引言

    電子證據(jù)是計(jì)算機(jī)取證技術(shù)的核心，計(jì)算機(jī)取證的過程主要就是圍繞電子證據(jù)的保護(hù)、獲取、傳輸和存儲工作開展的。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是：可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的，即可為法庭所接受的。另外，根據(jù)計(jì)算機(jī)犯罪年度報(bào)告顯示，病毒和內(nèi)部職員成為計(jì)算機(jī)安全的最大威脅。并且內(nèi)部職員的威脅正在持續(xù)擴(kuò)大，其危害程度也在不斷加強(qiáng)。內(nèi)部職員是內(nèi)部網(wǎng)絡(luò)的合法使用者，不同的內(nèi)部職員擁有不同的權(quán)限，很難管理，防火墻對內(nèi)部職員沒有作用，入侵檢測也經(jīng)常發(fā)現(xiàn)不了問題。有些計(jì)算機(jī)犯罪活動并不需要很高的權(quán)限。

    鑒于事后取證的缺陷以及內(nèi)部職員的安全威脅，在可能發(fā)生網(wǎng)絡(luò)安全事故或者需要高安全保護(hù)的環(huán)境進(jìn)行監(jiān)控將是十分必要的。動態(tài)取證是計(jì)算機(jī)取證技術(shù)的一個(gè)發(fā)展趨勢。在這一背景下，本文設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)動態(tài)取證系統(tǒng)，該系統(tǒng)的基本思路是：確定可能發(fā)生網(wǎng)絡(luò)安全事故或者需要高安全保護(hù)的環(huán)境(主機(jī)或網(wǎng)絡(luò))；為計(jì)算機(jī)現(xiàn)場環(huán)境建模，即為現(xiàn)場活動的主體(用戶、操作系統(tǒng)、設(shè)備)設(shè)置監(jiān)控Agent，進(jìn)行實(shí)時(shí)監(jiān)控，最大限度獲取真實(shí)地、完整地?cái)?shù)據(jù)，并建立系統(tǒng)事件日志數(shù)據(jù)庫，把現(xiàn)場獲取的數(shù)據(jù)發(fā)送到遠(yuǎn)程安全數(shù)據(jù)服務(wù)器加以妥善保存。在計(jì)算機(jī)犯罪案件發(fā)生后，取證調(diào)查人員可以通過記錄在數(shù)據(jù)庫中系統(tǒng)事件數(shù)據(jù)對犯罪現(xiàn)場模擬重現(xiàn)，進(jìn)行取證分析工作，提交分析結(jié)果，保證計(jì)算機(jī)犯罪案件訴訟過程順利進(jìn)行。

1 系統(tǒng)的設(shè)計(jì)目標(biāo)與功能分析

    系統(tǒng)的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)取證系統(tǒng)，該系統(tǒng)能夠自動、動態(tài)收集網(wǎng)絡(luò)和主機(jī)的證據(jù)，并對能夠證據(jù)進(jìn)行保護(hù)、存儲、分析。具體來講，系統(tǒng)的目標(biāo)包括：動態(tài)監(jiān)控主機(jī)活動，獲取事件數(shù)據(jù)并加以保護(hù)，存儲到遠(yuǎn)程服務(wù)器；動態(tài)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，保存網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)；提供一個(gè)管理平臺來配置和管理系統(tǒng)的取證和監(jiān)控過程提供一個(gè)分析平臺來輔助分析獲取的證據(jù)，提供分析報(bào)告。

    出系統(tǒng)的設(shè)計(jì)目標(biāo)可以直接導(dǎo)出系統(tǒng)主要功能包括四個(gè)方面，即主機(jī)取證，網(wǎng)絡(luò)取證，取證中心管理，取證分析。鑒于這四個(gè)方面在功能上相對獨(dú)立而在網(wǎng)絡(luò)物理環(huán)境下處在不同的位置，因此每一個(gè)方面可以設(shè)計(jì)成一個(gè)獨(dú)立的子系統(tǒng)。各個(gè)子系統(tǒng)具體功能說明如下：

    1．1主機(jī)取證子系統(tǒng)

    主機(jī)取證子系統(tǒng)主要功能：實(shí)時(shí)監(jiān)控被取證主機(jī)的行為，記錄用戶、系統(tǒng)，應(yīng)用程序的重要狀態(tài)和行為。系統(tǒng)啟動時(shí)，具有向取證管理子系統(tǒng)登記注冊的職責(zé)。在運(yùn)行過程中接受取證管理予系統(tǒng)的控制，包括鎖定，重啟，關(guān)閉，更新等操作。

    目前系統(tǒng)已經(jīng)確定的事件監(jiān)控類別有如下十二種：1)監(jiān)控CPU和Memory的使用狀態(tài)；2)監(jiān)控操作系統(tǒng)R志文件，包括系統(tǒng)日志、安全審計(jì)日志、應(yīng)用程序日志；3)監(jiān)控系統(tǒng)的注冊表使用情況，包括注冊表的創(chuàng)建、打開、修改，刪除操作，可以根據(jù)需要進(jìn)行過濾；4)監(jiān)控文件系統(tǒng)的詳細(xì)使用情況，包括文件及目錄的創(chuàng)建、打開、修改、刪除操作，也包括文件及目錄屬性的修改；5)監(jiān)控文件系統(tǒng)的一般使用情況，包括文件創(chuàng)建，修改，刪除，但不能確定是哪個(gè)進(jìn)程操作該文件；6)監(jiān)控系統(tǒng)的端口使用情況，包括TCP和uDP端口；7)監(jiān)控系統(tǒng)進(jìn)程的創(chuàng)建與銷毀；8)監(jiān)控用戶的鍵盤使用記錄：9)監(jiān)控用戶的登陸和退出時(shí)問；10)監(jiān)控用戶的打開和關(guān)閉的窗口；11)監(jiān)控用戶的命令記錄；12)監(jiān)控用戶的www訪問同志。

    1．2網(wǎng)絡(luò)取證子系統(tǒng)

    網(wǎng)絡(luò)取證子系統(tǒng)的主要功能：完整地、真實(shí)記錄網(wǎng)絡(luò)中數(shù)據(jù)包，對每個(gè)數(shù)據(jù)包按協(xié)議棧進(jìn)行解析，目前系統(tǒng)能夠?qū)�Ethernet，IP，ARP，RARP，ICMP，IGMP，TCP，UDP以及部分應(yīng)用層協(xié)議的解析。能夠按定義過濾規(guī)則，實(shí)現(xiàn)對數(shù)據(jù)包的底層過取證管理子系統(tǒng)的控制，包括鎖定，重啟，關(guān)閉，更新等操作。

    1．3取證管理子系統(tǒng)

    取證管理子系統(tǒng)主要配置系統(tǒng)信息，管理和控制其他子系統(tǒng)來完成取證任務(wù)。具體包括如下功能：1)管理取證Agent及系統(tǒng)監(jiān)控事件列表，包括加入，刪除豁控操作；2)管理系統(tǒng)管理員的添加，修改，刪除操作；3)管理被取證主機(jī)的添加，修改，刪除操作；4)實(shí)施對被取證主機(jī)的更新，關(guān)閉，重啟，鎖定操作，包括對被取證主機(jī)上取證Agent的信息更新；5)與網(wǎng)絡(luò)取證Agent的配合，對過濾規(guī)則列表的添加，刪除，修改管理；6)查詢管理員登陸，主機(jī)登陸，系統(tǒng)目志記錄；7)管理取證分析員的添加、修改和刪除操作。

    1．4取證分析子系統(tǒng)

    取證分析子系統(tǒng)在獲取證據(jù)后，對證掘進(jìn)行分析，最終提交分析結(jié)果。它的主要功能有：

    1)提供豐富的查詢和過濾功能，基于內(nèi)容，關(guān)鍵字，過濾規(guī)則等；2)提供現(xiàn)場重現(xiàn)功能，能夠?qū)�網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行動態(tài)現(xiàn)場重現(xiàn)和對主機(jī)數(shù)據(jù)進(jìn)行靜態(tài)模擬；3)提供統(tǒng)計(jì)分析功能；4)提供數(shù)據(jù)挖掘功能，支持關(guān)聯(lián)分析和序列分析；5)能夠自動進(jìn)行周期性審計(jì)，檢測可疑數(shù)據(jù)，提供報(bào)告。

2 面向Agent的系統(tǒng)分析與設(shè)計(jì)

    2．1系統(tǒng)環(huán)境分析

    本文系統(tǒng)的核心工作就是要實(shí)旎對計(jì)算機(jī)犯罪現(xiàn)場的連續(xù)監(jiān)控，從現(xiàn)場獲取有用數(shù)據(jù)，并安全存儲到遠(yuǎn)程服務(wù)器。計(jì)算機(jī)現(xiàn)場環(huán)境可以描述為多個(gè)對象及其相互之間的交互行為。如下圖3．1所示，原始的計(jì)算機(jī)現(xiàn)場環(huán)境模型可以描述為用戶、操作系統(tǒng)、系統(tǒng)設(shè)備和應(yīng)用程序等多個(gè)對象之間的交互場景。在計(jì)算機(jī)犯罪現(xiàn)場，用戶通過操作系統(tǒng)來使用計(jì)算機(jī)資源，比如操作設(shè)備，運(yùn)行特定的應(yīng)用程序，與外界進(jìn)行通訊和資源共享。用戶在使用操作系統(tǒng)時(shí)，會以各種方式計(jì)算機(jī)發(fā)出請求處理的動作。操作系統(tǒng)在運(yùn)行的過程，會做出響應(yīng)用戶、設(shè)備、應(yīng)用請求的動作，同時(shí)為了保證系統(tǒng)的正常運(yùn)行，操作系統(tǒng)本身也會做出一些例行工作。應(yīng)用程序?yàn)榱隧憫?yīng)用戶或者操作系統(tǒng)的控制、請求，也會執(zhí)行一些動作。這些動作的發(fā)生，采用事件來表示。一個(gè)對象的活動日志記錄，就是由事件發(fā)生的時(shí)間、地點(diǎn)和內(nèi)容來表示。通過記錄這些對象的事件來達(dá)到實(shí)現(xiàn)對計(jì)算機(jī)現(xiàn)場環(huán)境進(jìn)行監(jiān)控取證的目的。

    Agent技術(shù)的一個(gè)重要應(yīng)用場合就是用于在分布式網(wǎng)絡(luò)環(huán)境下的信息收集和信息監(jiān)控。本文的系統(tǒng)正是實(shí)現(xiàn)在分布式網(wǎng)絡(luò)環(huán)境下的信息監(jiān)控與收集，并且用Agent來分析和設(shè)計(jì)系統(tǒng)，能夠使問題得到簡化，因?yàn)檫@種方式的建模比面向?qū)ο蟮姆治龊驮O(shè)計(jì)更直接的反映現(xiàn)實(shí)世界的實(shí)體及其它們的關(guān)系，它不但抽象出實(shí)體的特性、動作，還有感覺、心智、承諾等。這樣從現(xiàn)實(shí)出發(fā)，更加容易將系統(tǒng)分解成以Agent為單位的靈活、強(qiáng)交互的系統(tǒng)。通過為計(jì)算機(jī)現(xiàn)場環(huán)境中的每類對象設(shè)置取證Agent來實(shí)現(xiàn)計(jì)算機(jī)犯罪環(huán)境的動態(tài)獲取。

    2．2基于Gaia方法的面向Agent系統(tǒng)分析

    從對系統(tǒng)環(huán)境的分析，采用Agent來構(gòu)建系統(tǒng)能夠更真實(shí)的反映系統(tǒng)環(huán)境，系統(tǒng)的構(gòu)架也更清晰。Gaia K．Kinney等人于2000年提出的基于Agent的系統(tǒng)分析與設(shè)計(jì)方法。該方法提供了一條系統(tǒng)化的道路讓用戶能夠從需求開始分析，最終得出足夠具體的設(shè)計(jì)方案。因此本文選擇Gaia方法來進(jìn)行系統(tǒng)分析，其步驟如下：

    1)識別系統(tǒng)中的角色，輸出原始的角色模型。通過系統(tǒng)的需求分析，可以發(fā)現(xiàn)如下角色：主機(jī)取證協(xié)調(diào)者，系統(tǒng)Et志文件監(jiān)控器，注冊表監(jiān)控器，系統(tǒng)狀態(tài)監(jiān)控器，系統(tǒng)端口監(jiān)控器，系統(tǒng)進(jìn)程監(jiān)控器，用戶鍵盤監(jiān)控器，用戶登錄監(jiān)控器，用戶窗口監(jiān)控器，文件系統(tǒng)監(jiān)控器，用戶網(wǎng)頁瀏覽監(jiān)控器，用戶命令監(jiān)控器，應(yīng)用程序監(jiān)控器，數(shù)據(jù)收集器，數(shù)據(jù)發(fā)送者，網(wǎng)絡(luò)取證協(xié)調(diào)者，數(shù)據(jù)包捕獲器，協(xié)議分析和過濾器，數(shù)據(jù)包存儲者，中心管理者，中心管理界面，取證分析者，取證分析界面。

    2)識別角色之間的協(xié)議(角色之間的交互)，輸出交互模型。協(xié)議定義角色之間交互的方法，協(xié)議的定義如下六個(gè)屬性：(1)目的，關(guān)于交互的本質(zhì)的簡單概括：(2)交互發(fā)起者，發(fā)起交互的角色；(3)交互響應(yīng)者，發(fā)起者的交互角色；(4)輸入：(5)輸出；(6)處理：簡單描述發(fā)起者在本次交互過程中的執(zhí)行動作。

    由于系統(tǒng)角色之間的協(xié)議較多，在這里僅以主機(jī)取證協(xié)調(diào)者與中心管理者的交互為例。由主機(jī)取證協(xié)調(diào)者向中心管理者發(fā)出注冊確認(rèn)，登陸，退出等請求。

    3)以交互模型為基礎(chǔ)，細(xì)化角色模型的內(nèi)容。

    在角色模型中，每個(gè)角色的內(nèi)容包括角色名，描述，協(xié)議和活動，允許，責(zé)任這個(gè)五個(gè)方面。描述是對角色職能的簡單說明。協(xié)議表示與系統(tǒng)中其他角色的交互，活動是與角色相關(guān)的計(jì)算。允許表示角色擁有的權(quán)利。責(zé)任表明角色的功能，它包括生存屬性和安全屬性。生存特性描述了在給定的環(huán)境條件下，角色必須實(shí)現(xiàn)的事件的狀態(tài)。安全特性表明可接收的事件狀態(tài)在執(zhí)行過程中保持不變。

    4)重復(fù)迭代(1)，(2)，(3)，最終完成系統(tǒng)的分析工作。

3 系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)

    本文使用Agent來分析和設(shè)計(jì)系統(tǒng)，但最終依然采用面向?qū)ο蟮某绦蛟O(shè)計(jì)語言來實(shí)現(xiàn)系統(tǒng)。事實(shí)上面向Agent的分析和設(shè)計(jì)方法主要是針對系統(tǒng)的接口層以及業(yè)務(wù)邏輯層。由于系統(tǒng)本身的復(fù)雜性，又要保證系統(tǒng)具有一定的擴(kuò)展能力，因此系統(tǒng)的體系結(jié)構(gòu)仍然需要精心的設(shè)計(jì)。系統(tǒng)的結(jié)構(gòu)分為兩個(gè)層次。

    第一個(gè)層次是采用分而治之的策略，把復(fù)雜問題分解幾個(gè)次復(fù)雜的問題。系統(tǒng)按各自的功能劃分為四個(gè)子系統(tǒng)，分別為：主機(jī)取證子系統(tǒng)，網(wǎng)絡(luò)取證子系統(tǒng)，取證管理子系統(tǒng)，取證分析子系統(tǒng)。

    第二個(gè)層次是各個(gè)子系統(tǒng)各系統(tǒng)采用多層體系架構(gòu)，分為表示層、領(lǐng)域?qū)�、服�?wù)層、存儲層四個(gè)層次。各個(gè)層次用包來組織，保證系統(tǒng)的高度模塊化，結(jié)構(gòu)清晰。以主機(jī)取證子系統(tǒng)的高層體系結(jié)構(gòu)圖為例。其中表示層定義系統(tǒng)的輸入輸出接口，用于接收和顯示外部系統(tǒng)的信息，包括外部系統(tǒng)消息、用戶輸入、系統(tǒng)輸出等，領(lǐng)域?qū)佣�義了系統(tǒng)的主要功能和任務(wù)，主機(jī)取證子系統(tǒng)的領(lǐng)域?qū)影�含一組Agem，通過Agent的合作來完成證據(jù)獲取和存儲任務(wù)。服務(wù)層提供了系統(tǒng)安全、網(wǎng)絡(luò)通訊、數(shù)據(jù)庫訪問等基礎(chǔ)服務(wù)。存儲層負(fù)責(zé)系統(tǒng)數(shù)據(jù)的持久化存儲功能。

4 系統(tǒng)的安全性設(shè)計(jì)

    4．1傳輸安全性

    系統(tǒng)在被監(jiān)控主機(jī)收集到證據(jù)后，必須向遠(yuǎn)程安全數(shù)據(jù)服務(wù)器發(fā)送證據(jù)，證據(jù)在傳輸?shù)倪^程中必須確保的完整性，同時(shí)系統(tǒng)的關(guān)鍵數(shù)據(jù)也必須經(jīng)過加密后才能傳輸。而傳統(tǒng)TCP／IP協(xié)議并能保證一點(diǎn)，TCP／IP協(xié)議在一開始設(shè)計(jì)時(shí)就沒有考慮安全問題，在通訊過程，數(shù)據(jù)報(bào)的字段時(shí)可以被偽造和修改。因此，必須引入加密協(xié)議來支持系統(tǒng)安全通訊的需求。

    SQL Server2000支持SSL加密傳輸�？梢酝ㄟ^同時(shí)配置服務(wù)器網(wǎng)絡(luò)實(shí)用工具和客戶端網(wǎng)絡(luò)實(shí)用工具啟用加密協(xié)議傳輸選項(xiàng)來達(dá)到保護(hù)證據(jù)傳輸安全的目的。當(dāng)然，SQL server 2000必須獲得公共證書頒發(fā)機(jī)構(gòu)證書而且相應(yīng)的客戶端應(yīng)用程序也必須有一個(gè)從同一證書頒發(fā)機(jī)構(gòu)取得的根CA證書。

    4．2網(wǎng)絡(luò)時(shí)間安全性

    要實(shí)現(xiàn)時(shí)間安全性，需要周期性對時(shí)間進(jìn)行同步。時(shí)問同步是指網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)時(shí)鐘以及通過網(wǎng)絡(luò)連接的各個(gè)應(yīng)用界面的時(shí)鐘的時(shí)刻和時(shí)間間隔與協(xié)調(diào)世界時(shí)(UTC)同步，最起碼在全國范圍內(nèi)要和北京時(shí)間同步。時(shí)間同步網(wǎng)絡(luò)是保證時(shí)問同步的基礎(chǔ)，構(gòu)成時(shí)間同步網(wǎng)絡(luò)可以采取有線方式，也可以采取無線方式。本文要實(shí)現(xiàn)局域網(wǎng)網(wǎng)絡(luò)時(shí)間同步屬于有線方式。在局域網(wǎng)中通常采用NTP協(xié)議來實(shí)現(xiàn)局域網(wǎng)內(nèi)時(shí)間同步。NTP協(xié)議是基于客戶機(jī)／服務(wù)器的計(jì)算模式�？蛻魴C(jī)以傳統(tǒng)的c／s方式，周期性地向服務(wù)器請求時(shí)間信息，客戶機(jī)首先向服務(wù)器發(fā)送一個(gè)NTP包，其中包含了該數(shù)據(jù)包離開客戶機(jī)時(shí)的時(shí)間戳T1，當(dāng)服務(wù)器收到該包時(shí)，將填入包到達(dá)時(shí)問的時(shí)間戳T2，然后對本數(shù)據(jù)包進(jìn)行處理，對調(diào)源1P、目標(biāo)P，處理完后填入包離開的時(shí)間戳T3，立即把數(shù)據(jù)包返回給客戶機(jī)�？蛻羰盏椒�務(wù)器來的數(shù)據(jù)包后又填入包到達(dá)客戶機(jī)的時(shí)間戳。由于網(wǎng)絡(luò)時(shí)問同步對于計(jì)算機(jī)取證的重要意義，因此本文在取證管理子系統(tǒng)專門開發(fā)了一個(gè)時(shí)間同步服務(wù)器，在其他被取證主機(jī)開發(fā)了時(shí)問同步客戶端，以支持網(wǎng)絡(luò)時(shí)間同步的需求。

5 結(jié)束語

    在電腦網(wǎng)絡(luò)犯罪手段與網(wǎng)絡(luò)安全防御技術(shù)不斷升級的形勢下，單靠網(wǎng)絡(luò)安全技術(shù)打擊計(jì)算機(jī)犯罪不可能非常有效，因此需要發(fā)揮社會和法律的強(qiáng)大威力來對付網(wǎng)絡(luò)犯罪，計(jì)算機(jī)取證正是在這種形勢下產(chǎn)生和發(fā)展的，它標(biāo)志著網(wǎng)絡(luò)安全防御理論的成熟。本文對于電子證據(jù)的獲取，保存、分析方面進(jìn)行了探討和分析，提出在網(wǎng)絡(luò)環(huán)境中進(jìn)行動態(tài)監(jiān)控和取證的思路，并給出了一個(gè)網(wǎng)絡(luò)耿證系統(tǒng)的設(shè)計(jì)方案，討論并解決了系統(tǒng)設(shè)計(jì)過程中出現(xiàn)的關(guān)鍵技術(shù)問題。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：網(wǎng)絡(luò)取證系統(tǒng)設(shè)計(jì)關(guān)鍵技術(shù)研究

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083953083.html