郭延海

如今科技日益發(fā)達(dá)，與此同時(shí)網(wǎng)絡(luò)黑客也不斷在計(jì)算機(jī)和網(wǎng)絡(luò)上大做手腳，在以往的網(wǎng)絡(luò)入侵案件中根本無(wú)法拿出他們的犯罪證據(jù)來(lái)懲治他們，所以讓他們不曾有所畏懼，一味的逍遙法外。然而現(xiàn)在有關(guān)研究人員已經(jīng)結(jié)合計(jì)算機(jī)動(dòng)態(tài)取證的執(zhí)行原理和多代理特點(diǎn)，發(fā)現(xiàn)了一種基于多代理的網(wǎng)絡(luò)入侵取證的系統(tǒng)，這樣一來(lái)，在各個(gè)代理的互相幫助下，我們能夠?qū)W(wǎng)絡(luò)入侵進(jìn)行實(shí)時(shí)取證，從而獲取最有利的證據(jù)。該文首先對(duì)計(jì)算機(jī)動(dòng)態(tài)取證做了簡(jiǎn)要的解釋，接著對(duì)多代理在計(jì)算機(jī)網(wǎng)絡(luò)取證中的應(yīng)用做了分析，最后提出了基于多代理的網(wǎng)絡(luò)入侵取證系統(tǒng)的總體設(shè)計(jì)方案。

多代理；網(wǎng)絡(luò)入侵；動(dòng)態(tài)取證

在計(jì)算機(jī)發(fā)展的推動(dòng)下，我們的社會(huì)逐漸的向信息化以及網(wǎng)絡(luò)化發(fā)展，所以計(jì)算機(jī)安全、網(wǎng)絡(luò)安全成為了大家最擔(dān)心、最重視的問(wèn)題之一。通過(guò)有效地收集電子數(shù)據(jù)來(lái)給予網(wǎng)絡(luò)犯罪分子一些警告，從而降低網(wǎng)絡(luò)犯罪率是社會(huì)十分重視的問(wèn)題，今日的基于多代理的網(wǎng)絡(luò)入侵取證確實(shí)能夠解決這個(gè)問(wèn)題。

1.計(jì)算機(jī)動(dòng)態(tài)取證

電子證據(jù)，顧名思義是指系統(tǒng)在運(yùn)行時(shí)對(duì)所經(jīng)歷的事實(shí)進(jìn)行電磁記錄。一旦不法分子入侵計(jì)算機(jī)網(wǎng)絡(luò)，系統(tǒng)能夠自動(dòng)記錄那一系列的數(shù)據(jù)，通過(guò)這些原始的數(shù)據(jù)就能對(duì)犯罪分子進(jìn)行控告，這種方法就叫做計(jì)算機(jī)取證，總結(jié)起來(lái)就是兩個(gè)過(guò)程：掃描和重建，意思是時(shí)刻掃描是否有網(wǎng)絡(luò)入侵或者破壞行為，然后對(duì)掃描到的內(nèi)容進(jìn)行重建，從而成為了最原始的犯罪證據(jù)。然而最開(kāi)始的取證只是靜態(tài)的，或者可以說(shuō)是事后取證，在很大程度上受到了限制，效率較低，所以大家開(kāi)始找尋動(dòng)態(tài)取證的方法，也可以說(shuō)是實(shí)時(shí)取證。動(dòng)態(tài)取證所獲得的證據(jù)更加詳細(xì)，也更準(zhǔn)確。最重要的是，通過(guò)動(dòng)態(tài)取證，系統(tǒng)可以分析出犯罪分子的目標(biāo)，從而提前進(jìn)入防患狀態(tài)，因此可以構(gòu)成一個(gè)計(jì)算機(jī)安全體系。

2.多代理在網(wǎng)絡(luò)入侵取證中的應(yīng)用

“代理”，在計(jì)算機(jī)系統(tǒng)中其實(shí)就是一個(gè)計(jì)算機(jī)程序或者實(shí)體，它在某些特定的環(huán)境中可以代表使用者自行運(yùn)行一些目標(biāo)。多代理也就是多個(gè)代理的聯(lián)合，各個(gè)代理之間互相合作，從而完成一些個(gè)體無(wú)法實(shí)現(xiàn)的目標(biāo)。因此多代理技術(shù)的特點(diǎn)表現(xiàn)為自主的同時(shí)互相之間又比較協(xié)調(diào)，能夠?qū)崿F(xiàn)自我組織、自我推理以及自我學(xué)習(xí)。正由于這些特點(diǎn)，研究人員才想到將它應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)入侵動(dòng)態(tài)取證系統(tǒng)中。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用以及以數(shù)字形式存在的信息的急劇增加，以計(jì)算機(jī)為犯罪目標(biāo)和以計(jì)算機(jī)為犯罪手段的網(wǎng)絡(luò)犯罪呈現(xiàn)出驚人的增長(zhǎng)速度電子證據(jù)作為一種新的證據(jù)形式，逐漸成為新的訴訟證據(jù)之一要解決日益猖狂的網(wǎng)絡(luò)犯罪問(wèn)題，關(guān)鍵是借助法律手段進(jìn)行計(jì)算機(jī)取證只有獲取網(wǎng)絡(luò)犯罪證據(jù)并將之告上法庭，才能打擊威懾犯罪分子計(jì)算機(jī)取證一般分為三個(gè)階段證據(jù)獲取、分析和法庭展示電子證據(jù)的獲取是計(jì)算機(jī)取證技術(shù)中的核心內(nèi)容，是計(jì)算機(jī)取證研究的的熱點(diǎn)本文研究網(wǎng)絡(luò)入侵的計(jì)算機(jī)取證技術(shù)，著重對(duì)網(wǎng)絡(luò)電子證據(jù)的獲取技術(shù)進(jìn)行了研究文章首先分析了網(wǎng)絡(luò)犯罪現(xiàn)狀及其防控對(duì)策，總結(jié)了計(jì)算機(jī)取證研究的基本情況，并分析了當(dāng)前計(jì)算機(jī)取證存在的問(wèn)題在此基礎(chǔ)上，結(jié)合軟件工程的思想，從獲取證據(jù)的需求出發(fā)，提出了一個(gè)基于入侵檢測(cè)的網(wǎng)絡(luò)證據(jù)獲取過(guò)程模型在該模型的指導(dǎo)下，設(shè)計(jì)了一個(gè)基于多代理的網(wǎng)絡(luò)證據(jù)獲取系統(tǒng)系統(tǒng)采用分布式策略，多個(gè)代理相互協(xié)作共同完成網(wǎng)絡(luò)證據(jù)獲取工作。

在計(jì)算機(jī)網(wǎng)絡(luò)入侵動(dòng)態(tài)取證系統(tǒng)中，我們定義了幾個(gè)代理模塊，分別有通信代理、檢測(cè)代理、取證代理以及響應(yīng)代理等。這些代理坐落于各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間，通過(guò)相互協(xié)作、相互通信來(lái)完成網(wǎng)絡(luò)入侵的取證任務(wù)。

3.系統(tǒng)總體設(shè)計(jì)

了提高網(wǎng)絡(luò)入侵的取證效率，我們將代理系統(tǒng)放到目標(biāo)系統(tǒng)中，這樣一來(lái)，電子證據(jù)的收集過(guò)程、分析過(guò)程以及證據(jù)的保護(hù)過(guò)程都將在目標(biāo)系統(tǒng)中進(jìn)行，從真正意義上做到了對(duì)網(wǎng)絡(luò)入侵進(jìn)行實(shí)時(shí)的取證，同時(shí)盡可能多地找到犯罪證據(jù)。

系統(tǒng)物理結(jié)構(gòu)?；诙啻淼木W(wǎng)絡(luò)入侵動(dòng)態(tài)取證系統(tǒng)主要的系統(tǒng)組成分為取證中心服務(wù)器以及取證代理機(jī)。由前文介紹，我們已經(jīng)知道取證代理機(jī)就是多個(gè)代理組成的結(jié)構(gòu)，用來(lái)完成取證通信、檢測(cè)等一系列的任務(wù)。而取證中心服務(wù)器可以說(shuō)是整個(gè)系統(tǒng)的調(diào)度中心，專門(mén)負(fù)責(zé)各個(gè)代理的管理工作和電子證據(jù)的顯示。

系統(tǒng)體系結(jié)構(gòu)與功能描述。通信代理：通信代理，顧名思義是專門(mén)負(fù)責(zé)各個(gè)代理和中心的通信，同時(shí)也要通過(guò)數(shù)據(jù)分析制定一些安全機(jī)制。具體做的事情主要是對(duì)各個(gè)代理進(jìn)行合理的配置、正確的管理和維護(hù)，接收各個(gè)代理傳送來(lái)的偵測(cè)數(shù)據(jù)，例如收集數(shù)據(jù)和檢測(cè)數(shù)據(jù)等，并將各個(gè)取證任務(wù)進(jìn)行合理的分配，交給其他的取證代理來(lái)完成。因此通信代理相當(dāng)于一個(gè)中央控制中心，是整個(gè)系統(tǒng)中控制的內(nèi)容最廣泛的環(huán)節(jié)。

數(shù)據(jù)收集代理：系統(tǒng)根據(jù)特定的環(huán)境情況建立相應(yīng)的數(shù)據(jù)收集代理，它一般設(shè)在監(jiān)控主機(jī)上或其他網(wǎng)段上的安全機(jī)上。其工作內(nèi)容是對(duì)收到的數(shù)據(jù)進(jìn)行初步的處理，之后將它傳送給檢測(cè)代理。

檢測(cè)代理：檢測(cè)代理接收來(lái)自數(shù)據(jù)采集代理傳送來(lái)的數(shù)據(jù)，對(duì)其進(jìn)行仔細(xì)的分析后得出判斷：此數(shù)據(jù)是否會(huì)入侵我們的網(wǎng)絡(luò)系統(tǒng)、對(duì)系統(tǒng)是否有破壞的動(dòng)機(jī)等行為。只要發(fā)現(xiàn)有這些行為，檢測(cè)系統(tǒng)將相關(guān)信息立即上報(bào)對(duì)應(yīng)的響應(yīng)代理，讓它得到及時(shí)的處理。

取證代理：取證代理接收到檢測(cè)代理傳送來(lái)的入侵攻擊的相關(guān)信息，例如它的類別、遭受入侵主機(jī)的地址等，開(kāi)始在對(duì)應(yīng)的機(jī)構(gòu)上完成取證過(guò)程。其實(shí)，取證代理有一個(gè)證據(jù)收集部件，專門(mén)用來(lái)收集不法分子犯罪的原始數(shù)據(jù)。該部件首先對(duì)獲得的證據(jù)進(jìn)行備份、整理、簽名，使之具有法律效應(yīng)。最后將它安全傳送至中心服務(wù)器進(jìn)行顯示。

電子證據(jù)，顧名思義是指系統(tǒng)在運(yùn)行時(shí)對(duì)所經(jīng)歷的事實(shí)進(jìn)行電磁記錄。一旦不法分子入侵計(jì)算機(jī)網(wǎng)絡(luò)，系統(tǒng)能夠自動(dòng)記錄那一系列的數(shù)據(jù)，通過(guò)這些原始的數(shù)據(jù)就能對(duì)犯罪分子進(jìn)行控告，這種方法就叫做計(jì)算機(jī)取證，總結(jié)起來(lái)就是兩個(gè)過(guò)程：掃描和重建，意思是時(shí)刻掃描是否有網(wǎng)絡(luò)入侵或者破壞行為，然后對(duì)掃描到的內(nèi)容進(jìn)行重建，從而成為了最原始的犯罪證據(jù)。然而最開(kāi)始的取證只是靜態(tài)的，或者可以說(shuō)是事后取證，在很大程度上受到了限制，效率較低，所以大家開(kāi)始找尋動(dòng)態(tài)取證的方法，也可以說(shuō)是實(shí)時(shí)取證。動(dòng)態(tài)取證所獲得的證據(jù)更加詳細(xì)，也更準(zhǔn)確。最重要的是，通過(guò)動(dòng)態(tài)取證，系統(tǒng)可以分析出犯罪分子的目標(biāo)，從而提前進(jìn)入防患狀態(tài)，因此可以構(gòu)成一個(gè)計(jì)算機(jī)安全體系。

入侵檢測(cè)可以分為：誤用入侵檢測(cè)技術(shù)和異常入侵檢測(cè)技術(shù)。什么叫誤用檢測(cè)？它是出現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)的破壞等惡意行為的時(shí)候，識(shí)別系統(tǒng)對(duì)這種行為作出的防護(hù)模式。誤用入侵檢測(cè)技術(shù)是以探析各種形式的攻擊，從而整合成一個(gè)數(shù)據(jù)庫(kù)，講這些攻擊個(gè)例記錄找出特征，分析當(dāng)時(shí)的數(shù)據(jù)情況，與之相互比較評(píng)估，然后找出與之相適應(yīng)的形式，如果有滿足條件的，那么這個(gè)誤用入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)，并作出相應(yīng)的措施。他是入侵檢測(cè)的一部分，但是功能上相對(duì)獨(dú)立。所謂異常入侵檢測(cè)技術(shù)是指將過(guò)往的正常的系統(tǒng)運(yùn)行的數(shù)據(jù)和情況與現(xiàn)在的電腦的系統(tǒng)運(yùn)行數(shù)據(jù)、模式相互比較，得出分析數(shù)據(jù)，當(dāng)此時(shí)的數(shù)據(jù)與正常值失去甚遠(yuǎn)，也就是超出了正常值的時(shí)候，就表示此時(shí)的電腦系統(tǒng)是不正常的運(yùn)行，那么就是有不合法的危害出現(xiàn)。入侵檢測(cè)技術(shù)的系統(tǒng)能夠檢測(cè)沒(méi)有識(shí)別的對(duì)象，監(jiān)控對(duì)計(jì)算機(jī)系統(tǒng)企圖入侵的行為，監(jiān)控已識(shí)別的對(duì)象對(duì)系統(tǒng)的非法操作。

綜上所述，運(yùn)用多代理的方法對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵取證確實(shí)可行，用這種方法收集到的電子證據(jù)不僅信息齊全，而且效率高，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)體系的安全做出了保障，目前這項(xiàng)技術(shù)也還沒(méi)到很純熟的地步，我們需要對(duì)各個(gè)代理的功能實(shí)現(xiàn)進(jìn)行更深層次的了解和研究，將這項(xiàng)技術(shù)逐漸加以完善。

[1]朱劍.網(wǎng)絡(luò)入侵取證重構(gòu)—網(wǎng)絡(luò)入侵取證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].江南大學(xué)，2008.03

[2]蔣中云,張基溫.基于Multi-Agent的網(wǎng)絡(luò)入侵取證模型的設(shè)計(jì)[J].江蘇無(wú)錫江南大學(xué)信息工程學(xué)院，2005.09

[3]張喜生.計(jì)算機(jī)網(wǎng)絡(luò)入侵取證技術(shù)的研究[J].深圳職業(yè)技術(shù)學(xué)院電子與信息工程學(xué)院，2010.06