Khái niệm cốt lõi
Durch die Nutzung der inhärenten Kausalität in Provenienzgraphen und die Verwendung eines Tag-Propagations-Frameworks können wir TagS, ein effizientes und zeitnahes System zur Erkennung und Untersuchung von Angriffen in Echtzeit, entwickeln.
Tóm tắt
Die Studie präsentiert TagS, ein System zur Echtzeitangriffserkennung und -untersuchung, das auf einer Tag-Propagations-basierten Provenienzgraph-Ausrichtung aufbaut.
Kernpunkte:
- Nutzung der inhärenten Kausalität in Provenienzgraphen, um Zwischenergebnisse in Tags zu cachen und so den Rechenaufwand und den Speicherbedarf erheblich zu reduzieren.
- Entwurf eines Tag-Propagations-Frameworks mit Initialisierung, Propagation und Entfernung von Tags, um eine effiziente Verarbeitung von Ereignisströmen zu ermöglichen.
- Modellierung des Erkennungsproblems als Graphausrichtungsproblem, das es ermöglicht, Angriffsverhalten durch flexible und erweiterbare Abfragegrafen darzustellen.
- Evaluierung auf zwei großen öffentlichen Datensätzen mit 12 Abfragegrafen, die verschiedene Angriffsszenarien abdecken. Die Ergebnisse zeigen, dass TagS in der Lage ist, 176.000 Ereignisse pro Sekunde zu verarbeiten, alle 29 Ausrichtungen korrekt zu identifizieren und dabei nur 3 Fehlalarme zu erzeugen.
Thống kê
TagS kann 176.000 Ereignisse pro Sekunde verarbeiten.
TagS identifiziert alle 29 Ausrichtungen korrekt und erzeugt nur 3 Fehlalarme.
TagS benötigt weniger als 300 MB Arbeitsspeicher.
Trích dẫn
"Durch die Nutzung der inhärenten Kausalität in Provenienzgraphen und die Verwendung eines Tag-Propagations-Frameworks können wir TagS, ein effizientes und zeitnahes System zur Erkennung und Untersuchung von Angriffen in Echtzeit, entwickeln."
"Benefiting from the tag propagation framework, we are able to propose TagS, the first real-time attack detection and investigation system with streaming provenance graph alignment."