姜燕

（湖北醫(yī)藥學(xué)院 公共管理學(xué)院，湖北 十堰 442000）

日志是指系統(tǒng)所指定對(duì)象的某些操作和其操作結(jié)果按時(shí)間有序的集合，每個(gè)日志文件由日志記錄組成，每條日志記錄描述了一次單獨(dú)的系統(tǒng)事件[1]。日志文件為服務(wù)器、工作站、防火墻和應(yīng)用軟件等IT資源相關(guān)活動(dòng)記錄必要的、有價(jià)值的信息。日志文件同時(shí)記錄了計(jì)算機(jī)犯罪的大量“痕跡”，如何充分利用日志發(fā)掘有效的計(jì)算機(jī)證據(jù)，是計(jì)算機(jī)取證研究領(lǐng)域中一個(gè)重要的問(wèn)題。

1 日志分析基本方法

關(guān)于日志分析的方法有很多的分類，文中從如下幾個(gè)方面來(lái)描述日志分析的基本方法。

1.1 基于統(tǒng)計(jì)的審計(jì)分析方法

基于統(tǒng)計(jì)的日志審計(jì)分析是一種異常檢測(cè)分析方法，根據(jù)系統(tǒng)日志定義正常用戶的行為模式，然后根據(jù)當(dāng)前用戶行為模式與歷史用戶行為之間的偏差來(lái)判斷攻擊事件。

Denning[2]提出第一個(gè)實(shí)時(shí)入侵檢測(cè)專家系統(tǒng)模型，以及實(shí)時(shí)的、基于統(tǒng)計(jì)量分析和用戶行為輪廓（Profile）的入侵檢測(cè)技術(shù)，此后大量的入侵檢測(cè)系統(tǒng)模型很多都基于Denning的統(tǒng)計(jì)量分析理論。

通過(guò)對(duì)主機(jī)日志數(shù)據(jù)的分析，利用統(tǒng)計(jì)理論提取用戶或系統(tǒng)正常行為的活動(dòng)輪廓，建立起系統(tǒng)主體的正常行為活動(dòng)輪廓。檢測(cè)時(shí)，如果系統(tǒng)中的日志數(shù)據(jù)與已建立的主體正常行為特征有較大出入，就認(rèn)為系統(tǒng)遭到入侵。

基于統(tǒng)計(jì)的用戶活動(dòng)輪廓通常由主體特征變量的頻度、均值、方差、被監(jiān)控行為屬性變量的統(tǒng)計(jì)概率分布以及偏差等統(tǒng)計(jì)量來(lái)描述。典型的系統(tǒng)主體特征有：系統(tǒng)的登錄與注銷時(shí)間、用戶登錄失敗次數(shù)、CPU和I/O利用率、文件訪問(wèn)數(shù)及訪問(wèn)出錯(cuò)率、網(wǎng)絡(luò)連接數(shù)、擊鍵頻率、事件間的時(shí)間間隔等。

SRI的IDES和Haystack實(shí)驗(yàn)室的Haystack是兩個(gè)典型的基于統(tǒng)計(jì)的日志審計(jì)分析系統(tǒng)。

該方法的優(yōu)點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單且在度量選擇較好時(shí)能夠可靠檢測(cè)出入侵，缺點(diǎn)是以系統(tǒng)或用戶一段時(shí)間內(nèi)的行為特征為檢測(cè)對(duì)象，檢測(cè)的時(shí)效性差，在檢測(cè)到入侵時(shí)入侵可能已造成損害，度量的閾值難以確定，忽略了事件間的時(shí)序關(guān)系。

1.2 基于規(guī)則庫(kù)的分析方法

基于規(guī)則庫(kù)的分析方法是通過(guò)收集入侵攻擊和系統(tǒng)缺陷的相關(guān)日志知識(shí)來(lái)構(gòu)成日志知識(shí)庫(kù)，并利用日志知識(shí)尋找企圖利用這些系統(tǒng)缺陷的攻擊行為。在實(shí)現(xiàn)上，基于規(guī)則庫(kù)的分析方法只是在表示入侵模式的方式以及在主機(jī)日志中檢查入侵模式的機(jī)制上有所區(qū)別，主要實(shí)現(xiàn)技術(shù)有專家系統(tǒng)、入侵簽名分析、模式匹配等。

專家系統(tǒng)通過(guò)將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則，前者為構(gòu)成入侵的條件，后者為發(fā)現(xiàn)入侵后采取的響應(yīng)措施。專家系統(tǒng)的優(yōu)點(diǎn)為把系統(tǒng)的推理控制過(guò)程和問(wèn)題的最終解答相分離。缺點(diǎn)是缺乏處理序列數(shù)據(jù)的能力，性能取決于設(shè)計(jì)者的知識(shí)，只能檢測(cè)已知的攻擊模式，無(wú)法處理判斷不確定性，規(guī)則庫(kù)難以維護(hù)且更改規(guī)則時(shí)要考慮對(duì)規(guī)則庫(kù)中其他規(guī)則的影響。

Steven R.Snapp[3]等設(shè)計(jì)和實(shí)現(xiàn)分布式入侵檢測(cè)系統(tǒng)（DIDS）原型，其是基于規(guī)則庫(kù)的分析方法的代表。

林英[4]設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)日志分析檢測(cè)系統(tǒng)，日志分析機(jī)制借鑒了 OSSEC的框架和利用了 TCT（The Coroner’s Toolkit）工具包，在OSSEC規(guī)則庫(kù)的基礎(chǔ)上進(jìn)行擴(kuò)展。規(guī)則庫(kù)由XML撰寫(xiě)，用戶可以自行對(duì)規(guī)則進(jìn)行添加、修改、刪除。

馮綠音在其碩士學(xué)位論文中敘述了基于正則表達(dá)式（regular expression）的模式匹配，并使用正則表達(dá)式對(duì)日志進(jìn)行第一層、第二層解析。

1.3 基于機(jī)器學(xué)習(xí)的分析方法

基于機(jī)器學(xué)習(xí)的分析方法是利用日志的信息來(lái)學(xué)習(xí)用戶的正常行為模式，通過(guò)日志的歷史事件用一些學(xué)習(xí)算法來(lái)預(yù)測(cè)未來(lái)的用戶行為。

孫宏偉[5]等分析了機(jī)器學(xué)習(xí)應(yīng)用于網(wǎng)絡(luò)連接級(jí)的異常檢側(cè)模型的過(guò)程，然后建立了異常檢測(cè)系統(tǒng)原型，以驗(yàn)證此方法用于IDS的可能性及所能達(dá)到的性能，并得出兩個(gè)結(jié)論：特征個(gè)數(shù)并不是越多越好；基于內(nèi)容的特征對(duì)于建立分類模型很重要。

1.4 基于數(shù)據(jù)挖掘的分析方法

基于數(shù)據(jù)挖掘的分析方法是從海量日志數(shù)據(jù)中提取出所感興趣的數(shù)據(jù)信息，抽象出有利于進(jìn)行判斷和比較的特征模型，根據(jù)這些特征向量模型和行為描述模型，采用相應(yīng)的數(shù)據(jù)挖掘算法判斷出當(dāng)前網(wǎng)絡(luò)行為的性質(zhì)。

數(shù)據(jù)挖掘是一種利用分析工具在大量數(shù)據(jù)中提取隱含在其中且潛在有用的信息和知識(shí)的過(guò)程。數(shù)據(jù)挖掘算法主要有關(guān)聯(lián)分析、序列分析和聚類分析，其中關(guān)聯(lián)分析方法主要分析事件記錄中數(shù)據(jù)項(xiàng)間隱含的關(guān)聯(lián)關(guān)系，形成關(guān)聯(lián)規(guī)則；序列分析方法主要分析事件記錄間的相關(guān)性，形成事件記錄的序列模式；聚類分析識(shí)別事件記錄的內(nèi)在特性，將事件記錄分組以構(gòu)成相似類，并導(dǎo)出事件記錄的分布規(guī)律。在建立上述的關(guān)聯(lián)規(guī)則、序列模式和相似類后，即可依此檢測(cè)入侵或異常。

王莘在其碩士學(xué)位論文中對(duì)數(shù)據(jù)挖掘中關(guān)聯(lián)規(guī)則算法進(jìn)行了研究及改進(jìn)，包括APriori算法、FP-growth算法、NEFP算法和FUP算法。許占文[6]等分析了Apriori算法在日志關(guān)聯(lián)取證中的兩個(gè)性能瓶頸，并在對(duì)事件主次屬性的約束和修改支持度和置信度閾值設(shè)置兩個(gè)方面進(jìn)行了改進(jìn)。文娟[7]等設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘的日志分析系統(tǒng)，數(shù)據(jù)挖掘引擎在實(shí)現(xiàn)過(guò)程中針對(duì)挖掘數(shù)據(jù)的特點(diǎn)對(duì)Apriori算法進(jìn)行了改進(jìn)。

梁曉雪[8]等對(duì)基于聚類的日志分析技術(shù)進(jìn)行了綜述，針對(duì)聚類應(yīng)用在日志分析中存在的主要問(wèn)題，從聚類算法的選擇標(biāo)準(zhǔn)、改進(jìn)方向、性能分析3個(gè)方面探討了k-means算法在該領(lǐng)域的研究成果，并指出今后的研究方向?qū)⒅塾冢焊倪M(jìn)聚類質(zhì)量的研究，將日志聚類方法推向?qū)嵱没?；?duì)聚類數(shù)據(jù)做進(jìn)一步分析，包括文本、聲音、圖像等形式的日志數(shù)據(jù)進(jìn)行分析；數(shù)據(jù)可視化展現(xiàn)。

國(guó)光明[9]等討論基于日志的計(jì)算機(jī)取證分析系統(tǒng)的分析與設(shè)計(jì)，給出了基于計(jì)算機(jī)日志的取證分析系統(tǒng)的總體結(jié)構(gòu)和計(jì)算機(jī)日志分析取證系統(tǒng)日志處理、挖掘與分析子系統(tǒng)結(jié)構(gòu)，并著重討論了日志數(shù)據(jù)的預(yù)處理、挖掘與分析模塊的主要功能與設(shè)計(jì)思想，并對(duì)挖掘模式進(jìn)行了評(píng)估和分析。

基于數(shù)據(jù)挖掘的檢測(cè)方法建立在對(duì)所采集大量信息進(jìn)行分析的基礎(chǔ)之上，只能進(jìn)行事后分析，即僅在入侵事件發(fā)生后才能檢測(cè)到入侵的存在。

1.5 基于狀態(tài)轉(zhuǎn)移的分析方法

基于狀態(tài)轉(zhuǎn)移的分析是一種誤用檢測(cè)方法，采用系統(tǒng)狀態(tài)、狀態(tài)轉(zhuǎn)移與日志特征的表達(dá)式來(lái)描述已知的網(wǎng)絡(luò)攻擊模式，以有限狀態(tài)機(jī)模型來(lái)表示入侵過(guò)程，入侵過(guò)程由一系列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到入侵狀態(tài)的行為組成，其中初始狀態(tài)為入侵發(fā)生前的系統(tǒng)狀態(tài)，入侵狀態(tài)表示入侵完成后系統(tǒng)所處的狀態(tài)，采用優(yōu)化的模式匹配技術(shù)判斷當(dāng)前事件是否與攻擊模式匹配。

Phillip A.Porras[10]等于1992年提出基于狀態(tài)轉(zhuǎn)換分析的入侵檢測(cè)技術(shù)并在隨后得到發(fā)展。狀態(tài)轉(zhuǎn)移分析引擎包括一組狀態(tài)轉(zhuǎn)移圖，各自代表一種入侵或滲透模式。每當(dāng)有新行為發(fā)生時(shí)，分析引擎檢查所有的狀態(tài)轉(zhuǎn)移圖，查看是否會(huì)導(dǎo)致系統(tǒng)的狀態(tài)轉(zhuǎn)移。如果新行為否定了當(dāng)前狀態(tài)的斷言，分析引擎將狀態(tài)轉(zhuǎn)移圖回溯到斷言仍然成立的狀態(tài)；如果新行為使系統(tǒng)狀態(tài)轉(zhuǎn)移到了入侵狀態(tài)，狀態(tài)轉(zhuǎn)移信息就被發(fā)送到?jīng)Q策引擎，由決策引擎根據(jù)預(yù)定義的策略采取相應(yīng)措施。

以狀態(tài)轉(zhuǎn)移分析方法表示的攻擊檢測(cè)過(guò)程只與系統(tǒng)狀態(tài)的變化有關(guān)，而與攻擊的過(guò)程無(wú)關(guān)。狀態(tài)轉(zhuǎn)移分析方法能檢測(cè)到協(xié)同攻擊和慢攻擊；能在攻擊行為尚未到達(dá)入侵狀態(tài)時(shí)檢測(cè)到該攻擊行為，從而及時(shí)采取相應(yīng)措施阻止攻擊行為。狀態(tài)轉(zhuǎn)換圖給出了保證攻擊成功的特征行為的最小子集，能檢測(cè)到具有相同入侵模式的不同表現(xiàn)形式。狀態(tài)轉(zhuǎn)移分析方法中狀態(tài)對(duì)應(yīng)的斷言和特征行為需要手工編碼，在用于復(fù)雜的入侵場(chǎng)景時(shí)會(huì)存在問(wèn)題。

2 日志關(guān)聯(lián)分析

上述方法在各自的分析領(lǐng)域內(nèi)得到了較好的分析結(jié)果，但都只從單方面考慮造成這些入侵違規(guī)的因素，沒(méi)有把各種日志信息綜合關(guān)聯(lián)分析，得到的分析結(jié)果往往比較片面。

日志關(guān)聯(lián)是指將所有系統(tǒng)中的日志以統(tǒng)一格式綜合到一起進(jìn)行觀察。在網(wǎng)絡(luò)安全領(lǐng)域中，日志關(guān)聯(lián)分析是指對(duì)網(wǎng)絡(luò)全局的日志安全事件數(shù)據(jù)進(jìn)行自動(dòng)、連續(xù)分析，根據(jù)用戶定義的、可配置的規(guī)則來(lái)識(shí)別網(wǎng)絡(luò)威脅和復(fù)雜的攻擊模式，從而可以確定事件真實(shí)性、進(jìn)行事件分級(jí)并對(duì)事件進(jìn)行有效響應(yīng)。

基于日志關(guān)聯(lián)分析的取證模型包括代理端、關(guān)聯(lián)分析知識(shí)庫(kù)、關(guān)聯(lián)分析引擎和關(guān)聯(lián)分析結(jié)果處理，分析步驟分為數(shù)據(jù)聚合、規(guī)范化數(shù)據(jù)、事件特征關(guān)聯(lián)和事件序列關(guān)聯(lián)。

Fredrik Valeur等提出了一種入侵檢測(cè)告警關(guān)聯(lián)的完整方法，對(duì)所有組件進(jìn)行分析評(píng)價(jià)，構(gòu)建了一個(gè)實(shí)現(xiàn)關(guān)聯(lián)過(guò)程的框架，在框架之上用工具分析大量數(shù)據(jù)集，對(duì)每個(gè)組件單獨(dú)進(jìn)行分析，但關(guān)聯(lián)分析的效果依賴于數(shù)據(jù)集。Phillip A.Porras等提出基于任務(wù)影響度的安全告警關(guān)聯(lián)，該方法基于原型系統(tǒng)EMERALD M-Correlator，從多種安全設(shè)備收集安全告警報(bào)告，安全設(shè)備的告警經(jīng)過(guò)一系列的處理，經(jīng)過(guò)擴(kuò)展和可能的聚合被轉(zhuǎn)化成一個(gè)內(nèi)部事件報(bào)告格式。Alfonso Valdes等提出一種將隨時(shí)間進(jìn)行的攻擊、來(lái)自異構(gòu)傳感器的報(bào)告和多步攻擊進(jìn)行關(guān)聯(lián)的方法。Peng Ning等制定了一個(gè)框架，利用關(guān)聯(lián)入侵警報(bào)入侵的先決條件，發(fā)展出三種工具（稱為可調(diào)圖形的簡(jiǎn)化，重點(diǎn)分析和圖分解），以便于大量相關(guān)警報(bào)的分析。

伏曉[11]等對(duì)介紹了這一技術(shù)的處理過(guò)程及體系結(jié)構(gòu)，重點(diǎn)總結(jié)比較了報(bào)警聚類及融合、攻擊場(chǎng)景重建和攻擊意圖識(shí)剔3個(gè)關(guān)鍵階段的已有算法。劉必雄[12]等在論述日志關(guān)聯(lián)分析平臺(tái)的體系結(jié)構(gòu)與功能模塊的基礎(chǔ)上，提出一種新的網(wǎng)絡(luò)攻擊追蹤系統(tǒng)模型。闡述該模型的總體結(jié)構(gòu)與工作流程，提出基于登錄鏈的追蹤算法。

3 結(jié)束語(yǔ)

利用日志分析發(fā)掘有效的計(jì)算機(jī)證據(jù)，是計(jì)算機(jī)取證研究領(lǐng)域中一個(gè)重要的問(wèn)題。本文分析了日志文件及日志分析在計(jì)算機(jī)取證中的重要作用，綜述了日志分析的基本方法和關(guān)聯(lián)分析方法，指出日志分析技術(shù)在今后的發(fā)展方向，為進(jìn)一步得到全面的信息資源奠定了基礎(chǔ)。

[1]林曉東，劉心松.文件系統(tǒng)中日志技術(shù)的研究[J].計(jì)算機(jī)應(yīng)用，1998，18（1）:28-29.LIN Xiao-dong，LIU Xin-song.Analysis of log technology in file system[J].Computer Applications，1998，18（1）:28-29.

[2]Denning D E.An Intrusion-detection Model[J].IEEE Tran on Software Engineering，1987，13（2）:222-232.

[3]Snapp S R，Brentano J，Dias G V，et al.DIDS （Distributed Intrusion Detection System）-Motivation，Architecture， and An Early Prototype[C]//Proceeding of the 14th National Computer Security Conference，Washington DC，1991.

[4]林英，張雁，歐陽(yáng)佳.日志檢測(cè)技術(shù)在計(jì)算機(jī)取證中的應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（6）:254-256.LIN Ying，ZHANG Yan，OUYANG Jia.The log detection technology in computer forensics[J].The Application of the Computer Technology and Development，2010，20（6）:254-256.

[5]孫宏偉，鄒濤，田新廣，等.基于機(jī)器學(xué)習(xí)的入侵檢測(cè)方法實(shí)驗(yàn)與分析[J].計(jì)算機(jī)工程與設(shè)計(jì)，2004，25（5）:694-696.SUN Hong-wei，ZOU Tao，TIAN Xin-guang，et al.Intrusion detection method based on machine learning experiments and analysis[J].Computer Engineering and Design，2004，25（5）:694-696.

[6]許占文，王曉東.高效關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘算法研究[J].沈陽(yáng)工業(yè)大學(xué)學(xué)報(bào)，2002，5（4）:12-16.XU Zhan-wen，WANG Xiao-dong.Research ofefficient algorithms of association rules data mining[J].Journal of Shenyang University of Technology，2002，5（4）:12-16.

[7]文娟，薛永生，段江嬌，等.基于關(guān)聯(lián)規(guī)則的日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].廈門大學(xué)學(xué)報(bào)：自然科學(xué)版，2005（44）:258-261.WEN Juan，XUE Yong-sheng，DUAN Jiang-jiao，et al.Section of river，of association rules based on log analysis system design and implementation[J].Journal of Xiamen University：Natural Science Edition，2005（44）:258-261.

[8]梁曉雪，王鋒.基于聚類的日志分析技術(shù)綜述與展望[J].云南大學(xué)學(xué)報(bào)：自然科學(xué)版，2009，31（S1）:52-55.LIANG Xiao-xue，WANG Feng.Clustering based on log technology analysis and prospect[J].Journal of Yunnan University：Natural Sciencf Edition，2009，31（S1）:52-55.

[9]國(guó)光明，洪曉光.基于日志挖掘的計(jì)算機(jī)取證系統(tǒng)的分析與設(shè)計(jì)[J].計(jì)算機(jī)科學(xué)，2007，34（12）:299-303.GUO Guang-ming，HONG Xiao-guang.Log-based computer forensics system analysis and design[J].Computer Science，2007，34 （12）:299-303.

[10]PorrasP A，Kemmerer R.A Penetration State Transition Analysis A Rule-Based Intrusion Detection Approach[C]//Proceedings of the 8th Annual Computer Security Applications Conference，NewYork:IEEE.1992:220-229.

[11]伏曉，謝立.安全報(bào)警關(guān)聯(lián)技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2010，37（5）:9-14.FU Xiao，XIE Li.Security alertcorrelation technology research[J].Computer Science，2010，37（5）:9-14.

[12]劉必雄，魏連，許榕生.一種基于日志關(guān)聯(lián)的網(wǎng)絡(luò)攻擊追蹤系統(tǒng)模型[J].重慶科技學(xué)院學(xué)報(bào)：自然科學(xué)版，2007，9（4）:81-84.LIU Bi-xiong，WEI Lan，XU Rong-sheng.Attacker-tracing systematic framework based on log correlation network[J].Journal of Chongqing University of Science and Technology：Natural Science Edition，2007，9（4）:81-84.