Die Angriffserkennung und -untersuchung ist in der Praxis ein iterativer Prozess, in dem Sicherheitsexperten auch heute noch eine wichtige Rolle spielen. Sicherheitssysteme zur Angriffserkennung und -untersuchung müssen mit diesem „Human-in-the-Loop"-Aspekt im Hinterkopf entwickelt werden. Ein praktisches, zuverlässiges Angriffserkennungssystem ist nicht nur ein Klassifikationssystem. Vielmehr unterstützt es den Untersuchungsprozess bei der Aufdeckung der Ursachen und Folgen von Angriffen, indem es kontextualisierte und besser interpretierbare Erkennungsergebnisse bereitstellt. Sicherheitsexperten empfinden es oft als schwierig und zeitaufwendig, die Erkennungsergebnisse derzeit eingesetzter Sicherheitssysteme zu untersuchen, einzuordnen und zu verstehen. Ein schneller und präziser Prozess der Angriffserkennung und -untersuchung ist entscheidend für eine rechtzeitige und angemessene Wiederherstellung und Schadensbegrenzung.

Um eine zügige und gründliche Angriffserkennung und -untersuchung zu unterstützen, wurden in den letzten Jahren provenienzbasierte Sicherheitssysteme vorgeschlagen. Diese Systeme haben sich als von Natur aus geeignet für diese kritische Aufgabe erwiesen: Sie liefern Sicherheitsexperten aufschlussreiche, kontextualisierte und umsetzbare Erkennungsergebnisse für weitere Untersuchungen in hohem Maße automatisiert. Provenance-basierte Systeme erzeugen Angriffsgraphen, indem sie Systemprotokolle verarbeiten, die auf feingranularer Ebene aufzeichnen, was in einem Computersystem geschehen ist. Solche Graphen machen kausal zusammenhängende Systemaktivitäten sichtbar und verknüpfen sie. Ausgehend von einem verdächtigen Ereignis können Rückverfolgung und Vorwärtsverfolgung in einem Graphen schnell weitere damit zusammenhängende bösartige Systemaktivitäten aufdecken, d. h. die Ursache und die Folgen des Angriffs. Provenance-basierte Sicherheitssysteme haben hervorragende Leistungen darin gezeigt, Fehlalarme zu reduzieren und Sicherheitsexperten präzise und selbsterklärende Angriffsgraphen bereitzustellen, insbesondere bei komplexen Angriffen von „Advanced Persistent Threat (APT)“-Akteuren.

Trotz des Erfolgs ergibt unsere Untersuchung bestehender provenienzbasierter Systeme, dass diese unter mehreren gravierenden Einschränkungen leiden und im Angesicht ausweichender APT-Akteure aus der realen Welt unwirksam werden können.Dieses Projekt adressiert die Schwächen früherer provenienzbasierter Systeme, z. B. die grundlegende Anfälligkeit für ausweichende Angriffe mit Persistenztechniken, die Unfähigkeit, systemübergreifend nachzuverfolgen und das Ausmaß der Bewegung von Angreifern innerhalb eines Netzwerks offenzulegen, sowie die Unfähigkeit, Protokolle von Geräten eingebetteter Systeme zu verarbeiten.