摘 要：日志文件是計(jì)算機(jī)獲取電子證據(jù)的重要資源。文章基于現(xiàn)有日志取證系統(tǒng)片面取證并且未考慮日志信息的安全性的不足，提出了基于日志關(guān)聯(lián)分析的取證模型，通過(guò)事件特征關(guān)聯(lián)、事件時(shí)間序列關(guān)聯(lián)和事件空間序列關(guān)聯(lián)各網(wǎng)絡(luò)安全設(shè)備和應(yīng)用程序的日志信息，把各種日志信息進(jìn)行綜合關(guān)聯(lián)分析，使得到的取證結(jié)果更可靠、公正和客觀。

關(guān)鍵詞：日志取證；關(guān)聯(lián)分析；特征關(guān)聯(lián)；序列關(guān)聯(lián)

0 引言

隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)犯罪案件不斷涌現(xiàn)，計(jì)算機(jī)取證技術(shù)成為人們研究的熱點(diǎn)。計(jì)算機(jī)取證要解決的關(guān)鍵問(wèn)題是如何從計(jì)算機(jī)犯罪現(xiàn)場(chǎng)挖掘犯罪方法、犯罪動(dòng)機(jī)、犯罪工具，確定犯罪責(zé)任。日志文件是計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)用于記錄發(fā)生在計(jì)算機(jī)本地系統(tǒng)或者網(wǎng)絡(luò)中的事件的重要審計(jì)憑據(jù)，是計(jì)算機(jī)犯罪線索勘查取證的重要對(duì)象，是計(jì)算機(jī)犯罪中非常重要的線索和證據(jù)來(lái)源。分析日志數(shù)據(jù)能及時(shí)發(fā)現(xiàn)入侵者入侵行為，是提取犯罪證據(jù)的重要手段。然而，進(jìn)行日志分析存在如下困難：日志文件本身并不安全，一旦攻擊者獲得root權(quán)限，就可以輕而易舉地修改、破壞或刪除系統(tǒng)所保存的日志記錄，從而使得日志分析失去意義；日志文件的格式與種類具有多樣性，需要統(tǒng)一格式或跨平臺(tái)操作；目前還沒(méi)有形成比較完善的日志分析策略。本文將從這幾個(gè)方面入手，提出了基于日志分析處理策略的取證模型。

1 日志關(guān)聯(lián)分析取證模型

日志關(guān)聯(lián)分析是指將所有系統(tǒng)中的日志以統(tǒng)一格式綜合在一起進(jìn)行考慮。在網(wǎng)絡(luò)安全領(lǐng)域中，日志關(guān)聯(lián)分析是指對(duì)網(wǎng)絡(luò)全局的日志安全事件數(shù)據(jù)進(jìn)行自動(dòng)、連續(xù)分析，根據(jù)用戶定義的、可配置的規(guī)則來(lái)識(shí)別網(wǎng)絡(luò)威脅和復(fù)雜的攻擊模式，從而確定事件真實(shí)性、進(jìn)行事件分級(jí)并對(duì)事件進(jìn)行有效響應(yīng)。日志關(guān)聯(lián)分析可以用來(lái)提高安全操作的可靠性、效率以及可視化程度，并為安全管理和應(yīng)急響應(yīng)提供技術(shù)手段。

關(guān)聯(lián)分析需要采集各系統(tǒng)中的原始數(shù)據(jù)，將采集來(lái)的數(shù)據(jù)進(jìn)行集中統(tǒng)一管理，根據(jù)有關(guān)知識(shí)進(jìn)行分析后得到相應(yīng)的結(jié)果。一個(gè)典型的日志關(guān)聯(lián)分析系統(tǒng)應(yīng)包括如下部件：采集代理，數(shù)據(jù)庫(kù)，日志管理，知識(shí)庫(kù)，關(guān)聯(lián)分析，證據(jù)提交及證據(jù)庫(kù)。其關(guān)聯(lián)取證模型如圖1所示。日志采集代理負(fù)責(zé)從不同節(jié)點(diǎn)收集取證日志信息，日志管理模塊對(duì)日志信息進(jìn)行安全存儲(chǔ)，關(guān)聯(lián)分析模塊對(duì)取證日志信息進(jìn)行事件特征關(guān)聯(lián)、事件時(shí)間關(guān)聯(lián)和時(shí)間空間關(guān)聯(lián)，由日志更新方法和日志格式描述規(guī)則生成日志知識(shí)庫(kù)引擎，日志存儲(chǔ)服務(wù)器中的日志文件由知識(shí)庫(kù)引擎驅(qū)動(dòng)生成日志知識(shí)數(shù)據(jù)庫(kù)，經(jīng)日志關(guān)聯(lián)分析方法處理得到分析結(jié)果存入證據(jù)庫(kù)并打印取證分析報(bào)表，并將分析結(jié)果反饋到各分布節(jié)點(diǎn)。

2 日志取證關(guān)鍵部件

2．1 日志收集

日志收集代理是安裝在目標(biāo)機(jī)器或網(wǎng)絡(luò)的軟件或硬件，它們根據(jù)取證策略收集有關(guān)被取證目標(biāo)的日志詳細(xì)情況。日志數(shù)據(jù)源可分為基于主機(jī)的日志數(shù)據(jù)源、基于網(wǎng)絡(luò)的日志數(shù)據(jù)源、基于網(wǎng)絡(luò)安全設(shè)備和軟件的日志數(shù)據(jù)源。日志文件的分布是比較分散的，日志稽查取證往往從網(wǎng)絡(luò)傳輸信源、信道、信宿的角度出發(fā)進(jìn)行研究，其中信源是指數(shù)據(jù)傳輸?shù)钠瘘c(diǎn)，信道是數(shù)據(jù)傳輸經(jīng)過(guò)的中間途徑，信宿是數(shù)據(jù)傳輸?shù)哪康牡亍３Ｒ?jiàn)的信源日志有PC上的各種客戶端軟件的日志，信道日志有網(wǎng)絡(luò)節(jié)點(diǎn)的路由器日志、隔離設(shè)備如防火墻、IDS等設(shè)備的日志，信宿日志有各種網(wǎng)絡(luò)服務(wù)器日志，如Web服務(wù)器日志E-Mail服務(wù)器日、Ftp服務(wù)器日志等。

在可利用的數(shù)據(jù)源中，各級(jí)各類日志包含豐富的證據(jù)信息，由于關(guān)聯(lián)分析需要將多個(gè)安全設(shè)備上的報(bào)警信息集中到一處進(jìn)行分析，因此需要在各安全設(shè)備上設(shè)置代理，由代理將安全設(shè)備上的信息傳輸?shù)街行臄?shù)據(jù)庫(kù)。傳輸?shù)臄?shù)據(jù)有可能是完整的日志數(shù)據(jù)，也可能是在本地搜集信息并經(jīng)簡(jiǎn)單分析的結(jié)果。

2．2 日志管理

產(chǎn)生系統(tǒng)日志的軟件通常為應(yīng)用系統(tǒng)而不是操作系統(tǒng)，所產(chǎn)生的日志記錄容易遭到惡意的破壞或修改。系統(tǒng)日志通常存儲(chǔ)在系統(tǒng)未經(jīng)保護(hù)的目錄中，并以文本方式存儲(chǔ)，未經(jīng)加密和校驗(yàn)處理，沒(méi)有防止惡意篡改的有效保護(hù)機(jī)制。因此，日志文件并不一定是可靠的，入侵者可能會(huì)篡改日志文件，從而不能被視為有效的證據(jù)。由于日志是直接反映入侵者痕跡的，在計(jì)算機(jī)取證中扮演著重要的角色，入侵者獲取系統(tǒng)權(quán)限竊取機(jī)密信息或破壞重要數(shù)據(jù)后往往會(huì)修改或刪除與其相關(guān)的日志信息，甚至根據(jù)系統(tǒng)的漏洞偽造日志以迷惑系統(tǒng)管理員的審計(jì)。

有效的日志數(shù)據(jù)分析是建立在日志文件本身安全的基礎(chǔ)上的，因此建立一個(gè)安全的日志文件管理體制是必要的。圖2為日志管理模塊。各分布節(jié)點(diǎn)的原始日志文件經(jīng)壓縮、加密和MD5簽名后，通過(guò)VPN被分別傳輸給專用日志服務(wù)器和第三方公認(rèn)服務(wù)器，服務(wù)器利用收到的MAC完成對(duì)取證日志信息完整性檢驗(yàn)，并將通過(guò)完整性驗(yàn)證的具有取證價(jià)值的日志信息存入相應(yīng)的遠(yuǎn)程日志庫(kù)和公證日志庫(kù)?？紤]到日志文件本身的安全陸，虛框內(nèi)部分用兩塊網(wǎng)卡進(jìn)行物理隔離。

2．3 日志數(shù)據(jù)關(guān)聯(lián)分析策略

系統(tǒng)日志是對(duì)系統(tǒng)的運(yùn)行狀況按時(shí)間順序所作的簡(jiǎn)單記錄，僅反映本系統(tǒng)的某些特定事件的操作情況，并不完全反映用戶的全部活動(dòng)情況。用戶的網(wǎng)絡(luò)活動(dòng)會(huì)在很多的系統(tǒng)日志中留下痕跡，如防火墻日志、IDS日志、操作系統(tǒng)日志等，這些不同的日志存在的某種聯(lián)系反映了該用戶的活動(dòng)情況。只有將多個(gè)系統(tǒng)的日志結(jié)合起來(lái)分析，才能準(zhǔn)確反映用戶的活動(dòng)情況。

為了能夠?yàn)殛P(guān)聯(lián)分析建立一致的分析方法，可使用IDMEF格式對(duì)犯罪入侵事件關(guān)聯(lián)進(jìn)行建模。在XML文檔中，一種稱為文檔類型定義的格式被用來(lái)描述IDMEF數(shù)據(jù)。當(dāng)然，關(guān)聯(lián)功能并不直接處理XML格式表示的事件，而是針對(duì)一系列預(yù)先準(zhǔn)備好的日志數(shù)據(jù)，一般來(lái)說(shuō)這些數(shù)據(jù)存儲(chǔ)在日志數(shù)據(jù)庫(kù)中。

日志關(guān)聯(lián)分析模塊如圖3所示。日志關(guān)聯(lián)分析可以細(xì)分為以下三個(gè)步聚：

(1)數(shù)據(jù)聚合

將數(shù)據(jù)庫(kù)中來(lái)自多個(gè)設(shè)備的不同數(shù)據(jù)集中的數(shù)據(jù)歸整于一個(gè)數(shù)據(jù)集中，這樣能在任意時(shí)間觀察到所有設(shè)備的事件。通過(guò)刪除重復(fù)數(shù)據(jù)、歸類相似數(shù)據(jù)等方式來(lái)壓縮數(shù)據(jù)量，可以將數(shù)據(jù)保持在一個(gè)關(guān)聯(lián)引擎可以處理的范圍內(nèi)。

(2)事件特征關(guān)聯(lián)

從多個(gè)日志源采集過(guò)來(lái)的數(shù)據(jù)，經(jīng)過(guò)聚合和規(guī)范化等操作后，已經(jīng)可用來(lái)進(jìn)行關(guān)聯(lián)分析。在計(jì)算機(jī)取證中，我們挖掘電子證據(jù)數(shù)據(jù)項(xiàng)之間存在的關(guān)聯(lián)，并在關(guān)聯(lián)中查找、發(fā)現(xiàn)并分析計(jì)算機(jī)犯罪行為在不同位置、各個(gè)目標(biāo)、行為意圖方面的一些聯(lián)系和規(guī)律，提取犯罪行為之間的關(guān)聯(lián)特征(特征可能是經(jīng)過(guò)預(yù)處理的統(tǒng)計(jì)特征)，挖掘不同犯罪形式的特征、同一事件的不同證據(jù)間的聯(lián)系，為進(jìn)一步偵察分析和破案提供線索。

基本的數(shù)據(jù)挖掘算法并不考慮專業(yè)領(lǐng)域的知識(shí)，結(jié)果會(huì)產(chǎn)生一些對(duì)實(shí)際應(yīng)用無(wú)用的規(guī)則，并且算法的效率不能滿足要求。Apriori算法在日志關(guān)聯(lián)取證中有兩個(gè)致命的弱點(diǎn)：第一，多次掃描日志數(shù)據(jù)庫(kù)極大地加重了I/O負(fù)載，因?yàn)槊看蝛循環(huán)的侯選集C_k中的每個(gè)元素都必須掃描日志數(shù)據(jù)庫(kù)一次來(lái)驗(yàn)證其是否加入L_k。如一個(gè)頻繁大項(xiàng)集包含10個(gè)項(xiàng)，就至少需要掃描事務(wù)數(shù)據(jù)庫(kù)10遍。第二，由L_k-1、產(chǎn)生k-侯選集C_k是指數(shù)增長(zhǎng)的，如10⁴的L－頻繁項(xiàng)集就可能產(chǎn)生接近107個(gè)元素的2一侯選集，如此大的候選集對(duì)取證時(shí)間和主存空間都是一種挑戰(zhàn)，達(dá)不到取證的實(shí)時(shí)性要求。

針對(duì)上述兩個(gè)問(wèn)題，作者對(duì)算法改進(jìn)如下：對(duì)事件主次屬性進(jìn)行約束，對(duì)支持度和置信度閥值設(shè)置進(jìn)行修改。經(jīng)過(guò)這樣的處理之后，可以有效縮短證據(jù)的分析提取時(shí)間。

第一，對(duì)事件主次屬性的約束。日志記錄中各個(gè)屬性的重要性不同，有的屬性對(duì)描述數(shù)據(jù)起著關(guān)鍵作用，有的屬性只提供輔助信息。比如在描述網(wǎng)絡(luò)連接的記錄中，每一條記錄表示一個(gè)連接，一個(gè)網(wǎng)絡(luò)連接可以被一個(gè)五元組惟一地標(biāo)識(shí)，即<時(shí)間戳，源地址，目的地址，源端口，目的端口(服務(wù))>。網(wǎng)絡(luò)連接的關(guān)鍵屬性可以定義為五元組集合，日志記錄主要涉及主體、對(duì)象和操作行為，可以用三元組來(lái)惟一地表示，Telnet記錄的Shell命令的關(guān)鍵屬性可以用二元組來(lái)表示。那么我們就可以用關(guān)鍵屬性作為衡量關(guān)聯(lián)規(guī)則r是否有趣的標(biāo)準(zhǔn)，即I(r)=f(IA(r)，s(r)，c(r))，當(dāng)模式r含有主屬性，則IA=I，否則IA=0。通過(guò)關(guān)鍵屬性和參考屬性的約束，減少“無(wú)趣”規(guī)則的產(chǎn)生，即規(guī)定，當(dāng)算法產(chǎn)生一條新的規(guī)則時(shí)，其中必須至少包括一個(gè)關(guān)鍵屬性或者參考屬性。

第二，修改支持度和置信度閥值設(shè)置。一種思想是將支持度修改為相對(duì)支持度。所謂相對(duì)支持度是針對(duì)某一個(gè)變量而言的。如果定義si是變量Ai的相對(duì)支持度，并且變量值對(duì)Ai=Vij在整個(gè)記錄集中一共出現(xiàn)了Nij次，那么如果包含Ai=Vij的規(guī)則覆蓋實(shí)例的個(gè)數(shù)超過(guò)Si*Nij個(gè)，那么我們認(rèn)為這條規(guī)則滿足支持度約束。這種方法應(yīng)用在計(jì)算機(jī)取證分析中，需要有一定的先驗(yàn)知識(shí)，能夠?qū)γ總€(gè)變量Ai設(shè)定出合理的相對(duì)支持度閥值。另一種思想借鑒了在文獻(xiàn)[1]中提出的一種在多層次概念上挖掘關(guān)聯(lián)規(guī)則的算法，即對(duì)同一層次上不同頻繁度屬性進(jìn)行多級(jí)挖掘，其主要思路是：先設(shè)置一定的支持度和置信度閥值，對(duì)出現(xiàn)頻率高的屬性值進(jìn)行挖掘，得到相關(guān)的模式；然后不斷降低支持度和置信度閥值挖掘出現(xiàn)頻率低的屬性相關(guān)的模式。在降低閥值設(shè)置的挖掘過(guò)程中，我們需要對(duì)那些“舊”的屬性值的參與加以限制，避免高頻率屬性值相關(guān)模式的大量產(chǎn)生，淹沒(méi)低頻率屬性值模式。這里我們作這樣的限制：候選項(xiàng)目集必須包括至少一個(gè)“新”的屬性值；每次循環(huán)計(jì)算挖掘得到的模式必須具有“新”的屬性值。整個(gè)過(guò)程在閥值降到指定的最低值時(shí)終止，這個(gè)最低值可以是所有關(guān)鍵屬性值中出現(xiàn)頻率最低的屬性值的閥值。

(3)事件序列關(guān)聯(lián)

入侵行為往往沒(méi)有明顯的字符串匹配特征，其中任何單獨(dú)的一條報(bào)文或者命令都看似正常，但一系列按時(shí)間順序排列的報(bào)文或者命令就構(gòu)成了一次攻擊，而且這種攻擊序列在一次攻擊中只出現(xiàn)一次。序列模式挖掘比關(guān)聯(lián)規(guī)則挖掘粒度更大。以某種序列攻擊的多個(gè)樣本作為訓(xùn)練源，可以挖掘出在一個(gè)樣本中只出現(xiàn)一次，而在多個(gè)樣本中頻繁出現(xiàn)的攻擊行為的特征序列。

考慮到網(wǎng)絡(luò)事件在時(shí)間和空間上的相關(guān)性，可在網(wǎng)絡(luò)連接記錄中加入時(shí)間的統(tǒng)計(jì)屬性，生成序列規(guī)則。如：端口掃描攻擊中的TCP SYN掃描，不是進(jìn)行一次完整的TCP連接，而是只發(fā)送一個(gè)SYN數(shù)據(jù)包，如收到SYN/ACK表示商品處于偵聽(tīng)狀態(tài)，如收到RST表示端口沒(méi)有處于偵聽(tīng)狀態(tài)。如果先收到SYN，回應(yīng)SYN/ACK后，未收到ACK應(yīng)答，查看歷史發(fā)現(xiàn)短時(shí)間內(nèi)還有來(lái)自相同地址、相同類型的數(shù)據(jù)包，就有理由認(rèn)為對(duì)方正在進(jìn)行端口掃描攻擊?？诹畋┝粢簿哂忻黠@的時(shí)序特征。比如說(shuō)使用某一個(gè)用戶名自A地址登錄，出現(xiàn)多次登錄失敗，比較歷史記錄發(fā)現(xiàn)從B地址登錄的同一用戶，極少出現(xiàn)登錄失敗情況。則可以初步判定從地址A發(fā)來(lái)的登錄信息在進(jìn)行口令探測(cè)。

通過(guò)對(duì)這種基于時(shí)間和空間的事件序列的分析，可以得到一些計(jì)算機(jī)犯罪的意圖信息，進(jìn)而可以發(fā)現(xiàn)已經(jīng)發(fā)生的，或者可能發(fā)生的計(jì)算機(jī)犯罪行為和企圖。

2．4 提交證據(jù)

關(guān)聯(lián)分析的目標(biāo)是綜合分析不同安全設(shè)備和應(yīng)用系統(tǒng)中的日志數(shù)據(jù)，為取證提供及時(shí)、相關(guān)并且準(zhǔn)確的關(guān)聯(lián)數(shù)據(jù)。這些關(guān)聯(lián)數(shù)據(jù)將存入相應(yīng)證據(jù)庫(kù)，并以特定格式的報(bào)告形式提交。

3 結(jié)束語(yǔ)

日志文件是計(jì)算機(jī)取證中獲取電子證據(jù)的重要資源。本文探討了現(xiàn)有日志取證系統(tǒng)的不足，提出了基于日志關(guān)聯(lián)分析的取證模型，通過(guò)事件特征關(guān)聯(lián)、事件時(shí)間序列關(guān)聯(lián)和事件空間序列關(guān)聯(lián)等綜合取證分析，得到可靠公正客觀的取證結(jié)果。如何根據(jù)已有日志證據(jù)信息重構(gòu)攻擊者的入侵過(guò)程以及以易理解的方式顯示取證結(jié)果，這是需要進(jìn)一步研究的問(wèn)題。