期刊专题

10.19363/J.cnki.cn10-1380/tn.2020.09.03

一种基于污点追踪的系统审计日志压缩方法

引用
近十年来,高级持续性威胁(APT,advanced persistent threat)越来越引起人们的关注.为了防御和检测APT攻击,学者提出了基于系统审计日志的入侵取证方案.系统审计日志可以详细记录主机上的系统调用过程,因此非常适用于入侵取证工作.然而,系统审计日志也有着致命的弊端:日志庞大冗余.再加上APT攻击往往长期潜伏、无孔不入,企业不得不为每台联网主机长期保存日志,因此导致巨大的存储计算成本.为了解决这一问题,本文提出一种模仿二进制动态污点分析的日志压缩方案T-Tracker.T-Tracker首先检测日志内部与外部数据发生交互的系统调用,生成初始污点集合,然后追踪污点在主机内的扩散过程,这个过程中只有污点扩散路径上的系统调用能被保留下来,其余均不保留,从而达到日志压缩的目的.本研究的测试表明,该方案可以达到80%的压缩效果,即企业将能够存储相当于原来数量五倍的日志数据.同时,T-Tracker完整保留了受到外部数据影响的日志记录,因此对于入侵取证而言,可以等价地替换原始日志,而不会丢失攻击痕迹.

高级持续性威胁、入侵取证、系统级审计日志、日志压缩、污点追踪

5

TP309.2(计算技术、计算机技术)

本课题得到中国移动内容分发网络二期工程扩容部分采购内容管理层;青年之星人才计划

2020-11-26(万方平台首次上网日期,不代表论文的发表时间)

共13页

30-42

相关文献
评论
暂无封面信息
查看本期封面目录

信息安全学报

2096-1146

10-1380/TN

5

2020,5(5)

相关作者
相关机构

专业内容知识聚合服务平台

国家重点研发计划“现代服务业共性关键技术研发及应用示范”重点专项“4.8专业内容知识聚合服务技术研发与创新服务示范”

国家重点研发计划资助 课题编号:2019YFB1406304
National Key R&D Program of China Grant No. 2019YFB1406304

©天津万方数据有限公司 津ICP备20003920号-1

信息网络传播视听节目许可证 许可证号:0108284

网络出版服务许可证:(总)网出证(京)字096号

违法和不良信息举报电话:4000115888    举报邮箱:problem@wanfangdata.com.cn

举报专区:https://www.12377.cn/

客服邮箱:op@wanfangdata.com.cn