5.3.3 入侵模式挖掘方法
有了入侵关联图,可以比较容易地从图中挖掘出入侵模式,挖掘主要围绕着关键主机和关键路径来进行。同源同目的主机之间的多步攻击模式的挖掘可以基于攻击知识库,分析攻击的Requires和Provides,找到攻击之间的因果关系,从而发现入侵场景。相关的方法己有很多文献介绍。本文主要在入侵关联图的基础上,利用数据挖掘的方法,找出涉及多个主机的入侵场景。该方法主要分为两个步骤。
1.提取关键入侵序列(关键路径)
从入侵关联图中很容易找到相关的主机,就关键主机而言,关键路径上的主机都是与其产生或遭受的入侵相关。所以,将关键路径上的所有边提取出来,按照事件的时间顺序以及主机的关联性构造关键入侵序列集,由于可能存在多条关键路径,因此可能构造不止一个关键入侵。
2.挖掘频繁相关序列
有了上一步骤找出的关键入侵序列,利用序列挖掘算法可以从关键入侵序列中挖掘出满足频繁度要求的频繁序列,再考察频繁序列间主机的关系,可以发现主机的类似行为模式。
【图1】
【图2】
输出之后的S'包含了地址相关且事件相关的序列集,这个集合实际上就可以描述有类似攻击行为的主机之间的相关性,可以了解到涉及多个主机的一次入侵场景的具体情况。
5.3.4 实验及分析
我们在图4-3所示的实验平台上进行了一次SASSER蠕虫变种的攻击实验。该蠕虫不通过邮件等传统蠕虫利用的途径传播,而是自动在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行。该蠕虫利用了Windows系统中的LSASS缓冲区溢出漏洞(MS04-O 11),允许远程代码执行并且允许获得目标系统的控制权限。图5-14是利用蠕虫攻击的示意图。
【图3】
图中数字代表攻击步骤:
(1)对目标网络扫描,找到具有漏洞的目标系统;(2)向目标系统的TCP445端口发送一个特殊分组,进行溢出攻击;(3)目标系统LAS SAA.EXE缓冲区溢出;(4)攻击主机开启TCP端口1028来建立一个FTP服务器,目标系统利用从攻击主机获得的cmd.ftp脚本向攻击主机请求FTP连接;(5)目标系统从攻击主机下载恶意代码。
实验中首先是让主机B感染SASSER蠕虫,主机A和主机C具有相应漏洞,其中设置主机A为关键主机。
经四个小时的实际网络流量监测之后,LCA收集到大量的日志信息,传输到证据分析模块,经过格式化、聚合、消除冗余等处理之后得到告警Alert,对Alert按时间跨度构造入侵模式图。利用IDS告警作为主要证据生成的入侵关联图如图5-15所示,该图是从构造的入侵模式图中截取的与本实验相关的一个部分,其中入侵威胁度等信息省略,括号中数字为攻击事件的SignatureID.由于该变种改变了开设的FTP服务器端口号,IDS无法检测出FTP连接的异常,所以从图5-巧中无法得出利用SASSER蠕虫入侵的结论,必须结合次要证据扩展入侵关联图。
【图4】
结合网关的Access日志信息作为次要证据,扩展后的入侵关联图如图5-16所示,图中虚线部分为非IDS告警的次要证据,可以发现FTP连接和下载的过程,因其无SignatureID,则在转换成事件格式时用SensorID+序号生成SignatureID.
【图5】
从主机地址的关联情况以及时间顺序上可以发现B, C, A三台主机有非常类似的事件序列,且具有SASSER蠕虫攻击的特征步骤,可以描述出该蠕虫攻击的入侵模式。
由于B主机为该条关键路径的起点(ICG中顶点B的入度为0),可以认为B主机为入侵的发起者,C主机为中间被感染节点,而A为入侵目标。另外,还可以发现X主机正在对实验平台的两台主机进行WEB-IIS Unicode directory traversal attempts探测,该主机应该被引起关注,在自适应动态取证系统中,来自该主机的流量属于可疑流量,将被重定向到A的影子服务器进行进一步观察。实际上,X主机同时还对主机C做了SITE EXEC attempt尝试,但由于频繁度没有达到最小闭值,所以该条告警被忽略了。
返回本篇论文目录查看全文 上一章:基于入侵关联图的入侵模式发现 下一章:入侵模式的可视化表示及小结
5.3基于入侵关联图的入侵模式发现入侵模式发现实际上就是根据收集到的多源信息,发现一次入侵所包含的攻击行为,并将这些行为有机联系在一起,重构出能反映入侵过程的攻击场景。准确地重构出入侵过程有利于提高安全事件分析和判断的准确性,能够...
5.4入侵模式的可视化表示入侵关联图虽然能够在逻辑上表达出各种入侵场景,但由于其中包含了多个入侵场景以及无关主机和无关行为的信息,不适于作为可出示的证据。需要提交用以证明计算机犯罪事实的实际上只是基于入侵关联图挖掘出来的入侵模式,...
3.5入侵实例分析本节对一次入侵实例进行数值分析。各状态的平均逗留时间以及状态间转移概率等参数根据经验值确定。这个入侵是基于SITEEXEC漏洞而发起的,2.4等版本的wu-ftpd存在该漏洞,Wu-ftpd在SITEEXEC实现上存在格式化串溢出漏洞,远程攻...
总体上讲厂部分传统的职务犯罪侦查模式湘较于现行相关法律规范的具体要求而言存在诸多难以调和的矛盾与冲突,对职务犯罪侦查实践形成了强烈掣肘,有的甚至产生了反向作用力.对传统的职务犯罪侦查模式进行理性调适是当前检察机关适应新形势要求,更好地履行宪法...
5入侵模式的发现及可视化表示取证中对证据的分析主要是识别并分析计算机犯罪的主体、客体、主观方面和客观方面,其中主体、客体是计算机犯罪的发起者及受害者,客观方面的分析主要是重构计算机犯罪过程。因此,要通过法律途径打击计算机犯罪,必...
5.2数据对象整个系统中被处理的数据对象分为四个级别:日志Log,事件Event,告警Alert证据Evidence。定义5-1:日志(Log)RL为分布于网络之中的各个网络设备、安全设备及关键主机产生的最原始日志Rawlog,如IDS的告警、防火墙的访问日志、服务器...
总结提出了网络入侵型案件的侦查思路与分析方法, 将传统的入侵线索侦查与木马逆向分析相结合, 结合实战案例, 对网站的源代码文件与网站服务器日志文件进行分析, 成功定位入侵者植入在网站源文件中的木马程序, 并利用逆向分析的方法确定木马程序的功能, 对此类...
本文拟对我国各级刑事技术部门工作模式作尝试性的探索。由于目前公安机关刑事技术部门主要对物证进行鉴定,例如指纹、DNA等,故本文将主要以占鉴定比重较大的物证的鉴定方式,作为对刑事技术部门工作模式的划分对象。...
4基于灰关联的入侵威胁评估方法在第3章的自适应动态取证系统当中,威胁评估系统是系统的状态转换触发器,对系统能否迅速进行入侵响应,恰如其时地触发取证及入侵容忍机制起着至关重要的作用。由于整个系统涉及到的设备较多,而且对入侵进行威胁...
电子物证技术是刑事侦查的重要手段,通过利用电子物证技术能够快速分析物证当中所蕴含的线索,从而根据这些线索快速获取有用的信息,可以提升案件侦破的效率。...