论文部分内容阅读
随着信息技术的发展,计算机网络已经成为人们日常学习和工作中必不可少的一部分,其安全性得到了越来越多的重视。然而由于计算机系统的复杂性以及利益的驱使,攻击始终没有间断过,而且呈现出自动化、智能化和专业化的趋势。传统的安全措施既无法确保系统的安全,又无法在系统遭受入侵后给出有效的分析与恢复方法。
入侵关联分析是在系统发生入侵后,根据入侵行为之间的依赖关系,重建系统入侵事件。依赖图是展现分析结果的一种行之有效的手段。现存的依赖图分析方法大多建立在原始的系统日志基础之上,系统负载高,生成的依赖图庞大,包含因为分析粒度不够而引起的错误的间接依赖关系,使得很难从中获取有效信息。本文在对系统行为分级审计的基础之上,对系统对象进行细粒度的分析,使生成的依赖图更加简洁、准确,并利用依赖图为系统恢复和入侵防范提供指导。本文的主要研究内容包括:
1.总结了入侵关联的分析方法。根据分析对象的不同,可将入侵关联分析分为警报关联分析和日志关联分析。本文介绍了两种方法的主要思想,指出了日志关联分析存在的优势,对比总结了依赖图的生成方法,并分析了其中存在的难点和问题。
2.提出了基于分级系统行为审计的依赖图生成方法。基于原始系统日志的入侵分析包含不必要的依赖关系,导致生成的依赖图过于庞大。本文在分析中,关注高威胁等级的系统调用,对系统主体进行细粒度的分析,并提供文件和目录过滤机制,使得生成的依赖图更加简单、准确。此外,对依赖图的生成提出了优化方法。
3.实现了基于依赖图的受损文件恢复。通过入侵分析生成的依赖图能够分析受入侵影响的系统文件。本文结合FUSE实现了版本文件系统FRFS,对文件操作进行细粒度划分,并对文件修改操作记录undo日志,在恢复时分别进行恢复,有效地减少了恢复步骤,提高了恢复效率。
4.研究了基于依赖图的安全分析和优化方法。将依赖图与系统漏洞信息相结合,有助于确定入侵者成功入侵所利用的系统漏洞,建立系统可被攻击者利用的本地攻击图,能够评估系统的脆弱性,为系统安全加固和优化提供参考。