搜狐军事-搜狐网站> 军情站消息
国内 | 国际 | 社会 | 军事 | 公益

美国国防部网络事故分析方法

来源:搜狐军事 作者:知远

  附件D 网络事故分析

  1、介绍

  a、事故分析是为了确定事故中发生了哪些事情而采取的一系列分析步骤。这种分析的目的是了解技术细节、根本原因和事故的潜在影响。这种理解将有助于确定需要收集额外的信息,如何协调与他人分享信息,以及如何制定行动方案和响应。如果事故可能需要惩罚或刑事行动,必须联系相应的执法/反情报机构,以确保在事件的调查中采取适当的法律程序。

  b、本节提供了对需报告的事件和事故进行事故分析的相关要求的额外指导。进一步的要求将由相关的司令部发布的作战命令予以阐述 。

  c、事故分析过程的主要目标是:

  (1)通过技术分析确定事故的根本原因。

  (2)确保事故报告的准确性和完整性。

  (3)表征和沟通事件的潜在影响。

  (4)寻找攻击所采用的方法和可以防止将来发生的安全控制措施。

  (5)为了应对和消除风险和/或威胁,研究可以采取的行动。

  (6)了解活动的模式,以表征威胁和指导保护和防御的战略。

  d、技术分析在本质上是迭代。在整个事故处理的生命周期中要进行多次。要进行一定程度的分析以便及时发现和充分报告事故。一旦事件被报告了,它可能会经历几个层次的分析,以找出问题的根本原因。每个相继的层次都需要拥有娴熟技能并有机会获得额外的工具或系统的人员。

  e、事故分析试图查明事件的根本原因,并须充分了解事故造成的损害的范围、可能的影响和程度。图D-1说明了数据保存、技术分析、根本原因识别和系统恢复之间的基本关系。根据事故发生的复杂性和所需的分析水平,分析事故可能所需的时间量会不同,从数分钟到数小时到数月。

 


  图D-1 网络事故分析中保存数据与恢复系统的关系

  f、在某些情况下,技术分析最后无法确定事件发生的根本原因。入侵者可能和日志和文件一起已被删除或篡改,使它们不可信了,或存在多个未修补的漏洞可能使其无法(或不值得的努力)努力去找出哪些具体的漏洞被利用了。在这种情况下,更快捷、简单的可能是开始恢复和硬化。

  g、必须仔细权衡没有确定事件发生的根本原因就决定恢复一个信息系统,因为它可能会留下漏洞。例如,如果一个事件的根本原因源于基准配置中缺少的一个修补程序,信息系统恢复使用相同的基准配置将使信息系统在未来容易发生泄密。

  2、网络事故分析框架

  a、分析的类型将依赖于所分析的事件的性质。通常情况下,响应一个事件需要以下类型的分析的组合:

  (1)系统的分析。获取、保存、分析信息系统历史文件(例如日志文件或注册表信息、创建的一个图像或捕捉的屏幕快照)的过程可以帮助表征事件和发展行动方案。

  (2)恶意软件分析。对报告为怀疑进行敌对谍报活动的软件构件的识别、分析和鉴定过程有助于深入减缓行动和战略、反情报活动和执法活动中的防御。

  (3)网络分析。收集、检查和解释网络流量以识别和应对违反安全策略之事故的过程。网络事故分析将包括网络日志文件以展示威胁(例如路由器日志、防火墙日志、入侵检测系统/入侵防御系统日志)。

  b、这组类别是有点随意,它们之间有没有清晰的区分。例如,恶意软件可能在接受分析的信息系统上以及在网络数据中留下痕迹。完美的取证数据收集和分析的原则,特别是在可能导致法律起诉的情况下,可以在所有上述类型的分析中应用。

  c、分析的层次或深度通常可以根据分析请求或组织的任务而决定。例如,一些组织可以负责对发生泄密的系统进行恢复,并希望确定损害的程度。这可能大不同于需要支持执法调查活动的分析,这要求数据保存和监管链必须严格加以管理。

  d、进行事故分析的水平也将取决于事故的类别、业务和技术影响,以及任何可识别的输送载体或信息系统弱点。它还将取决于分析需要的相关信息和资源的可用性。

  3、计算机取证分析

  a、计算机取证被认为是科学应用,以识别、收集、检查、分析数据,同时保存信息的完整性,并保持严格的监管链。事故响应中集成取证技术的指南可以在NIST SP 800-86《取证技术集成到事件响应活动的指南》(参考o)中找到。

  b、根据《网络防御服务提供商认证与认可评估评分指标》,网络防御服务提供商将建立和维护一个计算机取证程序。计算机取证的计划将包括以下内容:

  (1)政策,包括何时应进行取证收集和分析的标准。

  (2)证据的取证收集、取证分析和监管链的指南和程序。

  (3)取证人员、技术、设备资源,包括训练有素的、经验丰富的工作人员;证据取证和分析的工具和设备——以及必要的基础设施,如证据实验室。

  c、在主要关注于获得对事件的技术理解的地方,许多取证收集和分析任务类似于或重叠于其他事故分析活动。当这些信息收集和分析活动是为了实现取证目的,主要关注保存数据的真实性和完整性的调查取证活动可以确保证据可以在法院受理。

  d、对事故进行计算机犯罪调查,事故处理人员和第一行动者必须了解正确的取证和证据处理政策和程序,即使这意味着要保持“请勿动手”,直到一个训练有素的分析师可以进行适当的证据收集。为了取证分析或获得证据要收集的数据和信息必须根据各种适用的法律进行处理,可能跨越多个司法管辖区,以确保进行取证分析需要的信息的真实性和可靠性,以及在法庭的可受理性。

  e、用于取证和/或证据而从一台计算机获取的电子数据包括从受影响的信息系统获取的可变数据和持久性数据(见第4节(系统分析))。使用批准的取证工具和方法来收集和处理可变数据和持久性数据的使用将有助于确保事件处理人员和第一行动者满足取证和证据要求。

  f、取证过程

  (1)NIST 800-86(参考O)提出了取证过程的一个模型,描述了四个基本阶段:(a)收集。在这个过程的第一阶段是从相关数据的可能来源识别、标记、记录、采集数据,同时遵循有关准则和程序,保持数据的完整性。收集通常及时进行,因为动态数据可能失去,如当前的网络连接以及电池供电的设备上的数据(例如,手机或个人数字助理)。

  (b)审查。审查涉及对大量收集到的数据进行取证处理。自动和手动方法相结合,评估和提取特别数据,同时保持其完整性。

  (c)分析。下一阶段是分析审查的结果,使用合法的方法和技术以获取信息,帮助解决问题,促进分析。

  (d)报告。最后阶段是报告分析结果。这可能包括描述所使用的方法,解释如何选择工具和程序,确定需要执行什么其他的行动(例如对额外的数据源进行取证,确保发现的漏洞得到委会,改善现有的安全控制),并提供建议,改善取证过程的政策、指引、程序、工具、以及其他方面。报告步骤的形式取决于具有情况。

  (2)取证的报告期也可以在法院提出证据以及分析的结果。涉及为取证目的而进行任何相关活动的个人(特别是收集阶段)必须了解取证过程,并准备在法庭上解释自己的行为。

  g、取证的政策、指引及程序

  (1)根据NIST 800-86(参考o),取证政策“应允许得到授权的人员监视系统和网络,并在适当的情况下基于正当理由进行调查”。此外,每个组织“应确保其政策包含明确的陈述,考虑到所有主要的因素,如联系执法人员,执行监测,并定期评估取证政策、指导方针和程序。” 联合行动和作战行动、计算机网络防御事件处理人员和第一反应者必须理解和遵守他们组织的取证政策。

  (2)取证指南及程序

  (a)结合法律顾问、执法人员和管理层提供的大量指导,NIST 800-86(参考O)为企业提供发展取证能力的一个起点。

  (b)本指引及程序应支持证据的可接受性纳入法律诉讼,包括:

  [1]妥善收集和处理证据的信息。

  [2]保存工具和设备的完整。

  [3]维护监管链。

  [4]安全地保存证据。

  (c)虽然记录每一个事件或对事件做出响应所采取的行动是不可行的,但记录主要事件和采取的相关行动可以帮助确保没有忽视任何东西,并解释如何处理事件的。此文档在个案管理、撰写报告、作证方面是有用的。保持人们处理事件的日期和时间,包括恢复信息系统所需要的时间,可以帮助计算损害的代价。还有,以合理的方式处理证据使决策者在可以自信地采取必要的行动。

  (d)与一般事故数据的收集和分析的程序相比较,取证证据的收集、处理和分析的准则和程序将更广泛和更灵活。取证处理要求一般在以下几个方面超过典型的事故收集和分析程序:

  [1]需要大量的准备,更多的使用证据的采集和分析的专用工具。

  [2] 记录场景时增加细节层次(例如记录设备的型号和序列号;拍摄硬件、外围设备、布线和网络连接,拍摄显示器/屏幕等)。

  [3]密切注视获取易变动的系统数据的指令(以避免易变化的数据丢失)。

  [4]提高警惕,捕捉持久性数据,同时防止污染证据(例如,移除/缴获硬盘驱动器和存储介质,或在准备的存储设备上创建可靠的合理取证的可复制图像,使用硬件和/或软件写阻断器(blocker),以防止更改数据;创建犯罪嫌疑人数据库和复制映像来验证真伪)。

  [5]增加证据检验和分析中所采取的步骤的记录(包括采取的所有行动的日期和时间标记)。

  [6]加强管制,限制访问证据和维护监管链。

  [7] 在分析结果报告中包括不同的细节(不同的观众)。

  [8]不同的证据存储/保留时限、政策和程序。

  4、系统分析

  a、系统分析是对从受影响的信息系统收集的信息或者关于受影响的信息系统的信息进行评估,以促进事故分析和理解这一事故的全部影响。对信息系统进行分析通常包括各种日志、文件、配置设置、当前登录用户的记录、过去连接(登录)、正在运行的进程、打开的文件、文件修改或系统设置(访问控制列表(ACL)、注册和权限)。

  b、如果信息系统已经泄密,在可疑的信息系统上使用任何程序时必须小心敬慎。一个包含系统分析工具的可信副本的计算机网络防御或事件响应工具包,应该被使用。该工具包应包括适当的OS工具来检查可疑的信息系统,其中包括分析工具:

  (1)文件和日志——检查文本文件、二进制文件/可执行文件、归档文件。

  (2)进程——列表进程或打开一个“套接字”的列表进程。

  (3)连接——列出打开的套接字或端口;列出最近连接的信息系统。

  c、作为数据收集工作的一部分,第一响应者必须确定已经对信息系统做了什么以及谁做的。这不只是包括攻击,也包括系统管理员和信息系统用户。第一响应者应该要向涉及到的人问一系列问题,准备一个记录簿记录收集的所有信息。第一反应者必须记录他们可以做到的一切,包括他们亦或在调查期间或响应行动中涉及到的人采取的所有的行动。每个事件或情况都必须创建一个新的日志。在数据收集过程中,第一响应者将在日志中记录以下内容:

  (1)谁负责证据收集。

  (2)在收集期间执行的分析工具和命令的历史。

  (3)任何生成的工具和命令输出。

  (4)执行的命令和工具的日期和时间。

  (5)当第一响应者工具完成了执行,信息系统发生预期的变化或影响(例如,改变了特定文件的媒介访问控制时间)。

  (6)任何其他有关响应的信息,包括信息系统、它的配置、它的物理位置的历史记录或笔记。

  d、从取证分析收集得到的数据或证据必须使用合理取证的方法和工具以捕捉相关的数据,同时防止或减少污染证据。取证的方法和工具是专门设计的,以促进以下获得:

  (1)收集易变的数据,同时最大限度地减少对可以的信息系统的影响。易变数据是任何存储在存储器(系统寄存器、高速缓存和RAM )上的数据,断电或关机时会丢失。如果信息系统重新启动或关闭,这些数据可能会永久丢失。审核的易变的数据可以了解信息系统的状态和当前正在运行的进程,并有可能帮助确定一个合乎逻辑的时间表,以确定事件的的日期、时间和/或起因。

  (2)收集持久化数据的同时要防止可疑的信息系统上的数据被覆盖。持久性数据包括信息系统的硬盘驱动器的数据和断电后不会改变的可移动存储介质中的数据。这通常包括磁盘映像、精确复制原始磁盘的过程。磁盘映像包括文件、以及隐藏文件、删除的数据、闲置空间、交换文件和未分配空间。

  (3)通常采用证据采集式的收集日志簿,记录这一过程。该文档应包含在证据收集的过程中所采取的一切行动的时间标记的记录。记录的目的是使过程得到验证,并确保数字证据是对原始数据的一个精确的表示。

  e、对各种操作系统和设备进行系统分析的详细步骤超出了本手册的范围。然而,执行这样的分析的分析师必须知识渊博,并有必要的工具来访问并检查在受影响的信息系统上的下列类型的信息:

  (1)易失数据。任何存储在信息系统内存(系统寄存器、高速缓存和RAM )的、断电或关机时将丢失的数据。

  (a)易变的信息系统数据和时间的例子包括:

  [1]信息系统的配置文件。

  [2]当前的信息系统的数据和时间。

  [3]控制历史记录。

  [4 ]当前的信息系统正常运行时间。

  [5]正在运行的进程。

  [6]开放文件、启动文件和剪贴板数据。

  [7]已登录的用户。

  [8]动态链接库(DLL)或共享库。

  (b)易变的网络数据的例子包括:

  [1]公开连接。

  [2]开放的端口和套接字。

  [3]路由信息和配置。

  [4]网络接口的状态和配置。

  [5]地址解析协议(ARP)缓存。

  (2)持久性(非易失性)数据。信息系统的硬盘驱动器和可移动存储介质中的、断电时不会被改变的数据。

  实施例包括以下内容:

  [1] IS日志文件。

  [2]事件查看器中的文件。

  [3]应用程序日志。

  [4]磁盘镜像——精确复制原盘,其中包括文件以及隐藏文件、删除的数据、闲置空间、交换文件和未分配空间。

  f、虽然进行了系统的分析,分析师可能需要执行其他相关任务。这些任务包括查找主机名和IP地址,或跟踪它们直到找到其源头,寻找隐藏的或删除的文件,检查系统二进制的完整性,检查是否有未经授权的程序或服务,识别潜在的恶意软件,或检查本地网络上的其他机器。

  g、在系统的分析已经完成后,新的细节将进一步显现,需要一个后续报告。在最初的事故报告中的信息字段可能还需要更新。

  h、对于用于调查事件的所有资源,请参阅司法部《涉及互联网和计算机网络的调查》(参考P)。

  5、恶意软件分析

  a、恶意软件分析是对怀疑为恶意代码的软件工件(software artifact)的能力进行分析的过程。这是确定事件的全部影响范围的一个必不可少的步骤。恶意软件被定义为不经过用户的同意或在用户不知情的情况下,敌人设计和/或部署软件以支持对抗性任务(例如获取资源或信息、网络罢工、C2操作)。

  b、了解对手的工具、技术、程序和动机将有助于发现其他受到影响的或脆弱的信息系统和建立一个更具体的追查、开发额外的防御措施之框架。

  c、预计的分析或处理恶意软件的个别方式:

  (1)小心处理。对手采用对抗性谍报技术作为武器,就应该谨慎处理。重要的是处理涉嫌恶意代码的样品时,必须适当加以小心,以确保样本不影响任何操作性的国防部信息网络或信息系统。如果可能的话,一旦样品被确定,它应该移动到一个单独的信息系统,完全隔离后进行分析。任何用于运输样品的物理介质应标示,以表明其内容存在潜在的恶意影响。

  (2)对所有软件构件进行分类。所有怀疑为是恶意代码的工件应安全地获得、保存、并提交给授权的恶意软件目录加以存储。

  (3)有效的管理能力。作为系统分析的一部分,大量的工件可能会被收集到,因为分析恶意软件这个过程可以是非常耗费时间和资源的,不可能对每个被认为是恶意代码的工件进行全面的、端到端的分析。出于这个原因,重要的是所有国防部计算机网络防御人员理解提供给他们的分析资源,并应用具有成本-效益的分析措施以确定对一个给定的工件进行分析的深度。在适用的情况下,应采用自动化的工具以增加可以被处理的样本的数量。

  (4)在一个隔离的环境中进行分析。必须采取预防措施,保障进行分析时防止执行的代码可能对国防部信息网络或信息系统产生不利的影响。恶意软件分析应在一个安全、隔离的环境中进行,与其他信息系统分开。在这个隔离的环境中,不论有意或无意,执行的代码不会违反信息系统的隐含或明确的安全政策。例如,隔离的环境可能包含恶意软件分析实验室、虚拟环境、或与网络断开并用于恶意软件分析的分析师工作站。这可以防止额外的信息系统或敏感信息被无意泄露。

  d、确保管理媒体的政策可以连接到分析机。例如,比较常见的恶意软件传播途径是使用可插拔钥匙,因此必须建立使用可插拔钥匙和其他形式的便携式存储器的政策。

  e、保留原有的软件构件。相当常见的是恶意软件试图通过修改和/或删除原来的恶意文件,以跳脱检测。在信息系统之间转移恶意软件文件应避免意外执行,并保留证据采证。如果可行的话,应该实施以物理或电子的方式禁止散布恶意软体的技术解决方案。

  f、恶意软件分析的深度水平

  (1)恶意软件分析可以以不同程度的深度进行。每个连续的层次需要人员有更娴熟的技能,并有机会获得额外的工具或信息系统。根据恶意软件的复杂性和所需的分析深度、完成该请求所需要的时间可以从几分钟、几小时到几个月。因此,当请求恶意软件分析,问一些与使命息息相关的具体问题有助于加快结果。

  (2)下图(图D-2)显示了恶意软件分析的不同深度程度。每个阶段完成后,必须作出决定,是否需要附加信息。如果需要更多的信息,接下来的分析就开始。如果不需要额外的数据,那么应记录分析并适当地交流。

 


  图D-2 恶意代码分析的深度

  (3)界面分析

  (a)界面分析涉及在分析任务的背景下快速检查以表征样本。

  (b)通用界面分析技术包括文件类型识别、提取字符串、公共源分析、与先前分析的工件的比较分析。分析结果要么在请求的背景下产生一个可以采取行动的结果,要么被用来帮助指导需要的额外分析。

  (c)通过界面分析得到的潜在信息,包括以下内容:

  [1]基本确定性质和意图。

  [2] 识别二进制文件中的字符串。

  [3]加密哈希表(Cryptographic hashes)。

  [4]杀毒软件检测状态。

  [5]文件大小。

  [6]文件类型识别。

  [7]文件属性信息。

  [8]封隔器识别。

  [9]基于签名的检测状态。

  (d)虽然有助于快速的恶意软件表征,界面分析可以在恶意软件样本不完整的信息的基础上产生一个结果。界面分析不能准确地确定程序功能。例如,界面分析可能产生与第三方的信息相关的有用的匹配,但第三方的信息可能是不完整或不准确的。

  (e)需要高程度保证的任务分析不应仅仅依靠界面分析。

  (4)运行时分析(Run-time Analysis)

  (a)运行时分析是在一个隔离的环境中有控制地执行恶意软件样本,目的是在不影响关键任务系统和基础设施的情况下监测、观察、并记录运行时行为。

  (b)虽然运行时分析可以为表面分析提供额外的相关信息,运行时分析,一般只限于观察恶意软件样本的默认执行路径。恶意软件样本可能包含未执行的功能或展示在不同的运行时环境中的替代行为。

  (c)执行运行时分析得到的潜在的信息包括:

  [1]网络接触点(地址、协议、端口等)。

  [2]文件系统和注册表活动。

  [3]在运行时环境中的特定漏洞或弱点。

  [4]系统服务后台程序的相互作用。

  [5] 对打包的可执行文件的动态拆包。

  [6] 在特定的运行时环境中修复技术的成功。

  [7]敌对意图的建议(信心程度低)。

  (d)注:后续的对解压的二进制文件的表面分析可能会产生额外结果,并可能不需要进一步的资源消耗。

  (5)静态分析

  (a)静态分析的重点在分析任务的背景下审查和解释恶意软件样本的内容。不需要执行或拆卸恶意软件样本,就可以分析很多种类的文件,尤其是文本文件、网页脚本和源代码文件的文件。在二进制的情况下,如果有必要对恶意软件样本获得彻底的了解,逆向工程是必需的。

  (b)静态分析获得的潜在信息包括:

  [1]静态拆包压缩的可执行文件。

  [2]明确理解程序的源代码。

  [3]测定敌对意图(高信度)。

  [4]混淆数据的反混淆。

  (6)逆向工程

  (a)逆向工程设计,是最深入的分析,是高度复杂的,包括拆卸恶意软件样本的可执行文件和解释汇编语言。逆向工程是时间密集型的,需要广泛的技术知识和专门工具。这是可以明确的或完整的理解恶意软件样本的唯一的分析方法。逆向工程分析的范围包括从解决特定问题域以回答极少数特定的问题,对恶意软件样本中的代码进行广泛的逆向工程,以了解全部功能。

  (b)逆向工程得到的信息包括:

  [1]手动拆包压缩的可执行文件。

  [2]了解混淆或加密技术。

  [3]明确了解恶意软件的能力。

  [4]恶意软件的复杂特性的表征。

  [5] 比较不同恶意软件样本的能力。

  g、恶意代码编目

  (1)所有被怀疑是恶意软件的软件构件必须被安全地获取、保存、编目。

  (2)事件相关的工件的编目提供相关恶意软件、日志和相关分析的结构化存储。事件响应过程中发现的任何恶意软件必须编目为JMC。

  附件G(网络事件处理工具-联合恶意软件目录)中可以找到更多的指南。维护中央目录可以促进和提高国防部事故响应团体内的相关性和信息共享。

  (3)所创建的任何分析产品应同时在水平和垂直方向上安全地共享,最大程度地确保所花费的资源可以得到最好的利用,以改善国防部的整体态势感知和防御态势。

  h、请求恶意软件分析

  (1)恶意软件样本分析需要准确地描述恶意软件的能力。国防部和计算机网络防御组织的恶意软件分析请求的范围、复杂性和深度可能会有所不同。例如,一些组成单位可能负责从受影响中恢复,并希望确定伤害程度。情报机构可以进行分析,以获得技术意见,支持归因,或支持反间谍活动。

  (2)当请求恶意软件分析,请求者应确定支持使命需要的任何特定信息。恶意软件分析是需要大量资源的,进行分析的深度应该不超过绝对必要的。分析请求的有效管理是管理有效的恶意软件分析能力的关键。

  (3)当请求分析恶意软件的样本,表D-1应该用于协助规定任务范围内所需的分析信息。

 


  表D-1 请求恶意软件分析的分析层次

  6、网络分析

  a、网络安全分析包括收集、审查和解释网络流量,以识别和响应违反安全策略或连接到网络或网络基础设施的资源态势的事件。

  b、分析对手对网络资源的利用,并发掘入侵过程中发生的网络交互,帮助发现其他受到影响的或脆弱的信息系统。这也有助于开发额外的防御措施。

  c、网络分析应该是一项持续性活动,需要分析师不断地研究和监测网络的正常运行。这应包括建设、更新主机和应用服务器库的基线。因为自动分析或入侵检测系统可能无法检测到最严重的事故,理解网络的分析师最可能注意到与恶意活动相关的不寻常模式。一旦处于事故响应的情况下,这个筹备工作将带来大量的好处,随着事件响应团队执行了在附件B(网络事件处理方法)中的过程。

  d、网络分析功能。整个国防部进行计算机网络防御分析所需的网络分析功能包括以下内容:

  (1)预警和警报。适当使用情报信息来了解美国国防部信息网络(包括外部和内部)面临的威胁。

  (2)攻击检测和警告。检测已知的和可疑的恶意活动,以及为改进整个国防部的预警和警报能力而共享这些信息。

  (3)态势感知。态势感知是了解当前网络安全态势,包括内部资产和漏洞、正常的和异常的流量模式,以及到位的防御措施。这些目标是相互依存的,没有别人的合作没有人可以完全实现。

  e、网络分析技术

  (1)构成网络分析能力基础的一些基本技术方法包括:

  (a)线速网络捕获和/或检查。

  (b)信息流量的总结。

  (c)模式匹配。

  (d)协议栈的所有层的协议分析。

  (e )行为分析。

  (f)统计异常检测。

  (g)数据源之间的相关性。

  (2)应当置备、配置、评估所有网络监控技术,以达到以下最低要求:

  (a)能够在部署点的带宽水平工作,直至胜任链路饱和(link saturation),同时成功地收集和/或检查所有流量(无数据包丢失或损失的能力)。

  (b)模式匹配引擎支持“常规表达”或类似比较灵活的模式表达语言。

  (c)签名引擎允许运营商提供定制签名,允许根据及时的预警和警报信息发展国防部的特定签名。

  (d)网络传感器进行IP碎片拼接,以确保正确地分析传输层标头文件。

  (e)检查应用层的网络传感器执行传输控制协议流还原(TCP stream reassembly),以确保正确的分析内容数据。虽然模拟目标主机(例如,处理迫切指针方面的差异)的TCP/IP协议栈(TCP/IP stack)的行为有一些困难,但是通用的重组协议足以满足要求。

  (f)异常检测器达到可接受的准确率,根据警觉的消费者的定义,包括适当的或可调的参数设置,以最大限度地提高部署的信息网络的精度。

  f、网络分析方法。网络分析包括数据源、数据收集和数据分析。

  (1)数据源。网络信息流量由事件、会话(session)、全内容和统计数据构成。

  (a)数据源的可用性会根据信息网络的复杂性和网络工具到位的水平而变化。(b)获取某些数据源可能需要整个国防部各单位的协调。这个数据可能驻留在本地工作站、网络设备、监测仪器或其他网络安全机制上。

  (2)数据采集。数据采集的重点是收集网络和传输层标头信息(特别是源和目的地址和端口)、内容和基于内容的信息(从完整的数据包捕获到特定的应用程序参数,如统一资源定位器(URL)或域名解析数据)、信息流量统计和基于恶意活动的模式或模型匹配的警报(例如,入侵探测系统警报)。提供此信息的具体技术随时间变化而变化,以应对新的威胁,并采用新的方法来解决新的和现有的威胁。然而,所有国防部机构(或他们的网络防御服务提供商)必须,至少从下列来源收集数据:

  (a)网络日志数据。该数据包括跨越连接摘要级别的网络边界的所有网络连接日志(例如网络流量记录或防火墙),或更好的做法是制定数据保留政策,划分数据保留的优先顺序。在内部收集网络日志(内部路由器或交换机)将进一步加强这种能力。国防部机构,或其计算机网络防御供应商,必须有一个积极的计划,监测和分析其网络日志数据。

  (b)入侵检测数据。这至少包括模式匹配能力,以及具备主动签名管理程序,以负责任的方式解决当前提供给事故响应机构的威胁信息。在一般情况下,供应商提供的签名会需要辅以国防部特定的签名,以根据目前可用的预警和警报信息解决特定的威胁。

  (3)增强的功能可以通过另外收集以下类型的数据实现:

  (a)捕获完全的数据包。这些数据可以提供了解网络主机之间发生的交易的完整信息。它还允许重建网络会话,以更好地表征活动。完整数据包捕获增强网络日志能力,但必须平衡由于更大的数据量而增加的成本和分析的系统开销。数据保存时间通常比摘要性的日志数据短得多。

  (b)统计的和异常行为检测数据和/或协议分析。这些数据可以提高入侵检测系统功能,有助于更深入地了解网络行为。然而,必须权衡其益处与这些方法中固有的不确定性。

  (c)入侵预防系统数据。这些数据可以用于识别已知的恶意活动或企图入侵。入侵防御系统可以通过阻止已知的恶意流量而提高网络保护,但必须权衡其好处与可能发生的生产流量干扰。这些系统必须加以调整,以尽量减少误报;这意味着入侵检测功能(可能只是意味着在同一设备上的非阻塞签名)仍必须加以提供,以检测给严格的入侵预防系统配置遗漏的入侵。

  (4)数据分析。网络数据分析有助于识别异常的和潜在的恶意活动,枚举入侵事件牵涉到的网络资源,并确定可能受到影响的其他信息系统。一般还需要系统和恶意软件分析以拼凑出完整的活动时间表。例如,完全基于网络活动,许多刺探可能不会被识别。可能需要某些类型的分析:

  (a)时间表重建。攻击者做什么?确定相关的主机、网络连接和应用程序事件,并将这些信息放入事件时间表,组织有关事件的信息。该时间表将用于对比从系统日志、文件时间戳分析等获得的其他的事件信息。

  (b)漏洞分析。是什么被刺探了以及如何刺探的呢?检查所有的信息流量数据源,以确定刺探的性质,并协助确定事故的根本原因。分析师将分析涉及的协议和刺探的网络表现。

  (c)回顾性分析。攻击者还做了什么?使用信息流量统计或数据包捕获来重建与入侵相关的过去发生的网络事件,有可能识别部分被入侵检测系统系统遗漏的恶意活动。这种分析是识别入侵事件的全部范围的过程之一部分。分析师往往会反复进行其他类型的分析,为时间表添加新的事件,并确定其他刺探活动的根本原因。

  g、分析师必须可以自行支配分析工具,他们的组织应为分析师提供专业培训和继续教育,仍他们更好地执行自己的角色。一个自动化的分析和预警工具只能提供对安全事故的初步了解,只有一个熟练的分析师具备了适当的工具才可以完成对整个事件的理解。

  7、事件和事故数据的分析和对比。事件和事故数据的分析和对比发生在各个层次以及在各种功能团体中(例如,情报、反间谍、执法)。为了进行这种分析和对比,重要的是所有层次都参与进来,全面支持报告的过程。数据的对比使CC/S/ A /FAs识别信息流量模式、发展趋势及其他相关信息,可用于制定防御作战图。

  8、法律问题。下面提供法律问题影响事故分析的背景信息。

  a、一系列的联邦法律影响电子通信和数据的监测和收集。这些法律涵盖各种主题,如计算机及数据的搜索和扣押、隐私、电子监控、以及证据规则。

  (1)监控传输中的数据之法律在美国法典18 USC第2510节(参考q),以及美国法典18 U.S.C.第31212节(参考R)和美国法典18 USC第2701节之数据存储(参考s)。

  (2)可能还有其他的国家和地方的法律(或国际法律),同样会影响取证活动。

  b、事故处理人员和第一反应者将根据法律顾问、执法人员和管理人员提供的指导进行取证数据采集。

  c、例如,根据联邦证据规则的例外(803(6))(参考t)《定期执行的活动之记录》,一般都承认计算机记录可以作为证据。如果记录在案的关于网络监控和事故响应的政策和程序得到遵循,这将有助于根据联邦证据规则的例外(参考t)电脑记录得到承认,而当缺乏政策和程序(或特设程序)时可能不会得到承认。

  d、司法部手册《在刑事调查中搜索和扣押电脑及获取电子证据》(参考u)提供了对相关主题的指导,包括得到或者没得到批准情况下的搜索和扣押电脑、有关电子通讯隐私法(ECPA)的有关问题(参考v)、有关通信网络中的电子监控(Pen/Trap Statue、有线窃听法(wiretap statute))和证据问题。虽然手册的出版是为了给联邦执法人员和检察官提供指导,了解这些指导将帮助进行取证活动的个人更好地了解出现的相关法律问题,在需要时,更好地与执法人员和检察官合作。

  e、司法部国家司法研究所在一系列特别报告中对数字证据问题提供了额外的指导:

  (1)《电子犯罪现场调查:第一响应者指南》(第二版)。本报告(参考w)包括制定相关的政策和程序、保护和评估现场、处理在场的证据、审查证据、记录并报告结果的更多的更详细的指导。该报告还按犯罪类别提供了潜在的证据清单。

  (2)《数字证据的司法鉴定:执法指南》。该报告(参考x)是针对审查数字证据的执法人员而发布的。它提供了制定政策和程序、证据的评估-采集-检查以及分析结果的记录和报告之指导。附录包括案例和示例工作表。

  (3)《在法庭上的数字证据:对执法人员和检察官的指南》。该报告(参考y)确立了搜查和扣押问题的联邦法律。它还提供处理数字证据、法庭准备和呈现数字证据的指导。

  f、收集证据。取证分析得到的数据或必须以合理的取证方法和工具收集的证据捕捉到了相关数据,同时防止或减少证据污染。

  g、证据保存

  (1)有可能被用来作为证据的数据或记录必须按照取证政策和程序,在监管链下得到记录、维护、保护。这就避免了处理不当或篡改证据的指控,并增加了证据进入法院诉讼的概率。

  (2)监管链记录是用来记录在每一点上获得的任何证据从其被扣押直到在法庭上展示它这个时间段的完整性。一个监管链日志通常会包括以下类型的信息:

  (a)证据的描述。

  (b)详细地点(位置)、什么时间(日期和具体时间)、以及谁(姓名、联系方式)发现的证据。

  (c)详细描述证据收集的方法、工具或程序。

  (d)(谁、在何处、何时)把证据交给一个保管人保管的详细信息。

  (3)必须指定保管人控制对证据的任何访问,并保持相关的记录。知远/安德万

mil.sohu.com true 搜狐军事 http://mil.sohu.com/20140307/n396240295.shtml report 16491 附件D网络事故分析1、介绍a、事故分析是为了确定事故中发生了哪些事情而采取的一系列分析步骤。这种分析的目的是了解技术细节、根本原因和事故的潜在影响。这种理解将有
(责任编辑:UN630)

相关新闻

相关推荐

我要发布

  • 热点视频
  • 影视剧
  • 综艺
  • 原创
锦绣缘

同步热播-锦绣缘

主演:黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
神雕侠侣

大结局-神雕侠侣

主演:陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
封神英雄榜

同步热播-封神英雄榜

主演:陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓

六颗子弹

主演:尚格·云顿/乔·弗拉尼甘/Bianca Bree
龙虎少年队2

龙虎少年队2

主演:艾斯·库珀/ 查宁·塔图姆/ 乔纳·希尔

《奔跑吧兄弟》

baby14岁写真曝光

《我看你有戏》

李冰冰向成龙撒娇争宠

《明星同乐会》

李湘遭闺蜜曝光旧爱

《非你莫属》

美女模特教老板走秀

《一站到底》

曝搬砖男神奇葩择偶观

搜狐视频娱乐播报

柳岩被迫成赚钱工具

大鹏嘚吧嘚

大屁小P虐心恋

匆匆那年第16集

匆匆那年大结局

隐秘而伟大第二季

乔杉遭粉丝骚扰

The Kelly Show

男闺蜜的尴尬初夜

我来说两句排行榜

客服热线:86-10-58511234

客服邮箱:kf@vip.sohu.com