背景技术:
信息安全服务和数字取证服务涉及对数字入侵的调查和预防,诸如对计算机系统和网络的破坏和利用,并且可以包括入侵调查系统。入侵调查系统是一种工具,诸如设备或软件应用,其可以监测网络或系统是否存在恶意活动或者违反政策的行为,并且收集表明所关注的系统或网络的安全性已经被破坏的证据。在一些示例中,入侵调查系统可以尝试从所收集的证据中重构入侵或攻击。入侵调查系统的范围可能很大,从简单的工具和库到详细检查整个网络的分层系统。在一些示例中,入侵调查系统还可以包括入侵预防机制。
技术实现要素:
提供本“发明内容”以便以简化的形式介绍将在下面的“说明书”中进一步描述的概念的选择。本“发明内容”既不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
本公开的数字入侵调查系统将所关注的系统或网络上的不同取证事件链接在一起以帮助调查人员重构入侵(compromise)或破坏及其后果。调查系统从所关注的系统或网络上的一组取证事件中接收一组取证事实。从取证事实中标识可疑事实。该系统基于可疑事实从取证事实中标识相关事实。在一个示例中,相关事实变为另一可疑事实,并且包括在迭代过程中基于另一可疑事实标识另一相关事实。调查系统可以及时地(诸如沿着可视化中的时间线)来回重构相关取证事实的链,并且测量这样的关系的概率。调查系统还可以向可以编辑或修改输出的调查人员突出显示该链。
附图说明
附图被包括以提供对实施例的进一步理解,并且被并入本公开中并且构成本公开的一部分。附图示出了实施例,并且与说明书一起用于解释实施例的原理。其他实施例和实施例的很多预期优点将很容易理解,因为通过参考以下描述将能够更好地理解它们。附图的元素不必相对于彼此成比例。相同的附图标记表示对应的相似的部分。
图1是示出计算设备的示例的框图。
图2是示出示例入侵调查系统的示意图。
图3是示出图2的入侵调查系统的示例方法的框图。
图4是示出图3的示例方法的示例方法的框图。
具体实施方式
在下面的“说明书”中,参考附图,附图形成“说明书”的一部分并且在附图中通过图示的方式示出了可以在其中实践本发明的特定实施例。应当理解,在不脱离本发明的范围的情况下,可以利用其他实施例并且可以进行结构或逻辑上的改变。因此,以下描述不应当在限制意义上进行。应当理解,除非另外特别指出,否则本文中描述的各种示例性实施例的特征可以彼此组合。
图1示出了示例性计算机系统,该示例性计算机系统可以在操作环境中使用并且用于托管或运行被包括在存储有用于控制计算机系统(诸如计算设备)的计算机可执行指令的一个或多个计算机可读存储介质上的计算机应用以执行诸如入侵调查系统中的调查方法等过程。
示例性计算机系统包括计算设备,诸如计算设备100。计算设备100可以采用几种形式中的一种或多种。这样的形式包括平板电脑、个人计算机、工作站、服务器、手持设备、消费类电子设备(诸如视频游戏机或数字视频录像机)等,并且可以是独立设备或被配置为计算机网络的一部分。
在基本硬件配置中,计算设备100通常包括具有一个或多个处理单元(即,处理器102和存储器104)的处理器系统。作为示例,处理单元可以包括在芯片上的两个或更多个处理核心、或者两个或更多个处理器芯片。在一些示例中,计算设备还可以具有一个或多个附加处理或专用处理器(未示出)(诸如用于在图形处理器单元上进行通用计算的图形处理器),以执行从处理器102卸载的处理功能。存储器104可以按层次被布置,并且可以包括一个或多个高速缓存级别。取决于计算设备的配置和类型,存储器104可以是易失性的(诸如随机存取存储器(ram))、非易失性的(诸如只读存储器(rom)、闪存等)或其某种组合。
计算设备100还可以具有附加特征或功能。例如,计算设备100还可以包括附加的存储装置。这样的存储装置可以是可移动或不可移动的,并且可以包括磁盘或光盘、固态存储器或闪存设备,诸如可移动存储装置108和不可移动存储装置110。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何合适的方法或技术实现的易失性和非易失性的可移动和不可移动的介质。存储器104、可移动存储装置108和不可移动存储装置110都是计算机存储介质的示例。计算机存储介质包括ram、rom、eeprom、闪存或其他存储技术、cd-rom、数字多功能光盘(dvd)或其他光学存储装置、磁盒、磁带、磁盘存储或其他磁性存储设备、通用串行总线(usb)闪存驱动器、闪存卡或其他闪存存储设备、或者可以用于存储期望信息并且可以由计算设备100访问的任何其他存储介质。因此,传播信号本身没有资格作为存储介质。任何这样的计算机存储介质都可以是计算设备100的一部分。
计算设备100通常包括用于连接到各种设备以向计算设备提供输入和输出的一个或多个输入和/或输出连接,诸如usb连接、显示端口、专有连接等。输入设备112可以包括诸如键盘、指示设备(例如,鼠标、触控板)、手写笔、语音输入设备、触摸输入设备(例如,触摸屏)等设备。输出设备111可以包括诸如显示器、扬声器、打印机等设备。
计算设备100通常包括允许计算设备100与其他计算机/应用115通信的一个或多个通信连接114。示例通信连接可以包括以太网接口、无线接口、总线接口、存储区域网络接口和专有接口。通信连接可以用于将计算设备100耦合到计算机网络,该计算机网络可以根据诸如拓扑、连接方法和规模等多种特性来分类。网络是通过通信信道互连的计算设备和可能的其他设备的集合,这些通信通道有助于通信并且允许在互连设备之间共享资源和信息。计算机网络的示例包括局域网、广域网、互联网或其他网络。
数字取证调查是耗时的工作,其依赖于合格的调查人员。在典型的调查期间,调查人员可以处理来自所关注的计算机系统或网络上的若干数字伪像(artifact)的数百万条记录。调查人员经常尝试链接来自取证数据的相关事件以重构入侵及其后果。
在数字取证调查期间,调查人员经常寻求提取入侵指标。入侵指标(缩写为ioc)在取证领域中经常被描述为计算设备上表明所关注的系统或网络的安全性已经被破坏的证据。调查人员通常在收到可疑事件的通知之后有计划地或者在从所关注的系统或网络中发现异常调出之后收集入侵指标。典型的入侵指标包括文件名、文件散列(诸如md5散列或sha256散列)、注册表项、地址(诸如命令和控制域或硬编码的ip地址)、用户名、证书以及很多其他数据。在理想情况下,收集该信息以用于检测类似的入侵系统或者创建“更智能”的工具,诸如入侵检测系统,这些工具将来可以检测和隔离可疑文件。
在数字取证调查中使用入侵指标可能包括几个缺点。很多入侵指标可能在调查范围内是相关的,但在其他方面却是嘈杂的或不相关的。例如,如果一台入侵机器被重新设计为执行点击欺诈,则入侵行为者会下载和使用常见和流行类型的浏览器插件以生成欺诈性业务。尽管在数字取证调查的上下文中,入侵指标可能包括浏览器插件的文件名,但是由于误报率很高,因此无法将文件名用作入侵的常规检测。同样,即使在恶意行为的情况下,入侵指标也可能缺乏上下文。同样,入侵指标通常基于签名,并且不能抗混淆。例如,添加到恶意文件中的几个字节可能会改变文件散列,这可能会使恶意文件的先前收集的文件散列对基于入侵指标或基于攻击指标的调查中的入侵检测系统变得混乱或甚至无效。
为了解决一些限制,数字取证调查可以针对攻击指标或ioa。ioa专注于检测攻击者试图完成什么的意图,而与攻击中使用的恶意软件或开发无关。成功的网络钓鱼电子邮件会试图说服目标用户选择链接或打开将感染计算设备的文档。一旦受到入侵,攻击者将秘密地执行另一进程,隐藏在存储器中,并且在系统重新启动后保持持久性。下一步是与c2服务器联系并且等待进一步的指令。ioa关心这些步骤的执行,包括攻击者的意图,而不是专注于攻击者的特定工具。但是,在很多情况下,针对ioa的入侵调查或检测解决方案仍然基于签名,并且被视为入侵指标。因此,基于ioa的方法可以减少但不能消除基于入侵指标的解决方案的局限性。
图2示出了用于调查所关注的系统或网络中的诸如黑客或攻击者的入侵或破坏等入侵的示例入侵调查系统200。入侵调查系统200包括或接收指定为取证事实202的一组基于动作的取证数据,该取证数据是从所关注的系统或网络的数字伪像上的一组一般取证数据(这里称为取证事件)中所提取的。取证事实202可以用作入侵指标、和攻击指标的一部分,以使系统200能够更抗混淆并且提供更可靠的调查。在一个示例中,入侵检测系统200执行从一般取证事件中提取取证事实202。调查人员或系统200指定该组取证事实202中的取证事实作为可疑取证事实204。在一个示例中,调查人员或系统200可以指定一个或多个可疑取证事实204。系统200构建与可疑取证事实204相关的一组取证事实,该取证事实被指定为相关取证事实206。在一个示例中,相关取证事实206沿着时间线208被呈现。在生成相关取证事实206时,系统200可以分配与可疑取证事实204的关系的概率,并且为调查人员突出显示沿着时间线208的事件链。系统200可以基于先前发现的相关取证事实204和分析者反馈来迭代地计算概率并且发现相关取证事实206。
入侵调查系统200可以以多种形式实现以在诸如计算设备100等计算设备上执行以检测所关注的系统或网络上的其他入侵。在一个示例中,入侵调查系统200可以被实现为独立的应用或设备,其可以由计算机安全人员或选定的所关注的系统或网络上的其他人使用。在另一示例中,入侵调查系统200可以被实现为云环境中的安全服务的一部分以作为平台即服务的一部分来保护和保全网络用户(诸如云租户)的基于云的资产和资源免受恶意通信或其他入侵的攻击。在又一示例中,入侵调查系统200可以被实现为作为软件即服务被提供给订户的服务。在又一示例中,入侵调查系统200可以被实现为可以用于开发其他安全应用的库或资源。还设想其他实现。
数字伪像是存在于所关注的系统或网络上或其他地方的数据源,其提供所关注的系统或网络上的活动数据。例如,数字伪像可以跟踪系统或网络活动或者在所关注的系统或网络上执行的活动。示例数字伪像包括主文件表、包括关于在文件系统上进行的任何转换的信息的更改日志、事件日志、注册表项和其他来源。数字伪像可以包括事件或取证事件的记录。取证事实202是作为取证事件的子集的基于动作的可观察物(observable)或基于动作的取证事件。例如,取证事实可以用作类型动作的入侵指标。入侵调查系统200将取证事实202应用于攻击的目标行为模式而不是静态模式。由取证事实202构建的攻击指标将更能抵抗混淆,因为它可以将动态类型用作属性值。
取证事实202中的每个取证事实可以包括一个或多个属性。这些属性可以被存储为具有在对所关注的系统或网络的调查中开发的一组取证事实202中的特定取证事实的记录的字段。作为示例,该组取证事实202中的特定取证事实可以包括“文件x1被替换为文件x2”。特定取证事实可以包括多个属性,诸如正在替换的文件(x1)的名称、插入的文件(x2)的文件名、和时间戳。另外,取证事实202中的特定取证事实可以包括若干其他属性,诸如文件x2的散列、文件x2的散列、用户名、工作站名称和其他信息。在其中文件x2是恶意文件并且攻击者已经向文件x2添加了若干字节的数据以改变文件散列的示例中,只有一个属性(即,文件x2的散列)将发生改变,因此特定取证事实可以保持相关性。可以在记录中包括附加字段以基于相对于另一取证事实已经改变的属性的数量和这样的属性的权重来指示与另一取证事实的相关性的置信度。
取证事实202中的取证事实的另一示例包括来自主文件表数字伪像的记录。在该示例中,主文件表的记录可以包括具有以下各项的结构:文件类型、参考编号、文件名、文件创建时间、文件访问时间、修改时间、更新时间、文件大小、用户标识符和组标识符。由于取证事实202包括动作,因此每条记录可以提取至少四个不同的取证事实,包括文件被创建(包括文件类型、文件名、时间戳、文件大小、用户标识符、组标识符的属性)、文件被修改、文件被访问、以及文件被更新。
图3示出了可以用调查检测系统200来实现的示例方法300。在302处,从所关注的系统或网络中提取取证事实202。在304处,将可疑事实204标识为所提取的取证事实202的子集。在306处,对于每个可疑事实,系统200从取证事实202中找到相关事实。在该示例中,相关事实变为可疑事实,并且在306处,系统200可以再次从取证事实202中找到其他相关事实。另外,在306处,可以向所发现的相关事实添加重要性权重。在306处,系统200可以继续从可疑事实中发现相关事实,直到预先选择的标准或条件满足。
取证事实202可以用作入侵指标,并且攻击指标可以由取证事实202构造。取证事实202如时间戳或其他时间跟踪机制所确定的那样被排序。入侵检测系统还可以应用取证事实202以查找由顺序确定的类似的取证事件链以检测其他系统或网络上的入侵。
图4示出了可以被实现以在302处从所关注的系统或网络中提取取证事实202的示例方法400。在402处,从数字伪像接收取证事件,并且从取证事件中提取基于动作的取证事件。在404处,将基于动作的取证事件标准化为模式以将包括记录作为具有一组属性的取证事实。一个以上的伪像可以跟踪相同的取证事实,因此,在406处,对所提取的取证事实去重。另外,在408处,可以通过时间戳对具有相似性质的经去重的取证事实进行汇总和排序。可以将经过汇总和排序的取证事实作为数据结构存储在数据库或文件中,并且作为取证事实202呈现给系统200。
用于在404处收集属性的模式可以是所有系统和网络通用的,是特定于所关注的系统和网络中的伪像的,或者其组合。该模式可以包括为每个伪像而收集的一组属性。在一个示例中,所关注的系统和网络上的伪像可以包括主文件表、更改日志、最近使用的日志、amcache、成功登录、和事件。可以为每个伪像包括事件标识符属性。可以为事件伪像而不为其他伪像包括帐户过期、算法名称和认证包名称属性。可以设想这些属性以及与一个或多个伪像相对应的属性的其他示例。
由于所关注的系统或网络中的每个动作都可能在多个伪像中留下痕迹,因此有可能多个伪像会道出相同的取证事件。另外,相同或相似的动作可以呈现为伪像中的不同动作。例如,在系统或网络上创建用户可以包括:创建来自主文件表伪像的取证事实作为ntuser.dat、创建用户/文档/文件夹、创建用户/收藏夹文件夹、更新注册表文件、以及来自伪像的其他动作以及其他伪像(诸如注册表项、事件日志和更改日志)中的其他动作。
在406处,对多个取证事实去重。对取证事实去重的一个示例包括:比较取证事件的时间或取证事实的属性以确定取证事件是否是重复的。一个示例考虑取证事件的时间戳属性以确定取证事件是否同时发生,并且还考虑取证事件的属性以确定事件是否相同或相似。在一个示例中,如果以下三个条件中的至少两个满足,则对取证事实进行去重:所比较的取证事件的时间戳的差异未超过选定阈值、相似属性的数量或比率超过选定阈值、以及属性的值在选定阈值之上不会相互矛盾。取决于伪像,相同的取证事实可以包括不同的属性。在406处对取证事实进行重复数据删除的一个示例中,每组属性可以被保留在记录中。
返回图3,分析人员可以在304处选择用于从其开始调查的一个或多个可疑事实。可以在304处标识可疑事实之前或之后在302处提取取证事实202。在一个示例中,从一组取证事实202中选择一个或多个可疑事实。
在306处,基于所标识的可疑事实从一组取证事实202中得出相关事实。在一个示例中,如果两个或更多个取证事实具有相似的属性或值,则它们是相关的。另外,可以向相关事实分配关系的程度或量,其包括与第一取证事实的值,该值指示与第二取证事实的关系的量。一旦确定取证事实与可疑事实相关,就将相关取证事实添加到该组可疑事实中,并且可以重复在306处标识相关事实的过程。可以重复标识相关事实的过程,直到选定条件满足。在一个示例中,用于停止在306处查找相关事实的过程的条件可以包括:调查人员对结果感到满意,或者对所得到的可疑和相关事实的数量感到满意,在306处从该组可疑事实中不再能够得到相关事实,或者在306处新得到的相关事实的关系的权重或程度低于选定阈值。
可以使用若干示例标准或过程来确定在306处得到的相关取证事实的加权关系。在一个示例中,两个取证事实之间的权重w由下式确定:
w=(w1p1 w2p2 ... wnpn)hi
其中
一旦确定了相关事实,系统200就可以诸如在显示器上的可视化中的时间线上呈现取证事实以及相关联的权重。
在一个示例中,调查人员已经发现了一种病毒,诸如masssender病毒,它是一种旨在删除或破坏或窃取所关注的计算机上的数据的恶意软件。研究者可以从ams.zip文件中标识masssender的解压缩动作。系统200可以应用方法300和方法400以包括时间线,该时间线具有相关取证事实的时间(未示出)和相应权重(从0.0到1.0),诸如:
创建新用户temp,0.85;
由用户temp创建ams.zip,1.0;
从ams.zip中解压缩masssender,(最初标识的可疑事实);
将masssender安装到programfiles,1.0;
由用户temp创建nicehashminer,0.7;
执行masssender.exe,1.0;
由用户temp将nwxodq8f.exe下载到appdata\temp,0.7;以及
将winlogon.exe替换为nwxodq8f.exe,0.7。
应用方法300、方法400的系统200可以大幅度减少调查人员审查的取证事件的数量,并且提供与似乎不相关的取证事实的连接(诸如用特洛伊木马替换系统文件(nwxodq8f.exe)与从ams.zip中解压缩masssender之间的关系)。调查人员可以包括或排除取证事实,并且重复306以获取一组重新考虑的结果。
示例入侵调查系统200和方法300、方法400可以被实现为包括用于控制诸如具有处理器和存储器的计算系统等系统执行方法300、方法400以发现所关注的系统或网络上的其他入侵实例的一个或多个硬件设备和计算机程序的组合。例如,入侵调查系统200和方法300、方法400可以被实现为具有用于控制处理器执行方法300、方法400的可执行指令集的计算机可读介质或计算机可读设备。
尽管本文中已经示出和描述了特定实施例,但是本领域普通技术人员将理解,在不脱离本发明的范围的情况下,各种替代和/或等效的实现可以代替所示出和描述的特定实施例。本申请旨在覆盖本文中讨论的特定实施例的任何改编或变型。
1.一种调查系统或网络上的入侵的方法,所述方法包括:
从所述系统或网络上的一组取证事件中接收取证事实;
从所述取证事实中标识可疑事实;以及
基于所述可疑事实来从所述取证事实中标识相关事实。
2.根据权利要求1所述的方法,其中所述相关事实变为另一可疑事实,并且所述方法包括:基于所述另一可疑事实来标识另一相关事实。
3.根据权利要求1所述的方法,包括:
向所述相关事实添加重要性权重。
4.根据权利要求3所述的方法,其中所述重要性权重基于所述可疑事实与所述相关事实之间的属性比较。
5.根据权利要求1所述的方法,其中接收所述取证事实包括:
从具有所述一组取证事件的所述系统或网络的伪像中提取基于动作的取证事件;
将所述基于动作的取证事件的属性标准化为模式;
对所述基于动作的取证事件去重;以及
聚合经去重的所述基于动作的取证事件。
6.一种用于存储计算机可执行指令的计算机可读存储设备,所述计算机可执行指令用于控制处理器:
从系统或网络上的一组取证事件中接收取证事实;
从所述取证事实中标识可疑事实;以及
基于所述可疑事实来从所述取证事实中标识相关事实。
7.根据权利要求6所述的计算机可读存储设备,计算机可执行指令用于控制所述处理器:
在可视化中的时间线上呈现所述可疑事实和所述相关事实。
8.一种系统,包括:
存储器设备,用于存储一组指令;以及
处理器,用于执行所述一组指令以:
从系统或网络上的一组取证事件中接收取证事实;
从所述取证事实中标识可疑事实;以及
基于所述可疑事实来从所述取证事实中标识相关事实。
9.根据权利要求8所述的系统,其中所述相关事实包括相对于所述可疑事实的重要性权重。
10.根据权利要求8所述的系统,所述系统被实现为云环境中的安全服务。
技术总结