论文部分内容阅读
摘要:随着网络技术的发展,网络犯罪现象越来越多。网络取证技术是当今一种热门的动态安全技术,它采用主动出击的方法,搜集犯罪证据,查出入侵的来源,有效地防范网络入侵。针对攻击过程复杂化的特点,提出一种基于时序因果关联的取证分析方法,利用系统中收集的取证数据源(Forensics Data Source,FDS),建立多源时间序列数据集,并分为输入时间序列和输出时间序列两类,利用时序分析技术提取输出变量的攻击事件序列和输入变量的异常点(攻击征兆)序列,建立两者之间的时态关联的传递函数,采用因果关系检验,分析网络入侵证据。
关键词:网络取证;时序因果;时序序列;取证分析
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)22-6172-02
Research on Network Forensics Based on Cause and Effect of Time Series
LI Lian-min1,CAO Feng1, WU Qing-tao1,YUN Gang2
(1.Institute of Electronic and Information Eengineering, Henan University of Science & Technology, Luoyang 471003, China; 2.Equipment Department, Tianjin Datang Panshan Power Generation Co., Ltd. , Tianjing 391907, China)
Abstract: With the development of network, more and more network attacks appear. Network forensic is a dynamic security technology. It collects the proofs of intrusion and finds the source of attacks with the active methods, so it can prevent intrusion effectively. As complicationof attack process, the dissertation proposed forensic analysis method based cause and effect of time series.A principled approach for discovering the precursors of attack in multivariate time series obtained from honeypot data variable.The approach is rooted in time series data mining and in the application of the causality test for selecting variables that are likely contain the precursors of attack.These precursors rules relate precursor events extracted from input time series with malicious events extracted from output time series.
Key words: network forensic; cause and effect; time series; forensic analysis
计算机网络的飞速发展给人们的生活和工作提供了巨大的帮助,加快了人类社会进步的速度。随着社会信息化程度的快速提高,网络犯罪问题也成为一个新的、越来越突出的社会问题。目前的网络安全研究主要集中在安全防御方面,其中的主要技术包括防火墙、入侵检测、安全漏洞扫描,虚拟专用网等。 解决黑客入侵问题,除了预先使用有效的防卫手段以外,还要依靠法律,利用有效的法律手段对黑客行为予以制裁。打击入侵犯罪的最重要的手段,就是网络取证。
1 网络取证概述
网络取证从主动防御的角度保护着网络安全,可以提供法庭需要的证据。网络取证(network forensic)是使用科学的证明方法来收集、融合,发现、检查、关联,分析以及存档数字证据,这些证据涉及多层次的主动处理过程以及数据源的传递过程,其目的是发现有预谋的破坏行为或已经成功的非授权的攻击行为,并为应急事件的响应和系统恢复提供有用的信息。网络取证包含计算机取证,是广义的计算机取证,是网络环境中的计算机取证。网络取证系统对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,它能够真实、连续的获取网络上发生的各种行为;能够完整地保存获取得出取证分析的相关结论,并以证据的形式提到的数据,并且防篡改;对保存的原始证据进行网络行为还原,重视入侵现场 。
尽管网络取证系统与NIDS有许多相似之初,都是在监听模式下,使用协议解析技术和入侵分析技术对网络进行监控,但在设计重点上,两者存在着较大的差异。NIDS的设计重点是准确有效地发现受监控网络的攻击行为,从而进行响应,而网络取证系统旨在获取黑客入侵的法律证据,其涉及的重点在于有效证据的获取。
2 时序因果关联取证分析
2.1 概念与定义
时间序列{x(k)}就是按时间次序排列的单个FDS变量的观测值集,假定两个相邻观测值之间的时间是常数,那么时间序列{x(k)}的第k个元素表示为x(k),其中k=0,1,…,N-1且N代表{x(k)}的元素的个数。
因果关系规则:假定EA和ER为两个事件,若两事件之间存在关系:当EA发生时,ER在此后的时间T内发生,称EA和EB事件存在因果关联关系,EAEB 称为因果关系规则。
征兆关系规则:假定EA和EB为两个事件,若两事件之间存在关系:当EB发生时,EA事件发生在EB事件前的T时间内,称EA和EB事件存在征兆关系,EAEB称为征兆关系规则。其中事件EA为事件EB的征兆事件,EB为EA的后继事件。
因果关系规则和征兆关系规则是时态规则的特例。显然,因果关系规则和征兆关系规则并不完全相同。在征兆关系规则中,EB事件是前件,而在因果关系规则中,EA是前件,因此,征兆关系规则的置信度c (EAEB )反映的是EB发生时之前的T时间内EA发生的概率。
2.2 取证规则挖掘框架
规则提取的框架如图1所示。取证的规则提取就是如何从FDS变量的时间序列数据中发现攻击征兆和攻击征兆的后继事件,并且建立攻击征兆和攻击事件之间的时态关联关系,这实际上就是从时间序列数据集合中发现事件之间的征兆关系规则,属于时间序列数据挖掘的范畴。取证规则的提取是在离线状态下,对管理区域内各节点采集的FDS变量的多源时间序列数据进行挖掘,从输入变量的时间序列集合中挖掘的异常事件(攻击征兆)序列,从输出变量的时间序列中提取攻击事件序列,并建立异常事件序列和攻击事件序列之间的局部时间结构的时态关联关系。其中,FDS数据源包括系统处于攻击状态下、正常运行状态下以及无攻击状态下收集的数据。
2.3 取证规则提取算法和实现过程
取证规则的提取就是从训练数据集合D中挖掘征兆关系规则EAEB,然后利用与征兆关系规则相对应的因果关系规则EAEB作为取证的规则。因此,主动取证规则的构建过程是:首先确定攻击事件EB,然后查找征兆事件EA。即挖掘征兆关系规则,应用因果关系规则检测。
在取证规则提取过程中,事件EA和EB分别来源于两个不同的时间序列集合。如果c(EAEB)=1,表明当EB发生时,EA总是在EB事情发生时间之前的T时间内发生,EA事件可以看作是EB发生的征兆。因而,构建取证规则就是当EB事件发生时,从之前发生的所有事件序列找出置信度最高的事件EA作为事件EB征兆,建立征兆关系规则,与之相对应的因果关系规则EAEB即为取证规则。
攻击事件特征化:基于输出变量的时间序列的特征轮廓,确定检测门限β。特征轮廓是个简单的B个时间序列{ξb(k)}(b=1,2,…,B)在没有发生攻击事件期间收集的数据集合。选定β=Gmaxbmaxk{ξb(k)},G>>1,攻击事件序列为EB={y(k)>β}。
输入变量的选择:对每个候选的输入变量ui,计算所有输入-输出变量对(ui,yj),i=1,2,…,m2,j=1,2,…,m1,的Granger因果关系索引系数g。因果关系索引系数g的计算利用Granger因果关系检验(Granger Causality Test,GCT)实现。
攻击征兆特征化:输入变量用于发现时间序列的局部时间的入侵征兆,为确保输入变量的攻击征兆不会在正常状态下出现,对所选的输入变量进一步优化。假定从m2个候选输入变量中选择了m3个输入变量ui,i=1,2,…,m3,通常m3<αi时,则输入变量的攻击征兆事件序列为EA={μi (k)>αi}。
3 试验与结果 - DDoS攻击的取证规则提取
3.1 DDoS攻击与FDS变量数据收集
DDoS 攻击可对单个或多个目标发起大规模的协同攻击。典型的DDoS 攻击体系由攻击者(Attacker)、主控机(Master)、实施攻击的代理机(Slaves)、被攻击的目标主机(Victim)形成四个层次。主控机和攻击代理机分别实施控制和发起实际攻击,对目标主机而言,DDoS攻击包实际来自于攻击代理机,而主控机只发布命令,不参与实际的攻击。攻击者把攻击程序植入主控机和攻击代理机上,实现对它们的控制。
数据收集网络环境中,网络中所有的节点都连接到以太网上。DDoS攻击工具采用TFN2000,TFN2000发起Ping Flood攻击。蜜罐系统通过SNMP-Agent同时从Slaves4、Slaves5和Target三个监控节点采集FDS变量的数据,FDS变量包括ip组、icmp组、tcp组和udp组的64个变量。
3.2 试验结果
根据取证规则提取实现算法和步骤,对FDS变量的数据集合进行相关的分析和计算,得到TFN2000 Ping Flood攻击的取证规则。
4 结束语
随着网络安全重要性的提高,要解决安全问题不仅仅从防御的角度来处理,还应该从法律的角度来考虑。而取证问题是网络诉讼的核心。网络取证及其相关技术在在国内发展的时间并不长,技术和性能方面还存在很多问题,网络取证还没有形成一个成熟的、系统的、规范的体系,很多新技术在不断的发展中。
但是可以看到,取证技术已成为打击网络犯罪的有效手段,在网络安全领域有很重要的意义。本文是取证技术的一个重要研究内容,针对现有取证规则存在的问题,提出了一种基于时间序列数据挖掘的取证规则构建方法。详细论述了取证规则自动提取的相关理论和实现步骤,并通过DDoS攻击的取证规则提取实例验证了方法的有效性。试验中,利用蜜罐系统的FDS数据源,该数据源包括系统处于攻击状态下、正常运行状态下以及无攻击状态下收集的数据,将FDS变量数据集合分为输入时间序列和输出时间序列两类。通过提取输出变量的攻击事件和输入时间序列的异常点信息(攻击征兆),基于因果关系检验,建立两者之间的时态关联关系,构建取证规则。
参考文献:
[1] 高献伟,郑捷文,杨泽明.智能网络取证系统计[J].计算机仿真,2006,23(3):95-98.
[2] 吴庆涛.基于时间序列数据挖掘的主动入侵检测研究[D].华东理工大学博士学位论文,2006,(4):71-83.
[3] 刘宝旭,许榕生.黑客入侵防范体系的设计与实现[J].计算机工程,2003,29(12):34-36.
[4] G. Das, K. I. Lin, H. Mannila.Rule Discovery from Time series[A] .Proceeding of the 4th International Conference on Knowledge Discovery and data mining[C].1998:16-22.
[5] C. S. Chao, D. L. Yang.A LAN Fault Diagnosis System [J].Computer Communications,2001,24(14): 1439-1451.
[6] J. B. Peter, A. D. Richard. Time Series: Theory and Methods [M].Springer-Verlag,New York,2001.
关键词:网络取证;时序因果;时序序列;取证分析
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)22-6172-02
Research on Network Forensics Based on Cause and Effect of Time Series
LI Lian-min1,CAO Feng1, WU Qing-tao1,YUN Gang2
(1.Institute of Electronic and Information Eengineering, Henan University of Science & Technology, Luoyang 471003, China; 2.Equipment Department, Tianjin Datang Panshan Power Generation Co., Ltd. , Tianjing 391907, China)
Abstract: With the development of network, more and more network attacks appear. Network forensic is a dynamic security technology. It collects the proofs of intrusion and finds the source of attacks with the active methods, so it can prevent intrusion effectively. As complicationof attack process, the dissertation proposed forensic analysis method based cause and effect of time series.A principled approach for discovering the precursors of attack in multivariate time series obtained from honeypot data variable.The approach is rooted in time series data mining and in the application of the causality test for selecting variables that are likely contain the precursors of attack.These precursors rules relate precursor events extracted from input time series with malicious events extracted from output time series.
Key words: network forensic; cause and effect; time series; forensic analysis
计算机网络的飞速发展给人们的生活和工作提供了巨大的帮助,加快了人类社会进步的速度。随着社会信息化程度的快速提高,网络犯罪问题也成为一个新的、越来越突出的社会问题。目前的网络安全研究主要集中在安全防御方面,其中的主要技术包括防火墙、入侵检测、安全漏洞扫描,虚拟专用网等。 解决黑客入侵问题,除了预先使用有效的防卫手段以外,还要依靠法律,利用有效的法律手段对黑客行为予以制裁。打击入侵犯罪的最重要的手段,就是网络取证。
1 网络取证概述
网络取证从主动防御的角度保护着网络安全,可以提供法庭需要的证据。网络取证(network forensic)是使用科学的证明方法来收集、融合,发现、检查、关联,分析以及存档数字证据,这些证据涉及多层次的主动处理过程以及数据源的传递过程,其目的是发现有预谋的破坏行为或已经成功的非授权的攻击行为,并为应急事件的响应和系统恢复提供有用的信息。网络取证包含计算机取证,是广义的计算机取证,是网络环境中的计算机取证。网络取证系统对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,它能够真实、连续的获取网络上发生的各种行为;能够完整地保存获取得出取证分析的相关结论,并以证据的形式提到的数据,并且防篡改;对保存的原始证据进行网络行为还原,重视入侵现场 。
尽管网络取证系统与NIDS有许多相似之初,都是在监听模式下,使用协议解析技术和入侵分析技术对网络进行监控,但在设计重点上,两者存在着较大的差异。NIDS的设计重点是准确有效地发现受监控网络的攻击行为,从而进行响应,而网络取证系统旨在获取黑客入侵的法律证据,其涉及的重点在于有效证据的获取。
2 时序因果关联取证分析
2.1 概念与定义
时间序列{x(k)}就是按时间次序排列的单个FDS变量的观测值集,假定两个相邻观测值之间的时间是常数,那么时间序列{x(k)}的第k个元素表示为x(k),其中k=0,1,…,N-1且N代表{x(k)}的元素的个数。
因果关系规则:假定EA和ER为两个事件,若两事件之间存在关系:当EA发生时,ER在此后的时间T内发生,称EA和EB事件存在因果关联关系,EAEB 称为因果关系规则。
征兆关系规则:假定EA和EB为两个事件,若两事件之间存在关系:当EB发生时,EA事件发生在EB事件前的T时间内,称EA和EB事件存在征兆关系,EAEB称为征兆关系规则。其中事件EA为事件EB的征兆事件,EB为EA的后继事件。
因果关系规则和征兆关系规则是时态规则的特例。显然,因果关系规则和征兆关系规则并不完全相同。在征兆关系规则中,EB事件是前件,而在因果关系规则中,EA是前件,因此,征兆关系规则的置信度c (EAEB )反映的是EB发生时之前的T时间内EA发生的概率。
2.2 取证规则挖掘框架
规则提取的框架如图1所示。取证的规则提取就是如何从FDS变量的时间序列数据中发现攻击征兆和攻击征兆的后继事件,并且建立攻击征兆和攻击事件之间的时态关联关系,这实际上就是从时间序列数据集合中发现事件之间的征兆关系规则,属于时间序列数据挖掘的范畴。取证规则的提取是在离线状态下,对管理区域内各节点采集的FDS变量的多源时间序列数据进行挖掘,从输入变量的时间序列集合中挖掘的异常事件(攻击征兆)序列,从输出变量的时间序列中提取攻击事件序列,并建立异常事件序列和攻击事件序列之间的局部时间结构的时态关联关系。其中,FDS数据源包括系统处于攻击状态下、正常运行状态下以及无攻击状态下收集的数据。
2.3 取证规则提取算法和实现过程
取证规则的提取就是从训练数据集合D中挖掘征兆关系规则EAEB,然后利用与征兆关系规则相对应的因果关系规则EAEB作为取证的规则。因此,主动取证规则的构建过程是:首先确定攻击事件EB,然后查找征兆事件EA。即挖掘征兆关系规则,应用因果关系规则检测。
在取证规则提取过程中,事件EA和EB分别来源于两个不同的时间序列集合。如果c(EAEB)=1,表明当EB发生时,EA总是在EB事情发生时间之前的T时间内发生,EA事件可以看作是EB发生的征兆。因而,构建取证规则就是当EB事件发生时,从之前发生的所有事件序列找出置信度最高的事件EA作为事件EB征兆,建立征兆关系规则,与之相对应的因果关系规则EAEB即为取证规则。
攻击事件特征化:基于输出变量的时间序列的特征轮廓,确定检测门限β。特征轮廓是个简单的B个时间序列{ξb(k)}(b=1,2,…,B)在没有发生攻击事件期间收集的数据集合。选定β=Gmaxbmaxk{ξb(k)},G>>1,攻击事件序列为EB={y(k)>β}。
输入变量的选择:对每个候选的输入变量ui,计算所有输入-输出变量对(ui,yj),i=1,2,…,m2,j=1,2,…,m1,的Granger因果关系索引系数g。因果关系索引系数g的计算利用Granger因果关系检验(Granger Causality Test,GCT)实现。
攻击征兆特征化:输入变量用于发现时间序列的局部时间的入侵征兆,为确保输入变量的攻击征兆不会在正常状态下出现,对所选的输入变量进一步优化。假定从m2个候选输入变量中选择了m3个输入变量ui,i=1,2,…,m3,通常m3<
3 试验与结果 - DDoS攻击的取证规则提取
3.1 DDoS攻击与FDS变量数据收集
DDoS 攻击可对单个或多个目标发起大规模的协同攻击。典型的DDoS 攻击体系由攻击者(Attacker)、主控机(Master)、实施攻击的代理机(Slaves)、被攻击的目标主机(Victim)形成四个层次。主控机和攻击代理机分别实施控制和发起实际攻击,对目标主机而言,DDoS攻击包实际来自于攻击代理机,而主控机只发布命令,不参与实际的攻击。攻击者把攻击程序植入主控机和攻击代理机上,实现对它们的控制。
数据收集网络环境中,网络中所有的节点都连接到以太网上。DDoS攻击工具采用TFN2000,TFN2000发起Ping Flood攻击。蜜罐系统通过SNMP-Agent同时从Slaves4、Slaves5和Target三个监控节点采集FDS变量的数据,FDS变量包括ip组、icmp组、tcp组和udp组的64个变量。
3.2 试验结果
根据取证规则提取实现算法和步骤,对FDS变量的数据集合进行相关的分析和计算,得到TFN2000 Ping Flood攻击的取证规则。
4 结束语
随着网络安全重要性的提高,要解决安全问题不仅仅从防御的角度来处理,还应该从法律的角度来考虑。而取证问题是网络诉讼的核心。网络取证及其相关技术在在国内发展的时间并不长,技术和性能方面还存在很多问题,网络取证还没有形成一个成熟的、系统的、规范的体系,很多新技术在不断的发展中。
但是可以看到,取证技术已成为打击网络犯罪的有效手段,在网络安全领域有很重要的意义。本文是取证技术的一个重要研究内容,针对现有取证规则存在的问题,提出了一种基于时间序列数据挖掘的取证规则构建方法。详细论述了取证规则自动提取的相关理论和实现步骤,并通过DDoS攻击的取证规则提取实例验证了方法的有效性。试验中,利用蜜罐系统的FDS数据源,该数据源包括系统处于攻击状态下、正常运行状态下以及无攻击状态下收集的数据,将FDS变量数据集合分为输入时间序列和输出时间序列两类。通过提取输出变量的攻击事件和输入时间序列的异常点信息(攻击征兆),基于因果关系检验,建立两者之间的时态关联关系,构建取证规则。
参考文献:
[1] 高献伟,郑捷文,杨泽明.智能网络取证系统计[J].计算机仿真,2006,23(3):95-98.
[2] 吴庆涛.基于时间序列数据挖掘的主动入侵检测研究[D].华东理工大学博士学位论文,2006,(4):71-83.
[3] 刘宝旭,许榕生.黑客入侵防范体系的设计与实现[J].计算机工程,2003,29(12):34-36.
[4] G. Das, K. I. Lin, H. Mannila.Rule Discovery from Time series[A] .Proceeding of the 4th International Conference on Knowledge Discovery and data mining[C].1998:16-22.
[5] C. S. Chao, D. L. Yang.A LAN Fault Diagnosis System [J].Computer Communications,2001,24(14): 1439-1451.
[6] J. B. Peter, A. D. Richard. Time Series: Theory and Methods [M].Springer-Verlag,New York,2001.