自适应动态取证系统框架的FSM模型

　　温馨提示：该篇为博士论文部分章节，如需阅读全文，请移至本文末尾

    3.3 框架的FSM模型
　　
　　自适应动态取证系统在工作过程中随着攻击行为的进行以及自动响应措施的进行，会有安全状态的变化，因此我们可以对系统建立有限状态机（FSM）模型，对系统状态的转换进行描述。
　　
　　截图1   
　　
截图2

　　
　　系统初始处于qo状态，如果入侵检测系统检测到探测或者扫描活动，这意味着可能有人正在对系统进行主机探测或端口扫描，收集系统开放了哪些端口以及提供哪些服务的信息。探测以及扫描通常是入侵的前奏，入侵者常常通过对主机进行探测和端口扫描来收集信息，为下一步行为提供必要的指导。由于探测或扫描仅仅是收集信息的行为，对系统的威胁级别还很低，所以此时无需触发重定向机制，但开始取证，证据来源为NIDS日志、真实服务器上的日志、防火墙日志等。系统的状态从qo转为q1.

　　如果在qo状态或者q1,状态IDS检测到异常行为，则根据行为的威胁程度以及评估行为造成的影响来决定系统状态的转换。如果只是疑似攻击或者虽确认是攻击但威胁程度较低，造成的影响比较小，则状态转为qz.在qz状态下，重定向器将疑似流量仍转发到真实服务器，并镜像转发到影子服务器，使得系统能继续照常提供服务，同时影子服务器上的安全工具会对重定向过来的流量进行进一步的观察和分析，确定疑似攻击是否为真正的攻击行为以及继续观察攻击行为造成的影响。此时系统状态转为q4.因为疑似攻击流量可能会对系统造成破坏，此时系统入侵容忍机制中的资源调配机制开始工作，比如限制疑似主机的带宽等，同时继续实时取证和实时分析。如果异常行为被确认为是入侵行为且威胁程度较高，对系统造成的影响较大，则系统状态转为q3.同样，当系统处于qz状态时，如果疑似流量被确认为是威胁程度较高的恶意流量，则系统状态转为q3.如果在q4状态下，通过进一步观察，发现刚才的告警只是误告警，疑似流量被判断为正常流量，则系统状态从q4转为初始状态qo.

　　当系统处于q3状态时，重定向器将通过访问控制措施阻止恶意流量到达真实服务器，全部重定向到影子服务器，对真实服务器进行保护，同时使得影子服务器上仍能继续监视入侵行为，记录入侵证据。系统状态转为q5,在q5状态下，如果出现容忍失效的情况，为保护整个系统及证据的安全，重定向器的访问控制措施则阻断恶意主机的所有连接，系统转入结束状态q,开始进行事后取证和分析。

　　系统的状态转移图如图3-8所示。

　　其中，从q1,到q5的过程是入侵的逐步发展过程，取证系统就是伴随着这个过程持续进行实时的证据收集和分析，到最后结束状态q,进入离线的取证分析。这个过程中，证据的收集并不是盲目的，而是根据状态q1,和q3中检测到的探测主机以及可疑主机进行针对性的过滤，重定向以及资源重配置所针对的也是这些主机，因此可以减轻系统的处理负荷，且提高可用性。