基于多源日志的事件場景關聯(lián)方法研究.pdf

1、計算機取證牽涉的數(shù)據(jù)量龐大，潛在的證據(jù)通常分布在多種不同的日志中。從多源日志進行取證，能使證據(jù)更為完備，結(jié)論更加可靠，同時也帶來了復雜度增加的問題，分析和關聯(lián)這些日志由于需要人腦的大量參與而變得困難和乏味。因此，自動將來自多源日志的安全事件關聯(lián)成事件場景成為輔助取證的迫切需要。國內(nèi)外在日志關聯(lián)技術方面做了大量工作，但總的來說體現(xiàn)出以下幾方面問題：(1) 關聯(lián)時人工參與多，自動化程度不高：(2) 關聯(lián)結(jié)果難以體現(xiàn)事件發(fā)生的有序性和邏輯性；

2、(3) 處理的數(shù)據(jù)源單一，沒有從多源日志進行關聯(lián)。 針對上述問題，本文在結(jié)合國內(nèi)外現(xiàn)有研究成果的基礎上，提出了一種融合多源日志輔助取證的事件場景關聯(lián)方法，并設計和實現(xiàn)了一個基于所提事件場景關聯(lián)方法的原型系統(tǒng) PC-ECF。所提方法思想及其實現(xiàn)過程描述如下： 考慮到來自多源日志的相關安全事件不是孤立的，而是具有內(nèi)在邏輯聯(lián)系的，本文利用事件“前提/結(jié)果”因果關系對安全事件進行場景關聯(lián)。事件前提是指使事件成功發(fā)生所必須滿足的條

3、件集合；事件結(jié)果是指事件成功發(fā)生后必然造成的后果集合。該方法首先對標準的 IDMEF 數(shù)據(jù)模型進行了擴展，用擴展后的數(shù)據(jù)模型 Event 對來自多源日志的各類安全事件進行格式化；再憑借專家經(jīng)驗定義出事件“前提/結(jié)果”知識庫，事件的“前提/結(jié)果”知識采用謂詞邏輯的形式表示；通過匹配前一事件發(fā)生的結(jié)果和后一事件發(fā)生的前提，將這些事件關聯(lián)成事件場景；最后關聯(lián)的結(jié)果用本文定義的事件關聯(lián)圖的形式進行可視化。 實驗結(jié)果表明，利用本文所提事件