• 一种基于上下文感知的起源追踪方法及系统

    • 摘要:

      本发明涉及一种基于上下文感知的起源追踪方法及系统.针对APT攻击多阶段持续时间长、渗透能力强、隐蔽性好的问题,该方案利用虚拟化技术透明的收集目标机器中的系统事件和网络事件,通过上下文感知连接这些事件,向攻击调查展现全局视角,从而实现有效的攻击起源追踪.该方案包括三个模块,事件收集模块透明的收集目标内存中的系统操作状态和网络操作状态,日志处理模块根据系统操作状态和网络操作状态,基于事件对象生成日志条目,起源追踪模块读取日志文件,基于共享特征关联日志条目生成全局视角提供给攻击调查,支持对可疑实体如进程、文件或套接字的查询.

    • 专利类型:

      发明专利

    • 申请/专利号:

      CN201710744222.8

    • 申请日期:

      2017.08.25

    • 公开/公告号:

      CN107515778A

    • 公开/公告日:

      2017-12-26

    • 发明人:

      王丽娜 谈诚 赵磊 刘维杰 徐来

    • 申请人:

      武汉大学

    • 主分类号:

      G06F9/455(2006.01)I,G,G06,G06F,G06F9

    • 分类号:

      G06F9/455(2006.01)I,G06F21/55(2013.01)I,G06F21/56(2013.01)I,H04L29/06(2006.01)I,G,H,G06,H04,G06F,H04L,G06F9,G06F21,H04L29,G06F9/455,G06F21/55,G06F21/56,H04L29/06

    • 主权项:

      一种基于上下文感知的起源追踪方法,其特征在于,包括:步骤1,进行时间收集,具体是利用VMI技术透明的收集目标内存中的字段;内核函数"unlink"被进程调用来移除到文件索引节点的链接,它是内存变化的标志,因此我们在"unlink"代码中插桩,当它被调动时发送一个中断到VMM,用于触发事件收集模块来收集感兴趣的字段;根据运行时操作规则将收集的字段组成系统事件状态和网络事件状态,并进行日志处理;步骤2,进行日志处理,具体是根据事件收集模块的输入,建立日志条目记录每个进程的生命信息和操作信息;生命信息包括进程的创建和关闭时间,以及父进程名称;操作信息包括进程操作的起始和结束时间,以及操作对象名称;这些日志条目将可以表示进程操作的时间关系;步骤3,进行起源追踪,具体是读取日志,建模日志条目之间的关系,向分析者提供全局视角.