陳 華, 許 能

(1.福建交通職業(yè)技術(shù)學院信息技術(shù)與工程系,福建福州 350007;2.中科院高能物理所計算中心,北京 100039)

0 引 言

隨著網(wǎng)絡與信息化的普遍應用與快速發(fā)展以及高帶寬在各部門的應用,網(wǎng)絡安全問題變得日益突出。由于互聯(lián)網(wǎng)的發(fā)展,整個世界正在迅速地融為一體,而整個國家猶如一部巨大的網(wǎng)絡機器。網(wǎng)絡已成為社會和經(jīng)濟發(fā)展強大動力,其地位越來越重要。網(wǎng)絡入侵現(xiàn)象越來越嚴重,黑客攻擊水平不斷提高,網(wǎng)絡犯罪呈現(xiàn)多樣化,另外,網(wǎng)絡犯罪行為也可能是正常的網(wǎng)絡活動,計算機犯罪取證技術(shù)越來越成為世界各國普遍關(guān)注、并亟待解決的學術(shù)前沿課題之一。網(wǎng)絡取證用法律的武器來對抗計算機犯罪,以一種主動防御的方法保護網(wǎng)絡的安全?，F(xiàn)有的網(wǎng)絡取證系統(tǒng)在對高速報文的捕獲、大量數(shù)據(jù)分析方面和海量數(shù)據(jù)存儲已顯現(xiàn)不足,因此,急需新的高速網(wǎng)絡取證系統(tǒng)來保護高速網(wǎng)絡的安全,形成對網(wǎng)絡攻擊者的強有力的威懾。文中將對高帶寬網(wǎng)絡實時取證的需求提出下一代網(wǎng)絡取證系統(tǒng)。

1 網(wǎng)絡取證系統(tǒng)近期研究工作

1.1 網(wǎng)絡證據(jù)

網(wǎng)絡證據(jù)就是正在網(wǎng)絡上傳輸?shù)碾娮幼C據(jù),其實質(zhì)是網(wǎng)絡數(shù)據(jù)流。隨著網(wǎng)絡應用的日益普及,對網(wǎng)絡證據(jù)進行正確地提取和分析對于各種案件的偵破具有重要意義。網(wǎng)絡證據(jù)的獲取屬于事中取證,或稱為實時取證,即在犯罪事件進行或證據(jù)數(shù)據(jù)的傳輸途中進行截獲。網(wǎng)絡數(shù)據(jù)流的存在形式依賴于網(wǎng)絡傳輸協(xié)議,采用不同的傳輸協(xié)議,網(wǎng)絡數(shù)據(jù)流的格式不同。但無論采用什么樣的傳輸協(xié)議,根據(jù)其表現(xiàn)形式的不同,都可以把網(wǎng)絡數(shù)據(jù)流分為文本、視頻、音頻、圖片等。

網(wǎng)絡證據(jù)[1]具有以下特點:

1)動態(tài)性。網(wǎng)絡證據(jù)是網(wǎng)絡數(shù)據(jù)流,即正在網(wǎng)絡上傳輸著的數(shù)據(jù),因而具有動態(tài)性。

2)時效性。網(wǎng)絡數(shù)據(jù)流的數(shù)據(jù)包傳輸過程是有時間限制的,從源地址傳送到目的地址后就不再屬于網(wǎng)絡數(shù)據(jù)流了。所以網(wǎng)絡數(shù)據(jù)流具有時效性。

3)海量性。隨著網(wǎng)絡帶寬的增加和網(wǎng)絡應用的普及,網(wǎng)絡上傳輸?shù)木W(wǎng)絡數(shù)據(jù)流也越來越多,可能的網(wǎng)絡證據(jù)也越來越多,所以具有海量性。

4)異構(gòu)性。網(wǎng)絡結(jié)構(gòu)及相應協(xié)議的差異導致了網(wǎng)絡數(shù)據(jù)流的異構(gòu)性。

5)多態(tài)性。網(wǎng)絡數(shù)據(jù)流有文本、圖像、視頻、動畫和音頻等多種形式,其表現(xiàn)形式具有多態(tài)性。

1.2 近期研究工作

近年來國內(nèi)外在網(wǎng)絡取證方面做了許多工作,Case.A[2]等提出了電子證據(jù)的自動發(fā)現(xiàn)和關(guān)聯(lián)分析框架FACE;Cohen.M[3]提出了網(wǎng)絡取證框架PyFlag,并分析如何H TML,DNS等類型數(shù)據(jù)取證;Yongping.T[4]等提出了一個基于代理的分布證據(jù)模型;國內(nèi)如中科院軟件所的孫波[5]等人則從取證機制本身的安全性出發(fā),研究了取證收集系統(tǒng)的保護機制。

網(wǎng)絡取證系統(tǒng)采用的證據(jù)是作為呈堂證供的,必須是原始的、不可更改的,然而網(wǎng)絡數(shù)據(jù)是易逝的,轉(zhuǎn)儲過程中可能被修改,同時網(wǎng)絡數(shù)據(jù)是基于會話的,任何網(wǎng)絡數(shù)據(jù)包的丟失都可能導致會話無法還原,有可能造成證據(jù)的丟失。因此,面對高速網(wǎng)絡給網(wǎng)絡取證提出的挑戰(zhàn),文中將應高帶寬網(wǎng)絡實時取證的需求提出下一代可擴展網(wǎng)絡取證系統(tǒng)。

2 網(wǎng)絡取證系統(tǒng)的挑戰(zhàn)

目前大多數(shù)網(wǎng)絡取證系統(tǒng)是基于100 M或1 Gbps的網(wǎng)絡環(huán)境,它們的能力和存儲容量只能支持100 M或1 Gbps的網(wǎng)絡。2006年普遍采用10 Gbps網(wǎng)絡技術(shù),越來越多的公司和單位將升級網(wǎng)絡骨干至10 Gbps?；仡櫧?0年計算機網(wǎng)絡的發(fā)展,不得不承認Moore定律在互聯(lián)網(wǎng)已經(jīng)被打破——處理器的速度每18個月翻一番,但互聯(lián)網(wǎng)骨干連接的帶寬每12個月就要翻一番。Eric Weigle等人研究表明,盡管處理器的處理速度仍然以摩爾定律增長,但相對于通信鏈路速度的增長仍顯得微不足道。

隨著鏈路帶寬的增加(當前互聯(lián)網(wǎng)的主干鏈路帶寬已經(jīng)達到10 G以上),網(wǎng)絡取證面臨著高帶寬、大規(guī)模、大數(shù)據(jù)分析的嚴峻挑戰(zhàn)。原有的取證技術(shù)和方法已經(jīng)不能適應這種高帶寬環(huán)境的要求,尤其在數(shù)據(jù)包的捕獲過程中,主要表現(xiàn)在以下幾個方面。

2.1 PCI總線速度的限制

數(shù)據(jù)包的捕獲與存儲過程都經(jīng)過PCI總線傳輸兩次,首先是從采集卡上復制到主存中,最后將主存中的信息存儲到存儲陣列。對當前PCI總線技術(shù)指標下,還難以滿足高速環(huán)境的要求。

2.2 存儲設備容量的限制

在對高速鏈路采用基于數(shù)據(jù)包的捕獲時,每天的數(shù)據(jù)量將以TBbytes計,大量的數(shù)據(jù)存儲、傳輸、有效管理與分析都是所必須面對的問題。

2.3 內(nèi)存和外存設備的訪問速度與鏈路速度的矛盾

近年來,內(nèi)存訪問速度增長緩慢,大大落后于通信鏈路速度的增長。同時,外存儲設備如磁盤陣列的速度也不能跟上鏈路速度的增加。

3 下一代可擴展網(wǎng)絡取證系統(tǒng)

考慮網(wǎng)絡取證系統(tǒng)采用分布式結(jié)構(gòu),實現(xiàn)時給整個網(wǎng)絡增加負荷,降低整個網(wǎng)絡性能,同時在分析方面存在著不足。文中提出了一個新的Gbps以上高速網(wǎng)絡的網(wǎng)絡取證模型[6],該模型的目標是針對網(wǎng)絡入侵行為制定一個嚴格的取證模型,能夠較好地解決網(wǎng)絡入侵取證中存在的證據(jù)完整性、真實性的問題。盡管可能不能完全取代其它的模型,但它能夠提供一個有利于發(fā)展的更寬松的環(huán)境。

新系統(tǒng)首先有以下優(yōu)點:

1)與普通硬件和軟件的高兼容性;

2)易于軟件和硬件更新,又不影響運行的系統(tǒng);

3)易于管理,更新和維護無須專家完成。

本系統(tǒng)更為詳細的定義是:在Gbps或更高速的網(wǎng)絡環(huán)境下能夠不斷地提供可信證據(jù)的可擴展、高吞吐量的網(wǎng)絡取證系統(tǒng)。整個系統(tǒng)的設計都基于常用的硬件和軟件環(huán)境。

3.1 基本系統(tǒng)結(jié)構(gòu)

依照每個機器的主要功能,本系統(tǒng)劃分成3個池:數(shù)據(jù)采集池、數(shù)據(jù)分析池和存儲池。根據(jù)不同的功能和需求,每個池都設計有自己相應的結(jié)構(gòu)和負載均衡系統(tǒng)。系統(tǒng)模型如圖1所示。

圖1 下一代可擴展網(wǎng)絡取證系統(tǒng)

3.2 采集池

數(shù)據(jù)采集池的主要功能是從網(wǎng)絡上抓取數(shù)據(jù)。這個池的機器稱為數(shù)據(jù)采集器(DC),每個DC動態(tài)地分派去抓取網(wǎng)絡流。DC抓取網(wǎng)絡流并存儲成小文件,這些小文件直接發(fā)送到數(shù)據(jù)分析池中。

取證系統(tǒng)位于網(wǎng)絡主干上,以TAP方式捕獲網(wǎng)絡數(shù)據(jù),對整個網(wǎng)絡無影響。高速網(wǎng)絡流量超過單機的處理能力,采用NP進行分流,根據(jù)收集器的處理能力將當前網(wǎng)絡數(shù)據(jù)流均衡到收集器,實現(xiàn)本系統(tǒng)的第一級負載均衡技術(shù)。這樣,普通的CPU和內(nèi)存就能處理數(shù)據(jù)流。

3.3 分析池

分析池對收集池發(fā)送過來的數(shù)據(jù),利用入侵檢測技術(shù)判斷是否是入侵犯罪行為。若是,則記錄其入侵行為、危害程度,同時產(chǎn)生新文件來存放這些判斷結(jié)果,并用MD5信息摘要、加密壓縮提交到證據(jù)存儲池;如果不能確定,則加密壓縮提交給證據(jù)存儲池以作進一步分析。即DA分析數(shù)據(jù)、壓縮數(shù)據(jù)、發(fā)送結(jié)果到存儲模塊中。

為提高網(wǎng)絡數(shù)據(jù)分析速度,系統(tǒng)使用Private Condor系統(tǒng)[7-8]來分析數(shù)據(jù)文件。收集器每產(chǎn)生一個數(shù)據(jù)文件,都將定義一個Condor作業(yè),并將數(shù)據(jù)文件傳輸過去,這些都由Condor系統(tǒng)主動完成。入侵分析程序無需自己查找輸入文件,大大提高了處理速度。

此外,由Condor處理的作業(yè)都是無人運行,我們將其設置為不允許寫到本地硬盤,保證證據(jù)的安全性。

Condor系統(tǒng)能夠自動地將分析作業(yè)調(diào)度到空閑的分析器上,實現(xiàn)了取證系統(tǒng)的第二級負載均衡。

3.4 存儲池

存儲池是由多個高交換RAID系統(tǒng)組成。RAID系統(tǒng)天生就是個可擴展的存儲系統(tǒng)。然而,對一個存儲池來說只是可擴展是不夠的。從以下幾個方面來保證存儲池的特點滿足網(wǎng)絡取證證據(jù)存儲的要求:

1)I/O帶寬。使用高吞吐的RAID接口卡,使得數(shù)據(jù)可以快速地寫到磁盤,提高網(wǎng)絡取證處理速度。存儲池由若干RAID系統(tǒng)組成,這樣可以為寫和讀操作提供充足的帶寬,保證本系統(tǒng)在高速網(wǎng)絡環(huán)境下快速存儲。

2)存儲文件的格式。分析池對網(wǎng)絡數(shù)據(jù)分析后,數(shù)據(jù)分析器將生成一個分析結(jié)果文件。原始文件仍需要保留,這樣可以做更深層的再處理或做為證據(jù)呈交給法庭。為節(jié)省磁盤空間,數(shù)據(jù)分析器會壓縮原始文件。壓縮文件的同時進行加密,避免泄密。存儲文件使用MD5檢驗來保證數(shù)據(jù)的完整性。

3)存儲空間的管理。存儲池的容量是有限的,不可能沒有刪除舊文件而不斷地往池中寫入。這個存儲時間很大程度上取決于存儲池的大小和所選的數(shù)據(jù)。我們設計不同類型的數(shù)據(jù),它們的存儲時間長短不一。每個文件服務器上都運行著deamon自動管理存儲空間,自動釋放空間。

4 結(jié) 語

提出的下一代可擴展網(wǎng)絡取證系統(tǒng)的優(yōu)點是可擴展性。系統(tǒng)從技術(shù)上保證網(wǎng)絡取證過程的高度合法性,同時又滿足5個特點:

1)與普通硬件和軟件的高度兼容性;

2)易于更新且不影響系統(tǒng)的正常運行;

3)易于管理;

4)高速數(shù)據(jù)處理能力;

5)高度安全性。

舊機器可以繼續(xù)使用或被更新,系統(tǒng)的升級不影響整個系統(tǒng)的運行。本系統(tǒng)模型滿足Gbps網(wǎng)絡取證的需求。

[1] 王峰.網(wǎng)絡證據(jù)基本問題研究[D]:[碩士學位論文].南京:南京師范大學,2004.

[2] Case A,Cristina A,M arziale L,et al.FACE:Automated digital evidence discovery and correlation[J].Digital Investigation,2008,5:65-75.

[3] Cohen M.Pyflag-An advanced network forensic framework[J].Digital Investigation,2008,5:112-120.

[4] Yongping T,Thomas E Daniels.A simple framework for distributed forensics[A].Second International Workshop on Security in Distributed Computing Systems(SDCS)[C].Columbus:IEEE Press,2005:163-169.

[5] 孫波,孫玉芳,張相鋒,等.電子數(shù)據(jù)證據(jù)收集系統(tǒng)保護機制的研究與實現(xiàn)[J].電子學報,2004:32(8):1374-1380.

[6] 陳華.高速網(wǎng)絡取證系統(tǒng)的研究與設計[D]:[碩士學位論文].福州:福州大學,2008.

[7] 都志輝.網(wǎng)格計算[M].北京:清華大學出版社,2002.

[8] 楊澤明,許榕生,曹愛娟.網(wǎng)絡取證與分析系統(tǒng)的設計與實現(xiàn)[J].計算機工程,2004(13):72-74.