- 博客(55)
- 收藏
- 关注
原创 【论文阅读】WATSON:通过聚合上下文语义从审计日志中抽象出行为(NDSS-2021)
WATSON: Abstracting Behaviors from Audit Logs via Aggregation of Contextual Semantics
2023-09-06 14:29:44
1038
7
原创 【论文阅读】POIROT:关联攻击行为与内核审计记录以寻找网络威胁(CCS-2019)
POIROT: Aligning Attack Behavior with Kernel Audit Records for Cyber Threat Hunting
2023-08-22 14:37:54
1028
2
原创 【论文阅读】HOLMES:通过关联可疑信息流进行实时 APT 检测(S&P-2019)
HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows
2023-08-21 20:14:12
1343
原创 【论文阅读】CONAN:一种实用的、高精度、高效的APT实时检测系统(TDSC-2020)
现有的实时APT检测机制由于检测模型不准确和来源图尺寸不断增大而存在准确性和效率问题。为了解决准确性问题,我们提出了一种新颖而准确的APT检测模型,该模型消除了不必要的阶段,将重点放在剩余的阶段,并改进了定义。为了解决效率问题,我们提出了一个基于状态的框架,在这个框架中,事件作为流被消耗(consume),每个实体都以类似于FSA(有限状态自动机)的结构表示,而不存储历史数据。通过在数据库中仅存储千分之一的事件来重建攻击场景。
2023-08-21 11:00:03
1015
原创 【论文阅读】SHADEWATCHER:使用系统审计记录的推荐引导网络威胁分析(S&P-2022)
误报、依赖专家知识、粗粒度检测信号在本文中,我们认识到网络安全中的威胁检测与信息检索中的推荐之间的结构相似性。通过将系统实体交互的安全概念映射到用户-项目交互的推荐概念,我们通过预测系统实体对其交互实体的偏好来识别网络威胁。受推荐系统中的 “通过项目辅助信息建模高阶连接” 的启发,定制了一个自动检测系统 SHADEWATCHER。它通过图神经网络发挥审计记录中高阶信息的潜力,提高检测效率配备动态更新,以更好地泛化错误警报现实生活和模拟网络攻击场景评估几秒钟内查明来自近百万系统实体交互的威胁。
2023-08-17 17:26:46
1319
原创 Ubuntu22.04复现SHADEWACHER(手动安你就慢了)
因为我是打算跑TC数据集,所以跳过audit安装。我的Ubuntu使用的是。
2023-08-15 10:17:54
391
2
原创 【论文阅读】NoDoze:使用自动来源分类对抗威胁警报疲劳(NDSS-2019)
威胁警报疲劳”或信息过载问题:网络分析师会在大量错误警报的噪音中错过真正的攻击警报。NODOZE 首先生成警报事件的因果关系图。然后,它根据相关事件在企业中之前发生的频率,为依赖图中的每条边分配一个异常分数。然后使用一种新颖的网络扩散算法沿着图的相邻边缘传播这些分数,并生成用于分类的聚合异常分数。
2023-08-11 16:25:25
1064
原创 【论文阅读】DEPCOMM:用于攻击调查的系统审核日志的图摘要(S&P-2022)
提出了 DEPCOMM,这是一种图摘要方法,通过将大图划分为以进程为中心的社区并为每个社区提供摘要,从依赖图生成摘要图。每个社区都由一组相互协作以完成某些系统活动(例如文件压缩)的亲密进程以及这些进程访问的资源(例如文件)组成。在社区内,DEPCOMM 进一步识别由不太重要和重复的系统活动引起的冗余边,并对这些边进行压缩。DEPCOMM 为依赖图平均生成 18.4 个社区,比原始图小约 70 倍。
2023-08-11 15:08:25
1322
原创 DARPA-TC-engagement5-theia部分数据格式分析
EventSubjectObject和Principal,分别代表系统事件、主体、客体和用户。各种大类中子类的数量,取决于CDM的版本。ShadeWatcher使用的是e3的数据,采用的是CDM18,而e5默认使用的是CDM20。相较于cdm18,发生了一些变化,主要是改变了一些字段,增加了一些类型。这些类型大多是系统调用,用于细化事件类型。本文以ShadeWatcher和转换出来的小样本数据为参考依据对数据格式进行分析,可能存在遗漏。json数据样例(只包含EVENT)可在我。
2023-08-09 16:24:16
1655
9
原创 【论文阅读】EULER:通过可扩展时间链接预测检测网络横向移动(NDSS-2022)
提出了 EULER 的框架。它由堆叠在模型不可知序列编码层(例如递归神经网络)上的不可知图神经网络模型组成。根据 EULER 框架构建的模型可以轻松地将其图形卷积层分布在多台机器上,以实现大幅性能提升。EULER 模型可以高效地高精度识别实体之间的异常连接,并且优于其他无监督技术。
2023-08-07 19:38:24
1040
原创 【论文阅读】UNICORN:基于运行时来源的高级持续威胁检测器(NDSS-2020)
高级持续性威胁 (APT) 由于其 “低速” 攻击模式和频繁使用零日漏洞利用而难以检测。介绍了UNICORN,一种基于异常的 APT 检测器,可有效利用数据来源进行分析。通过广泛而高效的图分析,探索提供丰富上下文和历史信息的溯源图(provenance graphs),以识别没有预定义攻击签名的隐秘异常活动。使用图摘要(graph sketch)技术,它总结了长时间运行的系统执行和空间效率,以对抗发生在很长一段时间内的慢动作攻击。
2023-08-07 15:15:57
2558
4
原创 【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023)
Sometimes, You Aren’t What You Do: Mimicry Attacks against Provenance Graph Host Intrusion Detection Systems
2023-08-07 14:59:32
2789
原创 DARPA TC-e3/e5数据集bin转json
文件内容theia存放原始数据的文件夹数据库,已经不需要了,但是logstash以来这个数据库,所以还是保留了logs存放json文件的地方logstash日志收集器,负责收集解压出来的log4j日志,然后输出到本地文件镜像的配置文件一个模式文件,用于规范化数据格式,负责从log到json的转换官方的java包,用于解压、读取并参考上述数据规范生成标准格式的数据通过socket发送。
2023-08-07 14:53:56
2159
11
原创 【论文阅读】DEPIMPACT:反向传播系统依赖对攻击调查的影响(USENIX-2022)
观察到:(1)与POI事件高度相关的依赖关系通常表现出与不太相关的依赖关系不同的属性集(例如,数据流和时间);(2)POI事件通常与几个攻击条目(例如,下载文件)有关。 基于此,我们提出了DEPIMPACT,一个识别依赖图(即子图)关键组件的框架,通过(1)为边分配判别依赖权重,以区分代表攻击序列的关键边和不太重要的依赖关系,(2)将依赖影响从POI事件向后传播到入口点,(3)对排名靠前的入口节点进行前向因果分析,过滤掉前向因果分析中没有发现的边。
2023-07-24 16:42:56
1830
原创 【论文阅读】RapSheet:端点检测和响应系统的战术来源分析(S&P-2020)
Tactical Provenance Analysis for Endpoint Detection and Response Systems端点检测和响应系统的战术来源分析(S&P-2020)
2023-05-14 20:45:07
675
原创 【论文阅读】You Are What You Do:通过数据来源分析寻找隐蔽的恶意软件
You Are What You Do:通过数据来源分析寻找隐蔽的恶意软件
2023-04-23 16:08:49
839
1
原创 LeetCode每日一题系列停更
从上个月20号开始到今天,每日一题系列已经写了一个月了,下半学期课开始多了,科研任务也上来了,就不多花时间在码字上了。以后经典题目和难度较大的题目依然会更,用于以后找工作复习用,简单题目就不再赘述了,博客内容会偏向论文阅读、项目和其余自学内容。
2023-03-21 19:05:58
55
原创 【LeetCode 每日一题】2488. 统计中位数为 K 的子数组(hard)
前缀和+哈希表。分别统计每个位置大于k和小于k的数字个数的差值,并据此找符合条件的子数组。
2023-03-16 13:44:37
131
原创 【Leetcode 每日一题】1605. 给定行和列的和求可行矩阵(medium)
我们遍历每一行的和,以当前列的和为限制,把这个和视为容量,每次都尽可能地把数值分下去。比如rowSum = [3,8], colSum = [4,7]。第一行的和是3,第一列的和是4,所以我们把3全部分配在第一行第一列。对应的,第一列的剩余容量要变化为1。第一行的数值全都分配掉了,所以剩下的全为0;接下来分配第二行,第二行数值为8,然而第一列剩余容量为1,所以第二行第一列只能分配1,剩余数值分配到其余列,以此类推。至于为什么这样做是对的,因为题目保证了一定有解,而行列和就是根据某一结果计算得到的。
2023-03-14 20:39:46
56
原创 【LeetCode 每日一题】1617. 统计子树中城市之间最大距离(hard)
图论。树的深度、树的直径、状态压缩、DFS、BFS、树形动态规划。
2023-03-12 17:11:11
126
原创 【LeetCode 每日一题】面试题 17.05. 字母与数字(medium)
前缀和+哈希表。统计前缀子数组中数字数量与字符数量之间的差值,相同差值的两个位置之间的子数组就是满足条件的。
2023-03-11 21:40:26
119
原创 【论文阅读】xNIDS:可解释的基于深度学习的网络入侵检测系统的主动入侵响应(USENIX-2023)
xNIDS:可解释的基于深度学习的网络入侵检测系统的主动入侵响应(USENIX-2023)
2023-03-05 18:36:02
2796
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人