10.19363/J.cnki.cn10-1380/tn.2020.09.03
一种基于污点追踪的系统审计日志压缩方法
近十年来,高级持续性威胁(APT,advanced persistent threat)越来越引起人们的关注.为了防御和检测APT攻击,学者提出了基于系统审计日志的入侵取证方案.系统审计日志可以详细记录主机上的系统调用过程,因此非常适用于入侵取证工作.然而,系统审计日志也有着致命的弊端:日志庞大冗余.再加上APT攻击往往长期潜伏、无孔不入,企业不得不为每台联网主机长期保存日志,因此导致巨大的存储计算成本.为了解决这一问题,本文提出一种模仿二进制动态污点分析的日志压缩方案T-Tracker.T-Tracker首先检测日志内部与外部数据发生交互的系统调用,生成初始污点集合,然后追踪污点在主机内的扩散过程,这个过程中只有污点扩散路径上的系统调用能被保留下来,其余均不保留,从而达到日志压缩的目的.本研究的测试表明,该方案可以达到80%的压缩效果,即企业将能够存储相当于原来数量五倍的日志数据.同时,T-Tracker完整保留了受到外部数据影响的日志记录,因此对于入侵取证而言,可以等价地替换原始日志,而不会丢失攻击痕迹.
高级持续性威胁、入侵取证、系统级审计日志、日志压缩、污点追踪
5
TP309.2(计算技术、计算机技术)
本课题得到中国移动内容分发网络二期工程扩容部分采购内容管理层;青年之星人才计划
2020-11-26(万方平台首次上网日期,不代表论文的发表时间)
共13页
30-42
