近年來,APT攻擊對政府、企業(yè)等大型機(jī)構(gòu)的威脅不斷增強(qiáng)。在檢測到攻擊后,需要通過取證分析來判定操作系統(tǒng)日志事件間的依賴關(guān)系,快速定位入侵點(diǎn),并確定攻擊造成的影響。但在實(shí)際場景中,大型機(jī)構(gòu)往往需要存儲PB級別的數(shù)據(jù)以滿足取證分析的需求,這不僅帶來了巨大的存儲開銷,還急劇增加了取證分析的運(yùn)算和時間成本。因此,如何在不影響取證分析結(jié)果準(zhǔn)確性的前提下,進(jìn)行日志數(shù)據(jù)的壓縮,是亟待研究的重要課題。目前,相關(guān)工作提出的解決方案僅適用于離線存儲數(shù)據(jù)或特定類型事件,無法兼顧實(shí)時性、普適性等需求,實(shí)用性差。為解決上述問題,本文進(jìn)行以下研究:1)設(shè)計了兩種實(shí)時日志壓縮算法:保持全局依賴算法和僅保留攻擊語義算法。前者判定并刪除不影響全局依賴關(guān)系的冗余事件,后者基于絕大多數(shù)取證分析的目標(biāo)是還原攻擊鏈路這一事實(shí),對前者壓縮后剩余的事件進(jìn)行上下文分析,刪除攻擊無關(guān)事件。兩種算法均在日志層面實(shí)現(xiàn),不涉及程序內(nèi)部分析,可處理文件、網(wǎng)絡(luò)等多類事件,也不依賴于具體的操作系統(tǒng)類型,應(yīng)用場景廣泛。2)基于兩種日志壓縮算法在Windows平臺上實(shí)現(xiàn)了一套原型壓縮系統(tǒng),以驗(yàn)證算法的正確性、通用性與高效性。系統(tǒng)由多類型事件實(shí)時采集,... 

【文章來源】：浙江大學(xué)浙江省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：76 頁

【學(xué)位級別】：碩士

【部分圖文】：

正常活動下的客戶端性能監(jiān)視

浙江大學(xué)碩士學(xué)位論文第5章系統(tǒng)測試與分析53圖5-2存在攻擊活動的客戶端性能監(jiān)視服務(wù)器端在對T-1進(jìn)行處理時，使用top和pmap命令監(jiān)視性能開銷，結(jié)果如圖5-3所示，內(nèi)存在23MB上下波動，單核CPU開銷均值為5%，負(fù)載極低。而在對T-1、T-2進(jìn)行并發(fā)處理時，性能開銷如圖5-4所示，內(nèi)存在42MB上下波動，單核CPU開銷均值約為13%。由實(shí)驗(yàn)結(jié)果可知，系統(tǒng)開銷會隨著并發(fā)數(shù)的增加而線性增長。因此，在真實(shí)場景中，可以根據(jù)服務(wù)器的性能來設(shè)置合理的并發(fā)數(shù)，以滿足多臺客戶機(jī)的壓縮需求。表5-9展示了T-1、T-2中的原始事件總數(shù)和各類事件占比。表5-10展示了兩種算法對各類事件的壓縮比和事件存入數(shù)據(jù)庫后的磁盤開銷。實(shí)驗(yàn)結(jié)果證明了GD和AS實(shí)時模式的有效性，以及對離線數(shù)據(jù)、實(shí)時數(shù)據(jù)的通用性。圖5-3服務(wù)器處理單臺機(jī)器數(shù)據(jù)的性能開銷

浙江大學(xué)碩士學(xué)位論文第5章系統(tǒng)測試與分析53圖5-2存在攻擊活動的客戶端性能監(jiān)視服務(wù)器端在對T-1進(jìn)行處理時，使用top和pmap命令監(jiān)視性能開銷，結(jié)果如圖5-3所示，內(nèi)存在23MB上下波動，單核CPU開銷均值為5%，負(fù)載極低。而在對T-1、T-2進(jìn)行并發(fā)處理時，性能開銷如圖5-4所示，內(nèi)存在42MB上下波動，單核CPU開銷均值約為13%。由實(shí)驗(yàn)結(jié)果可知，系統(tǒng)開銷會隨著并發(fā)數(shù)的增加而線性增長。因此，在真實(shí)場景中，可以根據(jù)服務(wù)器的性能來設(shè)置合理的并發(fā)數(shù)，以滿足多臺客戶機(jī)的壓縮需求。表5-9展示了T-1、T-2中的原始事件總數(shù)和各類事件占比。表5-10展示了兩種算法對各類事件的壓縮比和事件存入數(shù)據(jù)庫后的磁盤開銷。實(shí)驗(yàn)結(jié)果證明了GD和AS實(shí)時模式的有效性，以及對離線數(shù)據(jù)、實(shí)時數(shù)據(jù)的通用性。圖5-3服務(wù)器處理單臺機(jī)器數(shù)據(jù)的性能開銷


本文編號：2971556