本发明专利技术针对传统内存取证方法应对Rootkit隐遁攻击不力的安全困境,通过借鉴生物免疫系统原理,提出了一种基于免疫的Rootkit隐遁攻击内存取证技术。通过完整获取内存镜像数据、详尽解析内存数据,实现动态智能提取Rootkit隐遁攻击的内存证据。首先,通过逆向分析Windows内存页面交换机制,获取完整的内存镜像数据(物理内存和页面交换文件)。其次,利用内核驱动技术,动态分析内存镜像中的进程数据,并重建与进程相对应的可执行文件映像。最后,借鉴人体免疫系统机理,利用Rootkit检测器(免疫细胞)的动态演化来提取Rootkit隐遁攻击的相关证据。本发明专利技术能动态、智能地对Rootkit隐遁攻击进行内存取证,确保其无处遁形,为绳之以法网络攻击者(黑客)提供呈堂证供。
An immune based rootkit stealth attack memory forensics technology
【技术实现步骤摘要】
一种基于免疫的Rootkit隐遁攻击内存取证技术一、
本专利技术涉及网络空间安全
,特别是涉及一种基于免疫的Rootkit隐遁攻击内存取证技术。二、
技术介绍
近年来,网络攻击者(黑客)利用日益增强的网络依赖性和不断涌现的软件漏洞,通过隐匿恶意软件远程渗透、潜伏并控制目标网络系统,悄无声息地窃取敏感信息、实施网络犯罪并伺机发起网络攻击,获取政治、经济、军事利益,已造成了严重的网络安全威胁[1]。据《2019InternetSecurityThreatReport》[2]显示:网络犯罪给全球经济造成了每分钟290万美元的损失,全年总计15000亿美元,中国因网络犯罪造成500亿美元损失;全球50%的互联网用户遭受过网络攻击,中国有77%网民遭受过网络攻击,为全球第二大恶意网络攻击受害国。另据《Cisco2018AnnualSecurityReport》[3]报告称:尖端恶意攻击将会前所未有地增长。网络犯罪的趋利化,促使网络攻击者不断革新网络攻击理念、创新网络攻击方式,竭力占据网络攻防的技术优势。隐遁攻击(EvasionAttacks)就是在此背景下出现并迅速发展起来的一种恶意网络攻击新形态,具有极大的破坏力[4]。据《McAfeeLabs2019ThreatsPredictionsReport》[5]报告称:网络犯罪者将会使用更多的隐遁攻击,以逃避检测与取证,获取更大利益。隐遁攻击[6]是一种利用隐遁技术,通过伪装或修饰网络攻击痕迹,以规避、阻碍信息安全系统检测与取证的恶意网络攻击。攻击者对已被渗透的目标网络系统发动的隐遁攻击,犹如隐形战机在雷达未能有效探测的情况下发起的攻击,如入无人之境,令人束手无策,安全威胁极大。据IBMX-Force安全研究小组[7]针对2018年典型攻击情况的分析调查显示,近70%的网络攻击为未知(Unknown)原因的攻击。因此,我们有理由相信:隐遁攻击技术已被黑客广泛采用。在各类隐遁攻击方式中,Rootkit隐遁攻击无疑最具威胁性:它钩挂系统服务调用、篡改系统内核数据,予攻击于无形之中,来无踪去无影,攻击威力极大。所谓Rootkit隐遁攻击[8],是指借助于尖端的Rootkit技术来隐匿自身及其攻击痕迹,从而阻碍、规避取证分析的一种新型恶意网络攻击。其威胁性主要体现在2个方面:①通过钩挂系统服务调用以更改指令执行路径,致使传统的网络安全防御工具难以检测取证;②通过篡改系统内核数据,使其毫无察觉地潜伏于目标系统中多年,而用户对此却一无所知。更为严重的是,为了规避、阻碍传统的磁盘文件系统取证分析,Rootkit隐遁攻击已开始采用驻留内存、伪装内存等反取证对抗措施,造成无证可取、取得伪证等后果[9,10]。主要体现为2个方面:①驻留内存的Rootkit隐遁攻击。此类攻击表现为:无磁盘文件,Rootkit全部在内存中加载运行,目标机器关机后,实施攻击的文件映像自我删除、自动消失,致使无证可取。②伪装内存的Rootkit隐遁攻击。此类攻击表现为:即使有磁盘文件,但其在内存中运行后便实施内存视图伪装,以蒙混欺骗相关实时检测取证工具,致使取得伪证。由于Rootkit隐遁攻击原本已经所向披靡,加之采用内存反取证对抗措施后,致使传统的磁盘文件系统取证方法难以取证,这对于网络信息安全的威胁无疑雪上加霜。因此,从Rootkit隐遁攻击的发展趋势来看,对Rootkit隐遁攻击进行内存取证分析,已是大势所趋、势在必行。这无疑是遏制Rootkit内存化、预防网络隐遁攻击、打击网络犯罪的有效途径与解决之道。三、
技术实现思路
针对传统取证方法应对Rootkit隐遁攻击不力的安全困境,提出了一种基于免疫的Rootkit隐遁攻击内存取证技术。该技术通过完整获取内存镜像数据、详尽解析内存镜像数据,来构建基于免疫机理的Rootkit隐遁攻击动态内存取证技术。(一)技术问题传统的Rootkit攻击内存取证技术可分为2个步骤:①内存数据获取,②内存数据分析。在内存数据获取方面,目前的方法可概括为两大类:基于硬件的内存获取和基于软件的内存获取。(1)基于硬件的内存获取方法,主要利用DMA(DirectMemoryAccess,直接内存访问)指令去获取物理内存的拷贝。在拷贝物理内存时,目标系统的CPU将暂停,以避免攻击者执行恶意代码从而非法篡改内存数据。目前有2种类型的硬件卡:①基于PCI卡拷贝物理内存,譬如,Carrier等人提出的Tribble[11]、Petroni等人提出的Copilot[12]、BBNTechnologies提出的FRED[13]等物理内存提取卡;②基于IEEE1394火线接口拷贝物理内存,譬如,Bock[14.15]等人提出了利用IEEE1394火线接口进行物理内存拷贝。此类方法的优点是:能在不干扰操作系统的情况下,较为准确地获取物理内存拷贝。但其缺点为:如攻击者对主板上的北桥芯片进行重新编程,则很容易欺骗此类方法。此外,此类硬件卡必须事先插入主板中,这对于遭受实时攻击的系统来说是不现实的。(2)基于软件的内存获取方法,主要借助于Windows系统的内核数据结构和相关机制去获取内存数据。目前主要有5种方法[16]:①基于虚拟机的内存获取,②基于系统崩溃转储的内存获取,③基于内核模式程序的内存获取,④基于操作系统注入的内存获取,⑤基于系统休眠文件的内存获取。这些方法各有优缺点。对于基于虚拟机的内存获取方法,尽管内存获取便捷,但Rootkit易检测到虚拟机的存在而自动终止其自身运行,致使后续取证分析失败。对于基于系统崩溃转储的内存获取方法,尽管可获取系统内存记录,但对目标系统可能会造成灾难性的破坏,从而不利于对其进行相关的取证工作。对于基于内核模式程序的内存获取方法,易被Rootkit劫持而导致所获取信息失真。对于基于操作系统注入的内存获取方法,在单处理器模式下,将花费很多时间进行写操作,消耗大量内存,且只支持在串口模式的I/O操作。对于基于系统休眠文件的内存获取方法,不能获取全部物理内存的信息,且休眠文件格式未知、压缩存放,这给取证分析该文件带来了困难。然而,上述的内存数据获取方法,存在着内存数据获取完整性问题,主要体现在2个方面:①未能完整地获取内存数据。获取的只是物理内存数据,未包括页面交换文件数据。根据Windows内存页面交换机制,暂未使用的进程页面将被换出至页面交换文件中,腾出物理内存页面以供他用。由此可知,完整的内存数据不仅包括物理内存中的数据,还包括页面交换文件中的数据。②易受Rootkit隐遁攻击的内存视图伪装技术欺骗,致使获取的内存数据不完整。在内存数据分析方面,目前处于起步阶段,大致可概括为两大类:内存进程信息分析和内存注册表信息分析。(1)内存进程信息取证分析,通过定位内存进程中的相关内核数据结构,并从中提取出相关进程信息。目前主要有3种方法:①基于EPROCESS对象的取证分析[17-19],②基于KPCR(KernelProcessorControlRegion,内核处理器控本文档来自技高网...
【技术保护点】
1.一种基于免疫的Rootkit隐遁攻击内存取证技术,包括完整获取内存镜像数据、详尽解析内存数据、有效提取Rootkit隐遁攻击的内存证据,其特征在于:全面获取物理内存数据和页面交换文件数据,解析攻击进程信息和逆向分析并重构可执行文件信息,借鉴人体免疫系统的抗原提呈机制,提取相关攻击证据数据,为绳之以法网络攻击者(黑客)提供呈堂证供。/n
【技术特征摘要】
1.一种基于免疫的Rootkit隐遁攻击内存取证技术,包括完整获取内存镜像数据、详尽解析内存数据、有效提取Rootkit隐遁攻击的内存证据,其特征在于:全面获取物理内存数据和页面交换文件数据,解析攻击进程信息和逆向分析并重构可执行文件信息,借鉴人体免疫系统的抗原提呈机制,提取相关攻击证据数据,为绳之以法网络攻击者(黑客)提供呈堂证供。
2.根据权利要求1所述的完整获取内存镜像数据技术,其特征在于:完整的内存数据,包括物理内存数据和页面交换文件数据。①通过内核驱动技术,从系统内核层获取表征物理内存的内存区对象\\Device\\PhysicalMemory,或者依据PDE(PageDirectoryEntry,页目录项)、PTE(PageTableEntry,页表项)二级转译机制得到物理内存地址,进而获取物理内存数据;②通过内存页面交换机制和虚拟地址转译机制,借助于进程VAD(VirtualAddressDescriptor,虚拟地址描述符)和PTE(PageTableEntry,页表项),获取进程被换出至页面交换文...
【专利技术属性】
技术研发人员:张瑜,孙葭,张皞,
申请(专利权)人:海南师范大学,张瑜,孙葭,
类型:发明
国别省市:海南;46
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。