5.3 基于入侵关联图的入侵模式发现
入侵模式发现实际上就是根据收集到的多源信息,发现一次入侵所包含的攻击行为,并将这些行为有机联系在一起,重构出能反映入侵过程的攻击场景。准确地重构出入侵过程有利于提高安全事件分析和判断的准确性,能够描述出入侵者的入侵行为模式,对证明计算机犯罪具有非常重要的意义。
描述入侵场景的工具方法有很多,图5-8是比较常见的一种,主要分析攻击之间的因果关联,因此这些分析的前提是只考虑相同源、目的主机之间的攻击的关联,即认为入侵者最初的踩点扫描,到最后入侵到目标系统实施一些具体的操作这期间的入侵行为都是同源同目的,这种方法无法表示和发现Connection-chain类型的攻击问题。
【图1】
【图2】
需要注意的是,在入侵关联图中,两个顶点之间可能会存在多条边,因为一个主机向另一个主机发起的攻击行为可能不止一个。这是入侵关联图与我们通常意义上所说的图的一个比较大的不同。另外,考虑到取证的目标以及实际的发生概率,我们不考虑两个顶点之间会有两条反向的边。
【图3】
【图4】
对于取证目的而言,我们关心的是针对某些特定的关键主机的入侵发现和分析取证,而涉及到其他无关主机的行为可以不在我们的考虑范围之内,因此引入“关键路径”的定义。关键路径的意义在于发现某些不会通过任何方式攻击到关键主机,也不会被关键主机影响到的主机。
【图5】
通常我们只考察关联路径的路径威胁度,路径威胁度的意义在于识别哪些入侵过程具有较高的威胁程度,从而加以关注,发现其是否具有计算机犯罪的行为。
5.3.2 入侵关联图的构造与合并算法
LCA获取的原始日志经过格式标准、聚合、去除冗余和误告警等处理之后,形成了能体现真正实用信息的告警Alert,入侵关联图就是在Alert为数据源的基础之上构成的。入侵关联图的元素包括节点和节点之间的边,也就是说构造入侵关联图必须有相应的主机以及在主机之间发生的攻击行为的信息,因此从Alert中提取主机信息和事件信息来构造入侵关联图。
【图6】
这样,就形成了一个反映了关键主机被入侵或者参与入侵的入侵关联图,通过这个图可以很直观地发现主机之间的入侵关联情况,更可以很直观地描述出涉及到多台主机的跳板攻击和蠕虫类的攻击情况。
入侵关联图的存储可以采用邻接表的方式,占用的存储单元个数只与图中顶点的个数有关,比邻接矩阵节省空间。对于图G中的每个顶点v,,该方法把所有邻接于v;的顶点V}链成一个带头结点的单链表,这个单链表就称为顶点V}的邻接表。单链表中的每个结点至少包含两个域,一个为邻接点域(adjvex),它指示与顶点v,邻接的顶点在图中的位序,另一个为链域(next),它指示与顶点v,邻接的下一个顶点。为了表示出边的信息以及两个顶点之间可能有多条边,单链表的每个结点还应扩充一个平行边域,它指示同顶点的多条边,构成了扩展邻接表。为了表述边上的信息,单链表的每个结点还有多个信息域:边的S9信息,边的T9信息以及时间信息,信息域可以扩充。
图5-10的扩展邻接表如图5-11(a)所示,实际上也是图5-10的一个出边表。为了查找路径中上游节点方便,还可以构造扩展逆邻接表来存储入侵关联图的信息,如图5-11(b)所示,逆邻接表的邻接点域(adjvex)和链域(next)均指向路径反方向上的邻接顶点。有n个顶点和e条边的入侵关联图的邻接表的空间复杂度为O(n+e)。
【图7】
构造图的过程就是构造其扩展邻接表的过程。构造算法中AddNode函数中还包含了一个遍历图的过程,对于n个事件来说,图中最多有2n个顶点和n条边,遍历过程的时间复杂度为。(n),因此,图的构造算法的时间复杂度为O(n2)o用于构造一个入侵关联图的Alert集合实际上是一个Alert的序列,因此是按照时间顺序加入到图当中,为了防止入侵关联图的规模太大,我们限定Alert序列的长度L以时间跨度为约束,即假如时间跨度闭值为T,则要求Alert序列满足}Alert.time-Alert}.time5T,超过这个时间跨度的Alert只能归入下一个Alert序列,构造成下一个入侵关联图。
这样,时间上先后生成的两个入侵关联图中可能存在相关联的主机以及入侵,但由于时间跨度的原因被分隔在两个入侵关联图里,因此在构造出一个新的入侵关联图之后,可以考虑从上一个入侵关联图里找到相关的顶点和边,合并到新的图当中,来丰富新产生的入侵关联图的信息。为了防止合并操作的时间开销过大,提出以下合并原则:
1.只对相邻顺序产生的两个入侵关联图进行合并;
2.只对新的入侵关联图中入度为0的顶点进行合并处理;
3.只对处于关键路径上的边进行合并处理。
【图8】
通过合并我们发现,新的告警可能是对已有入侵模式中缺失部分的补全,经过合并操作,入侵模式更为完整,如图5-10中Path(C,D)本不是关键路径,但从合并之后的图5-15可以看出,<C,D>可能是<D,E>的前奏,因此Path(C,D)也变为关键路径。通过这个例子我们还会发现合并会造成一定的冗余,但这个冗余相对于能发现更完整的入侵模式来说,是可以接受的。
返回本篇论文目录查看全文 上一章:入侵检测系统Snort的告警日志 下一章:入侵模式挖掘方法
5.4入侵模式的可视化表示入侵关联图虽然能够在逻辑上表达出各种入侵场景,但由于其中包含了多个入侵场景以及无关主机和无关行为的信息,不适于作为可出示的证据。需要提交用以证明计算机犯罪事实的实际上只是基于入侵关联图挖掘出来的入侵模式,...
3.5入侵实例分析本节对一次入侵实例进行数值分析。各状态的平均逗留时间以及状态间转移概率等参数根据经验值确定。这个入侵是基于SITEEXEC漏洞而发起的,2.4等版本的wu-ftpd存在该漏洞,Wu-ftpd在SITEEXEC实现上存在格式化串溢出漏洞,远程攻...
4.3.3基于AHP的指标权重确定法在多因素的综合评估问题中,各个因素对最终评估目标的影响程度不同,因此需要对因素赋予不同权重。主要的方法包括Delphi法、层次分析法(AHP、二项系数加权法、环比评分法等。其中AHP法比较有代表性,且应用成功的...
5入侵模式的发现及可视化表示取证中对证据的分析主要是识别并分析计算机犯罪的主体、客体、主观方面和客观方面,其中主体、客体是计算机犯罪的发起者及受害者,客观方面的分析主要是重构计算机犯罪过程。因此,要通过法律途径打击计算机犯罪,必...
5.2数据对象整个系统中被处理的数据对象分为四个级别:日志Log,事件Event,告警Alert证据Evidence。定义5-1:日志(Log)RL为分布于网络之中的各个网络设备、安全设备及关键主机产生的最原始日志Rawlog,如IDS的告警、防火墙的访问日志、服务器...
总结提出了网络入侵型案件的侦查思路与分析方法, 将传统的入侵线索侦查与木马逆向分析相结合, 结合实战案例, 对网站的源代码文件与网站服务器日志文件进行分析, 成功定位入侵者植入在网站源文件中的木马程序, 并利用逆向分析的方法确定木马程序的功能, 对此类...
5.3.3入侵模式挖掘方法有了入侵关联图,可以比较容易地从图中挖掘出入侵模式,挖掘主要围绕着关键主机和关键路径来进行。同源同目的主机之间的多步攻击模式的挖掘可以基于攻击知识库,分析攻击的Requires和Provides,找到攻击之间的因果关系,从...
4基于灰关联的入侵威胁评估方法在第3章的自适应动态取证系统当中,威胁评估系统是系统的状态转换触发器,对系统能否迅速进行入侵响应,恰如其时地触发取证及入侵容忍机制起着至关重要的作用。由于整个系统涉及到的设备较多,而且对入侵进行威胁...
电子物证技术是刑事侦查的重要手段,通过利用电子物证技术能够快速分析物证当中所蕴含的线索,从而根据这些线索快速获取有用的信息,可以提升案件侦破的效率。...