入侵模式挖掘方法

　　5.3.3 入侵模式挖掘方法
　　
　　有了入侵关联图，可以比较容易地从图中挖掘出入侵模式，挖掘主要围绕着关键主机和关键路径来进行。同源同目的主机之间的多步攻击模式的挖掘可以基于攻击知识库，分析攻击的Requires和Provides,找到攻击之间的因果关系，从而发现入侵场景。相关的方法己有很多文献介绍。本文主要在入侵关联图的基础上，利用数据挖掘的方法，找出涉及多个主机的入侵场景。该方法主要分为两个步骤。

　　1.提取关键入侵序列（关键路径）
　　从入侵关联图中很容易找到相关的主机，就关键主机而言，关键路径上的主机都是与其产生或遭受的入侵相关。所以，将关键路径上的所有边提取出来，按照事件的时间顺序以及主机的关联性构造关键入侵序列集，由于可能存在多条关键路径，因此可能构造不止一个关键入侵。

　　2.挖掘频繁相关序列
　　有了上一步骤找出的关键入侵序列，利用序列挖掘算法可以从关键入侵序列中挖掘出满足频繁度要求的频繁序列，再考察频繁序列间主机的关系，可以发现主机的类似行为模式。

　　【图1】

　　【图2】

 

　　输出之后的S'包含了地址相关且事件相关的序列集，这个集合实际上就可以描述有类似攻击行为的主机之间的相关性，可以了解到涉及多个主机的一次入侵场景的具体情况。

　　5.3.4 实验及分析
　　
　　我们在图4-3所示的实验平台上进行了一次SASSER蠕虫变种的攻击实验。该蠕虫不通过邮件等传统蠕虫利用的途径传播，而是自动在网络上搜索含有漏洞的系统，并引导这些有漏洞的系统下载病毒文件并执行。该蠕虫利用了Windows系统中的LSASS缓冲区溢出漏洞（MS04-O 11），允许远程代码执行并且允许获得目标系统的控制权限。图5-14是利用蠕虫攻击的示意图。

　　【图3】

 

　　图中数字代表攻击步骤：

　　（1）对目标网络扫描，找到具有漏洞的目标系统；（2）向目标系统的TCP445端口发送一个特殊分组，进行溢出攻击；（3）目标系统LAS SAA.EXE缓冲区溢出；（4）攻击主机开启TCP端口1028来建立一个FTP服务器，目标系统利用从攻击主机获得的cmd.ftp脚本向攻击主机请求FTP连接；（5）目标系统从攻击主机下载恶意代码。

　　实验中首先是让主机B感染SASSER蠕虫，主机A和主机C具有相应漏洞，其中设置主机A为关键主机。

　　经四个小时的实际网络流量监测之后，LCA收集到大量的日志信息，传输到证据分析模块，经过格式化、聚合、消除冗余等处理之后得到告警Alert,对Alert按时间跨度构造入侵模式图。利用IDS告警作为主要证据生成的入侵关联图如图5-15所示，该图是从构造的入侵模式图中截取的与本实验相关的一个部分，其中入侵威胁度等信息省略，括号中数字为攻击事件的SignatureID.由于该变种改变了开设的FTP服务器端口号，IDS无法检测出FTP连接的异常，所以从图5-巧中无法得出利用SASSER蠕虫入侵的结论，必须结合次要证据扩展入侵关联图。

　　【图4】

　　结合网关的Access日志信息作为次要证据，扩展后的入侵关联图如图5-16所示，图中虚线部分为非IDS告警的次要证据，可以发现FTP连接和下载的过程，因其无SignatureID,则在转换成事件格式时用SensorID+序号生成SignatureID.

　　【图5】

　　从主机地址的关联情况以及时间顺序上可以发现B, C, A三台主机有非常类似的事件序列，且具有SASSER蠕虫攻击的特征步骤，可以描述出该蠕虫攻击的入侵模式。

　　由于B主机为该条关键路径的起点（ICG中顶点B的入度为0），可以认为B主机为入侵的发起者，C主机为中间被感染节点，而A为入侵目标。另外，还可以发现X主机正在对实验平台的两台主机进行WEB-IIS Unicode directory traversal attempts探测，该主机应该被引起关注，在自适应动态取证系统中，来自该主机的流量属于可疑流量，将被重定向到A的影子服务器进行进一步观察。实际上，X主机同时还对主机C做了SITE EXEC attempt尝试，但由于频繁度没有达到最小闭值，所以该条告警被忽略了。
　　
返回本篇论文目录查看全文    上一章：基于入侵关联图的入侵模式发现　　 下一章：入侵模式的可视化表示及小结