近十年來(lái),高級(jí)持續(xù)性威脅(APT, advanced persistent threat)越來(lái)越引起人們的關(guān)注。為了防御和檢測(cè)APT攻擊,學(xué)者提出了基于系統(tǒng)審計(jì)日志的入侵取證方案。系統(tǒng)審計(jì)日志可以詳細(xì)記錄主機(jī)上的系統(tǒng)調(diào)用過(guò)程,因此非常適用于入侵取證工作。然而,系統(tǒng)審計(jì)日志也有著致命的弊端:日志龐大冗余。再加上APT攻擊往往長(zhǎng)期潛伏、無(wú)孔不入,企業(yè)不得不為每臺(tái)聯(lián)網(wǎng)主機(jī)長(zhǎng)期保存日志,因此導(dǎo)致巨大的存儲(chǔ)計(jì)算成本。為了解決這一問(wèn)題,本文提出一種模仿二進(jìn)制動(dòng)態(tài)污點(diǎn)分析的日志壓縮方案T-Tracker。T-Tracker首先檢測(cè)日志內(nèi)部與外部數(shù)據(jù)發(fā)生交互的系統(tǒng)調(diào)用,生成初始污點(diǎn)集合,然后追蹤污點(diǎn)在主機(jī)內(nèi)的擴(kuò)散過(guò)程,這個(gè)過(guò)程中只有污點(diǎn)擴(kuò)散路徑上的系統(tǒng)調(diào)用能被保留下來(lái),其余均不保留,從而達(dá)到日志壓縮的目的。本研究的測(cè)試表明,該方案可以達(dá)到80%的壓縮效果,即企業(yè)將能夠存儲(chǔ)相當(dāng)于原來(lái)數(shù)量五倍的日志數(shù)據(jù)。同時(shí),T-Tracker完整保留了受到外部數(shù)據(jù)影響的日志記錄,因此對(duì)于入侵取證而言,可以等價(jià)地替換原始日志,而不會(huì)丟失攻擊痕跡。

【文章頁(yè)數(shù)】：13 頁(yè)

【部分圖文】：

圖1系統(tǒng)審計(jì)日志大小增長(zhǎng)圖

如何有效的減少日志大小,同時(shí)完整保留攻擊痕跡,成為基于系統(tǒng)審計(jì)日志進(jìn)行入侵取證亟需解決的問(wèn)題。考慮到APT攻擊者都是從外部渠道潛入,滲透到企業(yè)內(nèi)網(wǎng)之后進(jìn)行橫向搜索和擴(kuò)散,直到攻陷高價(jià)值目標(biāo)。在這個(gè)過(guò)程中,更準(zhǔn)確地說(shuō),是在攻擊者能夠完全控制系統(tǒng),并可以關(guān)閉或者破壞審計(jì)功能之前,攻擊....

圖2入侵vsftp服務(wù)的系統(tǒng)依賴(lài)圖示例

從圖2中可以看到,系統(tǒng)審計(jì)日志除了記錄來(lái)自外部主機(jī)的攻擊過(guò)程,還記錄了主機(jī)自身的正常操作。例如節(jié)點(diǎn)K(postgres數(shù)據(jù)庫(kù)服務(wù))和節(jié)點(diǎn)H(unrealircd服務(wù))相關(guān)的依賴(lài)邊。在圖2的依賴(lài)圖中,只有節(jié)點(diǎn)B(vsftp服務(wù))接受了來(lái)自外部主機(jī)的數(shù)據(jù),因此攻擊過(guò)程只可能包含在與節(jié)....

圖3T-Tracker框架圖

系統(tǒng)的總體框架圖如下圖3所示。由圖可知,T-Tracker的壓縮算法分為四個(gè)處理單元:“污點(diǎn)標(biāo)記”負(fù)責(zé)標(biāo)記與外部數(shù)據(jù)來(lái)源發(fā)生交互的event;“污點(diǎn)追蹤”負(fù)責(zé)追蹤污點(diǎn)擴(kuò)散過(guò)程,并去除污點(diǎn)擴(kuò)散路徑之外的event記錄;“污點(diǎn)消除”進(jìn)一步消除那些盡管受到污染但不會(huì)對(duì)主機(jī)安全狀態(tài)造成影....

圖4實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)拓?fù)鋱D

為了全面評(píng)估T-Tracker的壓縮效果,我們選擇了局域網(wǎng)環(huán)境下的6臺(tái)主機(jī)。這6臺(tái)主機(jī)分為服務(wù)器和客戶(hù)端兩組,其中Client1～4充當(dāng)客戶(hù)端,用于文檔編輯和瀏覽網(wǎng)頁(yè);Server1～2充當(dāng)服務(wù)器,用于對(duì)局域網(wǎng)內(nèi)提供web服務(wù)、FTP服務(wù)和數(shù)據(jù)庫(kù)服務(wù)。6臺(tái)主機(jī)位于同一個(gè)局域網(wǎng)....

本文編號(hào)：3906688