田天

【摘 要】現(xiàn)代信息社會環(huán)境中，網(wǎng)絡(luò)犯罪現(xiàn)象日益猖獗，網(wǎng)絡(luò)犯罪不但會侵犯社會公眾的個人隱私，還會給社會帶來巨大經(jīng)濟(jì)損失，甚至威脅國家信息安全。本文基于以上背景，提出了網(wǎng)絡(luò)入侵檢測取證模型的構(gòu)建方案，以彌補(bǔ)網(wǎng)絡(luò)防御軟件應(yīng)用程序的不足，提高網(wǎng)絡(luò)取證的應(yīng)用價值。

【關(guān)鍵詞】入侵檢測；取證模型；網(wǎng)絡(luò)技術(shù)

網(wǎng)絡(luò)是現(xiàn)代人們獲取數(shù)據(jù)信息的重要途徑，隨著人們對網(wǎng)絡(luò)依賴程度越來越高，網(wǎng)絡(luò)非法入侵的行為活動也日益增多，不但侵犯了人們的個人隱私信息，甚至威脅到社會的安全和穩(wěn)定。傳統(tǒng)的網(wǎng)絡(luò)安全防御機(jī)制已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)現(xiàn)代信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)黑客采用創(chuàng)新型的入侵方法進(jìn)行攻擊。網(wǎng)絡(luò)取證技術(shù)的應(yīng)用主要是獲取網(wǎng)絡(luò)黑客的入侵攻擊痕跡，進(jìn)行分析后得到網(wǎng)絡(luò)電子證據(jù)，以此對網(wǎng)絡(luò)黑客發(fā)起控訴。

1.網(wǎng)絡(luò)取證技術(shù)

網(wǎng)絡(luò)取證技術(shù)指的是利用計算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)數(shù)據(jù)信息取得網(wǎng)絡(luò)犯罪分子的犯罪證據(jù)，包括網(wǎng)絡(luò)監(jiān)聽技術(shù)、數(shù)據(jù)鑒定技術(shù)、數(shù)字過濾技術(shù)、身份認(rèn)證技術(shù)和漏洞掃描技術(shù)等。網(wǎng)絡(luò)取證技術(shù)主要具有兩種特性，一是多樣性，二是復(fù)雜性，由此可見，網(wǎng)絡(luò)取證技術(shù)設(shè)計的信息技術(shù)面非常廣泛，綜合利用方面也十分復(fù)雜。

1.1網(wǎng)絡(luò)證據(jù)分析技術(shù)

網(wǎng)絡(luò)證據(jù)分析技術(shù)主要是將獲得的數(shù)據(jù)信息流利用關(guān)鍵詞、關(guān)鍵字匹配的方法查詢相關(guān)數(shù)據(jù)信息，網(wǎng)絡(luò)證據(jù)分析技術(shù)包括網(wǎng)絡(luò)IP數(shù)據(jù)信息重組、網(wǎng)絡(luò)傳輸協(xié)議數(shù)據(jù)重組、網(wǎng)絡(luò)日志分析還原，以及數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)統(tǒng)計技術(shù)、摘要分析技術(shù)、關(guān)鍵字和關(guān)鍵詞查找技術(shù)、數(shù)據(jù)加密解密技術(shù)和密碼破解技術(shù)等。

1.2網(wǎng)絡(luò)證據(jù)保真?zhèn)鬏敿夹g(shù)

網(wǎng)絡(luò)證據(jù)保真技術(shù)主要是對網(wǎng)絡(luò)取證過程和數(shù)據(jù)信息證據(jù)進(jìn)行有效保護(hù)，網(wǎng)絡(luò)證據(jù)保真技術(shù)設(shè)計多種信息技術(shù)，包括數(shù)字簽名技術(shù)、證書認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)等。網(wǎng)絡(luò)證據(jù)傳輸技術(shù)的使用流程是將目標(biāo)終端作為收集源，將網(wǎng)絡(luò)中某種數(shù)據(jù)信息作為目標(biāo)，將定向收集的網(wǎng)絡(luò)數(shù)據(jù)信息安全傳輸給網(wǎng)絡(luò)取證載體，使載體可以將其有效保存。

1.3網(wǎng)絡(luò)證據(jù)搜集存儲技術(shù)

網(wǎng)絡(luò)證據(jù)收集技術(shù)和網(wǎng)絡(luò)證據(jù)保存技術(shù)是網(wǎng)絡(luò)取證過程的基礎(chǔ)保障，以上兩種技術(shù)的應(yīng)用目的是有效保證網(wǎng)絡(luò)證據(jù)的完整性。網(wǎng)絡(luò)證據(jù)收集存儲技術(shù)將數(shù)據(jù)信息作為載體，將其進(jìn)行適當(dāng)有序的整理之后，對其完整性和可用性進(jìn)行有效保護(hù)，使數(shù)字信息在目標(biāo)終端與數(shù)據(jù)信息載體之間保持傳輸一致。

2.網(wǎng)絡(luò)入侵檢測取證方法

網(wǎng)絡(luò)入侵事件指的是非法入侵者意圖對網(wǎng)絡(luò)進(jìn)行攻擊，破壞網(wǎng)絡(luò)信息資源的可用性、完整性和保密性。網(wǎng)絡(luò)入侵檢測指的是對以上非法行為活動的檢測，通過對網(wǎng)絡(luò)入侵事件中的關(guān)鍵字、關(guān)鍵詞和現(xiàn)場數(shù)字信息進(jìn)行收集整理后，利用網(wǎng)絡(luò)軟件系統(tǒng)對其內(nèi)在的安全隱患問題進(jìn)行檢查，網(wǎng)絡(luò)入侵檢測系統(tǒng)指的是將軟件應(yīng)用程序與硬件設(shè)備有機(jī)結(jié)合，對網(wǎng)絡(luò)非法攻擊行為進(jìn)行實時檢測。

網(wǎng)絡(luò)取證技術(shù)與網(wǎng)絡(luò)入侵檢測技術(shù)相同，都需要對獲得的數(shù)據(jù)信息進(jìn)行分析統(tǒng)計，以此獲取違反安全規(guī)定的數(shù)據(jù)信息。因此，這兩種技術(shù)在研究對象、分析方法和最終目標(biāo)等方面具有相近之處。網(wǎng)絡(luò)入侵檢測是利用關(guān)鍵字、關(guān)鍵詞匹配技術(shù)、神經(jīng)網(wǎng)絡(luò)技術(shù)和專家分析技術(shù)等獲取網(wǎng)絡(luò)犯罪證據(jù)。被網(wǎng)絡(luò)入侵檢測系統(tǒng)截獲的網(wǎng)絡(luò)日志、應(yīng)用程序和數(shù)據(jù)信息包等，都可以作為網(wǎng)絡(luò)取證的依據(jù)。

因此，將網(wǎng)絡(luò)入侵檢測作為網(wǎng)絡(luò)取證過程中的關(guān)鍵內(nèi)容，一直受到了信息安全領(lǐng)域?qū)＜覍W(xué)者們的廣泛關(guān)注。但是，目前市場上網(wǎng)絡(luò)入侵檢測產(chǎn)品缺乏統(tǒng)一標(biāo)準(zhǔn)，其獲取的數(shù)據(jù)信息當(dāng)作為證據(jù)時缺乏法律效力。由此，網(wǎng)絡(luò)入侵檢測產(chǎn)品還不能作為網(wǎng)絡(luò)取證的主要依據(jù)，但網(wǎng)絡(luò)入侵檢測產(chǎn)品非常適合收集和保存攻擊數(shù)據(jù)信息，雖然網(wǎng)絡(luò)入侵檢測產(chǎn)品不能精準(zhǔn)定位網(wǎng)絡(luò)非法攻擊者的位置，但作為網(wǎng)絡(luò)取證的重要工具，可以實時收集和存儲大量網(wǎng)絡(luò)攻擊數(shù)據(jù)信息。

3.網(wǎng)絡(luò)入侵檢測取證模型構(gòu)建

本文在研究網(wǎng)絡(luò)入侵檢測取證方法的基礎(chǔ)之上，提出了網(wǎng)絡(luò)入侵檢測取證模型構(gòu)建方案。

3.1數(shù)據(jù)信息采集模塊

數(shù)據(jù)信息采集模塊主要作用是將原始數(shù)據(jù)信息進(jìn)行有效收集和備份整理，在為網(wǎng)絡(luò)入侵檢測提供數(shù)據(jù)信息對網(wǎng)絡(luò)用戶行為活動進(jìn)行檢測的同時，還能為網(wǎng)絡(luò)規(guī)則的構(gòu)建提供數(shù)據(jù)依據(jù)。數(shù)據(jù)信息采集模塊由網(wǎng)絡(luò)傳感器等設(shè)備構(gòu)成，其收集備份的數(shù)據(jù)信息大部分都來源于主機(jī)終端的數(shù)據(jù)信息。

3.2數(shù)據(jù)預(yù)處理模塊

數(shù)據(jù)預(yù)處理模塊的主要任務(wù)是對數(shù)據(jù)信息采集模塊收集到的原始數(shù)據(jù)信息進(jìn)行處理和加工，使其成為能夠適應(yīng)數(shù)據(jù)挖掘算法的格式，由于收集的網(wǎng)絡(luò)數(shù)據(jù)信息和日志信息內(nèi)容較多，為了真正提高數(shù)據(jù)挖掘算法的利用效率，必須將原始數(shù)據(jù)信息進(jìn)行預(yù)處理，按照預(yù)先設(shè)定的類型和格式進(jìn)行統(tǒng)一簡化，以此提高網(wǎng)絡(luò)傳輸速度。

3.3網(wǎng)絡(luò)入侵檢測模塊

網(wǎng)絡(luò)入侵檢測模塊的任務(wù)是對簡化后的數(shù)據(jù)信息進(jìn)行檢測：

（1）如果沒有發(fā)現(xiàn)異常數(shù)據(jù)，不需要進(jìn)行任何處理行為。

（2）如果發(fā)現(xiàn)存在異常數(shù)據(jù)，要立刻做出決策相應(yīng)，將系統(tǒng)日志數(shù)據(jù)信息進(jìn)行安全保存，同時對非法入侵者發(fā)出警告，并將這些異常數(shù)據(jù)傳輸?shù)骄W(wǎng)絡(luò)取證部分進(jìn)行處理分析，利用網(wǎng)絡(luò)取證部分反饋的信息預(yù)測未來可能發(fā)生的網(wǎng)絡(luò)攻擊。

3.4網(wǎng)絡(luò)取證模塊

網(wǎng)絡(luò)取證模塊根據(jù)網(wǎng)絡(luò)入侵檢測模塊收集到的數(shù)據(jù)信息進(jìn)行統(tǒng)計分析，按照一定規(guī)則提取證據(jù)信息。網(wǎng)絡(luò)取證的最終目的是明確網(wǎng)絡(luò)入侵事件的真相，保證數(shù)據(jù)信息的安全性和可用性，因此，網(wǎng)絡(luò)取證模塊不能直接對原始數(shù)據(jù)信息進(jìn)行處理，必須由數(shù)據(jù)信息采集模塊將原始數(shù)據(jù)信息進(jìn)行備份。

網(wǎng)絡(luò)入侵檢測取證模型的算法流程如下：

（1）利用專業(yè)技術(shù)工具對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行抓包，并有效保存。

（2）對收集到的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行備份.

（3）對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)處理等操作。

（4）利用網(wǎng)絡(luò)入侵檢測技術(shù)對經(jīng)過預(yù)處理后的數(shù)據(jù)信息進(jìn)行統(tǒng)計分析；如果沒有發(fā)現(xiàn)異常數(shù)據(jù)，則執(zhí)行結(jié)束，如果發(fā)現(xiàn)異常數(shù)據(jù)，則執(zhí)行下一個步驟。

（5）對網(wǎng)絡(luò)非法入侵者發(fā)出警告，將存在異常情況的數(shù)據(jù)信息傳輸?shù)骄W(wǎng)絡(luò)取證模塊中。

（6）生成決策樹。

（7）按照預(yù)先設(shè)定的規(guī)則進(jìn)行處理。

（8）提取提交證據(jù)信息。

（9）結(jié)束。

4.結(jié)論

綜上所述，本文將網(wǎng)絡(luò)入侵檢測技術(shù)與網(wǎng)絡(luò)取證技術(shù)進(jìn)行有機(jī)結(jié)合，提出了網(wǎng)絡(luò)入侵檢測取證模型的構(gòu)建方案，對該模型的功能模塊進(jìn)行詳細(xì)分析和描述，在現(xiàn)代社會信息安全面臨巨大挑戰(zhàn)的環(huán)境下，網(wǎng)絡(luò)入侵檢測取證模型的應(yīng)用可以切實提高數(shù)據(jù)信息的安全，防止非法入侵者的惡意攻擊。 [科]

【參考文獻(xiàn)】

[1]張若箐，牛飛斐.一種基于日志的U盤取證模型研究[J].北京電子科技學(xué)院學(xué)報，2013，02：71-75+90.

[2]王延中.一種基于云計算環(huán)境的動態(tài)取證模型研究[J].計算機(jī)測量與控制，2012，11：3066-3069.

[3]周婷，宋如順，張媛.基于安全態(tài)勢評估的數(shù)字取證模型研究[J].計算機(jī)安全，2011，04：2-4.

[4]吳同.針對海量數(shù)據(jù)的數(shù)字取證模型[J].警察技術(shù)，2011，05：46-49.