基于數據挖掘的入侵取證系統設計與實現

朱麗娜

廣東警官學院計算機系 廣東 510230

0 引言

入侵取證系統(Instruction Forensic System, IFS)是對網絡入侵事件、網絡犯罪活動進行的證據獲取、保存、分析和還原。它能夠真實連續地獲取網絡或主機上發生的各種行為和日志數據；能夠完整地保存獲取到的數據并且防篡改；對保存的原始證據進行網絡行為還原、重現入侵現場(如圖1)。

圖1 入侵取證與分析的一般過程

1 網絡數據收集

由于IFS是以證據獲取和提交為目的的，而法律對于電子證據有特殊的要求。證據的完整性和聯系性是電子證據的必備前提。因此我們必須記錄下流經被保護網段或主機的所有網絡流量，包括所有正常和不正常的網絡行為，并在磁盤介質上永久保存以便進行事后的入侵分析和“現場恢復”(如圖2)。

圖2 網絡數據收集模塊

(1) 將網卡置于混雜模式。為了節省內存開銷，利用分組捕獲程序，使數據包不經過內核空間中的TCP/IP協議棧，而直接從網卡緩存拷貝到用戶進程。

(2) 利用存儲映射 I/O技術，將數據從網卡寫入用戶進程的同時完成向磁盤文件的寫入。

(3) 記錄 UNIX中文件和目錄的最近內容修改時間、最近訪問時間、最近屬性變更時間。

(4) 操作系統采用實時linux系統。該系統可以實現線程和中斷處理程序。這些程序可以搶奪 linux線程資源得以實現實時響應。

(5) 磁盤資源報警器。當磁盤容量達到上限值時產生報警。

2 抽取網絡連接屬性

由于網絡數據量龐雜，在IFS系統中的入侵分析模塊中對數據進行預處理就顯得尤為重要。單純使用基于攻擊特征的網絡數據包分析的模式匹配方法有很大的弊病。因為一個連接過程中要傳遞很多數據包，而這些數據包的基本屬性相同。因此在本模塊中我們考慮從連接層次上而不是從數據包層次上做記錄。

多維數據模型的設計是對數據倉庫進行數據挖掘的關鍵。網絡連接事件連接屬性抽取是否全面準確將會直接影響入侵分析結果的準確性。因此我們給出了網絡連接基本屬性，連接安全屬性和連接統計屬性，從以上三個維度對網絡連接事件進行全面的分析(如圖3)。

圖3 網絡連接屬性

3 取證分析模塊

取證分析模塊是IFS中最關鍵部分，它通常應該包括：日志分析、入侵分析和協議分析三大主要部分。由于日志分析部分不是本文介紹的重點因此不詳細介紹。

3.1 基于數據挖掘的入侵分析模型

應用滑窗技術優化數據挖掘中算法。

(1) 建立網絡正常模式

① 用抽取網絡連接屬性模塊抽取連接屬性，并生成連接記錄rec1, rec2, rec3……

② n=0; rules=Φ //rules為規則及規則重復度集合，Φ為空集合

repeat:{

以K1為窗口長度，調用信息發現證據庫中的挖掘算法得到子規則集rulesn

以K2為窗口長度，調用證明規則庫和反駁規則庫中的挖掘算法得到子規則集rulesm

rules = rules ∪ rulesn∪ rulesm且重復規則的重復度計數加2

}

until: 觀察規則數目曲線，直到曲線變得平穩

(2) 當正常模式建立后進入異常檢測階段，過程如下：

① 用抽取網絡連接屬性模塊抽取連接屬性，并生成連接記錄rec1, rec2, rec3……

② n=0

repeat:{

在時間窗 K1+K2內調用關聯規則挖掘算法得到子規則集rulesn和rulesm

if： (rulesn￠ rules) && (rulesnm￠ rules) ，則將此窗口標記為異常窗口，異常計數器啟動及時。

n=n+2；

}

在異常判斷時間門限內，若異常窗口的數目超出預定的異常門限，則認為出現異常。

3.2 協議解析分析模塊

在IFS中協議分析是作為一種很重要的現場重現手段存在的。IFS利用協議分析技術，按照事件發生的順序，對原始數據進行協議還原，可將各種網絡行為重新還原出來。其中數據的還原分析包括IP數據包的重組，TCP數據包的組裝和應用還原。下面給出一種按照網絡協議的層次性和相關性而設計的協議樹。該種協議分析方法已經被廣泛地應用于入侵檢測系統中。該方法用數據結構中的多叉樹將所有的協議組織成一棵協議樹。每個協議是該樹的一個節點(如圖4)。

圖4 協議組織樹

節點數據結構如下：

下面通過對一個數據包的分析說明該協議樹的工作原理：AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%003974391234567890123456789012345678901234567890123 4567890123456

(1) 協議規范指出以網數據包第13字節處有兩個字節的第三層協議表示，因此我們跳過前面的12個字節，讀取13字節處的兩個協議標識為0800。因此可以判斷這個包為IP包。

(2) IP協議規定IP包的第24字節處有一個字節的第四層協議標識。因此直接跳到第 24字節處，讀取到的協議標識為：06，可知這個包是TCP協議。

(3) TCP協議規定在第35字節處有一個2字節的端口號。因此跳到35字節處讀到的端口號為80，可知該數據包為一個HTTP協議的數據包。

(4) HTTP協議規定第55字節是URL開始處，因此我們跳到55字節處讀取URL。

該協議樹的特點：

(1) 可動態維護和配置協議樹的結構，實現靈活的協議分析功能。

(2) 可自定義協議節點。細化分析數據提高分析效率。

(3) 有效利用了網絡協議的層次性和相關性，減少計算量提高區匹配精確度。

4 結束語

IFS是一個嶄新的網絡安全領域，有很多問題有待研究。目前的IFS還停留在事后入侵分析和數據包級手工分析的階段。如何減少漏報和誤報實現動態的智能的入侵取證將是我們下一步的研究重點。

[1] 楊澤明,許榕生,曹愛娟.網絡取證與分析系統的設計與實現.計算機工程.2004.

[2] 劉武,段海新,楊路,吳建平,任萍.基于 web的網絡入侵檢測取證系統的設計與實現.計算機應用.2003.

[3] 譚思亮.網絡監聽與隱藏—網絡偵聽揭秘與數據保護技術[M].北京:人民郵電出版社.2002.

[4] 呂愛麗,魏海平等.分層協議的多代理入侵檢測系統.遼寧石油化工大學學報.2005.