近年來,APT攻擊對政府、企業(yè)等大型機構的威脅不斷增強。在檢測到攻擊后,需要通過取證分析來判定操作系統日志事件間的依賴關系,快速定位入侵點,并確定攻擊造成的影響。但在實際場景中,大型機構往往需要存儲PB級別的數據以滿足取證分析的需求,這不僅帶來了巨大的存儲開銷,還急劇增加了取證分析的運算和時間成本。因此,如何在不影響取證分析結果準確性的前提下,進行日志數據的壓縮,是亟待研究的重要課題。目前,相關工作提出的解決方案僅適用于離線存儲數據或特定類型事件,無法兼顧實時性、普適性等需求,實用性差。為解決上述問題,本文進行以下研究:1)設計了兩種實時日志壓縮算法:保持全局依賴算法和僅保留攻擊語義算法。前者判定并刪除不影響全局依賴關系的冗余事件,后者基于絕大多數取證分析的目標是還原攻擊鏈路這一事實,對前者壓縮后剩余的事件進行上下文分析,刪除攻擊無關事件。兩種算法均在日志層面實現,不涉及程序內部分析,可處理文件、網絡等多類事件,也不依賴于具體的操作系統類型,應用場景廣泛。2)基于兩種日志壓縮算法在Windows平臺上實現了一套原型壓縮系統,以驗證算法的正確性、通用性與高效性。系統由多類型事件實時采集,... 

【文章來源】：浙江大學浙江省 211工程院校 985工程院校 教育部直屬院校

【文章頁數】：76 頁

【學位級別】：碩士

【部分圖文】：

正�；顒酉碌目蛻舳诵阅鼙O(jiān)視

浙江大學碩士學位論文第5章系統測試與分析53圖5-2存在攻擊活動的客戶端性能監(jiān)視服務器端在對T-1進行處理時，使用top和pmap命令監(jiān)視性能開銷，結果如圖5-3所示，內存在23MB上下波動，單核CPU開銷均值為5%，負載極低。而在對T-1、T-2進行并發(fā)處理時，性能開銷如圖5-4所示，內存在42MB上下波動，單核CPU開銷均值約為13%。由實驗結果可知，系統開銷會隨著并發(fā)數的增加而線性增長。因此，在真實場景中，可以根據服務器的性能來設置合理的并發(fā)數，以滿足多臺客戶機的壓縮需求。表5-9展示了T-1、T-2中的原始事件總數和各類事件占比。表5-10展示了兩種算法對各類事件的壓縮比和事件存入數據庫后的磁盤開銷。實驗結果證明了GD和AS實時模式的有效性，以及對離線數據、實時數據的通用性。圖5-3服務器處理單臺機器數據的性能開銷

浙江大學碩士學位論文第5章系統測試與分析53圖5-2存在攻擊活動的客戶端性能監(jiān)視服務器端在對T-1進行處理時，使用top和pmap命令監(jiān)視性能開銷，結果如圖5-3所示，內存在23MB上下波動，單核CPU開銷均值為5%，負載極低。而在對T-1、T-2進行并發(fā)處理時，性能開銷如圖5-4所示，內存在42MB上下波動，單核CPU開銷均值約為13%。由實驗結果可知，系統開銷會隨著并發(fā)數的增加而線性增長。因此，在真實場景中，可以根據服務器的性能來設置合理的并發(fā)數，以滿足多臺客戶機的壓縮需求。表5-9展示了T-1、T-2中的原始事件總數和各類事件占比。表5-10展示了兩種算法對各類事件的壓縮比和事件存入數據庫后的磁盤開銷。實驗結果證明了GD和AS實時模式的有效性，以及對離線數據、實時數據的通用性。圖5-3服務器處理單臺機器數據的性能開銷


本文編號：2971556