提出了通用出处的概念,它编码了所有与取证有关的因果关系,而不考虑其来源层。 提出了OmegaLog,这是一个出处追踪器,它在系统和应用日志背景之间架起了语义的桥梁。
OmegaLog背后的关键见解是,开发人员已经完成了以事件记录语句的形式编码高级应用语义的艰苦工作;这些语句不仅包含我们所需要的相关取证信息,而且还标记了程序中执行单元的边界。
OmegaLog分析程序二进制文件,以识别和模拟应用层的日志行为,使应用事件与系统层访问的准确协调。 然后,OmegaLog拦截应用程序的运行时日志活动,并将这些事件移植到系统层出处图上,使调查人员能够更精确地推断攻击的性质。
Background
讲了一个追踪注入攻击的故事。
- application event log的缺点:它们不能将事件在不同的应用程序之间进行因果联系,因此不能追踪工作流程的依赖性
- system log的缺点:
- dependency explosion
- semantic gap
application logging behavior
做了一个开源软件的logging behavior调研。
design
略了,有时间补