一种基于日志关联分析的取证模型.doc

一种基于日志关联分析的取证模型.doc一种基于日志关联分析的取证模型摘要:日志文件是计算机获取电子证据的重要资源。文章基于现有日志取证系统片面取证并且未考虑日志信息的安全性的不足,提出了基于日志关联分析的取证模型,通过事件特征关联、事件时间序列关联和事件空间序列关联各网络安全设备和应用程序的日志信息,把各种日志信息进行综合关联分析,使得到的取证结果更可靠、公正和客观。关键词:日志取证;关联分析;特征关联;序列关联 0 引言随着信息技术的发展,计算机犯罪案件不断涌现,计算机取证技术成为人们研究的热点。计算机取证要解决的关键问题是如何从计算机犯罪现场挖掘犯罪方法、犯罪动机、犯罪工具,确定犯罪责任。日志文件是计算机和网络系统用于记录发生在计算机本地系统或者网络中的事件的重要审计凭据,是计算机犯罪线索勘查取证的重要对象,是计算机犯罪中非常重要的线索和证据来源。分析日志数据能及时发现入侵者入侵行为,是提取犯罪证据的重要手段。然而,进行日志分析存在如下困难:日志文件本身并不安全,一旦攻击者获得root权限,就可以轻而易举地修改、破坏或删除系统所保存的日志记录,从而使得日志分析失去意义;日志文件的格式与种类具有多样性,需要统一格式或跨平台操作;目前还没有形成比较完善的日志分析策略。本文将从这几个方面入手,提出了基于日志分析处理策略的取证模型。 1 日志关联分析取证模型日志关联分析是指将所有系统中的日志以统一格式综合在一起进行考虑。在网络安全领域中,日志关联分析是指对网络全局的日志安全事件数据进行自动、连续分析,根据用户定义的、可配置的规则来识别网络威胁和复杂的攻击模式,从而确定事件真实性、进行事件分级并对事件进行有效响应。日志关联分析可以用来提高安全操作的可靠性、效率以及可视化程度,并为安全管理和应急响应提供技术手段。关联分析需要采集各系统中的原始数据,将采集来的数据进行集中统一管理,根据有关知识进行分析后得到相应的结果。一个典型的日志关联分析系统应包括如下部件:采集代理,数据库,日志管理,知识库,关联分析,证据提交及证据库。其关联取证模型如图1所示。日志采集代理负责从不同节点收集取证日志信息,日志管理模块对日志信息进行安全存储,关联分析模块对取证日志信息进行事件特征关联、事件时间关联和时间空间关联,由日志更新方法和日志格式描述规则生成日志知识库引擎,日志存储服务器中的日志文件由知识库引擎驱动生成日志知识数据库,经日志关联分析方法处理得到分析结果存入证据库并打印取证分析报表,并将分析结果反馈到各分布节点。 2 日志取证关键部件 日志收集日志收集代理是安装在目标机器或网络的软件或硬件,它们根据取证策略收集有关被取证目标的日志详细情况。日志数据源可分为基于主机的日志数据源、基于网络的日志数据源、基于网络安全设备和软件的日志数据源。日志文件的分布是比较分散的,日志稽查取证往往从网络传输信源、信道、信宿的角度出发进行研究,其中信源是指数据传输的起点,信道是数据传输经过的中间途径,信宿是数据传输的目的地。常见的信源日志有PC上的各种客户端软件的日志,信道日志有网络节点的路由器日志、隔离设备如防火墙、IDS等设备的日志,信宿日志有各种网络服务器日志,如Web服务器日志E-Mail服务器日、Ftp服务器日志等。在可利用的数据源中,各级各类日志包含丰富的证据信息,由于关联分析需要将多个安全设备上的报警信息集中