王軍偉

【摘要】網(wǎng)絡(luò)的入侵取證系統(tǒng)是對網(wǎng)絡(luò)防火墻合理的補充，是對系統(tǒng)管理員安全管理的能力的擴展，可使網(wǎng)絡(luò)安全的基礎(chǔ)結(jié)構(gòu)得到完整性的提高。該文即針對計算機基于網(wǎng)絡(luò)動態(tài)的網(wǎng)絡(luò)入侵取證作進一步的探討。

【關(guān)鍵詞】網(wǎng)絡(luò)動態(tài)；網(wǎng)絡(luò)入侵；網(wǎng)絡(luò)入侵取證系統(tǒng)

計算機網(wǎng)絡(luò)的入侵檢測，是指對計算機的網(wǎng)絡(luò)及其整體系統(tǒng)的時控監(jiān)測，以此探查計算機是否存在違反安全原則的策略事件。目前的網(wǎng)絡(luò)入侵檢測系統(tǒng)，主要用于識別計算機系統(tǒng)及相關(guān)網(wǎng)絡(luò)系統(tǒng)，或是擴大意義的識別信息系統(tǒng)的非法攻擊，包括檢測內(nèi)部的合法用戶非允許越權(quán)從事網(wǎng)絡(luò)非法活動和檢測外界的非法系統(tǒng)入侵者的試探行為或惡意攻擊行為。

1. 計算機入侵檢測與取證相關(guān)的技術(shù)

1.1計算機入侵檢測。

（1）入侵取證的技術(shù)是在不對網(wǎng)絡(luò)的性能產(chǎn)生影響的前提下，對網(wǎng)絡(luò)的攻擊威脅進行防止或者減輕。一般來說，入侵檢測的系統(tǒng)包含有數(shù)據(jù)的收集、儲存、分析以及攻擊響應(yīng)的功能。主要是通過對計算機的網(wǎng)絡(luò)或者系統(tǒng)中得到的幾個關(guān)鍵點進行信息的收集和分析，以此來提早發(fā)現(xiàn)計算機網(wǎng)絡(luò)或者系統(tǒng)中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產(chǎn)品，計算機的入侵檢測系統(tǒng)需要更加多的智能，需要對測得數(shù)據(jù)進行分析，從而得到有用的信息。

（2）計算機的入侵檢測系統(tǒng)主要是對描述計算機的行為特征，并通過行為特征對行為的性質(zhì)進行準(zhǔn)確判定。根據(jù)計算機所采取的技術(shù)，入侵檢測可以分為特征的檢測和異常的檢測；根據(jù)計算機的主機或者網(wǎng)絡(luò)，不同的檢測對象，分為基于主機和網(wǎng)絡(luò)的入侵檢測系統(tǒng)以及分布式的入侵檢測系統(tǒng)；根據(jù)計算機不同的工作方式，可分為離線和在線檢測系統(tǒng)。計算機的入侵檢測就是在數(shù)以億記的網(wǎng)絡(luò)數(shù)據(jù)中探查到非法入侵或合法越權(quán)行為的痕跡。并對檢測到的入侵過程進行分析，將該入侵過程對應(yīng)的可能事件與入侵檢測原則規(guī)則比較分析，最終發(fā)現(xiàn)入侵行為。按照入侵檢測不同實現(xiàn)的原來，可將其分為基于特征或者行為的檢測。

1.2計算機入侵取證。

（1）在中國首屆計算機的取證技術(shù)峰會上指出，計算機的入侵取證學(xué)科是計算機科學(xué)、刑事偵查學(xué)以及法學(xué)的交叉學(xué)科，但由于計算機取證學(xué)科在我國屬于新起步階段，與發(fā)達國家在技術(shù)研究方面的較量還存在很大差距，其中，計算機的電子數(shù)據(jù)的取證存在困難的局面已經(jīng)對部分案件的偵破起到阻礙作用。而我國的計算機的電子數(shù)據(jù)作為可用證據(jù)的立法項目也只是剛剛起步，同樣面臨著計算機的電子數(shù)據(jù)取證相關(guān)技術(shù)不成熟，相關(guān)標(biāo)準(zhǔn)和方法等不足的窘境。

（2）計算機的入侵取證工作是整個法律訴訟過程中重要的環(huán)節(jié)，此過程中涉及的不僅是計算機領(lǐng)域，同時還需滿足法律要求。因而，取證工作必須按照一定的即成標(biāo)準(zhǔn)展開，以此確保獲得電子數(shù)據(jù)的證據(jù)，目前基本需要把握以下幾個原則：實時性的原則、合法性的原則、多備份的原則、全面性的原則、環(huán)境原則以及嚴(yán)格的管理過程。

2. 基于網(wǎng)絡(luò)動態(tài)的入侵取證系統(tǒng)的設(shè)計和實現(xiàn)

信息科技近年來得到迅猛發(fā)展，同時帶來了日益嚴(yán)重的計算機犯罪問題，靜態(tài)取證局限著傳統(tǒng)計算機的取證技術(shù)，使得其證據(jù)的真實性、及時性及有效性等實際要求都得不到滿足。為此，提出了新的取證設(shè)想，即動態(tài)取證，來實現(xiàn)網(wǎng)絡(luò)動態(tài)狀況下的計算機系統(tǒng)取證。此系統(tǒng)與傳統(tǒng)取證工具不同，其在犯罪行為實際進行前和進行中開展取證工作，根本上避免取證不及時可能造成德證據(jù)鏈缺失?；诰W(wǎng)絡(luò)動態(tài)的取證系統(tǒng)有效地提高了取證工作效率，增強了數(shù)據(jù)證據(jù)時效性和完整性。

2.1計算機的入侵取證過程。

（1）計算機取證，主要就是對計算機證據(jù)的采集，計算機證據(jù)也被稱為電子證據(jù)。一般來說，電子證據(jù)是指電子化的信息數(shù)據(jù)和資料，用于證明案件的事實，它只是以數(shù)字形式在計算機系統(tǒng)中存在，以證明案件相關(guān)的事實數(shù)據(jù)信息，其中包括計算機數(shù)據(jù)的產(chǎn)生、存儲、傳輸、記錄、打印等所有反映計算機系統(tǒng)犯罪行為的電子證據(jù)。

（2）就目前而言，由于計算機法律、技術(shù)等原因限制，國內(nèi)外關(guān)于計算機的取證主要還是采用事后取證方式。即現(xiàn)在的取證工作仍將原始數(shù)據(jù)的收集過程放在犯罪事件發(fā)生后，但計算機的網(wǎng)絡(luò)特性是許多重要數(shù)據(jù)的存儲可能在數(shù)據(jù)極易丟失的存儲器中；另外，黑客入侵等非法網(wǎng)絡(luò)犯罪過程中，入侵者會將類似系統(tǒng)日志的重要文件修改、刪除或使用反取證技術(shù)掩蓋其犯罪行徑。同時，2004年FBI/CSI的年度計算機報告也顯示，企業(yè)的內(nèi)部職員是計算機安全的最大威脅，因職員位置是在入侵檢測及防火墻防護的系統(tǒng)內(nèi)的，他們不需要很高的權(quán)限更改就可以從事犯罪活動。

2.2基于網(wǎng)絡(luò)動態(tài)的計算機入侵取證系統(tǒng)設(shè)計。

（1）根據(jù)上文所提及的計算機入侵的取證缺陷及無法滿足實際需要的現(xiàn)狀，我們設(shè)計出新的網(wǎng)絡(luò)動態(tài)狀況下的計算機入侵的取證系統(tǒng)。此系統(tǒng)能夠?qū)崿F(xiàn)將取證的工作提前至犯罪活動發(fā)生之前或者進行中時，還能夠同時兼顧來自于計算機內(nèi)、外犯罪的活動，獲得盡可能多的相關(guān)犯罪信息。基于網(wǎng)絡(luò)動態(tài)的取證系統(tǒng)和傳統(tǒng)的取證系統(tǒng)存在的根本差別在于取證工作的開展時機不同，基于分布式策略的動態(tài)取證系統(tǒng)，可獲得全面、及時的證據(jù)，并且可為證據(jù)的安全性提供更加有效的保障。

（2）此外，基于網(wǎng)絡(luò)動態(tài)的入侵取證系統(tǒng)在設(shè)計初始就涉及了兩個方面的取證工作。其一是攻擊計算機本原系統(tǒng)的犯罪行為，其二是以計算機為工具的犯罪行為（或說是計算機系統(tǒng)越權(quán)使用的犯罪行為）。系統(tǒng)采集網(wǎng)絡(luò)取證和代理取證兩個方面涉及的這兩個犯罪的電子證據(jù)，并通過加密傳輸?shù)哪K將采集到的電子證據(jù)傳送至安全的服務(wù)器上，進行統(tǒng)一妥善保存，按其關(guān)鍵性的級別進行分類，以方便后續(xù)的分析查詢活動。并對已獲電子證據(jù)以分析模塊進行分析并生成報告?zhèn)溆谩Ｍㄟ^管理控制模塊完成對整個系統(tǒng)的統(tǒng)一管理，來確保系統(tǒng)可穩(wěn)定持久的運行。

2.3網(wǎng)絡(luò)動態(tài)狀況下的計算機入侵取證系統(tǒng)實現(xiàn)。

（1）基于網(wǎng)絡(luò)動態(tài)計算機的入侵取證系統(tǒng)，主要是通過網(wǎng)絡(luò)取證機、取證代理、管理控制臺、安全服務(wù)器、取證分析機等部分組成。整個系統(tǒng)的結(jié)構(gòu)取證代理，是以被取證機器上運行的一個長期服務(wù)的守護程序的方式來實現(xiàn)的。該程序?qū)Ρ槐O(jiān)測取證的機器的系統(tǒng)日志文件長期進行不間斷采集，并配套相應(yīng)得鍵盤操作和他類現(xiàn)場的證據(jù)采集。最終通過安全傳輸?shù)姆绞綄⒁勋@電子數(shù)據(jù)證據(jù)傳輸至遠程的安全服務(wù)器，管理控制臺會即刻發(fā)送指令知道操作。

（2）網(wǎng)絡(luò)取證機使用混雜模式的網(wǎng)絡(luò)接口，監(jiān)聽所有通過的網(wǎng)絡(luò)數(shù)據(jù)報。經(jīng)協(xié)議分析，可捕獲、匯總并存儲潛在證據(jù)的數(shù)據(jù)報。并同時添加“蜜罐”系統(tǒng)，發(fā)現(xiàn)攻擊行為便即可轉(zhuǎn)移進行持續(xù)的證據(jù)獲取。安全服務(wù)器是構(gòu)建了一個開放必要服務(wù)器的系統(tǒng)進行取證代理并以網(wǎng)絡(luò)取證機將獲取的電子證據(jù)進行統(tǒng)一保存。并通過加密及數(shù)字簽名等技術(shù)保證已獲證據(jù)的安全性、一致性和有效性。而取證分析機是使用數(shù)據(jù)挖掘的技術(shù)深入分析安全服務(wù)器所保存的各關(guān)鍵類別的電子證據(jù)，以此獲取犯罪活動的相關(guān)信息及直接證據(jù)，并同時生成報告提交法庭。管理控制臺為安全服務(wù)器及取證代理提供認(rèn)證，以此來管理系統(tǒng)各個部分的運行。

（3）基于網(wǎng)絡(luò)動態(tài)的計算機入侵取證系統(tǒng)，不僅涉及本網(wǎng)絡(luò)所涵蓋的計算機的目前犯罪行為及傳統(tǒng)計算機的外部網(wǎng)絡(luò)的犯罪行為，同時也獲取網(wǎng)絡(luò)內(nèi)部的、將計算機系統(tǒng)作為犯罪工具或越權(quán)濫用等犯罪行為的證據(jù)。即取證入侵系統(tǒng)從功能上開始可以兼顧內(nèi)外部兩方面?；诰W(wǎng)絡(luò)動態(tài)的計算機入侵取證系統(tǒng)，分為證據(jù)獲取、傳輸、存儲、分析、管理等五大模塊。通過各個模塊間相互緊密協(xié)作，真正良好實現(xiàn)網(wǎng)絡(luò)動態(tài)的計算機入侵取證系統(tǒng)。

3. 結(jié)束語

隨著信息科學(xué)技術(shù)的迅猛發(fā)展，給人們的生活和工作方式都帶來了巨大的變化，也給犯罪活動提供了更廣闊的空間和各種新手段。而基于網(wǎng)絡(luò)動態(tài)的計算機入侵取證系統(tǒng)，則通過解決傳統(tǒng)計算機的入侵取證系統(tǒng)瓶頸技術(shù)的完善，在犯罪活動發(fā)生前或進行中便展開電子取證工作，有效彌補了計算機網(wǎng)絡(luò)犯罪案件中存在的因事后取證導(dǎo)致的證據(jù)鏈不足或缺失。全面捕獲證據(jù)，安全傳輸至遠程安全服務(wù)器并統(tǒng)一妥善保存，且最終分析獲得結(jié)論以報告的形式用于法律訴訟中。但是作為一門新興的學(xué)科，關(guān)于計算機取證的具體標(biāo)準(zhǔn)及相關(guān)流程尚未完善，取證工作因涉及學(xué)科多且涵蓋技術(shù)項目廣，仍需不斷的深入研究。

參考文獻

[1]魏士靖.計算機網(wǎng)絡(luò)取證分析系統(tǒng)[D].無錫：江南大學(xué)，2006.

[2]李曉秋.基于特征的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)[D].鄭州：中國人民解放軍信息工程大學(xué)，2003.

[3]史光坤.基于網(wǎng)絡(luò)的動態(tài)計算機取證系統(tǒng)設(shè)計與實現(xiàn)[D].長春：吉林大學(xué)，2007.

[4]張俊安.網(wǎng)絡(luò)入侵檢測系統(tǒng)研究與實現(xiàn)[D].成都：西南交通大學(xué)，2003.

[5]戴江山，肖軍模，張增軍.分布式網(wǎng)絡(luò)實時取證系統(tǒng)研究與設(shè)計[J].電子科技大學(xué)學(xué)報，2005（3）.

[文章編號]1619-2737（2014）03-12-589