CUSTOS: Practical Tamper-Evident Auditing of Operating Systems Using Trusted Execution abstract。

解决的问题

系统审计已成成为了攻击调查和攻击事件相应的重要手段,不幸的是,攻击者在渗透进入目标环境后通常会进行反取证活动,从系统日志中掩盖他们的踪迹。虽然整个行业和文献中出现了各种防篡改日志记录的解决方案,但是这些技术不满足系统层审计框架的操作和可拓展性要求。

Architecture

arch

所以,本文介绍了 CUSTOS,一种用于检测系统日志篡改的实用框架。

思路及方法

CUSTOS 由防篡改日志记录层和去中心化审计协议组成,前者可以通过对底层日志框架的最小更改来验证日志完整性,而后者可以在企业级网络中近乎实时地检测日志完成性的违规操作。
CUSTOS 之所以使用,是因为我们可以将加密日志提交的成本与创建和存储日志事件的行为分离,而无需牺牲安全性,利用现成的可信执行环境的功能。

Tamper-Evident Logger

tamper-evident 记录协议有5个例程,具体如图:

  • 初始化 Initialization
  • 启动 Startup
  • 记录 Logging
  • 提交 Commitment
  • 关闭 Shutdown

protocol

具体算法如下:

algo

Centralized Auditing

centralized auditing procedure

notation
eg

Decentralized Auditing

decentralized auditing procedure