Threat Detection and Investigation with System-level Provenance Graphs: A Survey

一篇介绍基于系统级溯源图进行入侵检测的综述性论文，总结的尽量brife

一、什么是系统级溯源图？

系统级溯源图，将系统中的因果性事件，转化为使用主体（进程、线程、服务、用户等）与客体（文件、注册表、网络端口等）表示的有向关系图。

二、无规矩不成方圆

定义1：主体指向客体，分别用u和v表示

定义2：事件包含四要素：{u;v;t;o}　　t表示时间戳，o表示事件包含的特定内容

定义3：溯源图G = {S;O;E}　　S是主体集合，O是客体集合，E是事件集合　　图中节点是主体/客体，边是事件

定义4：对于两个事件 e1 = (u1; v1; t1) 和 e2 = (u2; v2; t2) ，若v1 = u2 且 t1 < t2，则e1和e2具有因果关系

定义5：后向追踪，从检测点开始，找出所有因果关系上可能影响检测点的其他节点

定义6：前向追踪，从检测点开始，找出所有因果关系上可能依赖于检测点的其他节点

三、数据管理模块相关

1.数据存储机制

（1）图数据库，内存消耗较大，因此设计了streaming graph

（2）关系型数据库，以<K,V>对组织，存储在磁盘，缓存在内存

2.数据缩减算法

（1）图中关系缩减

　　a) Causality-Preserving Reduction (CPR)　　仅保留影响最终因果关系的边，忽略对最终因果无影响的边

　　b)Full Dependence-Preserving Reduction (FDR)　　仅保留因果关系，忽略频率信息

　　c)Source Dependence-Preserving Reduction (SDR)　　在环中仅保留起点和终点的必需边，忽略“过路边”

（2）图中节点缩减

　　FP-growth　　效率不如关系缩减

3.查询接口

介绍了一些便于进行前向追踪和后向追踪的特制化查询接口

四、入侵检测模块

1.入侵模型

　　a) Multi-Stage APT Attack (APT) Model

　　b) Information Leakage (Leakage) Model

　　c) General Attack (General) Model

2.入侵检测模型

　　a) Graph Matching-based Detection　　溯源图匹配检测，用到图对齐、图嵌入等方法简化NP问题

　　b) Anomaly Score-based Detection　　异常得分检测，关系型数据库，待调参数更少

　　c) Tag Propagation-based Detection　　标签传播检测，计算量小，与流式图输入适配

五、两个研究方向

1.半自动化、自动化调参

2.特征提取的自动化和准确性