基于主動網(wǎng)絡(luò)取證及防御系統(tǒng)的研究

肖應(yīng)君 劉朝暉

南華大學(xué)計算機科學(xué)與技術(shù)學(xué)院 湖南 421001

0 引言

網(wǎng)絡(luò)證據(jù)就是網(wǎng)絡(luò)中的電子證據(jù)，電子證據(jù)是指在計算機或計算機網(wǎng)絡(luò)工作中的過程中形成的，以數(shù)字技術(shù)為基礎(chǔ)的，能夠反映計算機工作狀態(tài)、網(wǎng)絡(luò)活動以及具體思想內(nèi)容等事實的各類電子數(shù)據(jù)或電子信息，如電磁或光電轉(zhuǎn)換程序、數(shù)據(jù)編碼與數(shù)據(jù)交換方式、命令與編程、被命名為病毒的破壞性程序、文字與圖象處理結(jié)果、數(shù)字音響與影像等等。網(wǎng)絡(luò)取證可描述成這樣一組行為：首先工作人員對網(wǎng)絡(luò)審計線索進行捕獲，然后記錄并分析，從結(jié)果中發(fā)現(xiàn)安全漏洞或其它信息保障問題的根源，因此，可將網(wǎng)絡(luò)過程大致劃分為：證據(jù)獲取、分析和法庭展示三個階段。

1 網(wǎng)絡(luò)取證

網(wǎng)絡(luò)取證技術(shù)要借助一些其它相對成熟的網(wǎng)絡(luò)安全防御技術(shù)，如防火墻，入侵檢測技術(shù)、陷阱、網(wǎng)絡(luò)追蹤技術(shù)、計算機動態(tài)取證技術(shù)等，然而一個相對安全的綜合防御系統(tǒng)，則需要這些網(wǎng)絡(luò)安全防御技術(shù)綜合應(yīng)用。

網(wǎng)絡(luò)追蹤系統(tǒng)就是借鑒了路由反向追蹤算法的思想。當(dāng)回應(yīng)黑客的訪問請求時，系統(tǒng)對返回的數(shù)據(jù)包進行處理，在數(shù)據(jù)包中添加特殊的標(biāo)記，然后才發(fā)送給黑客。同時通知分布在大大小小各個網(wǎng)絡(luò)中的AGENT，要求它們開始對數(shù)據(jù)進行分析，篩選出帶特殊標(biāo)記的數(shù)據(jù)包，并把詳細(xì)信息發(fā)送給數(shù)據(jù)分析控制臺。接下來由控制臺對發(fā)送過來的數(shù)據(jù)進行分析處理，輸出黑客的真實地址或黑客最后出現(xiàn)的網(wǎng)絡(luò)邊界地址。在網(wǎng)絡(luò)跟蹤系統(tǒng)里的AGENT(跟蹤嗅探器)起的就是和路由器類似的作用。而添加的特征標(biāo)記解決了入侵者習(xí)慣使用的PROXY技術(shù)所帶來的難題，也提高了追蹤的效率。

計算機動態(tài)取證是將取證技術(shù)結(jié)合到防火墻、入侵檢測技術(shù)以及陷阱技術(shù)中，對所有可能的計算機犯罪行為進行實時數(shù)據(jù)獲取和分析，智能分析入侵者的企圖，采取措施切斷鏈接或誘敵深入，在確保系統(tǒng)安全的情況下獲取最大量的證據(jù)，并將證據(jù)鑒定、保存、提交的過程。計算機動態(tài)取證改變了以往的僅靠防火墻、入侵檢測、陷阱這些傳統(tǒng)的安全工具進行被動防御的局面。通過對實時獲取的電子證據(jù)進行動態(tài)取證，我們能更好地了解犯罪的動機和手段，從而分析得出正確的防范措施，指導(dǎo)相應(yīng)防火墻和入侵檢測系統(tǒng)迅速做出響應(yīng)，形成計算機取證與防火墻、入侵檢測的互動。

2 取證及防御系統(tǒng)設(shè)計

隨著Internet的迅速發(fā)展，防范病毒和黑客攻擊己成為一個世界性的問題。在傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)中，采用的主要是被動防御技術(shù)，比如防火墻技術(shù)和入侵檢測技術(shù)等，而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，逐漸暴露出其缺陷。防火墻在保障網(wǎng)絡(luò)安全方面，對病毒、后門威脅和對于內(nèi)部的黑客攻擊等都無法起到作用。入侵檢測則無法觀測到所有可能的事件，有很高的漏報率和誤報率，提供用于事后分析和調(diào)查的信息不多。被動防御技術(shù)的缺陷是：(1)防御滯后于攻擊；(2)黑客侵入系統(tǒng)后，原有的防護體系無能為力；(3)防外部較好，防內(nèi)部較差；(4)對合法用戶的非法行為無法防護；(5)入侵者得手后可毀滅線索、證據(jù)；(6)事后的電子數(shù)據(jù)無說服力。國際信息安全防護技術(shù)已從被動防范走向主動防御。

本文討論克服單個網(wǎng)絡(luò)安全防御技術(shù)產(chǎn)品不足，綜合應(yīng)用防火墻，入侵檢測技術(shù)、陷阱、網(wǎng)絡(luò)追蹤技術(shù)、計算機取證技術(shù)，構(gòu)建一個集網(wǎng)絡(luò)取證與防御于一體的系統(tǒng)，確保網(wǎng)絡(luò)的安全運行。

2.1 網(wǎng)絡(luò)取證及防御系統(tǒng)的基本架構(gòu)

網(wǎng)絡(luò)取證及防御系統(tǒng)由防火墻和入侵檢測系統(tǒng)、聯(lián)動系統(tǒng)、陷阱系統(tǒng)、網(wǎng)絡(luò)追蹤系統(tǒng)、取證系統(tǒng)組成。具體結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)取證及防御系統(tǒng)結(jié)構(gòu)圖

2.2 防火墻和入侵檢測系統(tǒng)聯(lián)動子系統(tǒng)

防火墻和入侵檢測系統(tǒng)聯(lián)動子系統(tǒng)功能是：在裝有陷阱的網(wǎng)絡(luò)系統(tǒng)中，當(dāng)惡意攻擊出現(xiàn)時，除了可以利用現(xiàn)有的監(jiān)視系統(tǒng)對管理員給予警告提示，我們還可以在防火墻和入侵檢測系統(tǒng)處放置一些具有導(dǎo)向功能的結(jié)構(gòu)將這些可疑的連接引入到陷阱環(huán)境中來。

防火墻維護一個黑名單機制，入侵檢測根據(jù)自身系統(tǒng)的能力發(fā)現(xiàn)新的入侵來源，通過對網(wǎng)絡(luò)陷阱的規(guī)則配置，可以將防火墻的黑名單和入侵檢測系統(tǒng)能夠識別的入侵者引入陷阱網(wǎng)絡(luò)。取證系統(tǒng)對進入陷阱網(wǎng)絡(luò)的入侵者進行實時檢測和取證。取證系統(tǒng)發(fā)現(xiàn)的新入侵者特征及時的反饋給防火墻和入侵檢測系統(tǒng)，使其更新規(guī)則配置，以此提高網(wǎng)絡(luò)的安全性能。

一定程度上，入侵檢測系統(tǒng)的能力決定了網(wǎng)絡(luò)陷阱對付外界入侵的能力。利用一些商用的入侵檢測和防火墻的接口協(xié)議實現(xiàn)防火墻和入侵檢測系統(tǒng)的互動，提高系統(tǒng)通用性和兼容性。

2.3 陷阱系統(tǒng)

網(wǎng)絡(luò)攻擊者通過防火墻和入侵檢測系統(tǒng)的引導(dǎo)進入陷阱系統(tǒng)。陷阱網(wǎng)絡(luò)及誘騙技術(shù)中的偽裝其實就是誘騙，即建造一些表面看上去易受攻擊的系統(tǒng)，但實際上卻不能訪問有用數(shù)據(jù)、管理控制或其他計算機。通過偽裝之后，陷阱系統(tǒng)好像很容易受到攻擊，實際上根本沒有任何合法用戶或通信，這樣能夠讓一個失敗的入侵者暴露無遺，而且易于進行監(jiān)視。為了吸引黑客，網(wǎng)絡(luò)安全專家通常在誘捕系統(tǒng)上故意留下一些安全后門來吸引黑客上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息，當(dāng)然這些信息都是虛假信息。這樣，當(dāng)黑客正為攻入目標(biāo)系統(tǒng)而沾沾自喜的時候，他在目標(biāo)系統(tǒng)中的所有行為，包括輸入的字符、執(zhí)行的操作都已經(jīng)為誘捕系統(tǒng)所記錄。把所所記錄的數(shù)據(jù)傳送給取證系統(tǒng)，由取證機進行犯罪證據(jù)的分析與固定。網(wǎng)絡(luò)追蹤系統(tǒng)根據(jù)黑客在攻擊陷阱系統(tǒng)時留下的痕跡，追蹤其來源，記錄其犯罪證據(jù)。從而有效地防范黑客入侵，打擊計算機犯罪。

2.4 取證系統(tǒng)

一個基本的計算機取證模型主要包括三部分：取證機、分析機和信息證據(jù)庫。取證機主要負(fù)責(zé)電子證據(jù)的搜集工作，捕獲網(wǎng)絡(luò)數(shù)據(jù)包和獲取目標(biāo)主機(各個服務(wù)器和工作站)的日志等電子證據(jù)；分析機則是對電子證據(jù)進行數(shù)據(jù)分析的工作；信息證據(jù)庫負(fù)責(zé)原始數(shù)據(jù)的保存，還有根據(jù)分析的結(jié)果建立犯罪證據(jù)庫和犯罪知識庫。

取證機設(shè)有雙網(wǎng)卡，一個外部網(wǎng)卡與被取證的陷阱網(wǎng)絡(luò)相連接，用于獲取電子證據(jù)；另一專用網(wǎng)卡則與取證系統(tǒng)內(nèi)部的分析機和信息證據(jù)庫相連接。取證機實時地對網(wǎng)絡(luò)和目標(biāo)主機進行監(jiān)控，獲取了原始數(shù)據(jù)之后，就通過安全傳輸?shù)姆绞桨l(fā)送到信息證據(jù)庫，同時產(chǎn)生一份原始數(shù)據(jù)的拷貝傳輸?shù)椒治鰴C上。取證機是取證系統(tǒng)中惟一與外部相連的部分，必須確保安全，只有經(jīng)過認(rèn)證和授權(quán)才能發(fā)送或接收數(shù)據(jù)。信息證據(jù)庫則對原始的數(shù)據(jù)采用數(shù)字簽名、加密、完整性保護、加時間戳等方式進行保存，保證了數(shù)據(jù)的安全性和準(zhǔn)確性。分析機對備份的數(shù)據(jù)進行分析，之所以不對原始數(shù)據(jù)進行直接分析是為了防止原始數(shù)據(jù)受到破壞。分析機經(jīng)過分析之后，把犯罪的證據(jù)傳輸?shù)叫畔⒆C據(jù)庫保存起來，如果發(fā)現(xiàn)新的攻擊手段，還要對規(guī)則庫進行擴充。

取證機對防火墻、入侵檢測技術(shù)以及陷阱技術(shù)中，所有可能的計算機犯罪行為進行實時數(shù)據(jù)獲取和分析，智能分析入侵者的企圖，采取措施切斷鏈接或誘敵深入，在確保系統(tǒng)安全的情況下獲取最大量的證據(jù)，并將證據(jù)鑒定、保存、提交的過程。取證機系統(tǒng)將獲取的犯罪數(shù)據(jù)進行分析，如果是新的攻擊手段，把信息反饋給防火墻和入侵檢測系統(tǒng)，使防火墻和入侵檢測系統(tǒng)更新其規(guī)則配置。信息證據(jù)庫的信息及時反饋給陷阱系統(tǒng)，陷阱系統(tǒng)及時的做修補。使其更具有迷惑性。

2.5 網(wǎng)絡(luò)追蹤系統(tǒng)

網(wǎng)絡(luò)追蹤系統(tǒng)根據(jù)黑客在攻擊陷阱系統(tǒng)時留下的痕跡，對其所攻擊的數(shù)據(jù)包進行分析，尋找其IP包頭中的源地址，根據(jù)源地址，利用網(wǎng)絡(luò)追蹤系統(tǒng)尋找出攻擊者的準(zhǔn)確位置。將犯罪分子繩之以法。

網(wǎng)絡(luò)跟蹤通過整個網(wǎng)絡(luò)中的所有主機相互配合，收集分析網(wǎng)絡(luò)中的每臺主機的有關(guān)信息，將入侵者的活動軌跡展現(xiàn)出來。要實現(xiàn)這樣的操作，就需要網(wǎng)絡(luò)中的所有主機都是安全可信的，即網(wǎng)絡(luò)中的主機沒有被入侵者攻擊破壞，收集到的數(shù)據(jù)是可信的，而且在傳輸這些數(shù)據(jù)時也沒有被破壞或修改，在此基礎(chǔ)上對這些收集到的數(shù)據(jù)進行處理，包括對數(shù)據(jù)進行過濾和篩選，將入侵者在整個網(wǎng)絡(luò)中的活動軌跡連接起來，實現(xiàn)網(wǎng)絡(luò)入侵的跟蹤。隨著網(wǎng)絡(luò)帶寬的逐漸增加，網(wǎng)絡(luò)入侵者在互聯(lián)網(wǎng)中控制大量代理攻擊服務(wù)器，可以快速發(fā)動大規(guī)模的攻擊，在這樣的環(huán)境下進行網(wǎng)絡(luò)跟蹤，則需要網(wǎng)絡(luò)跟蹤技術(shù)能夠快速、準(zhǔn)確的反應(yīng)，并盡量減少占用系統(tǒng)的有效資。

防火墻像一個防盜門防止非法者進入，入侵檢測就是一個防盜報警裝置，一旦有攻擊行為就自動報警，而取證系統(tǒng)就是被保護現(xiàn)場的監(jiān)控器、攝像頭、錄音器，能把犯罪行為如實地一記錄下來。追蹤系統(tǒng)就是犯罪行為人的追逃者，這樣不僅能夠防范外部的入侵，也能防止從內(nèi)部進行的破壞，構(gòu)成一個立體的安全體系。

[1] 陳浩然.據(jù)學(xué)原理.東理工大學(xué)出版社.2002.

[2] LIU Zai-Qiang+, LIN Dong-Dai, FENG Deng-Guo.Fuzzy Decision Tree Based InferenceTechniques for Network Forensic Analysis[J]. 軟件學(xué)報.2007.

[3] 張楚,張樊.網(wǎng)絡(luò)取證中的若干問題研究[J].證據(jù)科學(xué).2007.

[4] L.Spitzner, "Thehoneynetproject," http：//www.honeynet.org, (Last visited： May 26.

[5] A. Yasinsac and Y. Manzano, "Honeytraps, a network forensic tool,"in SixthMulti-Conference on Systemics, Cybernetics and Informatics.2010.

[6] 劉東輝.計算機動態(tài)取證技術(shù)的研究.計算機系統(tǒng)應(yīng)用.2005.

[7] 范海紹,侵檢測與預(yù)警控制的捷徑一設(shè)置陷阱Tsinghua TongfangOPtiealDiseCoLtd.Allrightsreserved.1995.

[8] 張有東.網(wǎng)絡(luò)取證技術(shù)研究[D].(學(xué)位論文).京航天航空大學(xué)信息科學(xué)與技術(shù)學(xué)院.2007.

[9] 殷聯(lián)甫.計算機取證技術(shù)[M],科學(xué)出版社.2008.

[10] 高獻(xiàn)偉,鄭捷文,楊澤明,許榕生.智能網(wǎng)絡(luò)取證系統(tǒng)[J].計算機仿真.2006.

[11] 向建國,夏長城.網(wǎng)絡(luò)入侵取證系統(tǒng)(1)[J].湖南學(xué)院學(xué)報.2004.