本文介绍了进程着色技术,用于快速识别蠕虫病毒的入侵点和污染。通过为远程访问服务分配颜色标识,颜色扩散模型帮助减少日志分析开销。基于虚拟机的自省技术确保了防伪日志收集,该方法在蠕虫入侵调查中表现出高效性。通过实验,验证了进程着色在减少日志数据、提高分析速度和准确性方面的优势。
Provenance-Aware Tracing of Worm Break-in and Contaminations: A Process Coloring Approach(CCF B)
1.Abstract
为了研究自传播网络蠕虫的利用和污染,需要一种来源感知的跟踪机制。来源不明导致难以快速准确地识别蠕虫的入侵点(即,在受感染的主机中运行的远程可访问的脆弱服务),并且会引起大量的日志数据检查开销。本文介绍了一种基于源头感知的蠕虫入侵和污染追踪方法——进程着色(Process Coloring)法的设计、实现和评价。
更具体地说,进程着色为每个远程访问的服务器或进程分配了一个“颜色”,一个唯一的系统范围的标识符。颜色将被派生的子进程继承或通过进程动作间接扩散(例如读或写操作)。
1.1进程着色
进程着色带来了两个优点:
- 它可以在详细的日志分析之前,快速基于颜色来识别被蠕虫利用的断点.
- 根据关联的颜色对日志数据进行自然分区,有效地减少了需要检查的日志数据量,相应地减少了调查的日志处理开销
1.2基于虚拟机的自省技术
基于虚拟机自省技术(introspection technique),开发了一种防伪的日志收集方法.
2.Introduction
2.1对抗蠕虫病毒的要点
在对抗蠕虫时,以下任务对了解蠕虫的利用细节和从蠕虫污染中恢复受感染的宿主至关重要:
- 确定入侵点,即蠕虫通过其感染受害者的脆弱的、远程可访问的服务.
- 确定蠕虫在受害者体内驻留期间造成的所有污染和损害。要执行这些任务,需要进行各种入侵分析.
2.2基于日志的入侵分析工具的挑战
- 许多工具依赖于外部确定的检测点,从检测点开始对入侵的入侵点进行取证调查。然而,由于蠕虫“从感染到检测”的持续时间可能很长,当这样的检测点被识别时,可能需要几天或几周的时间。因此,希望日志数据包含更多的信息,并提供“线索”,以发起更及时的调查。
- 当前操作系统缺乏在日志分析之前对日志数据进行预分类的来源感知机制,系统产生的日志数量巨大,未分类的大容量日志数据可能会导致蠕虫调查持续时间长、开销大。尽管人工调查人员可以提供启发式方法(如Backtracking Intrusions中的“过滤规则”)来减少要检查的日志空间,但这种启发式方法可能会导致蠕虫调查结果的不准确或不完整
- 许多基于日志的工具没有解决防伪日志收集,而这在处理高级蠕虫时至关重要。
2.3 进程染色的提出
在本文中,我们提出了进程着色的设计、实现和评价,这是一种有效的来源感知方法,蠕虫入侵和污染调查。更具体地说,进程着色将一个“颜色”,一个唯一的系统范围的标识符,关联到每个远程访问的服务器或进程——一个潜在的蠕虫入侵点。颜色将直接继承任何派生的子进程,或通过进程的操作间接扩散(例如,读或写操作)。结果,任何进程或对象(例如,文件或目录)受彩色进程影响将被相同的颜色污染,这在相应的日志条目中被记录。工艺着色自然带来以下两个关键优势:
- Color-based identification of a worm’s break-in point(基于颜色的蠕虫侵入点识别):原来的脆弱服务被蠕虫利用作为侵入点,所有被蠕虫感染的进程和被污染的对象都将被与原来的脆弱服务相同的颜色所污染。通过简单地检查任何与蠕虫相关的日志条目或任何受蠕虫影响的对象的颜色,在详细的日志分析之前,可以立即确定相应蠕虫的切入点(通过被不同的颜色污染来判断是受到了哪个侵入点的影响,注意是不同的侵入点不同的颜色)。
- Natural partition of log data(日志数据的自然分类):不需要再查看全部的日志,只需要查看被染上了相同颜色的日志就可以,这样可以减少相关日志数据的数量,减少开销。
2.4 防伪日志收集
本文的模型解决了防伪日志数据记录的重要要求。虚拟机技术,如VMwareDenali、Xen和User-Mode Linux (UML),提供了比系统调用钩子机制更好的检测工具,可以安全地获取和收集内部状态,包括蠕虫利用和污染信息。采用了一种类似于tolivewire[28]的技术,并为umlvirtual machinemonitor(VMM)开发了一个扩展,用于防伪登录
最低0.47元/天 解锁文章
175
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
