近十年來,高級持續(xù)性威脅(APT, advanced persistent threat)越來越引起人們的關注。為了防御和檢測APT攻擊,學者提出了基于系統(tǒng)審計日志的入侵取證方案。系統(tǒng)審計日志可以詳細記錄主機上的系統(tǒng)調用過程,因此非常適用于入侵取證工作。然而,系統(tǒng)審計日志也有著致命的弊端:日志龐大冗余。再加上APT攻擊往往長期潛伏、無孔不入,企業(yè)不得不為每臺聯(lián)網主機長期保存日志,因此導致巨大的存儲計算成本。為了解決這一問題,本文提出一種模仿二進制動態(tài)污點分析的日志壓縮方案T-Tracker。T-Tracker首先檢測日志內部與外部數據發(fā)生交互的系統(tǒng)調用,生成初始污點集合,然后追蹤污點在主機內的擴散過程,這個過程中只有污點擴散路徑上的系統(tǒng)調用能被保留下來,其余均不保留,從而達到日志壓縮的目的。本研究的測試表明,該方案可以達到80%的壓縮效果,即企業(yè)將能夠存儲相當于原來數量五倍的日志數據。同時,T-Tracker完整保留了受到外部數據影響的日志記錄,因此對于入侵取證而言,可以等價地替換原始日志,而不會丟失攻擊痕跡。

【文章頁數】：13 頁

【部分圖文】：

圖1系統(tǒng)審計日志大小增長圖

如何有效的減少日志大小,同時完整保留攻擊痕跡,成為基于系統(tǒng)審計日志進行入侵取證亟需解決的問題�？紤]到APT攻擊者都是從外部渠道潛入,滲透到企業(yè)內網之后進行橫向搜索和擴散,直到攻陷高價值目標。在這個過程中,更準確地說,是在攻擊者能夠完全控制系統(tǒng),并可以關閉或者破壞審計功能之前,攻擊....

圖2入侵vsftp服務的系統(tǒng)依賴圖示例

從圖2中可以看到,系統(tǒng)審計日志除了記錄來自外部主機的攻擊過程,還記錄了主機自身的正常操作。例如節(jié)點K(postgres數據庫服務)和節(jié)點H(unrealircd服務)相關的依賴邊。在圖2的依賴圖中,只有節(jié)點B(vsftp服務)接受了來自外部主機的數據,因此攻擊過程只可能包含在與節(jié)....

圖3T-Tracker框架圖

系統(tǒng)的總體框架圖如下圖3所示。由圖可知,T-Tracker的壓縮算法分為四個處理單元:“污點標記”負責標記與外部數據來源發(fā)生交互的event;“污點追蹤”負責追蹤污點擴散過程,并去除污點擴散路徑之外的event記錄;“污點消除”進一步消除那些盡管受到污染但不會對主機安全狀態(tài)造成影....

圖4實驗環(huán)境網絡拓撲圖

為了全面評估T-Tracker的壓縮效果,我們選擇了局域網環(huán)境下的6臺主機。這6臺主機分為服務器和客戶端兩組,其中Client1～4充當客戶端,用于文檔編輯和瀏覽網頁;Server1～2充當服務器,用于對局域網內提供web服務、FTP服務和數據庫服務。6臺主機位于同一個局域網....

本文編號：3906688