TDLens:Toward an Empirical Evaluation of Provenance Graph-Based Approach to Cyber Threat Detection

To combat increasingly sophisticated cyber attacks,the security community has proposed and deployed a large body of threat detection approaches to discover malicious behaviors on host systems and attack payloads in network traffic.Several studies have begun to focus on threat detection methods based on provenance data of host-level event tracing.On the other side,with the significant development of big data and artificial intelligence technologies,large-scale graph computing has been widely used.To this end,kinds of research try to bridge the gap between threat detection based on host log provenance data and graph algorithm,and propose the threat detection algorithm based on system provenance graph.These approaches usually generate the system provenance graph via tagging and tracking of system events,and then leverage the characteristics of the graph to conduct threat detection and attack investigation.For the purpose of deeply understanding the correctness,effectiveness,and efficiency of different graph-based threat detection algorithms,we pay attention to mainstream threat detection methods based on provenance graphs.We select and implement 5 state-of-the-art threat detection approaches among a large number of studies as evaluation objects for further analysis.To this end,we collect about 40GB of host-level raw log data in a real-world IT environment,and simulate 6 types of cyber attack scenarios in an isolated environment for malicious provenance data to build our evaluation datasets.The crosswise comparison and longitudinal assessment interpret in detail these detection approaches can detect which attack scenarios well and why.Our empirical evaluation provides a solid foundation for the improvement direction of the threat detection approach.

Granger因果关系时空图推理的群体行为分析

因果关系普遍存在于群体交互行为中,体现出主动体行为对被动体行为的有向影响.因果关系检测的难点在于交互双方的行为具有复杂的时间动态性.现有方法使用循环神经网络,来描述交互关系的时间变化特性,并使用时间注意力机制,来描述时间依赖关系.上述方法忽视了对多人依赖关系的分析,难以区分交互双方中的主动行为者和被动行为者.本文设计了一种基于Granger因果关系的时空图推理模型,来学习交互双方的主动和被动关系.为了实现Granger因果关系检测,该模型对单个个体时序特征进行自回归建模,来描述行为对个体自己的依赖.该模型对两个个体时序特征进行相关回归建模,来描述行为对两个个体的依赖.该模型通过比较自回归误差和相关回归误差,当自回归误差明显大于相关回归误差,则说明相关个体改变了另一方个体的行为特征,从而检测出相关个体为主动个体,另一方为被动个体.相关回归模型考虑了多种时间延迟量的两个个体的时序特征序列,用于学习两个个体之间行为的时间延迟量.该时间延迟量用于将主动个体时间特征与被动个体时间特征进行对齐.时间对齐后的主动个体特征提供了被动个体的时间和空间上下文特征,并与被动个体特征进行通道级的融合.为了充分描述个体之间的外观模式,位置约束,因果关系的交互关系,该模型构建多尺度外观的因果图,并使用图推理学习融合上下文的个体特征和群体特征.本文对Granger因果关系检测进行消融分析,并说明时间延迟量,交互融合通道比例,多尺度图推理,能够有效改善个体特征、群体特征的描述能力.本文方法在Volleyball和Collective Activity数据集上优于现有群体行为识别方法.本文的可视化结果说明Granger因果关系可以捕获群体中关键的交互关系.

基于多层流模型的二回路系统故障诊断研究

通过分析核动力装置的二回路系统,并结合多层流模型(MFM)原理,建立了二回路系统的MFM。利用Visual C++,结合MFM推理规则及因果图(CDG)次序分析法建立了一套测试性的故障诊断系统,并在模拟器上进行仿真试验。结果表明,该诊断系统在故障发生时能准确判定潜在源故障,具有可视化程度高及可理解性强的优点。

2D Mesh片上网络分区容错路由算法

为了减小路由表的规模且避免使用较多虚通道(VC),从而降低硬件资源用量,针对虫孔交换的2D Mesh片上网络提出了一种分区容错路由(RFTR)算法。该算法根据故障节点和链路的位置将2D Mesh网络划分为若干个相连的矩形区域,数据包在矩形区域内可使用确定性或自适应路由算法进行路由,而在区域间则按照up*/down*算法确定路由路径。此外,利用通道依赖图(CDG)模型,证明了该算法仅需两个虚通道就能避免死锁。在6×6 Mesh网络中,RFTR算法能减少25%的路由表资源用量。仿真结果表明,在队列缓存资源相同的情况下,RFTR算法能实现与up*/down*算法和segment算法相当甚至更优的性能。

基于因果依赖图的HAZOP推理方法研究

HAZOP分析方法自提出至今在石油化工领域一直被广泛应用,为代替传统HAZOP人工头脑风暴分析的过程,提出基于因果依赖图(CDG)的HAZOP推理方法,即CDG-HAZOP。首先建立系统的多级流模型,将系统生产过程抽象为流过程,用简单的功能图形符号来表示复杂的装置,然后利用多级流模型中的告警分析算法代替人工头脑风暴分析,推理偏差的可能原因和结果。CDG-HAZOP推理机制将传统HAZOP分析的重点由人工分析大量资料转移到多级流模型(MFM)的建立和校验上,能节约人工成本。将CDG-HAZOP推理方法用于催化裂化装置的反应-再生系统,对该系统可能发生的偏差进行原因和后果推理。

基于图注意力网络的因果关系抽取

因果关系作为一种重要的关系类型在关系推理等许多领域中起着至关重要的作用,因此对因果关系进行抽取是文本挖掘中的一项基本任务.与传统文本分类方法或关系抽取不同,采用序列标注的方法可以抽取文本中的因果实体并确定因果关系方向,不需要依赖特征工程或因果背景知识.主要贡献有:1)拓展句法依存树到句法依存图,将图注意力网络应用到自然语言处理中,引入了基于句法依存图的图注意力网络的概念;2)提出Bi-LSTM+CRF+S-GAT因果关系抽取模型,根据输入的词向量生成句子中每个词的因果标签;3)对SemEval数据集进行修正与拓展,针对其存在的缺陷制定规则重新标注实验数据.在拓展后的SemEval数据集上进行了大量的实验,结果表明:该模型在预测准确率上比现有最优模型Bi-LSTM+CRF+self-ATT提高了0.064.