(论文笔记03. LogGC: Garbage Collecting Audit Log(CCF A) 2013)

于 2021-11-10 00:08:45 发布
阅读量593 收藏
点赞数
分类专栏: 论文笔记 笔记 文章标签: 安全 图论
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ll14856lk/article/details/121207980
版权

LogGC: Garbage Collecting Audit Log(CCF A)

1.Abstract

  1. 基于日志审计取证的关键挑战是:产生日志文件的大小(每天可能会以Gigabytes的速率增加)
  2. 提出方法:本文提出了一种LogGC,一种带有垃圾收集能力(Garbage Collecting)的审计日志系统。
  3. 效果:可以大大减少系统事件之间的假依赖,以提高GC的效率。我们的结果表明,对于普通用户系统,LogGC可以减少14倍的审计日志大小,而对于服务器系统,LogGC可以减少37倍的审计日志大小,而不影响取证分析的准确性

2.Introduction

系统级别的审计日志可以记录应用与底层操作系统之间的交互(如文件读写,进程创建复制等等),在攻击取证中,审计日志对因果图的构建至关重,

  1. 因果图显示了系统级对象(例如,文件和套接字)和主题(例如,进程)之间的因果关系,包括过去存在的对象。
  2. 因果图可以用来跟踪攻击的根本原因。在系统中观察到可疑症状(例如,僵尸进程)时,
  3. 最初的发作可能发生在症状观察之前的几天甚至几周。因此,需要审计日志和导出的因果图来揭示攻击路径。此外,因果图将揭示攻击造成的损害或污染。

目前研究工作重点在于如何根据审计日志来生成一个准确完成的因果图,本文指出基于审计日志的攻击分析取证的一个痛点在于审计日志的真实大小,本研究的重点放在了审计日志数量的缩减上,研究发现在审计日志中的一些事件实体是可以在不影响未来的取证分析的前提下移除的,这些条目是关于系统对象(如文件、套接字)上的操作,这些操作既不影响也不受其他进程或系统对象的影响,我们将这种称为unreachable objects:我们对一台实验室机器进行了为期六天的监控,观察到每天超过94%的被访问对象被销毁(或终止),超过80%的被销毁对象(Objects)的生命周期非常短,通常只在单个进程内。这些对象很可能是不可访问的,这表明有减少日志的空间(这些对象访问了就被销毁,而且这些对象的生命周期很短)。

The main contributions of LogGC are the following(主要贡献):

  1. 开发了一个基本的GC算法,直接在审计日志上工作,每个日志都是一个平坦的事件序列。在系统执行期间,可以随时调用该算法,获取当前审计日志并生成新的和减少的审计日志
  2. 基本GC算法是对经典的基于可达性的内存GC算法(不能支持正向分析)的改进,取证分析的一个重要要求是理解攻击分支,这需要支持因果分析,因此本文对该算法提出了一个新的扩展。
  3. 为了提高GC效率,利用以前的技术BEEP将一个进程划分为多个执行单元。还提出了一种新技术,通过在一小组代码位置上检测用户应用程序来发出额外的系统事件,将数据文件划分为逻辑数据单元。因此,可以实现更好的精度,并且可以暴露出更多不可达事件并进行垃圾收集(第4节)。
  4. 提出利用应用程序自己的日志文件进一步删除审计日志中的事件条目。
  5. 我们在一组真实应用程序上对LogGC进行了广泛的评估。我们的结果表明,对于客户端系统,LogGC可以垃圾收集92.89%的原始审计日志,对于服务器系统,可以垃圾收集97.35%的原始审计日志。此外,通过一些案例研究,我们表明,减少日志在取证分析中同样有效。

Assumptions

  1. 我们认为操作系统是可以信任的,因为LogGC的收集,存取,修剪审计日志都是在内核级别的(kernel-level)
  2. 我们认为在LogGC一开启的时候,系统是“干净(clean)”,也就是说这个时候还没有攻击compromised。

以上的假设是已经存在的系统级的审计工具的一种标准假设。

3 BASIC DESIGN

设计思路:许多应用程序在执行过程中创建并操作临时文件。这些文件在应用程序终止后被销毁。因此,这些文件不会影响未来的系统行为,因此,在图中保留它们的来源是不必要的(比如一个程序读了一个信息,但是并没有存储这个信息,只是将该信息显示了出来)

设计原理:我们将root对象定义为调用LogGC时的活动进程和文件(具体是什么意思?)。然后在审计日志中向后遍历。如果任何root对象直接或传递地依赖于已记录的事件,则将该事件标记为可达,最后,将所有不可达的日志项从审计日志中删除。本文提出的算法将操作日志文件,这是一个线性的事件序列。

事件分类
在解释算法之前先将要处理的Event分成三类Event,算法会对不同的Event进行不同的处理,如下图所示:
在这里插入图片描述
Input events:从输入设备接收数据。
Output events:对其他系统对象产生影响,并且这个影响将持续到事件完成之后。
dead-end events:它只对事件中直接涉及的对象产生影响,并且不会在系统的后续执行中产生依赖关系(比如writes to stdout输出到屏幕)。

Algorithm 1

最低0.47元/天 解锁文章
NUAAYYMM
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
你看懂 Elasticsearch Log 中的 GC 日志了吗?
weixin_34292287的博客
09-22 1836
如果你关注过 elasticsearch 的日志,可能会看到如下类似的内容: [2018-06-30T17:57:23,848][WARN ][o.e.m.j.JvmGcMonitorService] [qoo--eS] [gc][228384] overhead, spent [2.2s] collecting in the last...
yarn-auditlog-parser:Yarn的hdfs-audit.log的日志文件解析,从ip,用户名,时间段维度对hdfs的qps量进行统计
05-09
yarn-auditlog-parser Yarn的hdfs-audit.log的日志文件解析,从ip,用户名,时间段维度对hdfs的qps量进行统计 原理介绍 此工具用于分析hdfs-audit日志文件中的hdfs请求,比如下面是一条完整的记录 2015-09-09 05:29:54,727 INFO FSNamesystem.audit: allowed=true ugi=data (auth:SIMPLE) ip=/192.128.10.15 cmd=open src=/user/data/.staging/job_1441718170682_2949/job.jar dst=null perm=null proto=rpc 解析程序主要抽取出其中的时间,ugi用户信息,ip地址信息,cmd操作命令信息,然后进行各个维度统计. 下面是几种使用方法 1.用户分时段统计 java -j
gc日志一般关注什么_科普:教你如何看懂 JavaGC 日志
weixin_29798379的博客
01-13 253
imageJVM GC 相关的参数-XX:+PrintGC 输出 GC 日志-XX:+PrintGCDetails 输出 GC 的详细日志-XX:+PrintGCTimeStamps 输出 GC 的时间戳(以基准时间的形式)-XX:+PrintGCDateStamps 输出 GC 的时间戳(以日期的形式,如 2013-05-04T21:53:59.234+0800)-XX:+PrintHeapAt...
java gc loggc_JVM GC日志分析及性能优化
weixin_39912368的博客
02-16 359
重新认知JVM:通过前面从Class文件到类装载器,再到运行时数据区的过程。我们画张图展示了JVM的大体物理结构图。GC优化:内存被使用了之后,难免会有不够用或者达到设定值的时候,就需要对内存空间进行垃圾回收。GC是由JVM自动完成的,根据JVM系统环境而定,所以时机是不确定的。 当然,我们可以手动进行垃圾回收,比如调用System.gc()方法通知JVM进行一次垃圾回收,但是具体什么时刻运行也无...
linux audit 日志解析,一种用于Linux的audit日志分析方法与流程
weixin_39710361的博客
05-03 602
技术特征:1.一种用于Linux的audit日志分析方法,其特征在于,通过在Linux操作系统中进行Audit的配置及分析,从Audit子系统中查看系统事件,搜索确定安全裂口;其实现过程主要包括如下步骤:1)audit服务端安装,2)audit客户端配置,3)修改audit规则,4)audit分析。2.根据权利要求1所述一种用于Linux的audit日志分析方法,其特征在于,所述1)audit服务...
java.lang.OutOfMemoryError: Java heap space 解决方法
07-23
1. 使用 Java 提供的垃圾回收机制:Java 提供了多种垃圾回收机制,例如 generational garbage collection、parallel garbage collection 等。 2. 使用外部工具:例如使用 Eclipse 的 Memory Analyzer Tool (MAT) ...
记录java.lang.OutOfMemoryErrorJava heap space的情况.docx
06-17
当JVM在执行垃圾收集(Garbage Collection, GC)过程中,如果98%的时间用于GC,并且剩余的堆内存不足以满足2%的需要,就会抛出`java.lang.OutOfMemoryError: Java heap space`。这可能由以下原因导致: 1. 创建了...
gc.tar.gz_garbage_garbage collection_回收站_垃圾回收
09-20
在IT行业中,垃圾回收(Garbage Collection,简称GC)是一项重要的技术,特别是在使用像Java、Python、Ruby等高级编程语言时。垃圾回收是自动管理内存的一种机制,它负责监测和释放不再使用的内存空间,以防止内存...
otus.ru:otus.ru
02-25
9. **.NET框架**:C#是.NET框架的一部分,了解.NET库、Common Language Runtime (CLR) 和Garbage Collector的工作原理,对于编写高效代码至关重要。 10. **ASP.NET**:如果OTUS.ru的课程涉及到Web开发,那么ASP.NET...
org.eclipse.equinox.p2.garbagecollector..jar
04-26
Eclipse-plugins 插件,eclipse 各种插件 .jar 包,免费下载 eclipse202106 -plugins 各种插件 .jar 包,免费下载 如果下载不了,关注我,评论区联系我, Eclipse-plugins eclipse, plugins, eclipse202106, ...
auditd日志分析方法
weixin_38637595的博客
05-22 2864
auditd是监听目录下的文件操作 你可以通过auditd配置你要监听的目录,之后对这个目录下的操作会记录到autitd的日志中 这里先不讲如何去配置auditd,这里讲如何去分析auditd日志 auditd原理简介 首先我们创建文件也好,删除文件也好,都是由进程帮我们去执行的 linux内核提供接口,可以查询进程对文件的操作 autitd记录的就是文件操作时涉及到的数据记录下来 所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作 本文只分享分析方法,这里就讲得粗糙些 怎么去分析 这
JVM 之 GC日志分析
蓝天白云
07-21 2万+
常用JVM参数 http://blog.csdn.net/gzh0222/article/details/8223277  分析gc日志后,经常需要调整jvm内存相关参数,常用参数如下 -Xms:初始堆大小,默认为物理内存的1/64(;默认(MinHeapFreeRatio参数可以调整)空余堆内存小于40%时,JVM就会增大堆直到-Xmx的最大限制 -Xmx:最大堆大小
JVM系列4-GC log
唐影若凡的专栏
06-30 3956
1、JVM参数-XX:+PrintGC参数-XX:+PrintGC开启了简单GC日志模式,为每一次新生代(young generation)的GC和每一次的Full GC打印一行信息。日志默认输出到终端。下面举例说明:[GC 1843K->632K(116736K), 0.0112928 secs] [Full GC 632K->558K(116736K), 0.0157125 secs]每行开始首
GC日志分析
热门推荐
09-21 5万+
JVM的GC日志的主要参数包括如下几个: -XX:+PrintGC 输出GC日志 -XX:+PrintGCDetails 输出GC的详细日志 -XX:+PrintGCTimeStamps 输出GC的时间戳(以基准时间的形式) -XX:+PrintGCDateStamps 输出GC的时间戳(以日期的形式,如 2013-05-04T21:53:59.234+0800) -
-verbose:gc 和-Xloggc:log/gc.log
fwk19840301的博客
05-17 9145
- sh $CI_PROJECT_DIR/scripts/deploy-pscm.sh "/data/deploy" "pscm-claim-maintain" "10.96.241.118" "-XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/tmp -Xms4096m -Xmx4096m -Xss512K -verbose:gc -Xlogg...
java gc loggc_java中的gc log解读
weixin_39938724的博客
02-13 692
gc log是java程序在出现内存问题时候最好的查看问题的有利日志。下面我们来一步一步分析gc log。首先,默认java程序是不会开启gc log,我们可以在给jvm参数加上-XX:+PrintGCDetails (这个只是我们在本地调试使用,在生成环境下不可使用。下面我们可以模拟一个程序,来查看日志。public class GcLog {static final int MB = 1024...
gc log的分析
码农和金融的专栏
04-11 6835
日前查看某个程序的日志,发现一直在报GC相关的信息,不确定这样的信息是代表正确还是不正确,所以正好借此机会再复习下GC相关的内容: 以其中一行为例来解读下日志信息: [GC (Allocation Failure) [ParNew: 367523K->1293K(410432K), 0.0023988 secs] 522739K->156516K(1322496K), 0.00...
JVM gc参数设置与分析
yohoph的专栏
12-20 3万+
原文: http://hi.baidu.com/i1see1you/item/295c1dc81f91ab55bdef69e5gc日志分析工具: http://qa.blog.163.com/blog/static/19014700220128199421589/Java GC 日志图解: http://www.chinasb.org/archives/2012/09/4921.shtml
com.alibaba.excel.exception.ExcelGenerateException: java.lang.OutOfMemoryError: GC overhead limit exceeded
最新发布
06-18
in a Java application, and the JVM encounters a severe memory issue. 1. **Issue**: The `OutOfMemoryError: GC overhead limit exceeded` means that the garbage collector (GC) is unable to free up enough...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值