◆劉曉麗 徐博赫

（中國(guó)刑事警察學(xué)院 遼寧 110854）

基于Linux系統(tǒng)的網(wǎng)絡(luò)入侵取證方法與實(shí)踐

◆劉曉麗 徐博赫

（中國(guó)刑事警察學(xué)院 遼寧 110854）

在已有的網(wǎng)絡(luò)安全研究中，多著眼于防范入侵，而對(duì)入侵后的取證問(wèn)題研究相對(duì)較少?；诖蟛糠止救绨俣?、騰訊和谷歌等都使用Linux系統(tǒng)的服務(wù)器，所以本文對(duì)基于Linux系統(tǒng)的網(wǎng)絡(luò)入侵取證技術(shù)進(jìn)行總結(jié)和實(shí)踐。從基于Linux系統(tǒng)搭建的網(wǎng)站日志和Linux系統(tǒng)自身日志這兩方面探討取證的實(shí)現(xiàn)方法，前者的取證可以告訴我們攻擊者是從哪里攻入Linux系統(tǒng)的，后者的取證告訴我們攻擊者進(jìn)入Linux系統(tǒng)后做了什么操作。

Linux系統(tǒng)；網(wǎng)絡(luò)入侵；取證方法

0 引言

網(wǎng)絡(luò)入侵取證主要通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流、審計(jì)痕跡、主機(jī)系統(tǒng)日志等信息的實(shí)時(shí)監(jiān)控和分析，發(fā)現(xiàn)對(duì)網(wǎng)站或系統(tǒng)的入侵行為，自動(dòng)記錄犯罪證據(jù)，并阻止對(duì)網(wǎng)站或系統(tǒng)的進(jìn)一步入侵。網(wǎng)絡(luò)取證同樣要求對(duì)潛在的、有法律效力的證據(jù)的確定與獲取，但從當(dāng)前的研究和應(yīng)用來(lái)看，更強(qiáng)調(diào)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)信息收集和網(wǎng)絡(luò)安全的主動(dòng)防御。同時(shí)，網(wǎng)絡(luò)取證也要應(yīng)用計(jì)算機(jī)取證的一些方法和技術(shù)。例如，如果我們能夠?qū)χ鳈C(jī)的刪除操作進(jìn)行動(dòng)態(tài)跟蹤，就能盡早發(fā)現(xiàn)一些試圖抹除攻擊痕跡的攻擊行為并動(dòng)態(tài)恢復(fù)、取證。

（1）Linux系統(tǒng)簡(jiǎn)述

Linux是一種免費(fèi)和開(kāi)放源代碼的操作系統(tǒng)。由于Linux系統(tǒng)架構(gòu)穩(wěn)定、安全、簡(jiǎn)單易用、可定制，使其成為目前最受互聯(lián)網(wǎng)公司喜愛(ài)的服務(wù)器系統(tǒng)。目前前沿技術(shù)領(lǐng)域如：大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、分布式系統(tǒng)、云計(jì)算、Android等都是應(yīng)用的Linux系統(tǒng)。

（2）Linux系統(tǒng)日志文件記錄的信息

基于Linux系統(tǒng)搭建的網(wǎng)站日志會(huì)記錄一些常用的信息，還可以根據(jù)需求進(jìn)一步設(shè)置記錄更多更全的信息，從這些信息中能夠發(fā)現(xiàn)攻擊者的行為，從而達(dá)到取證目的。

①時(shí)間戳：典型情況下包括日期以及以秒或一秒的若干分之一為單位的時(shí)間，它表示事件發(fā)生的時(shí)間或者將事件記錄到日志中的時(shí)間。

②基本的IP特征：每個(gè)請(qǐng)求的源地址、目標(biāo)地址等。?訪問(wèn)的URL（攻擊者的訪問(wèn)URL帶有攻擊語(yǔ)句）。④訪問(wèn)的瀏覽器標(biāo)識(shí)、使用的操作系統(tǒng)。

⑤網(wǎng)站服務(wù)器返回的狀態(tài)碼和返回字符長(zhǎng)度。（3）基于Linux系統(tǒng)搭建的網(wǎng)站日志文件作用

基于Linux系統(tǒng)搭建的網(wǎng)站日志文件最明顯的用處是提供可用于取證的數(shù)據(jù)。例如：當(dāng)網(wǎng)站服務(wù)器被入侵后，可以使用日志文件來(lái)判斷哪個(gè)主機(jī)或哪些主機(jī)應(yīng)當(dāng)對(duì)該攻擊負(fù)責(zé)，以及攻擊者可能使用了哪些攻擊方法。通過(guò)網(wǎng)站的日志可以提供與此攻擊和攻擊者有關(guān)的其它信息。此外，在攻擊事件的處理過(guò)程中，正確保存和分析的網(wǎng)絡(luò)日志文件可以為法庭辯論提供證據(jù)。

1 基于Linux系統(tǒng)的網(wǎng)絡(luò)入侵取證方法與實(shí)踐

基于Linux系統(tǒng)搭建的網(wǎng)站具有默認(rèn)開(kāi)啟日志記錄的功能。網(wǎng)站日志是記錄網(wǎng)站接收請(qǐng)求以及網(wǎng)站運(yùn)行時(shí)產(chǎn)生的錯(cuò)誤等各種原始信息的文件。網(wǎng)站日志可以清楚地記錄著每個(gè)訪問(wèn)者訪問(wèn)網(wǎng)站時(shí)的一切信息。不同日志文件包含不同信息，如何理解這些信息、如何從邊界防御的角度來(lái)分析這些信息，將對(duì)網(wǎng)絡(luò)入侵取證起著十分重要的作用。

從網(wǎng)站日志中取證主要有人工分析取證和利用自動(dòng)化日志取證系統(tǒng)取證兩種方法。其中人工分析取證要求取證人員具有耐心和認(rèn)真、持之以恒的工作態(tài)度，適用于日志量較小的情況。在此種情況下，可以在Linux系統(tǒng)中使用grep這樣的Linux系統(tǒng)自帶工具處理日志，進(jìn)行取證。而自動(dòng)化日志取證系統(tǒng)適用于對(duì)大型網(wǎng)站產(chǎn)生的海量日志進(jìn)行分析，其思想來(lái)源于大數(shù)據(jù)分析，在這種情況下，人工基本上無(wú)法對(duì)攻擊者進(jìn)行身份識(shí)別，只能采用自動(dòng)化形式。

1.1 針對(duì)網(wǎng)站日志人工分析取證方法與實(shí)踐

grep是一個(gè)Linux系統(tǒng)下特有的命令行工具。在給出文件列表或標(biāo)準(zhǔn)輸入后，grep會(huì)對(duì)匹配一個(gè)或多個(gè)正則表達(dá)式的文本進(jìn)行搜索，并只輸出匹配（或者不匹配）的行或文本。除此之外包括顯示出不匹配的文本行、查找或排除搜索的文件以及用不同的方式在輸出中進(jìn)行注釋。

grep用法示例：

示例1：“grep apple fruitlist.txt”。這里，grep會(huì)返回“fruitlist.txt”中所有包含“apple”的文本行。grep不會(huì)返回匹配“Apple”（A字母大寫(xiě)）的文本行，因?yàn)間rep默認(rèn)情況下是大小寫(xiě)敏感的。像大多數(shù)Unix命令行一樣，grep接受參數(shù)來(lái)改變或增加一些特別的功能。

示例2：“grep -i apple fruitlist.txt”，這個(gè)命令會(huì)返回所有匹配“apple”、“Apple”、“apPLE”或其它混合大小寫(xiě)的拼寫(xiě)。

由于攻擊者對(duì)網(wǎng)站發(fā)起攻擊必然會(huì)在訪問(wèn)網(wǎng)站的URL中帶有攻擊語(yǔ)句特征，所以基于以上特點(diǎn)，我們只要在日志文件中利用grep工具進(jìn)行篩選就能找出攻擊者的攻擊行為。

表1 常見(jiàn)的web應(yīng)用攻擊語(yǔ)句表

在Linux系統(tǒng)的終端界面中對(duì)于網(wǎng)站日志可采用如下命令進(jìn)行取證：

$cat access.log | grep../../../../etc/passwd

#命令釋義：

1.“cat access.log”代表打開(kāi)網(wǎng)站日志文件access.log；

2.“|”代表并且的意思；

3.“grep../../../../etc/passwd”代表查找日志中包含任意命令執(zhí)行漏洞類(lèi)型的文本行。

如圖1所示，即為利用上述 grep工具對(duì)某被入侵網(wǎng)站的取證結(jié)果。

從圖1中可以看到，多個(gè)攻擊者利用任意命令執(zhí)行漏洞對(duì)網(wǎng)站進(jìn)行了攻擊。例如，以第一行內(nèi)容來(lái)看，空格作為每部分的分割，第一部分顯示的是攻擊者的IP地址為192.168.114.52，第二部分內(nèi)容顯示的是攻擊發(fā)起時(shí)間為2015年1月6日15點(diǎn)28分54秒，第三部分內(nèi)容顯示的是攻擊者執(zhí)行攻擊的語(yǔ)句，第四段內(nèi)容顯示的是攻擊者使用什么瀏覽器進(jìn)行訪問(wèn)的。從中可以鎖定攻擊者身份信息，達(dá)到取證的目的。

圖1 grep工具對(duì)某被入侵網(wǎng)站的取證結(jié)果截圖

1.2 利用網(wǎng)站日志取證系統(tǒng)自動(dòng)取證方法

現(xiàn)在是大數(shù)據(jù)時(shí)代，數(shù)據(jù)最根本的體現(xiàn)就是海量數(shù)據(jù)、多樣化的信息。隨著互聯(lián)網(wǎng)的興起，每天網(wǎng)站產(chǎn)生的日志量上億或者十幾億基本成為了主流，如果還是依賴(lài)之前的簡(jiǎn)單腳本或者grep工具根本無(wú)法完成既定的分析取證。

Linux系統(tǒng)在大數(shù)據(jù)處理中有著天然的優(yōu)勢(shì)，目前最主流對(duì)大數(shù)據(jù)處理方案都是應(yīng)用于Linux系統(tǒng)并開(kāi)源的，比如hive（離線分析）、storm（實(shí)時(shí)分析框架）、impala（實(shí)時(shí)計(jì)算引擎）、haddop（分布式計(jì)算）以及hbase、spark等等。

基于大數(shù)據(jù)的技術(shù)如此多，通過(guò)技術(shù)調(diào)研和分析研究，筆者選擇的Linux日志取證系統(tǒng)架構(gòu)如圖2所示：

圖2 筆者選擇的Linux日志取證系統(tǒng)架構(gòu)圖

Logstash、Elasticsearch、Kibana是在Linux系統(tǒng)下的輕量級(jí)的大數(shù)據(jù)分析方案。這三個(gè)軟件都是開(kāi)源的，具有處理方式靈活、配置簡(jiǎn)單易上手、檢索性能高效、上億數(shù)據(jù)秒級(jí)響應(yīng)和集群線性擴(kuò)展等特性，非常適合用來(lái)進(jìn)行自動(dòng)化日志取證。

Logstash：負(fù)責(zé)網(wǎng)站日志的收集、處理和存儲(chǔ)。

Elasticsearch：負(fù)責(zé)日志的檢索和分析。

Kibana：負(fù)責(zé)日志的可視化，通過(guò)自帶的網(wǎng)站對(duì)數(shù)據(jù)進(jìn)行展示。

我們只需要將網(wǎng)站的日志接入Logstash軟件中，每天產(chǎn)生的幾億或者幾十億條網(wǎng)站日志信息就會(huì)自動(dòng)化處理后展示到Kibana的網(wǎng)頁(yè)中，如圖3、圖4、圖5所示。

從圖3中，可以看到利用Linux系統(tǒng)的高性能加上正確的取證系統(tǒng)方案我們收集并展示了1億多條日志信息，通過(guò)對(duì)攻擊者攻擊規(guī)則的整理和篩選，我們從圖4、圖5中可以提煉出攻擊時(shí)間、攻擊ip、攻擊次數(shù)、攻擊類(lèi)型以及一天有哪些時(shí)間段攻擊最多等信息，由此可以判斷攻擊者的技術(shù)能力、攻擊者個(gè)人信息及作案動(dòng)機(jī)等相關(guān)信息。

圖3 Kibana展示的數(shù)據(jù)總量結(jié)果截圖

圖4 Kibana展示的攻擊取證結(jié)果截圖

圖5 Kibana展示的攻擊時(shí)間段和攻擊頻率結(jié)果截圖

1.3 針對(duì)Linux系統(tǒng)日志的取證方法

1.2中討論的是基于Linux系統(tǒng)搭建的網(wǎng)站被攻擊后的取證方法，目前Linux操作系統(tǒng)自身的安全事件也非常多。攻擊方式主要是弱口令攻擊、遠(yuǎn)程溢出攻擊及其他系統(tǒng)漏洞攻擊等。

Linux系統(tǒng)自身?yè)碛幸惶淄暾娜罩居涗涹w系，這些日志提供了對(duì)系統(tǒng)活動(dòng)的詳細(xì)審計(jì)，其中包括用戶(hù)的登錄時(shí)間、登錄地點(diǎn)、登錄后進(jìn)行了哪些操作。從這些記錄中可以發(fā)現(xiàn)系統(tǒng)入侵行為并進(jìn)行取證。

Linux系統(tǒng)主要日志有：message、secure、cron、mail、auth、kern、ftp、wtmp等系統(tǒng)日志。secure日志可以通過(guò)查看Accept關(guān)鍵字進(jìn)行取證；last命令可以查看wtmp日志中的登錄信息，從中發(fā)現(xiàn)攻擊者的登錄IP，如圖6所示；history命令可以查看在Linux系統(tǒng)中攻擊者執(zhí)行了哪些命令，確定攻擊者的意圖，如圖7 所示。

圖6 last命令查看登錄IP結(jié)果

圖7 history查看執(zhí)行命令結(jié)果

通過(guò)分析我們發(fā)現(xiàn)，圖6通過(guò)last命令可以發(fā)現(xiàn)攻擊者使用192.170.129.40這個(gè)IP地址頻繁登錄系統(tǒng)。圖7顯示攻擊者登錄后進(jìn)行了一系列操作，如遠(yuǎn)程下載、修改登錄密碼、安裝軟件等，由此可以進(jìn)行取證分析。

2 結(jié)語(yǔ)

作為電子數(shù)據(jù)取證技術(shù)的一個(gè)重要分支，網(wǎng)絡(luò)入侵取證技術(shù)已經(jīng)成為一個(gè)熱點(diǎn)。本文探討了網(wǎng)絡(luò)入侵取證的部分方法，對(duì)于基于Linux系統(tǒng)的網(wǎng)站日志和Linux系統(tǒng)自身日志的取證實(shí)現(xiàn)方法進(jìn)行了實(shí)踐。目前，網(wǎng)絡(luò)取證技術(shù)還沒(méi)有統(tǒng)一、比較完備的網(wǎng)絡(luò)取證流程，這造成了沒(méi)有統(tǒng)一的取證工具以及缺乏相應(yīng)的評(píng)價(jià)指標(biāo)等現(xiàn)狀。但是我們相信，網(wǎng)絡(luò)取證將來(lái)會(huì)得到越來(lái)越多的重視，并將成為應(yīng)對(duì)網(wǎng)絡(luò)犯罪的重要手段。