基于數(shù)據(jù)挖掘的入侵取證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

朱麗娜

廣東警官學(xué)院計(jì)算機(jī)系 廣東 510230

0 引言

入侵取證系統(tǒng)(Instruction Forensic System, IFS)是對(duì)網(wǎng)絡(luò)入侵事件、網(wǎng)絡(luò)犯罪活動(dòng)進(jìn)行的證據(jù)獲取、保存、分析和還原。它能夠真實(shí)連續(xù)地獲取網(wǎng)絡(luò)或主機(jī)上發(fā)生的各種行為和日志數(shù)據(jù)；能夠完整地保存獲取到的數(shù)據(jù)并且防篡改；對(duì)保存的原始證據(jù)進(jìn)行網(wǎng)絡(luò)行為還原、重現(xiàn)入侵現(xiàn)場(chǎng)(如圖1)。

圖1 入侵取證與分析的一般過程

1 網(wǎng)絡(luò)數(shù)據(jù)收集

由于IFS是以證據(jù)獲取和提交為目的的，而法律對(duì)于電子證據(jù)有特殊的要求。證據(jù)的完整性和聯(lián)系性是電子證據(jù)的必備前提。因此我們必須記錄下流經(jīng)被保護(hù)網(wǎng)段或主機(jī)的所有網(wǎng)絡(luò)流量，包括所有正常和不正常的網(wǎng)絡(luò)行為，并在磁盤介質(zhì)上永久保存以便進(jìn)行事后的入侵分析和“現(xiàn)場(chǎng)恢復(fù)”(如圖2)。

圖2 網(wǎng)絡(luò)數(shù)據(jù)收集模塊

(1) 將網(wǎng)卡置于混雜模式。為了節(jié)省內(nèi)存開銷，利用分組捕獲程序，使數(shù)據(jù)包不經(jīng)過內(nèi)核空間中的TCP/IP協(xié)議棧，而直接從網(wǎng)卡緩存拷貝到用戶進(jìn)程。

(2) 利用存儲(chǔ)映射 I/O技術(shù)，將數(shù)據(jù)從網(wǎng)卡寫入用戶進(jìn)程的同時(shí)完成向磁盤文件的寫入。

(3) 記錄 UNIX中文件和目錄的最近內(nèi)容修改時(shí)間、最近訪問時(shí)間、最近屬性變更時(shí)間。

(4) 操作系統(tǒng)采用實(shí)時(shí)linux系統(tǒng)。該系統(tǒng)可以實(shí)現(xiàn)線程和中斷處理程序。這些程序可以搶奪 linux線程資源得以實(shí)現(xiàn)實(shí)時(shí)響應(yīng)。

(5) 磁盤資源報(bào)警器。當(dāng)磁盤容量達(dá)到上限值時(shí)產(chǎn)生報(bào)警。

2 抽取網(wǎng)絡(luò)連接屬性

由于網(wǎng)絡(luò)數(shù)據(jù)量龐雜，在IFS系統(tǒng)中的入侵分析模塊中對(duì)數(shù)據(jù)進(jìn)行預(yù)處理就顯得尤為重要。單純使用基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析的模式匹配方法有很大的弊病。因?yàn)橐粋€(gè)連接過程中要傳遞很多數(shù)據(jù)包，而這些數(shù)據(jù)包的基本屬性相同。因此在本模塊中我們考慮從連接層次上而不是從數(shù)據(jù)包層次上做記錄。

多維數(shù)據(jù)模型的設(shè)計(jì)是對(duì)數(shù)據(jù)倉(cāng)庫(kù)進(jìn)行數(shù)據(jù)挖掘的關(guān)鍵。網(wǎng)絡(luò)連接事件連接屬性抽取是否全面準(zhǔn)確將會(huì)直接影響入侵分析結(jié)果的準(zhǔn)確性。因此我們給出了網(wǎng)絡(luò)連接基本屬性，連接安全屬性和連接統(tǒng)計(jì)屬性，從以上三個(gè)維度對(duì)網(wǎng)絡(luò)連接事件進(jìn)行全面的分析(如圖3)。

圖3 網(wǎng)絡(luò)連接屬性

3 取證分析模塊

取證分析模塊是IFS中最關(guān)鍵部分，它通常應(yīng)該包括：日志分析、入侵分析和協(xié)議分析三大主要部分。由于日志分析部分不是本文介紹的重點(diǎn)因此不詳細(xì)介紹。

3.1 基于數(shù)據(jù)挖掘的入侵分析模型

應(yīng)用滑窗技術(shù)優(yōu)化數(shù)據(jù)挖掘中算法。

(1) 建立網(wǎng)絡(luò)正常模式

① 用抽取網(wǎng)絡(luò)連接屬性模塊抽取連接屬性，并生成連接記錄rec1, rec2, rec3……

② n=0; rules=Φ //rules為規(guī)則及規(guī)則重復(fù)度集合，Φ為空集合

repeat:{

以K1為窗口長(zhǎng)度，調(diào)用信息發(fā)現(xiàn)證據(jù)庫(kù)中的挖掘算法得到子規(guī)則集rulesn

以K2為窗口長(zhǎng)度，調(diào)用證明規(guī)則庫(kù)和反駁規(guī)則庫(kù)中的挖掘算法得到子規(guī)則集rulesm

rules = rules ∪ rulesn∪ rulesm且重復(fù)規(guī)則的重復(fù)度計(jì)數(shù)加2

}

until: 觀察規(guī)則數(shù)目曲線，直到曲線變得平穩(wěn)

(2) 當(dāng)正常模式建立后進(jìn)入異常檢測(cè)階段，過程如下：

① 用抽取網(wǎng)絡(luò)連接屬性模塊抽取連接屬性，并生成連接記錄rec1, rec2, rec3……

② n=0

repeat:{

在時(shí)間窗 K1+K2內(nèi)調(diào)用關(guān)聯(lián)規(guī)則挖掘算法得到子規(guī)則集rulesn和rulesm

if： (rulesn￠ rules) && (rulesnm￠ rules) ，則將此窗口標(biāo)記為異常窗口，異常計(jì)數(shù)器啟動(dòng)及時(shí)。

n=n+2；

}

在異常判斷時(shí)間門限內(nèi)，若異常窗口的數(shù)目超出預(yù)定的異常門限，則認(rèn)為出現(xiàn)異常。

3.2 協(xié)議解析分析模塊

在IFS中協(xié)議分析是作為一種很重要的現(xiàn)場(chǎng)重現(xiàn)手段存在的。IFS利用協(xié)議分析技術(shù)，按照事件發(fā)生的順序，對(duì)原始數(shù)據(jù)進(jìn)行協(xié)議還原，可將各種網(wǎng)絡(luò)行為重新還原出來。其中數(shù)據(jù)的還原分析包括IP數(shù)據(jù)包的重組，TCP數(shù)據(jù)包的組裝和應(yīng)用還原。下面給出一種按照網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)性而設(shè)計(jì)的協(xié)議樹。該種協(xié)議分析方法已經(jīng)被廣泛地應(yīng)用于入侵檢測(cè)系統(tǒng)中。該方法用數(shù)據(jù)結(jié)構(gòu)中的多叉樹將所有的協(xié)議組織成一棵協(xié)議樹。每個(gè)協(xié)議是該樹的一個(gè)節(jié)點(diǎn)(如圖4)。

圖4 協(xié)議組織樹

節(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)如下：

下面通過對(duì)一個(gè)數(shù)據(jù)包的分析說明該協(xié)議樹的工作原理：AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%003974391234567890123456789012345678901234567890123 4567890123456

(1) 協(xié)議規(guī)范指出以網(wǎng)數(shù)據(jù)包第13字節(jié)處有兩個(gè)字節(jié)的第三層協(xié)議表示，因此我們跳過前面的12個(gè)字節(jié)，讀取13字節(jié)處的兩個(gè)協(xié)議標(biāo)識(shí)為0800。因此可以判斷這個(gè)包為IP包。

(2) IP協(xié)議規(guī)定IP包的第24字節(jié)處有一個(gè)字節(jié)的第四層協(xié)議標(biāo)識(shí)。因此直接跳到第 24字節(jié)處，讀取到的協(xié)議標(biāo)識(shí)為：06，可知這個(gè)包是TCP協(xié)議。

(3) TCP協(xié)議規(guī)定在第35字節(jié)處有一個(gè)2字節(jié)的端口號(hào)。因此跳到35字節(jié)處讀到的端口號(hào)為80，可知該數(shù)據(jù)包為一個(gè)HTTP協(xié)議的數(shù)據(jù)包。

(4) HTTP協(xié)議規(guī)定第55字節(jié)是URL開始處，因此我們跳到55字節(jié)處讀取URL。

該協(xié)議樹的特點(diǎn)：

(1) 可動(dòng)態(tài)維護(hù)和配置協(xié)議樹的結(jié)構(gòu)，實(shí)現(xiàn)靈活的協(xié)議分析功能。

(2) 可自定義協(xié)議節(jié)點(diǎn)。細(xì)化分析數(shù)據(jù)提高分析效率。

(3) 有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)性，減少計(jì)算量提高區(qū)匹配精確度。

4 結(jié)束語

IFS是一個(gè)嶄新的網(wǎng)絡(luò)安全領(lǐng)域，有很多問題有待研究。目前的IFS還停留在事后入侵分析和數(shù)據(jù)包級(jí)手工分析的階段。如何減少漏報(bào)和誤報(bào)實(shí)現(xiàn)動(dòng)態(tài)的智能的入侵取證將是我們下一步的研究重點(diǎn)。

[1] 楊澤明,許榕生,曹愛娟.網(wǎng)絡(luò)取證與分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)工程.2004.

[2] 劉武,段海新,楊路,吳建平,任萍.基于 web的網(wǎng)絡(luò)入侵檢測(cè)取證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)應(yīng)用.2003.

[3] 譚思亮.網(wǎng)絡(luò)監(jiān)聽與隱藏—網(wǎng)絡(luò)偵聽揭秘與數(shù)據(jù)保護(hù)技術(shù)[M].北京:人民郵電出版社.2002.

[4] 呂愛麗,魏海平等.分層協(xié)議的多代理入侵檢測(cè)系統(tǒng).遼寧石油化工大學(xué)學(xué)報(bào).2005.