讲座主题:
Bridging the Gap in System Provenance Analysis
主讲人姓名及介绍:
梁振凯是新加坡国立大学计算机科学系副教授,新加坡国家安全研发实验室的联合首席研究员,研究兴趣是系统和软件安全,如二进制程序分析、Web、移动和物联网(IoT)平台中的安全。他在顶级安全和软件工程会议上发表了具有影响力的论文,并在安全和软件工程学会议上获得了多个最佳论文奖,包括年度计算机安全应用会议(ACSAC)、USENIX安全研讨会和ACM SIGSOFT软件工程基础研讨会(FSE)。
报告摘要:
端点监控解决方案广泛部署在当今的企业环境中,以支持高级攻击检测和调查。这些监控器将系统级活动持续记录为审核日志,并提供对安全事件的深入了解。不幸的是,为了识别感兴趣的行为并检测潜在的威胁,网络分析师面临着低级审计事件和高级系统行为之间的语义差距。为了弥补这一差距,现有的工作将审计日志流与描述行为的规则知识库相匹配。然而,指定这样的规则在很大程度上依赖于专业知识。在这次讲座中,我们介绍我们最近通过推断和聚合审计事件的语义来抽象行为和分析网络威胁的工作。它通过审计日志中事件的使用上下文揭示事件的语义,并识别语义相似的行为。此外,通过将系统实体交互的安全概念映射到用户-项目交互的推荐概念,我们通过预测系统实体对其交互实体的偏好来识别网络威胁。我们开发了一个名为ShadeWatcher的解决方案,该解决方案使用系统审计事件之间的高阶连接作为推荐可能威胁的基础。