决策,搜索所有可能的解空间。 3. **贪心算法(Greedy Algorithm)**: 在每一步选择最优解,但不保证全局最优。在某些约束...
为边缘开发由生成式 AI 驱动的视觉 AI 智能体
专注于人工智能领域的小何尚
07-25 789
可视化 AI 智能体由 VLM 提供支持,您可以在其中用自然语言提出广泛的问题,并获得反映录制或直播视频中真实意图和背景的见解。这些智能体可以通过易于使用的 REST API 进行交互,并与其他服务甚至移动应用程序集成。这种新一代可视化 AI 智能体有助于总结场景、创建各种警报并使用自然语言从视频中提取可操作的见解。
【自然语言处理】概论(一):自然语言处理概要
古月居
07-25 238
语言:语言就广义而言,是采用一套具有共同处理规则来进行表达的沟通指令,指令会以视觉、声音或者触觉等方式来传递。可以分为:自然语言、动物语言、计算机语言。。。自然语言人类在发展过程中形成的一种信息交流方式,包括口语和书面语,反映人类的思想。它自然地随文化演化,是人类用来沟通的指令,可以通过视觉、声音或触觉等方式传递。定义:自然语言处理是计算机科学和人工智能的一个分支,它旨在开发能够理解和生成人类语言的技术。通过建立形式化计算模型来分析、理解和生成自然语言的学科。
随机数种子的作用
帆的博客
07-23 1014
设置随机数种子(random seed)的目的是为了确保随机数生成器在每次运行时产生相同的随机数序列,从而保证实验结果的一致性。随机数种子通过初始化随机数生成器的内部状态,使得在相同的种子值下,随机数生成器每次调用时生成的序列是相同的。
2024年7月16日~2024年7月22日周报
m0_53096519的博客
07-22 1076
本周完成论文初稿、5000小实验以及数据训练方式初了解。
常见的文心一言的指令
最新发布
知码客
07-25 207
文心一言,作为百度研发的预训练语言模型“ERNIE 3.0”的一项功能,能够与人对话互动,回答问题,协助创作,高效便捷地帮助人们获取信息、知识和灵感。
GPU算力:驱动现代计算的引擎
UnityBoy的博客
07-22 616
在当今的计算密集型应用中,GPU(图形处理单元)算力已成为推动科学计算、人工智能、数据分析等领域发展的关键因素。GPU最初设计用于处理复杂的图形和图像任务,但随着技术的进步,它们已经演变为通用并行计算的强有力工具。本文将探讨GPU算力的基本概念、重要性、应用场景以及如何充分利用GPU算力。
Adam 和 RMSprop优化算法
Never Give Up
07-24 771
RMSprop 是一个非常有效的、但相对简单的适应性学习率方法。Adam 在 RMSprop 的基础上增加了动量项,通常提供更好的稳定性。在实际应用中,Adam 是更受欢迎的选择,因为它通常能够更快地收敛,尤其是在复杂的深度学习模型中。在选择优化算法时,考虑具体问题的性质是很重要的,有时候可能需要通过实验来决定使用哪种算法。
安装TensorRT各自小库版本问题
Ppandaer的博客
07-24 218
降版本:protobuf3.19,onnx 1.12。
Backtracking algorithm
06-08
回溯算法是一种搜索算法,通常用于解决组合问题,例如在给定约束条件的情况下寻找某些元素的组合。回溯算法的基本思想是逐步构建可能的解决方案,并在构建过程中检查是否违反了约束条件。如果违反了约束条件,则回溯...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值