發(fā)布時(shí)間：2021-01-11 22:01

　　近年來,APT攻擊對(duì)政府、企業(yè)等大型機(jī)構(gòu)的威脅不斷增強(qiáng)。在檢測(cè)到攻擊后,需要通過取證分析來判定操作系統(tǒng)日志事件間的依賴關(guān)系,快速定位入侵點(diǎn),并確定攻擊造成的影響。但在實(shí)際場(chǎng)景中,大型機(jī)構(gòu)往往需要存儲(chǔ)PB級(jí)別的數(shù)據(jù)以滿足取證分析的需求,這不僅帶來了巨大的存儲(chǔ)開銷,還急劇增加了取證分析的運(yùn)算和時(shí)間成本。因此,如何在不影響取證分析結(jié)果準(zhǔn)確性的前提下,進(jìn)行日志數(shù)據(jù)的壓縮,是亟待研究的重要課題。目前,相關(guān)工作提出的解決方案僅適用于離線存儲(chǔ)數(shù)據(jù)或特定類型事件,無法兼顧實(shí)時(shí)性、普適性等需求,實(shí)用性差。為解決上述問題,本文進(jìn)行以下研究:1)設(shè)計(jì)了兩種實(shí)時(shí)日志壓縮算法:保持全局依賴算法和僅保留攻擊語義算法。前者判定并刪除不影響全局依賴關(guān)系的冗余事件,后者基于絕大多數(shù)取證分析的目標(biāo)是還原攻擊鏈路這一事實(shí),對(duì)前者壓縮后剩余的事件進(jìn)行上下文分析,刪除攻擊無關(guān)事件。兩種算法均在日志層面實(shí)現(xiàn),不涉及程序內(nèi)部分析,可處理文件、網(wǎng)絡(luò)等多類事件,也不依賴于具體的操作系統(tǒng)類型,應(yīng)用場(chǎng)景廣泛。2)基于兩種日志壓縮算法在Windows平臺(tái)上實(shí)現(xiàn)了一套原型壓縮系統(tǒng),以驗(yàn)證算法的正確性、通用性與高效性。系統(tǒng)由多類型事件實(shí)時(shí)采集,... 

【文章來源】：浙江大學(xué)浙江省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：76 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

正�；顒�(dòng)下的客戶端性能監(jiān)視

浙江大學(xué)碩士學(xué)位論文第5章系統(tǒng)測(cè)試與分析53圖5-2存在攻擊活動(dòng)的客戶端性能監(jiān)視服務(wù)器端在對(duì)T-1進(jìn)行處理時(shí)，使用top和pmap命令監(jiān)視性能開銷，結(jié)果如圖5-3所示，內(nèi)存在23MB上下波動(dòng)，單核CPU開銷均值為5%，負(fù)載極低。而在對(duì)T-1、T-2進(jìn)行并發(fā)處理時(shí)，性能開銷如圖5-4所示，內(nèi)存在42MB上下波動(dòng)，單核CPU開銷均值約為13%。由實(shí)驗(yàn)結(jié)果可知，系統(tǒng)開銷會(huì)隨著并發(fā)數(shù)的增加而線性增長(zhǎng)。因此，在真實(shí)場(chǎng)景中，可以根據(jù)服務(wù)器的性能來設(shè)置合理的并發(fā)數(shù)，以滿足多臺(tái)客戶機(jī)的壓縮需求。表5-9展示了T-1、T-2中的原始事件總數(shù)和各類事件占比。表5-10展示了兩種算法對(duì)各類事件的壓縮比和事件存入數(shù)據(jù)庫后的磁盤開銷。實(shí)驗(yàn)結(jié)果證明了GD和AS實(shí)時(shí)模式的有效性，以及對(duì)離線數(shù)據(jù)、實(shí)時(shí)數(shù)據(jù)的通用性。圖5-3服務(wù)器處理單臺(tái)機(jī)器數(shù)據(jù)的性能開銷

浙江大學(xué)碩士學(xué)位論文第5章系統(tǒng)測(cè)試與分析53圖5-2存在攻擊活動(dòng)的客戶端性能監(jiān)視服務(wù)器端在對(duì)T-1進(jìn)行處理時(shí)，使用top和pmap命令監(jiān)視性能開銷，結(jié)果如圖5-3所示，內(nèi)存在23MB上下波動(dòng)，單核CPU開銷均值為5%，負(fù)載極低。而在對(duì)T-1、T-2進(jìn)行并發(fā)處理時(shí)，性能開銷如圖5-4所示，內(nèi)存在42MB上下波動(dòng)，單核CPU開銷均值約為13%。由實(shí)驗(yàn)結(jié)果可知，系統(tǒng)開銷會(huì)隨著并發(fā)數(shù)的增加而線性增長(zhǎng)。因此，在真實(shí)場(chǎng)景中，可以根據(jù)服務(wù)器的性能來設(shè)置合理的并發(fā)數(shù)，以滿足多臺(tái)客戶機(jī)的壓縮需求。表5-9展示了T-1、T-2中的原始事件總數(shù)和各類事件占比。表5-10展示了兩種算法對(duì)各類事件的壓縮比和事件存入數(shù)據(jù)庫后的磁盤開銷。實(shí)驗(yàn)結(jié)果證明了GD和AS實(shí)時(shí)模式的有效性，以及對(duì)離線數(shù)據(jù)、實(shí)時(shí)數(shù)據(jù)的通用性。圖5-3服務(wù)器處理單臺(tái)機(jī)器數(shù)據(jù)的性能開銷


本文編號(hào)：2971556