《网络攻击行为分析平台中的日志分析技术.pdf》由会员分享,可在线阅读,更多相关《网络攻击行为分析平台中的日志分析技术.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2004 11 信息安全与通信保密55学术研究A c a d e m i c R e s e a r c h引 言1.网络攻击行为分析平台概述所谓的网络攻击行为分析平台是为了满足主动防御这个发展趋势而构建的它的主要目的是用于诱骗攻击者对其进行攻击然后尽可能地记录攻击者在上面所做的一切事后的工作就是分析学习和研究所有的日志记录提取出未知的攻击方法和样本然后尽早提出相应的防御技术2.网络攻击行为分析平台的组成单元一个能够实际运行的行为分析平台应该包括网络系统及服务运行数据控制数据捕获以及数据采集和分析等四大模块如图1 所示其中网络系统及服务运行模块是等待被攻击者实施攻击行为的对象是真正运行在网络上
2、的主机数据库和网络设备等而且对外提供真实的服务只是平时在上面没有正常的系统或人为行 为我 们 统 称 为H o n e y p o t(蜜罐主机)数据控制模块在此平台上用于对进出的数据信息进行严密的控制根据预定义的规则进行必要的限制适当降低风险这是因为一方面在主动研究攻击者行为的同时绝不能让攻击者将其作为跳板来攻击其它系统和主机如拒绝服务攻击对外网进行扫描等所以需要对外发的连接和数据包的发送做必要的限制但另一方面如果数据控制过严过紧的话比如完全拒绝外出平台的数据包就会使得攻击者很容易觉察到异样从而停止攻击行为数据捕获模块的作用就是尽可能全面准确地记录下攻击者所有的攻击行为信息其中包括攻击者所使
3、用的攻击方法(手段策略)和攻击样本(工具代码)也就是通常所说的日志记录日志记录将可能有多种形式(由各个不同的数据捕获点获取)如系统日志防火墙日志入侵检测日志击键记录等而如何将这些不同格式的日志统一归档和分析从中提取出有价值的黑客行为信息则将由数据采集和分析模块完成此外数据采集和分析模块还需归类统一格式化和分析从不同主机系统上收集到的日志记录日志分析的意义从搭建攻击行为分析平台的初衷可以看出为了学习和研究动态的黑客行为根本的落脚点还在于分析大量的日志记录从中快速有效地提取出动态未知的攻击行为信息可以说日志分析技术是搭建攻击行为分析平台之中最基本最重要的技术具体来说进行日志分析有以下意义寻找未知的
4、黑客攻击方法和样本并在此基础上分析和提炼出相应的攻击状态特征对各种系统和应用服务所遭受的攻击方式和强度进行分析和统计日志分析技术也是攻击取证技术中的关键部分日志记录的种类日志记录是进行日志分析的前期准备而日志分析正是对所有的日志记录包括从各种数据捕获点获取到的日志以及从不同系统中收集到的日志进行统一归档和分类其网络攻击行为分析平台中的日志分析技术图1 攻击行为分析平台的模块构成 摘 要 网络攻击行为分析平台主要通过诱骗攻击者的攻击来学习和研究新的攻击技术 是一种主动的安全防御 其中日志分析技术对于提取和研究攻击行为至关重要王轶骏 薛 质/文万方数据信息安全与通信保密 2004 1156A c
5、a d e m i c R e s e a r c h学术研究中难度主要在于从各种数据捕获点获取的日志种类和格式不尽相同而且记录格式的灵活度也很大为了实现日志记录的多层次化即需记录网络系统应用和用户等各种行为来全面反映黑客的攻击行为所以在网络攻击行为分析平台之中设置了多个数据捕获点(参见图1)其中主要有以下5 种1.系统审计日志W i n d o w s 系统的系统审计较为丰富可在本地安全策略|本地策略|审核策略中设置各种相关的审计内容 并可通过事件察看器来察看审计日志 这里 我们可以使用微软提供的工具(如d u m p e l.e x e)或手动脚本编程来远程定期备份和格式化H o n e
6、y p o t 主机上的系统日志应用程序日志和安全日志标准的转储日志格式如下所示日期 时间 类别 类型 事件标示符 来源 用户 主机名(非I P 地址)描述而U n i x 系统除了使用w t m p 和u t m p 等文件来记录用户登录注销情况之外(这些容易被攻击者更改或删除)大多通过s y s l o g 服务来进行系统日志记录 重要的是它也可被配置成主动将日志记录转储至远程主机只要在它的配置文件/e t c/s y s l o g.c o n f 中加入类似于以下一些条目即可*.i n f o;m a i l.n o n e;a u t h p r i v.n o n e;c r o
7、n.n o n e a u t h p r i v.*下面所示的是从s s h 端口登录失败时的s y s l o g 记录D e c 1 6 2 0:5 9:0 5 e r i c s s h d(p a m _ u n i x)1 9 1 0 :a u t h e n t i c a t i o n f a i l u r e;l o g n a m e=u i d=0 e u i d=0t t y=s s h r u s e r=r h o s t=1 9 2.1 6 8.3 3.1 1 6 u s e r=r o o t2.应用服务日志这里以W i n d o w s 系统的I I S
8、 W E B 服务为例默认使用W 3 C扩充日志文件格式它的默认记录格式如下日期 时间 客户I P 地址 用户名 服务器I P 地址 服务器端口 方法 U R I 资源 U R I 查询协议状态 用户代理3.防火墙日志使用防火墙系统的主要作用还在于进行数据控制但其完备的日志记录同时也能为数据捕获模块所利用在所构建的攻击行为分析平台中所使用的是一个基于N e t f i l t e r 架构的防火墙软件i p t a b l e s如果加入如下规则/s b i n/i p t a b l e s -t m a n g l e -A P R E R O U T I N G -i e t h 0 -
9、j L O G -l o g-l e v e l 6 -l o g-p r e f i x I N:/s b i n/i p t a b l e s -t m a n g l e -A P R E R O U T I N G -i e t h 1 -j L O G -l o g-l e v e l 6 -l o g-p r e f i x O U T:对任何进出防火墙的连接和传输信息进行记录则所记录的日志格式类似于下例D e c 1 3 2 1:0 9:2 1 e r i c k e r n e l:I N:I N=e t h 0 O U T=M A C=0 0:e 0:4 c:e 2:3 5
10、:1 1:0 0:0 1:3 0:b b:1 3:e 0:0 8:0 0 S R C=2 1 1.8 0.4 2.7 3 D S T=2 0 2.1 2 0.6.3 6 L E N=4 0T O S=0 x 0 0 P R E C=0 x 0 0 T T L=1 2 5 I D=5 0 3 4 8 D F P R O T O=T C P S P T=2 7 1 2 D P T=2 2 2 3W I N D O W=1 7 5 2 0 R E S=0 x 0 0 A C K U R G P=04.入侵检测系统日志入侵检测系统用来进行数据捕获是网络攻击行为分析平台中非常重要的数据捕获点之一这里使用
11、的是一个经典的开放源码I D S 软件S n o r t它几乎可以捕获所有的网络行为 S n o r t 的配置灵活性非常大 可根据各自平台的实际情况进行配置下面所示的是一个较为典型的日志记录格式D e c 1 3 2 1:3 3:5 6 e r i c s n o r t 1 9 2 2 8 :S C A N s y n s c a n p o r t s c a n:2 0 2.5 2.9 9.2 0 3:2 1-1 7 2.1 6.1.1 0 1:2 15.击键记录除了以上所说的各种日志记录方式在所构建的网络攻击行为分析平台中还有一个非常重要的数据捕获点那就是在各个H o n e y p
12、 o t 主机上进行用户击键的记录针对不同的操作系统实现击键记录的技术各不相同在W i n 类H o n e y p o t 主机上一般使用钩子(H o o k)技术来截获键盘消息除此之外C o m l o g 技术也使用较多C o m l o g 技术指的是用一个p e r l 脚本程序替换系统的c m d.e x e 将攻击者在此系统上通过c m d.e x e 执行的命令记录下来并传递给远程日志主机同时将指令参数传递给系统正常c m d.e x e的备份文件加以执行达到欺骗攻击者的目的 而在U n i x 类H o n e y p o t 主机上则一般使用替换s h e l l 的技术
13、即改写系统的默认s h e l l(如/b i n/b a s h)将用户的击键行为记录下来并同时调用执行正常的命令操作这同C o m l o g 技术类似下面的是U n i x 系统中击键日志记录示例D e c 1 3 0 8:4 7:0 5 e r i c -b a s h:H I S T O R Y:P I D=4 1 7 2 U I D=0 l s表1 日志记录行为的层次关系万方数据2004 11 信息安全与通信保密57学术研究A c a d e m i c R e s e a r c h综合分析以上各类的日志记录它们与记录行为的层次关系如表1 所示从表1 可以看出数据捕获较为全面能记
14、录攻击行为的各个层次基本可以重现攻击者所做的一切但随之而来的就是对所有日志进行统一分析将有一定的难度日志的统一分析模型1.日志统一分析的必要性无论是各个H o n e y p o t 主机上的系统应用用户行为日志还是网络行为日志都应该快速进行实时记录然后输出到固定的一台远程主机上去而这台远程主机就必须负责对所有的日志记录分别进行格式化处理和统一归档由于各种日志记录的格式不尽相同这里就需要引入一个预处理模块在归档日志之前进行分类时间归一和格式统一等工作2.统一分析模型在所设计的网络攻击行为分析平台上的日志统一分析模型如图2 所示其中日志分析和存储服务器中有一个预处理模块它应处理如下一些工作分类时
15、间归一化和格式统一化首先从不同数据捕获点中获取的日志应根据记录行为的不同层次来进行分类将其归为网络行为系统行为应用行为用户行为中的一种其次时间归一化是个必不可少的步骤因为统一时间的格式是日后排序和分析日志的前提条件由于各个数据捕获点收集到的日志记录都包含有日期时间这两个字段但彼此的格式不尽相同所以可以统一格式化为G M T T i m e 或者本地时间(L o c a lT i m e)从而为下一步的排序和整合日志做准备这里需注意统一设置和更新各数据捕获点的系统时间否则时间排序就会错乱而不能真实地反映攻击行为流程再次需定义统一的日志合并格式可以参照使用如表2 规范所有的日志记录通过预处理模块之
16、后应针对各自的分类不同开始进行同步合并工作即按照时间先后排序归并即可从而可以清晰分析出攻击的过程和效果若能结合用户行为记录就可进一步获取攻击的手段和样本最后将分类排序合并后的日志记录定期(如每小时)远程备份至另一台数据库服务器中从而可为后续的攻击行为分析存储较为原始和完备的材料日志分析在构建攻击知识库中的应用平时所说的攻击知识库主要包括漏洞库攻击样本库和攻击状态特征库而这里提出的日志分析技术以及日志统一分析模型可用来帮助构建和更新攻击样本库和攻击状态特征库此处需另外添加一个模块对当前从各数据捕获点收集上来的网络行为系统行为应用行为进行实时分析如果当前日志反映的行为匹配或符合已知的攻击状态特征(
17、从攻击状态特征库中查询)则可将相应的攻击事件次数加一(用来进行网络攻击类型统计也可不做)然后简单丢弃而关键部分在于若无任何攻击状态特征匹配则将本条日志存入另外的临时文件以待事后分析并等待防火墙的回馈信息防火墙此时如捕获到异样的外发数据包开始报警或发出其它提示则说明有成功的攻击发生 这时 就需要从原先留档的临时日志文件中人工分析(或使用智能化的日志分析工具)出相关的日志记录并结合H o n e y p o t 中传送出来的击键记录进行分析从中得到攻击者的攻击方法流程和攻击样本(工具代码等)可见日志分析能在构建和更新攻击知识库的工作中发挥着不小的作用当然日志分析技术在其它领域也有相当大的应用空间相
18、信随着时间的推移会有更广阔的应用前景总 结现今网络攻击手段层出不穷不断翻新传统的被动防御概念已经不能适应这种发展趋势攻击行为分析平台正是为了适应主动防御思想而构建的它主要通过诱骗攻击者来学习和研究新的攻击技术而日志分析技术则是其中的关键技术本文通过分析不同种类的日志记录提出了一个实用的日志统一分析模型但是由于日志记录的种类繁多而且灵活性非常大所以一定存在未考虑完备的地方但可在此模型的基础上开发出可实际工作的日志分析模块来辅助构建完善的攻击行为分析平台 表2图2 日志统一分析模型万方数据网络攻击行为分析平台中的日志分析技术网络攻击行为分析平台中的日志分析技术作者:王轶骏,薛质作者单位:刊名:信息安全与通信保密英文刊名:CHINA INFORMATION SECURITY年,卷(期):2004(11)被引用次数:1次 引证文献(1条)引证文献(1条)1.仰石 一种基于数字水印日志的安全审计系统的研究与实现学位论文硕士 2005 本文链接:http:/