Tactical Provenance Analysis for Endpoint Detection and Response Systems
一、背景
1.刊物/会议级别
本文收录于2020年IEEE S&P,网络安全领域四大顶会之一。DOI Bookmark为10.1109/SP40000.2020.00096
2.作者团队
本文作者中的两位是伊利诺伊大学香槟分校的Wajih Ul Hassan和Adam Bates,另一位为来自诺顿LifeLock研究组(NRG)的Daniel Marino,诺顿LifeLock为一家上市公司,帮助保护消费者的设备、身份、在线隐私以及家居和家庭需求,该研究组成立于2002年6月,旨在通过新的安全和隐私模式来保护世界上的计算设备和信息。NRG在许多前沿技术(例如目标攻击保护、基于声誉的安全、行业领先的rootkit保护、基于云的安全服务)的开发中发挥了领导作用,这些技术现在已经在诺顿LifeLock的许多产品领域商业化。
3.论文背景
本文指出已有的EDR(端点检测和响应)工具存在的三个主要弊端:
1)EDR工具会产生大量的虚假警报,从而为分析人员积压了调查任务;
2)确定这些威胁警报的准确性需要大量的低级系统日志,人工任务繁琐;
3)由于日志占用巨大资源,系统日志通常在进行调查之前就被删除。
其主要贡献为:
1)提出了战术源图(Tactical Provenance Graphs, TPGs)
的概念,研发了RapSheet系统,直接推理EDR系统生成的威胁警报之间因果关系;
2)引入了基于TPG中各个威胁警报之间的时间顺序的威胁评分方法来解决EDR的虚假警报问题;
3)提出了一种新的日志减少方案,维护了一个最低限度的骨架图,该图可以提供现有和未来威胁预警之间的可链接性,将长期保留日志带来的负担减少87%;
4)集成了原型系统RapSheet。
此贡献恰好可以避免现有EDR存在的三个主要弊端。
二、设计思想
本文提出了RapSheet系统的设计思想,主要分为以三下个部分:
1.建立战术源图
1.收集日志:
收集企业中每个主机上的系统日志,这些系统日志捕获了不同系统实体之间的因果关系。 例如,在Linux中,创建子进程的父进程之间的因果关系由捕获对sys_clone()的调用生成的事件表示。 一旦在每个主机上收集了这些系统日志,它们就会被处理成JSON格式。
2.规则匹配
收集日志过后便可以进行规则匹配来发出警报。在本文的实验中使用了Symantec EDR工具提供的一组默认的MITER规则,并通过未涵盖的MITRE技术的附加规则对这些规则进行了补充。 用户可以通过添加其他TTP的新规则扩展系统。
3.建立起源图结构
这一部分是系统新颖之处:每个主机上的系统日志都解析为一个起源图的图结构,起源图数据模型包含两种顶点类型:进程顶点类型和对象顶点类型,其中包括文件,注册表等。连接这些顶点的边标记有事件类型,描述了连接的实体和事件之间发生的关系。
同时,实现了一种汇总技术:合并具有相同操作的两个顶点之间的边,并仅保留具有最新时间戳的一个边。 这可以大大减少出处图的大小,同时仍保留因果分析的正确性。
4.战术级起源分析
这里提出了三个概念和一个算法,并对TPG做了精确定义:
给定一系列触发的警报和主机出处图,在图中找到所有初始感染点(IIP)顶点。 如果IIP顶点对应的过程是多阶段攻击的第一步,那么其余的攻击将被此过程及其后代生成的未来警报捕获,我们可以对相关警报进行分组。
IIP满足以下两个条件:
(i)它对应于生成一个警报事件的过程,
(ii)从起源图中的向后跟踪不包含其他警报事件。
对于每个IIP顶点,生成一个植根于IIP的图形——