APT取证分析中的数据压缩
介绍一旦检测到APT攻击事件,取证分析将使用系统审计日志来快速定位入侵点,并确定攻击的影响。由于APT攻击的高持久性,将存储大量数据以满足取证分析的需要,这不仅带来了巨大的存储开销,而且还急剧增加了计算成本(在现实世界中,政府和企业往往需要同时在数千台机器上收集数据,原始数据量很容易达到PB级)。因此,需要实现数据压缩方法,本文提出了一种通用、高效、实时的系
介绍
一旦检测到apt攻击事件,取证分析将使用系统审计日志来快速定位入侵点,并确定攻击的影响。由于APT攻击的高持久性,将存储大量数据以满足取证分析的需要,这不仅带来了巨大的存储开销,而且还急剧增加了计算成本(在现实世界中,政府和企业往往需要同时在数千台机器上收集数据,原始数据量很容易达到PB级)。因此,需要实现数据压缩方法,本文提出了一种通用、高效、实时的系统日志级数据压缩方法。
针对APT攻击的取证分析
取证分析通常使用系统日志记录实体(例如:进程、文件、套接字)和实体之间的信息流(也称为系统事件,例如:读、写、创建),以有向图(称为溯源图)的形式直观地显示实体之间的依赖关系。如下为一个溯源图的例子:
获取系统日志的方法:
windows-ETW(Event Tracing for Windows)
Linux- Linux audit
取证分析的目的在于:
1)获取攻击的起点——反向分析
2)利用溯源图分析攻击的影响——正向分析
反向分析:当系统中的一个实体被标记为可疑时,在图中迭代搜索目标实体上其他实体的历史角色,直到该实体没有入边
正向分析:从起点开始(起点通常是通过反向分析确定的攻击的入口点),确定哪些实体受到了攻击的影响
方法
本文主要实现了维护全局语义的数据压缩(GS,Global Semantics)和基于可疑语义的数据压缩(SS,Suspicious Semantics )
GS
可以利用源实体的语义属性,以较低的开销删除到同一目标实体的等效信息流。压缩后,剩余的数据仍然保持系统中所有实体之间的依赖关系,而不会丢失语义。
其核心思想为,在源顶点语义不变的前提下,保留对目标顶点有影响的第一个事件
如上图所示,G为原始溯源图,G'为利用GS策略压缩后的溯源图。当t>1时,文件1已经包含来自进程A的数据,随后的写入操作(即t=2,3)不会引入新的语义,可以删除,即删除t=2、3、5、6的事件。
又如上图所示,进程A在时间范围{1,5}内没有变化(假设没有其他顶点对进程A有影响),t=3时的写操作可能会更改文件1的内容,但不会向文件1添加新的语义,因此可以删除t=3,5,4,6的事件。
SS
通过使用实体上下文,自动确定事件是否可疑(即与攻击相关),可以删除与攻击无关的事件。
首先定义可疑语义传播规则,如下图所示(如ID=4的事件表示,若可疑进程将数据写入文件,则该文件将包含可疑语义,该文件也被标记为可疑):
其次还需要自行定义哪些事件是与攻击相关的,本文定义了三种类型:高价值数据流(比如一些隐私文档,涉密文件等)、不受信任的数据流(比如进程与未知站点通信)和不受信任的控制流(可疑代码执行,比如一些高危的命令行语句)
使用SS策略进行数据压缩,如下图所示:
t=1时,进程A读取了可疑文件,进程A将变得可疑,然后t=2的写事件将可疑语义传输到文件1;t=3时,进程A读取与攻击无关的普通文件,相应的事件可以删除。因此,最后的结果为:删除了t=3和t=4的事件,完成了数据压缩
实验结果
数据集是让用户正常使用Windows和Linux系统而生成的系统日志,其中对W-2和L-2两台电脑模拟了真实APT攻击。
下图是针对不同类型的日志事件分别使用GS和SS策略进行数据压缩的压缩比:
原文作者:Tiantian Zhu , Jiayu Wang, Linqi Ruan , Chunlin Xiong , Jinkai Yu, Yaosheng Li, Yan Chen, Fellow, IEEE, Mingqi Lv , and Tieming Chen 原文标题:General, Efficient, and Real-Time Data Compaction Strategy for APT Forensic Analysis 原文链接:https://ieeexplore.ieee.org/abstract/document/9417210 原文来源:IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY 笔记作者:CJRTnT@SecQuan 文章小编:cherry@SecQuan 文章翻译:安全学术圈
腾讯云开发者
