肖應(yīng)君 劉朝暉

南華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 湖南 421001

0 引言

網(wǎng)絡(luò)證據(jù)就是網(wǎng)絡(luò)中的電子證據(jù)，電子證據(jù)是指在計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)工作中的過(guò)程中形成的，以數(shù)字技術(shù)為基礎(chǔ)的，能夠反映計(jì)算機(jī)工作狀態(tài)、網(wǎng)絡(luò)活動(dòng)以及具體思想內(nèi)容等事實(shí)的各類(lèi)電子數(shù)據(jù)或電子信息，如電磁或光電轉(zhuǎn)換程序、數(shù)據(jù)編碼與數(shù)據(jù)交換方式、命令與編程、被命名為病毒的破壞性程序、文字與圖象處理結(jié)果、數(shù)字音響與影像等等。網(wǎng)絡(luò)取證可描述成這樣一組行為：首先工作人員對(duì)網(wǎng)絡(luò)審計(jì)線(xiàn)索進(jìn)行捕獲，然后記錄并分析，從結(jié)果中發(fā)現(xiàn)安全漏洞或其它信息保障問(wèn)題的根源，因此，可將網(wǎng)絡(luò)過(guò)程大致劃分為：證據(jù)獲取、分析和法庭展示三個(gè)階段。

1 網(wǎng)絡(luò)取證

網(wǎng)絡(luò)取證技術(shù)要借助一些其它相對(duì)成熟的網(wǎng)絡(luò)安全防御技術(shù)，如防火墻，入侵檢測(cè)技術(shù)、陷阱、網(wǎng)絡(luò)追蹤技術(shù)、計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)等，然而一個(gè)相對(duì)安全的綜合防御系統(tǒng)，則需要這些網(wǎng)絡(luò)安全防御技術(shù)綜合應(yīng)用。

網(wǎng)絡(luò)追蹤系統(tǒng)就是借鑒了路由反向追蹤算法的思想。當(dāng)回應(yīng)黑客的訪(fǎng)問(wèn)請(qǐng)求時(shí)，系統(tǒng)對(duì)返回的數(shù)據(jù)包進(jìn)行處理，在數(shù)據(jù)包中添加特殊的標(biāo)記，然后才發(fā)送給黑客。同時(shí)通知分布在大大小小各個(gè)網(wǎng)絡(luò)中的AGENT，要求它們開(kāi)始對(duì)數(shù)據(jù)進(jìn)行分析，篩選出帶特殊標(biāo)記的數(shù)據(jù)包，并把詳細(xì)信息發(fā)送給數(shù)據(jù)分析控制臺(tái)。接下來(lái)由控制臺(tái)對(duì)發(fā)送過(guò)來(lái)的數(shù)據(jù)進(jìn)行分析處理，輸出黑客的真實(shí)地址或黑客最后出現(xiàn)的網(wǎng)絡(luò)邊界地址。在網(wǎng)絡(luò)跟蹤系統(tǒng)里的AGENT(跟蹤嗅探器)起的就是和路由器類(lèi)似的作用。而添加的特征標(biāo)記解決了入侵者習(xí)慣使用的PROXY技術(shù)所帶來(lái)的難題，也提高了追蹤的效率。

計(jì)算機(jī)動(dòng)態(tài)取證是將取證技術(shù)結(jié)合到防火墻、入侵檢測(cè)技術(shù)以及陷阱技術(shù)中，對(duì)所有可能的計(jì)算機(jī)犯罪行為進(jìn)行實(shí)時(shí)數(shù)據(jù)獲取和分析，智能分析入侵者的企圖，采取措施切斷鏈接或誘敵深入，在確保系統(tǒng)安全的情況下獲取最大量的證據(jù)，并將證據(jù)鑒定、保存、提交的過(guò)程。計(jì)算機(jī)動(dòng)態(tài)取證改變了以往的僅靠防火墻、入侵檢測(cè)、陷阱這些傳統(tǒng)的安全工具進(jìn)行被動(dòng)防御的局面。通過(guò)對(duì)實(shí)時(shí)獲取的電子證據(jù)進(jìn)行動(dòng)態(tài)取證，我們能更好地了解犯罪的動(dòng)機(jī)和手段，從而分析得出正確的防范措施，指導(dǎo)相應(yīng)防火墻和入侵檢測(cè)系統(tǒng)迅速做出響應(yīng)，形成計(jì)算機(jī)取證與防火墻、入侵檢測(cè)的互動(dòng)。

2 取證及防御系統(tǒng)設(shè)計(jì)

隨著Internet的迅速發(fā)展，防范病毒和黑客攻擊己成為一個(gè)世界性的問(wèn)題。在傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)中，采用的主要是被動(dòng)防御技術(shù)，比如防火墻技術(shù)和入侵檢測(cè)技術(shù)等，而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，逐漸暴露出其缺陷。防火墻在保障網(wǎng)絡(luò)安全方面，對(duì)病毒、后門(mén)威脅和對(duì)于內(nèi)部的黑客攻擊等都無(wú)法起到作用。入侵檢測(cè)則無(wú)法觀(guān)測(cè)到所有可能的事件，有很高的漏報(bào)率和誤報(bào)率，提供用于事后分析和調(diào)查的信息不多。被動(dòng)防御技術(shù)的缺陷是：(1)防御滯后于攻擊；(2)黑客侵入系統(tǒng)后，原有的防護(hù)體系無(wú)能為力；(3)防外部較好，防內(nèi)部較差；(4)對(duì)合法用戶(hù)的非法行為無(wú)法防護(hù)；(5)入侵者得手后可毀滅線(xiàn)索、證據(jù)；(6)事后的電子數(shù)據(jù)無(wú)說(shuō)服力。國(guó)際信息安全防護(hù)技術(shù)已從被動(dòng)防范走向主動(dòng)防御。

本文討論克服單個(gè)網(wǎng)絡(luò)安全防御技術(shù)產(chǎn)品不足，綜合應(yīng)用防火墻，入侵檢測(cè)技術(shù)、陷阱、網(wǎng)絡(luò)追蹤技術(shù)、計(jì)算機(jī)取證技術(shù)，構(gòu)建一個(gè)集網(wǎng)絡(luò)取證與防御于一體的系統(tǒng)，確保網(wǎng)絡(luò)的安全運(yùn)行。

2.1 網(wǎng)絡(luò)取證及防御系統(tǒng)的基本架構(gòu)

網(wǎng)絡(luò)取證及防御系統(tǒng)由防火墻和入侵檢測(cè)系統(tǒng)、聯(lián)動(dòng)系統(tǒng)、陷阱系統(tǒng)、網(wǎng)絡(luò)追蹤系統(tǒng)、取證系統(tǒng)組成。具體結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)取證及防御系統(tǒng)結(jié)構(gòu)圖

2.2 防火墻和入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)子系統(tǒng)

防火墻和入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)子系統(tǒng)功能是：在裝有陷阱的網(wǎng)絡(luò)系統(tǒng)中，當(dāng)惡意攻擊出現(xiàn)時(shí)，除了可以利用現(xiàn)有的監(jiān)視系統(tǒng)對(duì)管理員給予警告提示，我們還可以在防火墻和入侵檢測(cè)系統(tǒng)處放置一些具有導(dǎo)向功能的結(jié)構(gòu)將這些可疑的連接引入到陷阱環(huán)境中來(lái)。

防火墻維護(hù)一個(gè)黑名單機(jī)制，入侵檢測(cè)根據(jù)自身系統(tǒng)的能力發(fā)現(xiàn)新的入侵來(lái)源，通過(guò)對(duì)網(wǎng)絡(luò)陷阱的規(guī)則配置，可以將防火墻的黑名單和入侵檢測(cè)系統(tǒng)能夠識(shí)別的入侵者引入陷阱網(wǎng)絡(luò)。取證系統(tǒng)對(duì)進(jìn)入陷阱網(wǎng)絡(luò)的入侵者進(jìn)行實(shí)時(shí)檢測(cè)和取證。取證系統(tǒng)發(fā)現(xiàn)的新入侵者特征及時(shí)的反饋給防火墻和入侵檢測(cè)系統(tǒng)，使其更新規(guī)則配置，以此提高網(wǎng)絡(luò)的安全性能。

一定程度上，入侵檢測(cè)系統(tǒng)的能力決定了網(wǎng)絡(luò)陷阱對(duì)付外界入侵的能力。利用一些商用的入侵檢測(cè)和防火墻的接口協(xié)議實(shí)現(xiàn)防火墻和入侵檢測(cè)系統(tǒng)的互動(dòng)，提高系統(tǒng)通用性和兼容性。

2.3 陷阱系統(tǒng)

網(wǎng)絡(luò)攻擊者通過(guò)防火墻和入侵檢測(cè)系統(tǒng)的引導(dǎo)進(jìn)入陷阱系統(tǒng)。陷阱網(wǎng)絡(luò)及誘騙技術(shù)中的偽裝其實(shí)就是誘騙，即建造一些表面看上去易受攻擊的系統(tǒng)，但實(shí)際上卻不能訪(fǎng)問(wèn)有用數(shù)據(jù)、管理控制或其他計(jì)算機(jī)。通過(guò)偽裝之后，陷阱系統(tǒng)好像很容易受到攻擊，實(shí)際上根本沒(méi)有任何合法用戶(hù)或通信，這樣能夠讓一個(gè)失敗的入侵者暴露無(wú)遺，而且易于進(jìn)行監(jiān)視。為了吸引黑客，網(wǎng)絡(luò)安全專(zhuān)家通常在誘捕系統(tǒng)上故意留下一些安全后門(mén)來(lái)吸引黑客上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息，當(dāng)然這些信息都是虛假信息。這樣，當(dāng)黑客正為攻入目標(biāo)系統(tǒng)而沾沾自喜的時(shí)候，他在目標(biāo)系統(tǒng)中的所有行為，包括輸入的字符、執(zhí)行的操作都已經(jīng)為誘捕系統(tǒng)所記錄。把所所記錄的數(shù)據(jù)傳送給取證系統(tǒng)，由取證機(jī)進(jìn)行犯罪證據(jù)的分析與固定。網(wǎng)絡(luò)追蹤系統(tǒng)根據(jù)黑客在攻擊陷阱系統(tǒng)時(shí)留下的痕跡，追蹤其來(lái)源，記錄其犯罪證據(jù)。從而有效地防范黑客入侵，打擊計(jì)算機(jī)犯罪。

2.4 取證系統(tǒng)

一個(gè)基本的計(jì)算機(jī)取證模型主要包括三部分：取證機(jī)、分析機(jī)和信息證據(jù)庫(kù)。取證機(jī)主要負(fù)責(zé)電子證據(jù)的搜集工作，捕獲網(wǎng)絡(luò)數(shù)據(jù)包和獲取目標(biāo)主機(jī)(各個(gè)服務(wù)器和工作站)的日志等電子證據(jù)；分析機(jī)則是對(duì)電子證據(jù)進(jìn)行數(shù)據(jù)分析的工作；信息證據(jù)庫(kù)負(fù)責(zé)原始數(shù)據(jù)的保存，還有根據(jù)分析的結(jié)果建立犯罪證據(jù)庫(kù)和犯罪知識(shí)庫(kù)。

取證機(jī)設(shè)有雙網(wǎng)卡，一個(gè)外部網(wǎng)卡與被取證的陷阱網(wǎng)絡(luò)相連接，用于獲取電子證據(jù)；另一專(zhuān)用網(wǎng)卡則與取證系統(tǒng)內(nèi)部的分析機(jī)和信息證據(jù)庫(kù)相連接。取證機(jī)實(shí)時(shí)地對(duì)網(wǎng)絡(luò)和目標(biāo)主機(jī)進(jìn)行監(jiān)控，獲取了原始數(shù)據(jù)之后，就通過(guò)安全傳輸?shù)姆绞桨l(fā)送到信息證據(jù)庫(kù)，同時(shí)產(chǎn)生一份原始數(shù)據(jù)的拷貝傳輸?shù)椒治鰴C(jī)上。取證機(jī)是取證系統(tǒng)中惟一與外部相連的部分，必須確保安全，只有經(jīng)過(guò)認(rèn)證和授權(quán)才能發(fā)送或接收數(shù)據(jù)。信息證據(jù)庫(kù)則對(duì)原始的數(shù)據(jù)采用數(shù)字簽名、加密、完整性保護(hù)、加時(shí)間戳等方式進(jìn)行保存，保證了數(shù)據(jù)的安全性和準(zhǔn)確性。分析機(jī)對(duì)備份的數(shù)據(jù)進(jìn)行分析，之所以不對(duì)原始數(shù)據(jù)進(jìn)行直接分析是為了防止原始數(shù)據(jù)受到破壞。分析機(jī)經(jīng)過(guò)分析之后，把犯罪的證據(jù)傳輸?shù)叫畔⒆C據(jù)庫(kù)保存起來(lái)，如果發(fā)現(xiàn)新的攻擊手段，還要對(duì)規(guī)則庫(kù)進(jìn)行擴(kuò)充。

取證機(jī)對(duì)防火墻、入侵檢測(cè)技術(shù)以及陷阱技術(shù)中，所有可能的計(jì)算機(jī)犯罪行為進(jìn)行實(shí)時(shí)數(shù)據(jù)獲取和分析，智能分析入侵者的企圖，采取措施切斷鏈接或誘敵深入，在確保系統(tǒng)安全的情況下獲取最大量的證據(jù)，并將證據(jù)鑒定、保存、提交的過(guò)程。取證機(jī)系統(tǒng)將獲取的犯罪數(shù)據(jù)進(jìn)行分析，如果是新的攻擊手段，把信息反饋給防火墻和入侵檢測(cè)系統(tǒng)，使防火墻和入侵檢測(cè)系統(tǒng)更新其規(guī)則配置。信息證據(jù)庫(kù)的信息及時(shí)反饋給陷阱系統(tǒng)，陷阱系統(tǒng)及時(shí)的做修補(bǔ)。使其更具有迷惑性。

2.5 網(wǎng)絡(luò)追蹤系統(tǒng)

網(wǎng)絡(luò)追蹤系統(tǒng)根據(jù)黑客在攻擊陷阱系統(tǒng)時(shí)留下的痕跡，對(duì)其所攻擊的數(shù)據(jù)包進(jìn)行分析，尋找其IP包頭中的源地址，根據(jù)源地址，利用網(wǎng)絡(luò)追蹤系統(tǒng)尋找出攻擊者的準(zhǔn)確位置。將犯罪分子繩之以法。

網(wǎng)絡(luò)跟蹤通過(guò)整個(gè)網(wǎng)絡(luò)中的所有主機(jī)相互配合，收集分析網(wǎng)絡(luò)中的每臺(tái)主機(jī)的有關(guān)信息，將入侵者的活動(dòng)軌跡展現(xiàn)出來(lái)。要實(shí)現(xiàn)這樣的操作，就需要網(wǎng)絡(luò)中的所有主機(jī)都是安全可信的，即網(wǎng)絡(luò)中的主機(jī)沒(méi)有被入侵者攻擊破壞，收集到的數(shù)據(jù)是可信的，而且在傳輸這些數(shù)據(jù)時(shí)也沒(méi)有被破壞或修改，在此基礎(chǔ)上對(duì)這些收集到的數(shù)據(jù)進(jìn)行處理，包括對(duì)數(shù)據(jù)進(jìn)行過(guò)濾和篩選，將入侵者在整個(gè)網(wǎng)絡(luò)中的活動(dòng)軌跡連接起來(lái)，實(shí)現(xiàn)網(wǎng)絡(luò)入侵的跟蹤。隨著網(wǎng)絡(luò)帶寬的逐漸增加，網(wǎng)絡(luò)入侵者在互聯(lián)網(wǎng)中控制大量代理攻擊服務(wù)器，可以快速發(fā)動(dòng)大規(guī)模的攻擊，在這樣的環(huán)境下進(jìn)行網(wǎng)絡(luò)跟蹤，則需要網(wǎng)絡(luò)跟蹤技術(shù)能夠快速、準(zhǔn)確的反應(yīng)，并盡量減少占用系統(tǒng)的有效資。

防火墻像一個(gè)防盜門(mén)防止非法者進(jìn)入，入侵檢測(cè)就是一個(gè)防盜報(bào)警裝置，一旦有攻擊行為就自動(dòng)報(bào)警，而取證系統(tǒng)就是被保護(hù)現(xiàn)場(chǎng)的監(jiān)控器、攝像頭、錄音器，能把犯罪行為如實(shí)地一記錄下來(lái)。追蹤系統(tǒng)就是犯罪行為人的追逃者，這樣不僅能夠防范外部的入侵，也能防止從內(nèi)部進(jìn)行的破壞，構(gòu)成一個(gè)立體的安全體系。

[1] 陳浩然.據(jù)學(xué)原理.東理工大學(xué)出版社.2002.

[2] LIU Zai-Qiang+, LIN Dong-Dai, FENG Deng-Guo.Fuzzy Decision Tree Based InferenceTechniques for Network Forensic Analysis[J]. 軟件學(xué)報(bào).2007.

[3] 張楚,張樊.網(wǎng)絡(luò)取證中的若干問(wèn)題研究[J].證據(jù)科學(xué).2007.

[4] L.Spitzner, "Thehoneynetproject," http：//www.honeynet.org, (Last visited： May 26.

[5] A. Yasinsac and Y. Manzano, "Honeytraps, a network forensic tool,"in SixthMulti-Conference on Systemics, Cybernetics and Informatics.2010.

[6] 劉東輝.計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)的研究.計(jì)算機(jī)系統(tǒng)應(yīng)用.2005.

[7] 范海紹,侵檢測(cè)與預(yù)警控制的捷徑一設(shè)置陷阱Tsinghua TongfangOPtiealDiseCoLtd.Allrightsreserved.1995.

[8] 張有東.網(wǎng)絡(luò)取證技術(shù)研究[D].(學(xué)位論文).京航天航空大學(xué)信息科學(xué)與技術(shù)學(xué)院.2007.

[9] 殷聯(lián)甫.計(jì)算機(jī)取證技術(shù)[M],科學(xué)出版社.2008.

[10] 高獻(xiàn)偉,鄭捷文,楊澤明,許榕生.智能網(wǎng)絡(luò)取證系統(tǒng)[J].計(jì)算機(jī)仿真.2006.

[11] 向建國(guó),夏長(zhǎng)城.網(wǎng)絡(luò)入侵取證系統(tǒng)(1)[J].湖南學(xué)院學(xué)報(bào).2004.