带你读论文丨S&P2019 HOLMES Real-time APT Detection
💡
原文中文,约17900字,阅读约需43分钟。
📝
内容提要
HOLMES是一种实时检测高级持久性威胁(APT)攻击的系统,使用系统审计数据构建溯源图和高级场景图(HSG),具有高精确率和低误报率。HSG提供了简洁可视摘要,帮助理解攻击的总体情况。
🎯
关键要点
- HOLMES是一种实时检测高级持久性威胁(APT)攻击的系统,具有高精确率和低误报率。
- HOLMES通过系统审计数据构建溯源图和高级场景图(HSG),有效总结攻击者的行为。
- APT攻击的特征包括针对性、持续性和隐蔽性。
- 杀伤链模型帮助理解APT攻击的步骤和攻击者的动机。
- 现有的IDS/IPS系统难以生成高层次的APT活动图,HOLMES解决了这一问题。
- HOLMES通过主机审计数据生成检测信号,映射APT攻击的阶段。
- HOLMES使用信息流关联低级事件,构建APT攻击者的杀伤链。
- 高级场景图(HSG)为高可信度检测APT活动提供基础,能够清晰地区分攻击场景和良性场景。
- HOLMES在真实APT攻击场景中表现出色,能够实时检测和总结攻击活动。
- HOLMES的设计允许将复杂的数据映射为简洁的APT攻击阶段,帮助防御者发现威胁。
➡️
