肖應(yīng)君 劉朝暉
南華大學(xué)計算機科學(xué)與技術(shù)學(xué)院 湖南 421001
網(wǎng)絡(luò)證據(jù)就是網(wǎng)絡(luò)中的電子證據(jù),電子證據(jù)是指在計算機或計算機網(wǎng)絡(luò)工作中的過程中形成的,以數(shù)字技術(shù)為基礎(chǔ)的,能夠反映計算機工作狀態(tài)、網(wǎng)絡(luò)活動以及具體思想內(nèi)容等事實的各類電子數(shù)據(jù)或電子信息,如電磁或光電轉(zhuǎn)換程序、數(shù)據(jù)編碼與數(shù)據(jù)交換方式、命令與編程、被命名為病毒的破壞性程序、文字與圖象處理結(jié)果、數(shù)字音響與影像等等。網(wǎng)絡(luò)取證可描述成這樣一組行為:首先工作人員對網(wǎng)絡(luò)審計線索進行捕獲,然后記錄并分析,從結(jié)果中發(fā)現(xiàn)安全漏洞或其它信息保障問題的根源,因此,可將網(wǎng)絡(luò)過程大致劃分為:證據(jù)獲取、分析和法庭展示三個階段。
網(wǎng)絡(luò)取證技術(shù)要借助一些其它相對成熟的網(wǎng)絡(luò)安全防御技術(shù),如防火墻,入侵檢測技術(shù)、陷阱、網(wǎng)絡(luò)追蹤技術(shù)、計算機動態(tài)取證技術(shù)等,然而一個相對安全的綜合防御系統(tǒng),則需要這些網(wǎng)絡(luò)安全防御技術(shù)綜合應(yīng)用。
網(wǎng)絡(luò)追蹤系統(tǒng)就是借鑒了路由反向追蹤算法的思想。當(dāng)回應(yīng)黑客的訪問請求時,系統(tǒng)對返回的數(shù)據(jù)包進行處理,在數(shù)據(jù)包中添加特殊的標(biāo)記,然后才發(fā)送給黑客。同時通知分布在大大小小各個網(wǎng)絡(luò)中的AGENT,要求它們開始對數(shù)據(jù)進行分析,篩選出帶特殊標(biāo)記的數(shù)據(jù)包,并把詳細(xì)信息發(fā)送給數(shù)據(jù)分析控制臺。接下來由控制臺對發(fā)送過來的數(shù)據(jù)進行分析處理,輸出黑客的真實地址或黑客最后出現(xiàn)的網(wǎng)絡(luò)邊界地址。在網(wǎng)絡(luò)跟蹤系統(tǒng)里的AGENT(跟蹤嗅探器)起的就是和路由器類似的作用。而添加的特征標(biāo)記解決了入侵者習(xí)慣使用的PROXY技術(shù)所帶來的難題,也提高了追蹤的效率。
計算機動態(tài)取證是將取證技術(shù)結(jié)合到防火墻、入侵檢測技術(shù)以及陷阱技術(shù)中,對所有可能的計算機犯罪行為進行實時數(shù)據(jù)獲取和分析,智能分析入侵者的企圖,采取措施切斷鏈接或誘敵深入,在確保系統(tǒng)安全的情況下獲取最大量的證據(jù),并將證據(jù)鑒定、保存、提交的過程。計算機動態(tài)取證改變了以往的僅靠防火墻、入侵檢測、陷阱這些傳統(tǒng)的安全工具進行被動防御的局面。通過對實時獲取的電子證據(jù)進行動態(tài)取證,我們能更好地了解犯罪的動機和手段,從而分析得出正確的防范措施,指導(dǎo)相應(yīng)防火墻和入侵檢測系統(tǒng)迅速做出響應(yīng),形成計算機取證與防火墻、入侵檢測的互動。
隨著Internet的迅速發(fā)展,防范病毒和黑客攻擊己成為一個世界性的問題。在傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)中,采用的主要是被動防御技術(shù),比如防火墻技術(shù)和入侵檢測技術(shù)等,而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,逐漸暴露出其缺陷。防火墻在保障網(wǎng)絡(luò)安全方面,對病毒、后門威脅和對于內(nèi)部的黑客攻擊等都無法起到作用。入侵檢測則無法觀測到所有可能的事件,有很高的漏報率和誤報率,提供用于事后分析和調(diào)查的信息不多。被動防御技術(shù)的缺陷是:(1)防御滯后于攻擊;(2)黑客侵入系統(tǒng)后,原有的防護體系無能為力;(3)防外部較好,防內(nèi)部較差;(4)對合法用戶的非法行為無法防護;(5)入侵者得手后可毀滅線索、證據(jù);(6)事后的電子數(shù)據(jù)無說服力。國際信息安全防護技術(shù)已從被動防范走向主動防御。
本文討論克服單個網(wǎng)絡(luò)安全防御技術(shù)產(chǎn)品不足,綜合應(yīng)用防火墻,入侵檢測技術(shù)、陷阱、網(wǎng)絡(luò)追蹤技術(shù)、計算機取證技術(shù),構(gòu)建一個集網(wǎng)絡(luò)取證與防御于一體的系統(tǒng),確保網(wǎng)絡(luò)的安全運行。
網(wǎng)絡(luò)取證及防御系統(tǒng)由防火墻和入侵檢測系統(tǒng)、聯(lián)動系統(tǒng)、陷阱系統(tǒng)、網(wǎng)絡(luò)追蹤系統(tǒng)、取證系統(tǒng)組成。具體結(jié)構(gòu)如圖1所示。
圖1 網(wǎng)絡(luò)取證及防御系統(tǒng)結(jié)構(gòu)圖
防火墻和入侵檢測系統(tǒng)聯(lián)動子系統(tǒng)功能是:在裝有陷阱的網(wǎng)絡(luò)系統(tǒng)中,當(dāng)惡意攻擊出現(xiàn)時,除了可以利用現(xiàn)有的監(jiān)視系統(tǒng)對管理員給予警告提示,我們還可以在防火墻和入侵檢測系統(tǒng)處放置一些具有導(dǎo)向功能的結(jié)構(gòu)將這些可疑的連接引入到陷阱環(huán)境中來。
防火墻維護一個黑名單機制,入侵檢測根據(jù)自身系統(tǒng)的能力發(fā)現(xiàn)新的入侵來源,通過對網(wǎng)絡(luò)陷阱的規(guī)則配置,可以將防火墻的黑名單和入侵檢測系統(tǒng)能夠識別的入侵者引入陷阱網(wǎng)絡(luò)。取證系統(tǒng)對進入陷阱網(wǎng)絡(luò)的入侵者進行實時檢測和取證。取證系統(tǒng)發(fā)現(xiàn)的新入侵者特征及時的反饋給防火墻和入侵檢測系統(tǒng),使其更新規(guī)則配置,以此提高網(wǎng)絡(luò)的安全性能。
一定程度上,入侵檢測系統(tǒng)的能力決定了網(wǎng)絡(luò)陷阱對付外界入侵的能力。利用一些商用的入侵檢測和防火墻的接口協(xié)議實現(xiàn)防火墻和入侵檢測系統(tǒng)的互動,提高系統(tǒng)通用性和兼容性。
網(wǎng)絡(luò)攻擊者通過防火墻和入侵檢測系統(tǒng)的引導(dǎo)進入陷阱系統(tǒng)。陷阱網(wǎng)絡(luò)及誘騙技術(shù)中的偽裝其實就是誘騙,即建造一些表面看上去易受攻擊的系統(tǒng),但實際上卻不能訪問有用數(shù)據(jù)、管理控制或其他計算機。通過偽裝之后,陷阱系統(tǒng)好像很容易受到攻擊,實際上根本沒有任何合法用戶或通信,這樣能夠讓一個失敗的入侵者暴露無遺,而且易于進行監(jiān)視。為了吸引黑客,網(wǎng)絡(luò)安全專家通常在誘捕系統(tǒng)上故意留下一些安全后門來吸引黑客上鉤,或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息,當(dāng)然這些信息都是虛假信息。這樣,當(dāng)黑客正為攻入目標(biāo)系統(tǒng)而沾沾自喜的時候,他在目標(biāo)系統(tǒng)中的所有行為,包括輸入的字符、執(zhí)行的操作都已經(jīng)為誘捕系統(tǒng)所記錄。把所所記錄的數(shù)據(jù)傳送給取證系統(tǒng),由取證機進行犯罪證據(jù)的分析與固定。網(wǎng)絡(luò)追蹤系統(tǒng)根據(jù)黑客在攻擊陷阱系統(tǒng)時留下的痕跡,追蹤其來源,記錄其犯罪證據(jù)。從而有效地防范黑客入侵,打擊計算機犯罪。
一個基本的計算機取證模型主要包括三部分:取證機、分析機和信息證據(jù)庫。取證機主要負(fù)責(zé)電子證據(jù)的搜集工作,捕獲網(wǎng)絡(luò)數(shù)據(jù)包和獲取目標(biāo)主機(各個服務(wù)器和工作站)的日志等電子證據(jù);分析機則是對電子證據(jù)進行數(shù)據(jù)分析的工作;信息證據(jù)庫負(fù)責(zé)原始數(shù)據(jù)的保存,還有根據(jù)分析的結(jié)果建立犯罪證據(jù)庫和犯罪知識庫。
取證機設(shè)有雙網(wǎng)卡,一個外部網(wǎng)卡與被取證的陷阱網(wǎng)絡(luò)相連接,用于獲取電子證據(jù);另一專用網(wǎng)卡則與取證系統(tǒng)內(nèi)部的分析機和信息證據(jù)庫相連接。取證機實時地對網(wǎng)絡(luò)和目標(biāo)主機進行監(jiān)控,獲取了原始數(shù)據(jù)之后,就通過安全傳輸?shù)姆绞桨l(fā)送到信息證據(jù)庫,同時產(chǎn)生一份原始數(shù)據(jù)的拷貝傳輸?shù)椒治鰴C上。取證機是取證系統(tǒng)中惟一與外部相連的部分,必須確保安全,只有經(jīng)過認(rèn)證和授權(quán)才能發(fā)送或接收數(shù)據(jù)。信息證據(jù)庫則對原始的數(shù)據(jù)采用數(shù)字簽名、加密、完整性保護、加時間戳等方式進行保存,保證了數(shù)據(jù)的安全性和準(zhǔn)確性。分析機對備份的數(shù)據(jù)進行分析,之所以不對原始數(shù)據(jù)進行直接分析是為了防止原始數(shù)據(jù)受到破壞。分析機經(jīng)過分析之后,把犯罪的證據(jù)傳輸?shù)叫畔⒆C據(jù)庫保存起來,如果發(fā)現(xiàn)新的攻擊手段,還要對規(guī)則庫進行擴充。
取證機對防火墻、入侵檢測技術(shù)以及陷阱技術(shù)中,所有可能的計算機犯罪行為進行實時數(shù)據(jù)獲取和分析,智能分析入侵者的企圖,采取措施切斷鏈接或誘敵深入,在確保系統(tǒng)安全的情況下獲取最大量的證據(jù),并將證據(jù)鑒定、保存、提交的過程。取證機系統(tǒng)將獲取的犯罪數(shù)據(jù)進行分析,如果是新的攻擊手段,把信息反饋給防火墻和入侵檢測系統(tǒng),使防火墻和入侵檢測系統(tǒng)更新其規(guī)則配置。信息證據(jù)庫的信息及時反饋給陷阱系統(tǒng),陷阱系統(tǒng)及時的做修補。使其更具有迷惑性。
網(wǎng)絡(luò)追蹤系統(tǒng)根據(jù)黑客在攻擊陷阱系統(tǒng)時留下的痕跡,對其所攻擊的數(shù)據(jù)包進行分析,尋找其IP包頭中的源地址,根據(jù)源地址,利用網(wǎng)絡(luò)追蹤系統(tǒng)尋找出攻擊者的準(zhǔn)確位置。將犯罪分子繩之以法。
網(wǎng)絡(luò)跟蹤通過整個網(wǎng)絡(luò)中的所有主機相互配合,收集分析網(wǎng)絡(luò)中的每臺主機的有關(guān)信息,將入侵者的活動軌跡展現(xiàn)出來。要實現(xiàn)這樣的操作,就需要網(wǎng)絡(luò)中的所有主機都是安全可信的,即網(wǎng)絡(luò)中的主機沒有被入侵者攻擊破壞,收集到的數(shù)據(jù)是可信的,而且在傳輸這些數(shù)據(jù)時也沒有被破壞或修改,在此基礎(chǔ)上對這些收集到的數(shù)據(jù)進行處理,包括對數(shù)據(jù)進行過濾和篩選,將入侵者在整個網(wǎng)絡(luò)中的活動軌跡連接起來,實現(xiàn)網(wǎng)絡(luò)入侵的跟蹤。隨著網(wǎng)絡(luò)帶寬的逐漸增加,網(wǎng)絡(luò)入侵者在互聯(lián)網(wǎng)中控制大量代理攻擊服務(wù)器,可以快速發(fā)動大規(guī)模的攻擊,在這樣的環(huán)境下進行網(wǎng)絡(luò)跟蹤,則需要網(wǎng)絡(luò)跟蹤技術(shù)能夠快速、準(zhǔn)確的反應(yīng),并盡量減少占用系統(tǒng)的有效資。
防火墻像一個防盜門防止非法者進入,入侵檢測就是一個防盜報警裝置,一旦有攻擊行為就自動報警,而取證系統(tǒng)就是被保護現(xiàn)場的監(jiān)控器、攝像頭、錄音器,能把犯罪行為如實地一記錄下來。追蹤系統(tǒng)就是犯罪行為人的追逃者,這樣不僅能夠防范外部的入侵,也能防止從內(nèi)部進行的破壞,構(gòu)成一個立體的安全體系。
[1] 陳浩然.據(jù)學(xué)原理.東理工大學(xué)出版社.2002.
[2] LIU Zai-Qiang+, LIN Dong-Dai, FENG Deng-Guo.Fuzzy Decision Tree Based InferenceTechniques for Network Forensic Analysis[J]. 軟件學(xué)報.2007.
[3] 張楚,張樊.網(wǎng)絡(luò)取證中的若干問題研究[J].證據(jù)科學(xué).2007.
[4] L.Spitzner, "Thehoneynetproject," http://www.honeynet.org, (Last visited: May 26.
[5] A. Yasinsac and Y. Manzano, "Honeytraps, a network forensic tool,"in SixthMulti-Conference on Systemics, Cybernetics and Informatics.2010.
[6] 劉東輝.計算機動態(tài)取證技術(shù)的研究.計算機系統(tǒng)應(yīng)用.2005.
[7] 范海紹,侵檢測與預(yù)警控制的捷徑一設(shè)置陷阱Tsinghua TongfangOPtiealDiseCoLtd.Allrightsreserved.1995.
[8] 張有東.網(wǎng)絡(luò)取證技術(shù)研究[D].(學(xué)位論文).京航天航空大學(xué)信息科學(xué)與技術(shù)學(xué)院.2007.
[9] 殷聯(lián)甫.計算機取證技術(shù)[M],科學(xué)出版社.2008.
[10] 高獻(xiàn)偉,鄭捷文,楊澤明,許榕生.智能網(wǎng)絡(luò)取證系統(tǒng)[J].計算機仿真.2006.
[11] 向建國,夏長城.網(wǎng)絡(luò)入侵取證系統(tǒng)(1)[J].湖南學(xué)院學(xué)報.2004.