[论文解读] Strategies for Intrusion Monitoring in Cloud Services
本文提出将一连串消息认证码(MACs)与 Shamir's 阈值秘密共享结合起来,以创建可审计、可重构的云日志,从而在某些日志节点被妥协的情况下也能实现数字取证就绪。
Effective activity and event monitoring is an essential aspect of digital forensic readiness. Techniques for capturing log and other event data are familiar from conventional networked hosts and transfer directly to the Cloud context. In both contexts, a major concern is the risk that monitoring systems may be targeted and impaired by intruders seeking to conceal their illicit presence and activities. We outline an approach to intrusion monitoring that aims (i)~to ensure the credibility of log data and (ii)~provide a means of data sharing that supports log reconstruction in the event that one or more logging systems is maliciously impaired.
研究动机与目标
- 推动在云环境中对可审计数据的需求,以支持数字取证就绪。
- 描述云服务模型和入侵情景,以识别监控挑战。
- 提出一种监控方法,保持日志的真实性并实现被入侵后的重建。
- 展示使用 MACs 与秘密 sharing 的分布式日志记录如何在部分妥协下仍能抵抗。
提出的方法
- 为每个节点实现一个安全启动过程,并使用 MAC 链记录事件。
- 使用密钥为每个事件计算一个 MAC,并将其附加到日志条目。
- 使用一个 (k,n) 阈值方案分发日志数据,其中从 D 生成 n 个数据片 D_i。
- 将 D 中心化存储,同时在 n 个节点上存储 D_i,以便从任意 k 个数据片重构。
- 对每个新事件,使用一个与前一个 MAC 及其接收节点相连的新 MAC 链。
- 使在被入侵后能从任意 k 个数据片的子集重构 D,以通过 MAC 链验证完整性。
实验结果
研究问题
- RQ1在日志节点可能被妥协的云服务中,如何保持日志的真实性和完整性?
- RQ2在部分篡改后,能否通过分布式存储和阈值密码学重构日志数据?
- RQ3什么是实用、可扩展的监控方法,能够在不产生过高开销的情况下支持取证重构?
- RQ4在虚拟化云环境中,结合 MAC chains 与 Shamir’s,如何提升数字取证就绪?
主要发现
- 基于 MAC 的链为单个日志事件提供真实性和完整性,若无秘密密钥则防止篡改。
- 一个 (k,n) 阈值方案使即使部分节点被妥协或失败也能重构完整的日志数据。
- 将日志片段去中心化存储在多个云节点,有助于入侵后对事件进行取证重构。
- 该方法支持被入侵后的取证分析,并符合关于泄露通知和问责的监管需求。
- 该解决方案通过在循环虚拟机之间保持可恢复、可验证的日志,提升云服务的取证就绪能力。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。