發(fā)布時間：2024-02-22 11:11

　　近十年來,高級持續(xù)性威脅(APT, advanced persistent threat)越來越引起人們的關(guān)注。為了防御和檢測APT攻擊,學(xué)者提出了基于系統(tǒng)審計日志的入侵取證方案。系統(tǒng)審計日志可以詳細(xì)記錄主機(jī)上的系統(tǒng)調(diào)用過程,因此非常適用于入侵取證工作。然而,系統(tǒng)審計日志也有著致命的弊端:日志龐大冗余。再加上APT攻擊往往長期潛伏、無孔不入,企業(yè)不得不為每臺聯(lián)網(wǎng)主機(jī)長期保存日志,因此導(dǎo)致巨大的存儲計算成本。為了解決這一問題,本文提出一種模仿二進(jìn)制動態(tài)污點分析的日志壓縮方案T-Tracker。T-Tracker首先檢測日志內(nèi)部與外部數(shù)據(jù)發(fā)生交互的系統(tǒng)調(diào)用,生成初始污點集合,然后追蹤污點在主機(jī)內(nèi)的擴(kuò)散過程,這個過程中只有污點擴(kuò)散路徑上的系統(tǒng)調(diào)用能被保留下來,其余均不保留,從而達(dá)到日志壓縮的目的。本研究的測試表明,該方案可以達(dá)到80%的壓縮效果,即企業(yè)將能夠存儲相當(dāng)于原來數(shù)量五倍的日志數(shù)據(jù)。同時,T-Tracker完整保留了受到外部數(shù)據(jù)影響的日志記錄,因此對于入侵取證而言,可以等價地替換原始日志,而不會丟失攻擊痕跡。

【文章頁數(shù)】：13 頁

【部分圖文】：

圖1系統(tǒng)審計日志大小增長圖

如何有效的減少日志大小,同時完整保留攻擊痕跡,成為基于系統(tǒng)審計日志進(jìn)行入侵取證亟需解決的問題�？紤]到APT攻擊者都是從外部渠道潛入,滲透到企業(yè)內(nèi)網(wǎng)之后進(jìn)行橫向搜索和擴(kuò)散,直到攻陷高價值目標(biāo)。在這個過程中,更準(zhǔn)確地說,是在攻擊者能夠完全控制系統(tǒng),并可以關(guān)閉或者破壞審計功能之前,攻擊....

圖2入侵vsftp服務(wù)的系統(tǒng)依賴圖示例

從圖2中可以看到,系統(tǒng)審計日志除了記錄來自外部主機(jī)的攻擊過程,還記錄了主機(jī)自身的正常操作。例如節(jié)點K(postgres數(shù)據(jù)庫服務(wù))和節(jié)點H(unrealircd服務(wù))相關(guān)的依賴邊。在圖2的依賴圖中,只有節(jié)點B(vsftp服務(wù))接受了來自外部主機(jī)的數(shù)據(jù),因此攻擊過程只可能包含在與節(jié)....

圖3T-Tracker框架圖

系統(tǒng)的總體框架圖如下圖3所示。由圖可知,T-Tracker的壓縮算法分為四個處理單元:“污點標(biāo)記”負(fù)責(zé)標(biāo)記與外部數(shù)據(jù)來源發(fā)生交互的event;“污點追蹤”負(fù)責(zé)追蹤污點擴(kuò)散過程,并去除污點擴(kuò)散路徑之外的event記錄;“污點消除”進(jìn)一步消除那些盡管受到污染但不會對主機(jī)安全狀態(tài)造成影....

圖4實驗環(huán)境網(wǎng)絡(luò)拓?fù)鋱D

為了全面評估T-Tracker的壓縮效果,我們選擇了局域網(wǎng)環(huán)境下的6臺主機(jī)。這6臺主機(jī)分為服務(wù)器和客戶端兩組,其中Client1～4充當(dāng)客戶端,用于文檔編輯和瀏覽網(wǎng)頁;Server1～2充當(dāng)服務(wù)器,用于對局域網(wǎng)內(nèi)提供web服務(wù)、FTP服務(wù)和數(shù)據(jù)庫服務(wù)。6臺主機(jī)位于同一個局域網(wǎng)....

本文編號：3906688