Mô hình phân tích pháp lý sử dụng ghi nhật ký hướng mục tiêu

Luận án tiến sĩ về mô hình phân tích pháp lý sử dụng ghi nhật ký hướng mục tiêu. Nghiên cứu chuyên sâu về kỹ thuật điều tra số và bảo mật hệ thống.

Trường đại học

University Of California, San Diego

Chuyên ngành

Computer Science

Người đăng

Ẩn danh

Thể loại

Dissertation

2007

183
1
0

Phí lưu trữ

45 Point

Mục lục chi tiết

Signature Page

Table of Contents

List of Tables

List of Figures

Vita, Publications, and Fields of Study

Organization of the Dissertation

3. CHƯƠNG 3: A Method of Forensic Analysis Using Sequences of Function Calls

3.1. Experiments and Results

3.2. Conclusions on Forensics Using Sequences of Function Calls

4. CHƯƠNG 4: Toward Forensic Models

4.1. Principles of Forensic Analysis

4.2. Current Problems with Forensics

4.3. Principle 1: Consider the Entire System

4.4. Principle 2: Log Information without Regard to Assumptions

4.5. Principle 3: Consider the Effects, Not Just the Actions

4.6. Principle 4: Consider Context to Assist in Understanding

4.7. Principle 5: Present and Process Actions and Results in an Understandable Way

5. CHƯƠNG 5: Laocoön: The Forensic Model

5.1. Introduction to Our Approach

5.2. Choosing Intruder Goals to Model

5.3. Modeling Intruder Goals

5.4. Extracting and Interpreting Logged Data

5.5. Unique Path Identifier

5.6. Proving the Model

6. CHƯƠNG 6: Examples of Using Laocoön

6.1. Obtaining a Root Shell

6.2. Modify /etc/passwd (e. via lpr bug)

6.3. Bypassing Standard Interfaces (e. via utmp bug)

6.4. Inconsistent Parameter Validation (e. with chsh or chfn)

6.5. Shared Memory Code Injection

6.6. The 1988 Internet Worm

6.7. Christma Exec Worm

6.8. Summary of Examples

7. CHƯƠNG 7: Implementation, Experiments, and Results

7.1. Obtaining a Local Root Shell

7.2. Spyware via a Trojaned sshd

7.3. Modify /etc/passwd via lpr bug

7.4. Avoid Authentication in su

7.5. Trojan Horse to gain root

7.6. Bypassing Standard Interfaces

7.7. Summary of Experiments

8. CHƯƠNG 8: Taking Laocoön from a Model to a System

8.1. Our Model in Practice

8.2. Issues with Instrumentation

8.3. Issues with Logging

8.4. Issues with Forensic Analysis

8.5. Issues with Construction

8.6. Policy Discovery and Compilation

8.7. Overview of the Approach

8.8. Applying Policies to Systems and Sites

8.9. Reverse-Engineering Policies

8.10. Software/Hardware Issues

8.11. Sufficiency and Necessity in the Forensic Model

8.12. Applying Forensic Techniques to Intrusion Detection

LIST OF TABLES

LIST OF FIGURES

PREFACE

ACKNOWLEDGEMENTS

VITA

PUBLICATIONS

PAPERS IN SUBMISSION

FIELDS OF STUDY

ABSTRACT OF THE DISSERTATION

Tóm tắt

I. Tổng Quan Về Phân Tích Pháp Lý Ghi Nhật Ký Mục Tiêu 55

Phân tích pháp lý là quá trình quan trọng để hiểu, tái tạo và phân tích các sự kiện đã xảy ra. Mục tiêu là trả lời các câu hỏi: xâm nhập xảy ra như thế nào? Kẻ tấn công đã làm gì? Hậu quả của cuộc tấn công là gì? Ngày nay, lĩnh vực pháp lý máy tính còn nhiều hạn chế. Dữ liệu thường được thu thập vì mục đích gỡ lỗi hoặc vì ai đó cho rằng nó quan trọng. Ghi nhật ký là ghi lại dữ liệu hữu ích để hiểu các sự kiện trong quá khứ. Kiểm toán bao gồm thu thập, kiểm tra và phân tích dữ liệu nhật ký. Phân tích pháp lý là nền tảng của an ninh và trách nhiệm giải trình.

1.1. Tầm Quan Trọng Của Chứng Cứ Điện Tử Trong Điều Tra Số

Chứng cứ điện tử đóng vai trò then chốt trong việc tái hiện lại các sự kiện. Phân tích pháp lý giúp khôi phục dữ liệu bị mất, hư hỏng hoặc bị xóa, xác định các hành động đã gây ra sự cố. Từ đó, liên kết các hành động này với người dùng đã thực hiện để quy trách nhiệm. Hai mục tiêu chính của phân tích pháp lý là: xác định trạng thái quá khứ từ dữ liệu nhật ký và xác định các sự kiện có khả năng xảy ra sau một chuỗi chuyển đổi trạng thái. Mục tiêu thứ hai đặc biệt hữu ích khi tìm thấy dấu vết của một cuộc tấn công và cần xác định các hành động tiếp theo của kẻ tấn công.

1.2. Ghi Nhật Ký Hướng Mục Tiêu Giải Pháp Tối Ưu Hóa Dữ Liệu

Ghi nhật ký đóng vai trò là nguồn dữ liệu quan trọng cho phân tích pháp lý. Tuy nhiên, lượng dữ liệu khổng lồ được ghi lại thường gây khó khăn cho việc phân tích, đòi hỏi các nhà phân tích pháp lý phải sử dụng phương pháp ghi nhật ký hướng mục tiêu. Phương pháp này giúp tập trung vào dữ liệu quan trọng liên quan đến mục tiêu cụ thể, giảm thiểu nhiễu và nâng cao hiệu quả của quá trình phân tích. Ghi nhật ký hướng mục tiêu là một trong những kỹ thuật quan trọng trong phân tích pháp lý.

II. Vấn Đề Thách Thức Trong Phân Tích Pháp Lý Dựa Trên Nhật Ký 59

Hiện tại, lĩnh vực pháp lý máy tính phần lớn mang tính ad hoc. Dữ liệu thường được thu thập vì mục đích gỡ lỗi hoặc vì ai đó cho rằng nó quan trọng. Hơn nữa, hai yếu tố của phân tích pháp lý, ghi nhật ký và kiểm toán, hoàn toàn tách rời nhau. Các quản trị viên hệ thống chọn dữ liệu để ghi nhật ký làm việc độc lập và có các mục tiêu rất khác so với các nhà phân tích pháp lý sau này sẽ phân tích dữ liệu.

2.1. Lượng Dữ Liệu Nhật Ký Quá Lớn Khó Khăn Trong Phân Tích

Quá nhiều dữ liệu sai đang được ghi lại bởi hầu hết các hệ thống pháp lý, gây khó khăn hoặc không thể phân tích. Thông thường có một lượng thông tin khổng lồ để phân tích; việc xác định các mục nhập trong nhật ký tương ứng với xâm nhập có thể khó khăn và việc cố gắng tương quan các mục nhập nhật ký có thể rất khó thực hiện. Cuối cùng, nhà phân tích có thể không bao giờ chắc chắn về cách xâm nhập diễn ra.

2.2. Thiếu Liên Kết Giữa Ghi Nhật Ký và Kiểm Toán An Ninh Mạng

Sự tách biệt giữa ghi nhật ký và kiểm toán an ninh mạng tạo ra sự thiếu đồng bộ trong việc thu thập và phân tích dữ liệu. Điều này dẫn đến việc các quản trị viên hệ thống thu thập dữ liệu không phù hợp với nhu cầu của các nhà phân tích pháp lý, gây khó khăn trong việc xác định nguyên nhân và phạm vi của các cuộc tấn công. Sự thiếu liên kết này làm giảm hiệu quả của quy trình phân tích pháp lý tổng thể.

2.3. Khó khăn trong xác định hành vi người dùng và phát hiện xâm nhập

Việc phân tích nhật ký cũng đối mặt với thách thức trong việc xác định hành vi người dùng bất thường và phát hiện xâm nhập. Các cuộc tấn công ngày càng tinh vi, sử dụng các kỹ thuật ẩn mình để tránh bị phát hiện. Do đó, cần có các công cụ và phương pháp phân tích nhật ký tiên tiến để nhận diện các dấu hiệu bất thường và cảnh báo về các mối đe dọa tiềm ẩn.

III. Mô Hình Laocoo n Phân Tích Pháp Lý Hướng Mục Tiêu Hiệu Quả 58

Luận án này trình bày một mô hình phân tích pháp lý, được gọi là Laocoön, được thiết kế để xác định những dữ liệu cần thiết để hiểu các sự kiện trong quá khứ. Mô hình này dựa trên một mô hình trước đó được sử dụng để phát hiện xâm nhập, được gọi là mô hình yêu cầu/cung cấp. Mô hình này dựa trên một tập hợp các phẩm chất mà chúng tôi tin rằng một mô hình pháp lý tốt nên có. Những phẩm chất đó lần lượt chịu ảnh hưởng bởi một tập hợp năm nguyên tắc của phân tích pháp lý máy tính.

3.1. Nguyên Tắc Thiết Kế Mô Hình Phân Tích Pháp Lý Laocoo n

Mô hình Laocoön được xây dựng dựa trên năm nguyên tắc chính: 1. Xem xét toàn bộ hệ thống. 2. Ghi lại thông tin mà không cần quan tâm đến các giả định. 3. Xem xét các hiệu ứng, không chỉ các hành động. 4. Xem xét bối cảnh để hỗ trợ sự hiểu biết. 5. Trình bày và xử lý các hành động và kết quả một cách dễ hiểu. Những nguyên tắc này giúp đảm bảo tính toàn diện và chính xác của quá trình phân tích pháp lý.

3.2. Các Bước Triển Khai Mô Hình Laocoo n Trong Thực Tế

Mô hình Laocoön bao gồm các bước chính sau: 1. Chọn mục tiêu của kẻ xâm nhập để mô hình hóa. 2. Mô hình hóa mục tiêu của kẻ xâm nhập. 3. Trích xuất và giải thích dữ liệu đã ghi lại. 4. Sử dụng định danh đường dẫn duy nhất. 5. Chứng minh mô hình. Quy trình này cho phép xác định dữ liệu quan trọng và liên kết chúng với các mục tiêu của kẻ tấn công, giúp tăng cường khả năng phân tích và giải quyết các vụ việc an ninh mạng.

IV. Ứng Dụng Phân Tích Pháp Lý Trong Các Tình Huống Tấn Công 54

Chúng tôi áp dụng Laocoön vào các ví dụ và trình bày kết quả cho một hệ thống UNIX. Kết quả chứng minh cách mô hình có thể được sử dụng để ghi lại lượng dữ liệu hữu ích cao hơn, thay vì buộc phải lựa chọn giữa lượng dữ liệu áp đảo hoặc một lượng dữ liệu nhỏ đến mức vô dụng. Việc áp dụng Laocoön trong các tình huống tấn công khác nhau giúp chứng minh tính hiệu quả và khả năng ứng dụng của mô hình trong thực tế.

4.1. Phân Tích Tấn Công Root Shell Nhật Ký Hệ Thống

Mô hình Laocoön được sử dụng để phân tích các cuộc tấn công chiếm quyền root shell, sử dụng dữ liệu từ nhật ký hệ thống. Quá trình phân tích tập trung vào việc xác định các hành động dẫn đến việc chiếm quyền root, từ đó xác định các lỗ hổng bảo mật và đề xuất các biện pháp phòng ngừa. Phân tích nhật ký chi tiết giúp tái hiện lại quá trình tấn công và xác định các điểm yếu cần khắc phục.

4.2. Phân Tích Nhật Ký Bảo Mật Spyware và Trojaned SSHD

Mô hình Laocoön được áp dụng để phân tích các trường hợp phần mềm gián điệp (spyware) và Trojaned SSHD. Phân tích nhật ký bảo mật giúp xác định các hành vi đáng ngờ và dấu hiệu của sự xâm nhập. Việc theo dõi các hoạt động mạng và các thay đổi hệ thống giúp phát hiện và ngăn chặn các cuộc tấn công tiềm ẩn. Các cuộc tấn công liên quan đến Trojan Horse cũng được phân tích để hiểu rõ hơn về cách chúng hoạt động và lây lan.

4.3. Các kịch bản tấn công khác nhau sử dụng phân tích dữ liệu pháp lý

Phân tích dữ liệu pháp lý cũng được sử dụng để phân tích các kịch bản tấn công khác nhau, bao gồm tấn công lặp lại file có đặc quyền, tấn công bỏ qua xác thực trong SU, tấn công giao diện tiêu chuẩn và tấn công xác thực tham số không nhất quán. Bằng cách sử dụng phân tích dữ liệu pháp lý, các biện pháp phòng ngừa có thể được thực hiện để giảm thiểu những rủi ro này.

V. Thách Thức Triển Khai Giải Pháp cho Phân Tích Pháp Lý 60

Việc chuyển đổi Laocoön từ mô hình sang hệ thống thực tế đối mặt với nhiều thách thức liên quan đến công cụ đo lường, ghi nhật ký, phân tích pháp lý và xây dựng hệ thống. Vấn đề phát hiện và biên dịch chính sách cũng cần được giải quyết. Các vấn đề phần mềm/phần cứng, tính đầy đủ và cần thiết trong mô hình pháp lý, và áp dụng các kỹ thuật pháp lý để phát hiện xâm nhập cũng cần được xem xét.

5.1. Giải Quyết Vấn Đề Với Dụng Cụ Đo Lường và Ghi Nhật Ký

Các vấn đề liên quan đến dụng cụ đo lường và ghi nhật ký bao gồm việc chọn các công cụ phù hợp để thu thập dữ liệu, đảm bảo tính chính xác và đầy đủ của dữ liệu, và quản lý lượng dữ liệu lớn được tạo ra. Các giải pháp bao gồm sử dụng các công cụ tự động hóa, tối ưu hóa cấu hình ghi nhật ký và áp dụng các kỹ thuật phân tích dữ liệu để lọc và tóm tắt thông tin quan trọng.

5.2. Tự Động Hóa Pháp Lý Vấn Đề Khám Phá và Biên Dịch Chính Sách

Việc tự động hóa các quy trình pháp lý đòi hỏi phải khám phá và biên dịch các chính sách một cách hiệu quả. Điều này đòi hỏi phải xác định các quy tắc và quy định liên quan, chuyển đổi chúng thành các định dạng có thể thực thi được và đảm bảo tính nhất quán và tuân thủ. Các giải pháp bao gồm sử dụng các công cụ quản lý chính sách, áp dụng các kỹ thuật trí tuệ nhân tạo và học máy để tự động hóa quá trình khám phá chính sách, và thiết lập các quy trình kiểm tra và xác minh để đảm bảo tính chính xác.

VI. Phân Tích Pháp Lý Hiện Đại Triển Vọng Hướng Nghiên Cứu 55

Luận án trình bày một mô hình phân tích pháp lý, được gọi là Laocoön, được thiết kế để xác định những dữ liệu cần thiết để hiểu các sự kiện trong quá khứ. Mô hình này dựa trên một mô hình trước đó được sử dụng để phát hiện xâm nhập, được gọi là mô hình yêu cầu/cung cấp. Kết quả cho thấy mô hình có thể ghi lại lượng dữ liệu có giá trị cao hơn.

6.1. Ứng dụng trí tuệ nhân tạo trong pháp luật và học máy trong pháp luật

Việc sử dụng trí tuệ nhân tạo trong pháp luậthọc máy trong pháp luật đang mở ra những hướng đi mới cho phân tích pháp lý, đặc biệt là khả năng tự động hoá, rút ngắn thời gian phân tích và tăng độ chính xác. Học máy có thể được sử dụng để đào tạo mô hình nhận dạng và phát hiện xâm nhập bất thường, trong khi trí tuệ nhân tạo có thể giúp các nhà phân tích pháp lý hiểu rõ hơn và đưa ra quyết định nhanh hơn.

6.2. Phân tích pháp lý thời gian thực trong môi trường điện toán đám mây

Phân tích pháp lý thời gian thực trong môi trường điện toán đám mây có thể cung cấp các công cụ để thực hiện các cuộc điều tra số nhanh chóng và hiệu quả. Do đó, việc thu thập thông tin từ các nhật ký giúp đảm bảo các hành động đó diễn ra đúng quy trình khi có dấu hiệu bất thường để tránh rủi ro có thể xảy ra. Bằng cách phân tích các sự kiện ngay khi chúng xảy ra, các tổ chức có thể chủ động bảo vệ khỏi các mối đe dọa an ninh mạng và giảm thiểu tác động của các vi phạm an ninh.

14/05/2025

Trích đoạn nội dung tài liệu

UNIVERSITY OF CALIFORNIA, SAN DIEGO A Model of Forensic Analysis Using Goal-Oriented Logging A dissertation submitted in partial satisfaction of the requirements for the degree Doctor of Philosophy in Computer Science by Sean Philip Peisert Committee in charge: Professor Sidney Karin, Chair Professor Matthew A. Bishop Professor Roger E. Bohn Professor Larry Carter Professor Keith Marzullo Professor Stefan Savage 2007 UMI Number: 3246091 Copyright 2007 by Peisert, Sean Philip All rights reserved. UMI Microform 3246091 Copyright 2007 by ProQuest Information and Learning Company.

All rights reserved. This microform edition is protected against unauthorized copying under Title 17, United States Code. ProQuest Information and Learning Company 300 North Zeeb Road P. Box 1346 Ann Arbor, MI 48106-1346 Copyright Sean Philip Peisert, 2007 All rights reserved.

The dissertation of Sean Philip Peisert is approved, and it is acceptable in quality and form for publication on microfilm: Chair University of California, San Diego 2007 iii For Kathryn — my wife, my inspiration, my everything. And for my parents, who gave me what I needed to get here. iv Sherlock Holmes: “It is an old maxim of mine which states that once you have eliminated the impossible, whatever remains, however improbable, must be the truth.” —Sir Arthur Conan Doyle, “The Sign of the Four,” Lippincott’s Monthly Magazine (1890) deduce (verb): draw as a logical conclusion New Oxford American Dictionary, Second Edition (2005) logic (noun): The art of thinking and reasoning in strict accordance with the limitations and incapacities of human misunderstanding. —Ambrose Bierce, The Devil’s Dictionary (1911) v TABLE OF CONTENTS Signature Page.

v Table of Contents. vi List of Tables. ix List of Figures. xiii Vita, Publications, and Fields of Study.

Organization of the Dissertation. 8 3 A Method of Forensic Analysis Using Sequences of Function Calls. Experiments and Results. Conclusions on Forensics Using Sequences of Function Calls.

30 4 Toward Forensic Models. Principles of Forensic Analysis. Current Problems with Forensics. Principle 1: Consider the Entire System.

Principle 2: Log Information without Regard to Assumptions. Principle 3: Consider the Effects, Not Just the Actions. Principle 4: Consider Context to Assist in Understanding. Principle 5: Present and Process Actions and Results in an Understandable Way 41 6.

Summary of Current Problems with Forensics. Principles-Driven Solutions. Principles-Driven Logging. Principles-Driven Auditing.

Summary of Principles-Driven Solutions. From Principles to Models. Qualities for a Forensic Model. 50 vi 5 Laocoön: The Forensic Model.

Introduction to Our Approach. Choosing Intruder Goals to Model. Modeling Intruder Goals. Extracting and Interpreting Logged Data.

Unique Path Identifier. Proving the Model. 71 6 Examples of Using Laocoön. Obtaining a Root Shell.

Modify /etc/passwd (e. via lpr bug). via search path modification). Bypassing Standard Interfaces (e.

via utmp bug). Inconsistent Parameter Validation (e. with chsh or chfn). Shared Memory Code Injection.

The 1988 Internet Worm. Christma Exec Worm. Summary of Examples. 114 7 Implementation, Experiments, and Results.

Obtaining a Local Root Shell. Spyware via a Trojaned sshd. Modify /etc/passwd via lpr bug. Avoid Authentication in su.

Trojan Horse to gain root. Bypassing Standard Interfaces. Summary of Experiments. 124 8 Taking Laocoön from a Model to a System.

Our Model in Practice. Issues with Instrumentation. Issues with Logging. Issues with Forensic Analysis.

Issues with Construction. Policy Discovery and Compilation. Overview of the Approach. Applying Policies to Systems and Sites.

Reverse-Engineering Policies. Software/Hardware Issues. Sufficiency and Necessity in the Forensic Model. Applying Forensic Techniques to Intrusion Detection.

156 viii LIST OF TABLES Table 5.3 Service Property Types. 59 ix LIST OF FIGURES Figure 1.1 Diagram of possible measures of utility based on different data collected. (c) represents our goal, by using a model of forensics, in this dissertation.2 Diagram of a generic attack where circles represent actions. An attack model almost always consists of at least the endpoint (d), but may also include the beginnings (a) and possibly other states near the end (c).1 Unique and different numbers of function call sequences in the original version of su, and the version with pam authenticate removed.2 Number of function call sequences appearing only in the original version of su, and the version modified to ignore the results of pam authenticate.3 Number of function call sequences appearing only in the original version of ssh, and the version modified to echo the password back.4 Difference in number of function call sequences in original version of ssh, and the version modified to send the captured password over a network socket.1 Diagram of a generic attack where circles represent actions.

An attack model almost always consists of at least the endpoint (d), but may also include the beginnings (a) and possibly other states near the end (c).2 A coordinated, multi-stage attack. (a) represents a dual-pronged, co- ordinated beginning of the attack, (b) represents the beginnings of two individual components of the attacks, (c) represents the “ultimate goals” of each individual attack, and (d) represents the ultimate goal of the entire attack.3 Algorithm for placing bounds on the unknown goals in an attack graph.4 Algorithm for extracting the information necessary to log from an entire attack graph.5 An attack graph where circles represent known goals that can be described in advance and squares represent unknown exploits, which cannot.6 Algorithm for applying the λ function on a specific sub-goal.1 Diagram of a remote attack, exploiting a network program to obtain a root shell. (a) represents the remote connection. (b) represents the exploit that occurs to obtain the shell.

In an experiment that we show later, this is a buffer overflow, but it could be many different things. Hence, we do not model this directly. (c) represents executing the root shell.2 Diagram of spyware capturing a password and sending it over a network. (a) represents the capturing of the password.

(b) represents sending the password around the machine to another program. We do not know the mechanism used to do this, hence, we do not model this directly. (c) represents sending the password over the network.3 Diagram of re-writing a privileged file by exploiting multiple bugs in the UNIX program lpr.4 The attack graph used by the Internet Worm .5 The attack graph used by the Christma Exec Worm .6 Attack graphs for two possible classes of NFS exploits.1 Diagrams of two attack graphs, before and after path elimination has been applied. 130 xi PREFACE While Sherlock Holmes was not a doctor, Conan Doyle had based Holmes’s method as a detective upon one of his former professors of medicine at Edinburgh University, Dr.

Joseph Bell, whose powers of observation and deduction had made him a wizard at diagnosis. With the exception of Edgar Allan Poe’s pioneering stories about Auguste Dupin of Paris, Dr. Conan Doyle recalled many years later, most contemporary fictional detectives produced their results by chance or luck. Dissatisfied with that, he had decided, he said, to create a detective who would treat crime as Dr.

Bell had treated disease. This meant, in short, the application of scientific method to crime detection. That was a novel concept in 1887, to be sure, but it worked, first in fiction and then in practice, with life imitating art as it so often does when the art in question is a work of genius. As a detective in a scientific sense, Holmes always wants to know and looks for the physical evidence; he made himself a master at observing and analyzing physical evidence that the police and other detectives overlook or fail to recognize at all.

By his innate but also rigorously trained powers of deduction, he is able to reason backwards from this evidence to reconstruct the crime and delineate the physical attributes of the perpetrator. Holmes pays little attention to the psychology of crime. 1 This passage describes a 120-year-old methodology for analyzing crime successfully, that started as fiction and became reality. Amazingly, these words still apply today to computer forensic analysis.

However, until now, computer forensic analysis has largely been performed in the same way that Holmes’s fictional predecessors, and Scotland Yard’s real predecessors, performed forensic analysis: by chance or luck. Sometimes, chance and luck are enough. However, it is no coincidence that the most famous pieces of computer detective work have been performed by unusually brilliant computer analysts, such as Bill Cheswick [Che92], Cliff Stoll [Sto88, Sto89], and Tsutomu Shimomura [Shi95, SM96, Shi97]. But there are more attacks and attackers in the world than genius cyberdetectives available to analyze those attacks.

It will always help to be a a genius cyberdetective to analyze computer crime, and even for them, luck will never hurt. However, our goal is to change the level to which one must rely on these things by using a rigorous method of analyzing facts rather than relying on luck, chance, or what we think we might know about an intruder’s abilities, psychology, or motives. In this way, even the non-genius cyberdetective has a little more of a chance of getting things right. In this dissertation, we describe the year 2007 application of these year 1887 ideas.

1 See the afterword (“Dr. ”) by Jon Lellenberg, in [Car05]. xii ACKNOWLEDGEMENTS Many people have given me generous support and encouragement during my life, my time as a Ph. student, and during the process of writing this dissertation.

I would like to thank my advisors, teachers, mentors, and coaches — Sid Karin, Matt Bishop, Larry Carter, and Keith Marzullo. They have guided me through a series of steps in my life and my work that I could not have made it through without them — and have become friends in the process. In the best way that I can, I hope to live up to the gifts that they have given me. The advice from my entire dissertation committee has been interesting and valuable.

I appreciate their interest, support, and guidance, and I hope to have the opportunity to continue to interact with all of them in the future. Special thanks to Becky Bace, Martha Dennis, Drew Gross, Tsutomu Shimomura, Abe Singer, and Kevin Walsh, who all gave me support at important times and in important ways, and who also taught me new ways to think about academia, careers, and computer security. I wish to thank Robert S. Cohn and Steven Wallace at Intel for their enhancements to the FreeBSD version of the dynamic, binary instrumentation tool, Pin, which greatly helped my research on forensic analysis using sequences of function calls.

Finally, I would like to thank my patient and wonderful wife, Kathryn (who also copy- edited this entire dissertation); my closest friends, Aaron, Greg, Kent, Laura, Noah, PJ, and Stephen; and all of my family, who have all given me support throughout my life, have helped to make this possible, and have ultimately made the end result mean much more than just obtaining a degree. This material is based on work sponsored in part by: the Air Force Research Laboratory under Contract F30602-03-C-0075, a Lockheed-Martin Information Assurance Technology Focus Group 2005 University Grant, and award ANI-0330634, “Integrative Testing of Grid Software and Grid Environments,” from the National Science Foundation. The following papers, which have been previously published or are currently in submis- sion, are reprinted in this dissertation with the full permission of all co-authors of the papers: • In Chapter 3: “Analysis of Computer Intrusions Using Sequences of Function Calls,” Sean Peisert, Matt Bishop, Sidney Karin, and Keith Marzullo, conditionally accepted with minor revisions by IEEE Transactions on Dependable and Secure Computing (TDSC), January 2007. • In Chapter 4: “Principles-Driven Forensic Analysis,” Sean Peisert, Matt Bishop, Sidney Karin, and Keith Marzullo, in Proceedings of the 2005 New Security Paradigms Workshop (NSPW), pp.

85–93, Lake Arrowhead, CA, October 2005.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ