基于行为时序逻辑磁盘入侵取证研究.docVIP

基于行为时序逻辑磁盘入侵取证研究 　　摘要：运用假设行为时序逻辑理论体系对磁盘的文件系统进行描述，建立入侵系统模型，使用模型检测工具予以取证。该方法的目标是在反侦察攻击环境下，即在证据缺失的情况下，也能顺利地进行取证调查。 　　关键词：入侵取证；行为时序逻辑；模型检测；磁盘技术 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）26-5820-02 　　1 磁盘描述的形式化基础 　　1.1 文件系统描述 　　我们选择FAT12文件系统为例，因为它具有很多简单特性：只有一片磁碟、高级和低级格式化使用同一个命令、不需要分区等等，而且大部分操作系统都支持它。另外，FAT文件系统非常简单、容易理解，它的技术手册也很容易获取。尽管也有众所周知的弱点，但它现在仍然有着较为广泛的应用。 　　为了管理磁盘上的数据，FAT12文件系统使用三种不同的数据结构：文件分配表、目录区和数据区[2]。 　　1.2 磁盘反取证攻击与不变量 　　我们这里所说的不变量源于这样一个事实，即磁盘或文件系统中的信息可能有冗余，或者可能分散在不同的层[3]。使用不变量可以将我们对因反取证攻击而缺失了的信息的需求转化为一个形式证明的正确性规则，并能以表达式的形式将其形式化规约为一个状态谓词。系统安全的形式验证也因此可归结为对具有这些不变量的系统可达状态的检查。 　　2 文件系统的形式化描述 　　为了对文件系统进行面向取证调查的形式化描述，我们采取如下六个步骤： 　　1）从文件系统中抽象细节。文件系统包含很多分项和细节使得它的描述难以理解且难以验证或证明。因此我们从文件系统中抽取出形式化规约所必须的一些细节。 　　2）建立文件系统基本库。在文件系统规约中，要描述它们的布局和数据组织安排，还是有些复杂的。因此，在面向磁盘反取证攻击的规约语言中应该具备一个专门的文件系统基本库。为此我们定义一个包含文件系统布局架构中的基本元素的文件系统库。例如，对FFS文件系统，这些基本元素包括：扇区、碎片、块、超级块、分组以及索引结点[4]等。 　　3）创建文件系统的可信形式化模型。我们考虑两类描述文件系统所用的行为集：第一类是合法的、由操作系统提供的平常功能行为；第二类是技术含量较高的或恶意使用文件系统的行为。 　　规约当然可以直接利用它们来描述系统的运转以及它们对文件系统元素带来的影响。 　　4）不变量的形式化描述。一个深入了解文件系统的调查者能够提取出一系列对发现反取证攻击有用的正确性性质（不变量），并以此分析出与安全事件相关的信息，避免在数据收集期间遗漏有用的证据。这一方法可以应用于任何文件系统，更为重要的是它能丢弃大量的无用数据而快速识别出攻击。 　　5）假设恢复行为。一般来讲，要让系统从一个状态迁移到另一个状态而又缺少一些具体信息的细节时，假设似乎是一种必然选择。在磁盘反取证攻击的情况下，要想从被侵害的状态中恢复，我们可以用假设来填补一些信息细节的缺失，比如攻击是如何进行的，或者在被更改前数据是如何组织的等等。 　　6）整合系统。在最后一步中，形式化规约应该允许已定义行为集中行为的任何连续序列都能在可信模型中得到定义，并且它们所表示的都是对文件系统的合法使用。 　　3 用TLHA+规约文件系统 　　本节，我们以FAT12文件系统为例，用TLHA+[1]创建文件系统基本库、给出文件系统的形式化规约，并用随后描述的一组安全性和活性不变量对磁盘反取证攻击进行侦测。 　　3.1 文件系统基本库 　　我们用FatLib模块来规约FAT12文件系统基本库，主要由三部分组成，下面我们给出每一部分中的最重要的元素和操作。 　　1）文件分配表。我们描述的文件分配表恰好有（n+2）个值，前面的n个值表示相应磁盘簇的数值，后面的两个代表簇链的结束标记和坏簇标记。我们用一个从可用簇号（包括结束标记eof（fat）和坏簇标记bad（fat））到自身的函数来表示文件分配表。 　　2）目录区。我们不妨假设所有文件都存储在根目录下，所以没有文件夹。我们用三个分项来表示任一个目录条目，即文件标识符、开始簇号、使用簇的数量。然后，我们定义一个从目录条目集到三值元组（文件标识符、开始簇号、使用簇的数量）集的函数来表示目录区。 　　3）数据区。我们同样把数据区定义为一个函数，它把每一个簇的簇号映射到它所存储的内容，这些内容可以是Data型和nodata型。前者是一个TLHA+常量，而后这是我们定义的一个假想值，用来表示空簇的内容。 　　3.2 文件系统使用建模 　　本节我们为文件系统的使用过程建立可信的形式化模型，并将其用于FAT12文件系统的TLHA+规约。此模块是对模块FatLib的扩展，我们把它命名为AttDet。该模块使用