一种基于污点追踪的系统审计日志压缩方法

发布时间：2024-02-22 11:11

　　近十年来,高级持续性威胁(APT, advanced persistent threat)越来越引起人们的关注。为了防御和检测APT攻击,学者提出了基于系统审计日志的入侵取证方案。系统审计日志可以详细记录主机上的系统调用过程,因此非常适用于入侵取证工作。然而,系统审计日志也有着致命的弊端:日志庞大冗余。再加上APT攻击往往长期潜伏、无孔不入,企业不得不为每台联网主机长期保存日志,因此导致巨大的存储计算成本。为了解决这一问题,本文提出一种模仿二进制动态污点分析的日志压缩方案T-Tracker。T-Tracker首先检测日志内部与外部数据发生交互的系统调用,生成初始污点集合,然后追踪污点在主机内的扩散过程,这个过程中只有污点扩散路径上的系统调用能被保留下来,其余均不保留,从而达到日志压缩的目的。本研究的测试表明,该方案可以达到80%的压缩效果,即企业将能够存储相当于原来数量五倍的日志数据。同时,T-Tracker完整保留了受到外部数据影响的日志记录,因此对于入侵取证而言,可以等价地替换原始日志,而不会丢失攻击痕迹。

【文章页数】：13 页

【部分图文】：

图1系统审计日志大小增长图

如何有效的减少日志大小,同时完整保留攻击痕迹,成为基于系统审计日志进行入侵取证亟需解决的问题。考虑到APT攻击者都是从外部渠道潜入,渗透到企业内网之后进行横向搜索和扩散,直到攻陷高价值目标。在这个过程中,更准确地说,是在攻击者能够完全控制系统,并可以关闭或者破坏审计功能之前,攻击....

图2入侵vsftp服务的系统依赖图示例

从图2中可以看到,系统审计日志除了记录来自外部主机的攻击过程,还记录了主机自身的正常操作。例如节点K(postgres数据库服务)和节点H(unrealircd服务)相关的依赖边。在图2的依赖图中,只有节点B(vsftp服务)接受了来自外部主机的数据,因此攻击过程只可能包含在与节....

图3T-Tracker框架图

系统的总体框架图如下图3所示。由图可知,T-Tracker的压缩算法分为四个处理单元:“污点标记”负责标记与外部数据来源发生交互的event;“污点追踪”负责追踪污点扩散过程,并去除污点扩散路径之外的event记录;“污点消除”进一步消除那些尽管受到污染但不会对主机安全状态造成影....

图4实验环境网络拓扑图

为了全面评估T-Tracker的压缩效果,我们选择了局域网环境下的6台主机。这6台主机分为服务器和客户端两组,其中Client1～4充当客户端,用于文档编辑和浏览网页;Server1～2充当服务器,用于对局域网内提供web服务、FTP服务和数据库服务。6台主机位于同一个局域网....

本文编号：3906688