Los puntos clave no están disponibles para este artículo en este momento.
El seguimiento de procedencia es un enfoque muy importante para la detección e investigación de ataques de Amenaza Persistente Avanzada (APT). Las técnicas existentes o sufren del problema de explosión de dependencia o tienen un sobrecosto espacial y de tiempo de ejecución no trivial, lo que dificulta su aplicación en la práctica. Proponemos ProTracer, un sistema de seguimiento de procedencia ligero que alterna entre el registro de eventos del sistema y la propagación de contaminación a nivel de unidad. La técnica se basa en una infraestructura de procesamiento de eventos del sistema en tiempo real que cuenta con un módulo del núcleo muy ligero y un daemon de espacio de usuario sofisticado que realiza el procesamiento de eventos de manera concurrente y fuera de orden. La evaluación con diferentes cargas de trabajo del sistema realistas y varios casos de ataque muestra que ProTracer solo produce 13MB de datos de registro por día, y 0.84GB (Servidor)/2.32GB (Cliente) en 3 meses sin perder información importante. El consumo de espacio es solo < 1.28% del estado del arte, 7 veces más pequeño que una técnica de recolección de basura fuera de línea. El sobrecosto de tiempo de ejecución promedia <7% para servidores y <5% para aplicaciones regulares. Los grafos causales de ataque generados son unas pocas veces más pequeños que los de técnicas existentes mientras que son igualmente informativos.
Ma et al. (Vie,) estudiaron esta cuestión.
Synapse has enriched 5 closely related papers on similar clinical questions. Consider them for comparative context: