欢迎来到天天文库
浏览记录
ID:9819156
大小:250.13 KB
页数:5页
时间:2018-05-10
《一种基于日志关联的网络攻击追踪系统模型》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、万方数据第9卷第4期重庆科技学院学报(自然科学版)2007年12月一种基于日志关联的网络攻击追踪系统模型刘必雄1·2魏连2许榕生2·3(1福建农林大学计算机与信息学院,福州350002;2福州大学数学与计算机学院福州350002;3.中国科学院高能物理研究所网络安全实验室,北京100049)摘要:在论述日志关联分析平台的体系结构与功能模块的基础上.提出一种新的网络攻击追踪系统模型。阐述该模捌的总体结构与工作流程,提出基于登录链的追踪算法。模拟实验结果表明,该模型能够在可控网络内准确地找到攻击者的真实位置以及攻击路径。最后.分析系统可能存在的问题,并提出解决方案。美
2、键词:关联分析;登录链;攻击追踪;追踪算法中圈分类号:TY39308文献标识码:A文章编号:1673—1980(2007)04--008I—040引言网络攻击追踪技术以定位攻击者的真实位置,并推断出其在网络中的攻击路线为目标【lI。目前,主要的网络攻击追踪技术有以下三种:①以ICMP追踪法为代表的IP报文攻击追踪技术.它利用路由器“报文中转站”的特点,获得大量的信息,从而追溯到发送带有假冒源地址的报文的攻击者真实位置121:②以身份识别系统CISIE为代表的基于主机的攻击追踪技术。它通过审汁和监视经过主机的网络报文以及与其它主机的交互情况。来实现追踪地址欺骗的主机
3、,从而避免系统遭到非法用户登录造成的影响m:③以“指纹(Thumbprint)”技术14与。TCPCon—nectionChain”技术h8为代表的基于网络的攻击源追踪技术.它通过分析主机之间TCP连接的属性和特征.采用信息摘录技术把攻击报文和其它报文区别开来.从而发现攻击报文在网络中的传送路径。这些追踪技术都有各自的优点.在某些特定的环境下.能有效地追踪到攻击源.对网络攻击者起到一定的威慑作用.从而迫使攻击者为了防止被追踪而减少或停止攻击行为。然而上述的三种技术都存在不足之处,追踪线索均来自攻击报文.一旦攻击结束,报文在信道中消失。就无法继续追踪下去。因此.这些
4、方法只能用于追踪正在发生的网络攻击.实时性要求强,没有事后追踪的能力。为了弥补上述三种技术不能用于事后追踪的缺陷,笔者在参加“安全综合审计的日志采集与取证分析技术、网络审计与取证技术的研究与开发”课题的基础上.以日志综合关联分析平台采集到的主机、服务器、安全设备以及网络设备的日志数据为基础.通过对各类日志记录进行综合关联分析,从而发现计算机与网络的攻击行为以及攻击者的信息。另外.攻击者通常都不是直接从自己的系统向攻击目标进行攻击,而是利用网络的漏洞。先攻破几个中同系统,然后再利用这些中间系统来完成对目标的攻击。为此,我们从目志记录中提取登录信息,通过构造“登录链”
5、来追踪攻击者的真实位置。这种方法既可以对正在进行的攻击行为进行追踪,也可以对攻击结束的攻击行为进行追踪.是计算机取证工作的有力补充。1日志关联分析系统基本构架日志关联分析系统的主要功能是对可控网络内各种类型的日志数据(包括操作系统日志、数据库日志、网络设备日志以及典型应用系统的日志)进行统一提取与管理.从大量的日志信息中获取有用的信息,并通过关联分析来发现系统的异常情况以及攻击行为。系统通过运行于各个主机结点(主机、服务器宿主机、设备控制服务器统称为结点)的Agent程序来实现日志的采集与分析功能。根据网络的架构.系统采用三层分布式结构来实现。为此我们设计了相应的
6、三级分析器。这三级分析器分别是结点收稿日期:2007-06—20基金项目:国家自然科学基金项目资助(704710EⅢ;福建农林大学青年教师科研基金资助项目(06A16)作者简介:刘必雄(1979-),男,福建平潭人.讲师.硕士研究生.研究方向为网络安全。·81万方数据刘必雄,魏连,许榕生:一种基于日志关联的网络攻击追踪系统模型级日志提取分析器(HLA)、子网级13志关联分析器(SHL)以及网络级日志关联分析器(NLA),系统基本架构如图l所示:NLA:阿络级日志关联分析器SLA:子罔级日志关联分析器HLA:结点组日志提取分析器图1日志关联分析系统结构圈(1)结点级
7、日志提取分析器(HLA)。负责对所控制的主机结点上的原始日志数据进行采集、过滤、格式化并根据规则库中的规则进行模式匹配分析。如果发现攻击行为.则生成攻击信息,并将攻击信息发送到SLA。(2)子网级日志关联分析器(SLA)。负责管理和控制子网内的各个HLA运行。接收HLA发送来的已处理过的日志记录以及攻击信息。将多种日志信息进行融合与关联分析.进一步发现攻击行为。一旦接收到HLA发送的攻击信息或自己检测到攻击信息.就启动攻击源追踪功能,先在子网范围内展开搜索,然后再向NLA发送进一步追踪请求。(3)网络级日志关联分析器(NLA)。负责管理和控制网络内的各个SLA运行
8、。接收各个
此文档下载收益归作者所有