《自适应动态网络取证方法研究》由会员分享,可在线阅读,更多相关《自适应动态网络取证方法研究(137页珍藏版)》请在金锄头文库上搜索。
1、华中科技大学 博士学位论文 自适应动态网络取证方法研究 姓名:陈琳 申请学位级别:博士 专业:计算机系统结构 指导教师:李芝棠 20091104 I 华 中 科 技 大 学 博 士 学 位 论 文 摘 要 网络取证就是获取网上犯罪行为之潜在证据的过程。它主要通过实时监测、捕 获或搜寻网络数据流、网络设备及主机日志等中的可疑信息,来分析和发现反映网 络入侵活动及所造成损失的有效法律证据,以支持对网络犯罪人的指控。网络取证 问题交叉着复杂的技术与待定的法律,是保卫网络信息安全的重要武器,也是一个 才刚刚开启的研究领域。 目前,网络取证的研究主要集中在取证所采用的技术手段上。然而,网络取证 不是一个
2、孤立的行动,它是在不影响现行网络业务条件下,系统实施实时网流过滤、 特征匹配、日志提取、行为检测、危害评估、危险分析、入侵发现、证据再收集的 一个全过程,也就是证据的获取、分析、判别、记录、再获取的动态自适应过程。 因此,实时综合自动化收集和分析入侵证据、评估入侵的威胁程度、保护证据可容 侵、以及动态取证系统的体系结构等的研究是亟待解决的问题。 提出自适应动态取证的思想和方法。结合入侵检测、入侵诱骗及入侵容忍技术, 构建了自适应动态取证体系结构。采用入侵检测、入侵诱骗等技术来发现入侵、吸 引入侵、获取实时的入侵证据,利用入侵容忍技术提高系统及证据的可靠性,延长 取证过程,对入侵行为进行更完整地
3、调查取证且不影响业务系统的正常运行。正确 的自适应响应是以对系统的安全性定量评估为基础的,采用威胁评估技术评估入侵 威胁程度,自适应调整取证时机和对象。对取证系统的动态转移过程进行分析,构 建半马尔科夫模型对系统的取证能力和可用性进行分析,并通过入侵实例验证了模 型的有效性。 提出基于灰关联理论的入侵威胁度评估方法。在对自适应动态取证系统进行分 析的基础上,提取了评估入侵威胁度的重要因素,对这些因素进行量化,考虑到因 素之间存在未确定的影响关系,对存在“灰关系”的因素建立起灰关联分析模型, 用以分析因素间的灰关联度,并兼顾评估者对不同因素的关注程度,从而建立一个 入侵威胁的评估机制,其评估结果
4、作为取证所需的评估入侵危害程度的依据,并根 II 华 中 科 技 大 学 博 士 学 位 论 文 据威胁程度触发自适应动态取证机制的状态转换。通过实际的入侵实验对该方法和 已有方法进行评估效果的分析和对比,实验表明该方法的评估结果更合理,更具有 实际意义。 提出入侵关联图的概念和基于该关联图的入侵模式发现方法。在收集多源原始 证据基础上,对原始证据进行格式标准化、聚合、消除冗余和误警的预处理之后形 成可用告警序列,根据告警序列构造入侵关联图,进行事件因果关联匹配及频繁序 列的挖掘,从中发现计算机犯罪的事实及相应的主体和客体。实验结果证明,该方 法除了能发现一对主机之间的多步攻击之外,还能够发现
5、涉及多个主机的入侵过程, 以及主机的身份角色。为更好地描述入侵过程,便于出示证据,提出一种三维的事 件时间线表示方法,对涉及多个主体的入侵事件在时间上的进展进行可视化描述。 提出一种防范入侵及容忍入侵的多层证据保护方法。设计了证据信息的安全监 督链方案,从收集到传输证据的过程中,综合采用加密、校验、数字签名、时间戳 等方法对证据进行保护。在证据存储方面,提出一种具有检错功能的信息分片算法, 根据密钥生成编码矩阵,对证据进行编码分片分布式存储,通过累计校验方法对数 据片进行检错,该方法能在一定程度上容忍入侵者对证据的破坏,可以从冗余信息 中恢复原始数据。对该方法进行安全性分析,分析参数对安全性的
6、影响,从而指导 实际参数的选择。 关键词:关键词:网络取证,动态取证,自适应,半马尔科夫,灰关联分析,入侵关联图, 证据保护 III 华 中 科 技 大 学 博 士 学 位 论 文 Abstract Network forensics is a procedure of obtaining the latent Evidences of network computer crimes. Network forensics analyze and discover valid legal evidences reflected network intrusion activities and t
7、he corresponding damnify through monitoring, capturing or searching abnormal information in network traffic or logs of network devices and hosts real time to indict the network criminal. Network forensics is taken as an important weapon to ensure network safety and is a rising research field as an i
8、nterdisciplinary study of computer and law. At present, the researches of network forensics are focused on the technical means of investigation. However, network forensics is not an isolated activity but an integrated mechanism including traffic filtering, signature matching, log distilling, behavio
9、r detecting, threat evaluating, risk analyzing, intrusion discovering and evidences re-gathering, and also is a dynamic self-adaptive procedure of gathering, analyzing, determing, tracking and re-gathering. Thus, there are some problems to be solved involved with collecting and analyzing automatical
10、ly intrusion evidences real time, evaluating the threat of intrusions, preserving evidences for toleranting intrusion and studying the architecture of dynamic forensics. The idea of self-adaptive dynamic forensics is put forward and a self-adaptive dynamic forensics architecture is built integrating
11、 intrusion detection, intrusion deception and intrusion tolerance technologies. The intrusion detection and intrusion deception technologies are used to discover intrusion activities and trich intruders into intrusion deception system. The intrusion tolerance technology is used to advance the reliab
12、ility of system and evidences, to prolong the investigation procedure, to investigate intrusion activites fullier without impacting the natual production system. Accurate self-adaptive response is based on the security quantitative evaluation. Threat evaluation technology is IV 华 中 科 技 大 学 博 士 学 位 论
13、 文 used to evaluate the intrusion threats and the forensics occasions and objects are self-adaptively adjusted. The dynamic transition process of forensics system is analyzed and the forensics capability and server availability are analyzed through building semi-Markov process module. The intrusion
14、experiment validates the architecture. A intrusion threat evaluation algorithm based on grey theory is proposed. Some key factors are picked up and quantified based on analyzing the self-adaptive dynamic forensics system. Considering that there are undetermined influences among the factors, a grey r
15、elation analysis module is built to analyze the grey relation degree at the same time the attentions to every factors of evaluator are considered. A intrusion threat evaluation mechanism is established. The self-adaptive dynamic forensics states transition is triggered according to the evaluation re
16、sult. This method is compaired with other methods through practical experiments and experiments analysis result proves that this method is more reasonable and feasible. The Intrusion Correlation Graph (ICG) is defined and a novel approach of intrusion pattern discovery based on ICG is proposed. Raw evidences are collected from multiple sources and valuable alert sequences are built after standardization, aggregation and false positive reduction. The ICG is constructed with alert sequences and. T
