【五期邵润东】CCF-A(S&P'22)SHADEWATCHER: Recommendation-guided Cyber Threat Analysis using System Audit Records

Zeng, Jun, et al. "SHADEWATCHER: Recommendation-guided Cyber Threat Analysis using System Audit Records." 2022 IEEE Symposium on Security and Privacy (SP). IEEE Computer Society, 2022.——CCF-A

  本文首先讨论了传统网络威胁分析方法的挑战和局限性：：1)大量假告警，2)依赖于专家知识，3)检测信号不精确，包括需要手动分析大量数据以及了解最新威胁的难度。为了应对这些挑战，该论文受网络安全中的威胁检测与信息检索中的推荐之间的结构相似性启发，将系统-实体交互映射为用户-项目交互的推荐概念来识别网络威胁，提出SHADEWATCHER系统，该系统通过图神经网络来分析系统审计记录并识别可能表明存在网络威胁的模式。然后，它使用此信息生成进一步分析的建议。本文描述了 SHADEWATCHER的设计和实现，包括其算法及其与现有安全系统的集成。 本文还介绍了SHADEWATCHER的评估实验结果，该结果证明了其在识别潜在网络威胁和为进一步分析提供有用建议方面的有效性。
  本文的优点在于方案中将交互实体之间的交互记录构建成知识图谱，来对记录进行学习，并提取关键信息，对其进行分析。然后使用推荐模型的概念，对一阶信息进行建模，通过TransE将系统实体转化为向量表示。然后通过GNN学习来自多跳相邻实体的信息来更新系统实体表示（高阶信息建模）。接着将实体划分为正常实体和对抗实体，通过计算两实体的向量表示的内积预测二者间交互的可能性，若概率大于阈值则定义为网络威胁。分析人员可以将识别的假告警作为新负样本重新训练模型。
  本文的缺点是它依赖于它分析的系统审计记录的质量和完整性。如果这些记录不完整或包含错误，则可能会影响SHADEWATCHER结果的准确性和实用性。

2022年12月16日