網絡取證系統設計關鍵技術研究

引言

    電子證據是計算機取證技術的核心，計算機取證的過程主要就是圍繞電子證據的保護、獲取、傳輸和存儲工作開展的。與傳統證據一樣，電子證據必須是：可信的、準確的、完整的、符合法律法規的，即可為法庭所接受的。另外，根據計算機犯罪年度報告顯示，病毒和內部職員成為計算機安全的最大威脅。并且內部職員的威脅正在持續擴大，其危害程度也在不斷加強。內部職員是內部網絡的合法使用者，不同的內部職員擁有不同的權限，很難管理，防火墻對內部職員沒有作用，入侵檢測也經常發現不了問題。有些計算機犯罪活動并不需要很高的權限。

    鑒于事后取證的缺陷以及內部職員的安全威脅，在可能發生網絡安全事故或者需要高安全保護的環境進行監控將是十分必要的。動態取證是計算機取證技術的一個發展趨勢。在這一背景下，本文設計了一個網絡動態取證系統，該系統的基本思路是：確定可能發生網絡安全事故或者需要高安全保護的環境(主機或網絡)；為計算機現場環境建模，即為現場活動的主體(用戶、操作系統、設備)設置監控Agent，進行實時監控，最大限度獲取真實地、完整地數據，并建立系統事件日志數據庫，把現場獲取的數據發送到遠程安全數據服務器加以妥善保存。在計算機犯罪案件發生后，取證調查人員可以通過記錄在數據庫中系統事件數據對犯罪現場模擬重現，進行取證分析工作，提交分析結果，保證計算機犯罪案件訴訟過程順利進行。

1 系統的設計目標與功能分析

    系統的設計目標是實現一個網絡取證系統，該系統能夠自動、動態收集網絡和主機的證據，并對能夠證據進行保護、存儲、分析。具體來講，系統的目標包括：動態監控主機活動，獲取事件數據并加以保護，存儲到遠程服務器；動態監控網絡數據，保存網絡數據包數據；提供一個管理平臺來配置和管理系統的取證和監控過程提供一個分析平臺來輔助分析獲取的證據，提供分析報告。

    出系統的設計目標可以直接導出系統主要功能包括四個方面，即主機取證，網絡取證，取證中心管理，取證分析。鑒于這四個方面在功能上相對獨立而在網絡物理環境下處在不同的位置，因此每一個方面可以設計成一個獨立的子系統。各個子系統具體功能說明如下：

    1．1主機取證子系統

    主機取證子系統主要功能：實時監控被取證主機的行為，記錄用戶、系統，應用程序的重要狀態和行為。系統啟動時，具有向取證管理子系統登記注冊的職責。在運行過程中接受取證管理予系統的控制，包括鎖定，重啟，關閉，更新等操作。

    目前系統已經確定的事件監控類別有如下十二種：1)監控CPU和Memory的使用狀態；2)監控操作系統R志文件，包括系統日志、安全審計日志、應用程序日志；3)監控系統的注冊表使用情況，包括注冊表的創建、打開、修改，刪除操作，可以根據需要進行過濾；4)監控文件系統的詳細使用情況，包括文件及目錄的創建、打開、修改、刪除操作，也包括文件及目錄屬性的修改；5)監控文件系統的一般使用情況，包括文件創建，修改，刪除，但不能確定是哪個進程操作該文件；6)監控系統的端口使用情況，包括TCP和uDP端口；7)監控系統進程的創建與銷毀；8)監控用戶的鍵盤使用記錄：9)監控用戶的登陸和退出時問；10)監控用戶的打開和關閉的窗口；11)監控用戶的命令記錄；12)監控用戶的www訪問同志。

    1．2網絡取證子系統

    網絡取證子系統的主要功能：完整地、真實記錄網絡中數據包，對每個數據包按協議棧進行解析，目前系統能夠對Ethernet，IP，ARP，RARP，ICMP，IGMP，TCP，UDP以及部分應用層協議的解析。能夠按定義過濾規則，實現對數據包的底層過取證管理子系統的控制，包括鎖定，重啟，關閉，更新等操作。

    1．3取證管理子系統

    取證管理子系統主要配置系統信息，管理和控制其他子系統來完成取證任務。具體包括如下功能：1)管理取證Agent及系統監控事件列表，包括加入，刪除豁控操作；2)管理系統管理員的添加，修改，刪除操作；3)管理被取證主機的添加，修改，刪除操作；4)實施對被取證主機的更新，關閉，重啟，鎖定操作，包括對被取證主機上取證Agent的信息更新；5)與網絡取證Agent的配合，對過濾規則列表的添加，刪除，修改管理；6)查詢管理員登陸，主機登陸，系統目志記錄；7)管理取證分析員的添加、修改和刪除操作。

    1．4取證分析子系統

    取證分析子系統在獲取證據后，對證掘進行分析，最終提交分析結果。它的主要功能有：

    1)提供豐富的查詢和過濾功能，基于內容，關鍵字，過濾規則等；2)提供現場重現功能，能夠對網絡數據進行動態現場重現和對主機數據進行靜態模擬；3)提供統計分析功能；4)提供數據挖掘功能，支持關聯分析和序列分析；5)能夠自動進行周期性審計，檢測可疑數據，提供報告。

2 面向Agent的系統分析與設計

    2．1系統環境分析

    本文系統的核心工作就是要實旎對計算機犯罪現場的連續監控，從現場獲取有用數據，并安全存儲到遠程服務器。計算機現場環境可以描述為多個對象及其相互之間的交互行為。如下圖3．1所示，原始的計算機現場環境模型可以描述為用戶、操作系統、系統設備和應用程序等多個對象之間的交互場景。在計算機犯罪現場，用戶通過操作系統來使用計算機資源，比如操作設備，運行特定的應用程序，與外界進行通訊和資源共享。用戶在使用操作系統時，會以各種方式計算機發出請求處理的動作。操作系統在運行的過程，會做出響應用戶、設備、應用請求的動作，同時為了保證系統的正常運行，操作系統本身也會做出一些例行工作。應用程序為了響應用戶或者操作系統的控制、請求，也會執行一些動作。這些動作的發生，采用事件來表示。一個對象的活動日志記錄，就是由事件發生的時間、地點和內容來表示。通過記錄這些對象的事件來達到實現對計算機現場環境進行監控取證的目的。

    Agent技術的一個重要應用場合就是用于在分布式網絡環境下的信息收集和信息監控。本文的系統正是實現在分布式網絡環境下的信息監控與收集，并且用Agent來分析和設計系統，能夠使問題得到簡化，因為這種方式的建模比面向對象的分析和設計更直接的反映現實世界的實體及其它們的關系，它不但抽象出實體的特性、動作，還有感覺、心智、承諾等。這樣從現實出發，更加容易將系統分解成以Agent為單位的靈活、強交互的系統。通過為計算機現場環境中的每類對象設置取證Agent來實現計算機犯罪環境的動態獲取。

    2．2基于Gaia方法的面向Agent系統分析

    從對系統環境的分析，采用Agent來構建系統能夠更真實的反映系統環境，系統的構架也更清晰。Gaia K．Kinney等人于2000年提出的基于Agent的系統分析與設計方法。該方法提供了一條系統化的道路讓用戶能夠從需求開始分析，最終得出足夠具體的設計方案。因此本文選擇Gaia方法來進行系統分析，其步驟如下：

    1)識別系統中的角色，輸出原始的角色模型。通過系統的需求分析，可以發現如下角色：主機取證協調者，系統Et志文件監控器，注冊表監控器，系統狀態監控器，系統端口監控器，系統進程監控器，用戶鍵盤監控器，用戶登錄監控器，用戶窗口監控器，文件系統監控器，用戶網頁瀏覽監控器，用戶命令監控器，應用程序監控器，數據收集器，數據發送者，網絡取證協調者，數據包捕獲器，協議分析和過濾器，數據包存儲者，中心管理者，中心管理界面，取證分析者，取證分析界面。

    2)識別角色之間的協議(角色之間的交互)，輸出交互模型。協議定義角色之間交互的方法，協議的定義如下六個屬性：(1)目的，關于交互的本質的簡單概括：(2)交互發起者，發起交互的角色；(3)交互響應者，發起者的交互角色；(4)輸入：(5)輸出；(6)處理：簡單描述發起者在本次交互過程中的執行動作。

    由于系統角色之間的協議較多，在這里僅以主機取證協調者與中心管理者的交互為例。由主機取證協調者向中心管理者發出注冊確認，登陸，退出等請求。

    3)以交互模型為基礎，細化角色模型的內容。

    在角色模型中，每個角色的內容包括角色名，描述，協議和活動，允許，責任這個五個方面。描述是對角色職能的簡單說明。協議表示與系統中其他角色的交互，活動是與角色相關的計算。允許表示角色擁有的權利。責任表明角色的功能，它包括生存屬性和安全屬性。生存特性描述了在給定的環境條件下，角色必須實現的事件的狀態。安全特性表明可接收的事件狀態在執行過程中保持不變。

    4)重復迭代(1)，(2)，(3)，最終完成系統的分析工作。

3 系統的體系結構設計

    本文使用Agent來分析和設計系統，但最終依然采用面向對象的程序設計語言來實現系統。事實上面向Agent的分析和設計方法主要是針對系統的接口層以及業務邏輯層。由于系統本身的復雜性，又要保證系統具有一定的擴展能力，因此系統的體系結構仍然需要精心的設計。系統的結構分為兩個層次。

    第一個層次是采用分而治之的策略，把復雜問題分解幾個次復雜的問題。系統按各自的功能劃分為四個子系統，分別為：主機取證子系統，網絡取證子系統，取證管理子系統，取證分析子系統。

    第二個層次是各個子系統各系統采用多層體系架構，分為表示層、領域層、服務層、存儲層四個層次。各個層次用包來組織，保證系統的高度模塊化，結構清晰。以主機取證子系統的高層體系結構圖為例。其中表示層定義系統的輸入輸出接口，用于接收和顯示外部系統的信息，包括外部系統消息、用戶輸入、系統輸出等，領域層定義了系統的主要功能和任務，主機取證子系統的領域層包含一組Agem，通過Agent的合作來完成證據獲取和存儲任務。服務層提供了系統安全、網絡通訊、數據庫訪問等基礎服務。存儲層負責系統數據的持久化存儲功能。

4 系統的安全性設計

    4．1傳輸安全性

    系統在被監控主機收集到證據后，必須向遠程安全數據服務器發送證據，證據在傳輸的過程中必須確保的完整性，同時系統的關鍵數據也必須經過加密后才能傳輸。而傳統TCP／IP協議并能保證一點，TCP／IP協議在一開始設計時就沒有考慮安全問題，在通訊過程，數據報的字段時可以被偽造和修改。因此，必須引入加密協議來支持系統安全通訊的需求。

    SQL Server2000支持SSL加密傳輸。可以通過同時配置服務器網絡實用工具和客戶端網絡實用工具啟用加密協議傳輸選項來達到保護證據傳輸安全的目的。當然，SQL server 2000必須獲得公共證書頒發機構證書而且相應的客戶端應用程序也必須有一個從同一證書頒發機構取得的根CA證書。

    4．2網絡時間安全性

    要實現時間安全性，需要周期性對時間進行同步。時問同步是指網絡各個節點時鐘以及通過網絡連接的各個應用界面的時鐘的時刻和時間間隔與協調世界時(UTC)同步，最起碼在全國范圍內要和北京時間同步。時間同步網絡是保證時問同步的基礎，構成時間同步網絡可以采取有線方式，也可以采取無線方式。本文要實現局域網網絡時間同步屬于有線方式。在局域網中通常采用NTP協議來實現局域網內時間同步。NTP協議是基于客戶機／服務器的計算模式�？蛻魴C以傳統的c／s方式，周期性地向服務器請求時間信息，客戶機首先向服務器發送一個NTP包，其中包含了該數據包離開客戶機時的時間戳T1，當服務器收到該包時，將填入包到達時問的時間戳T2，然后對本數據包進行處理，對調源1P、目標P，處理完后填入包離開的時間戳T3，立即把數據包返回給客戶機�？蛻羰盏椒�務器來的數據包后又填入包到達客戶機的時間戳。由于網絡時問同步對于計算機取證的重要意義，因此本文在取證管理子系統專門開發了一個時間同步服務器，在其他被取證主機開發了時問同步客戶端，以支持網絡時間同步的需求。

5 結束語

    在電腦網絡犯罪手段與網絡安全防御技術不斷升級的形勢下，單靠網絡安全技術打擊計算機犯罪不可能非常有效，因此需要發揮社會和法律的強大威力來對付網絡犯罪，計算機取證正是在這種形勢下產生和發展的，它標志著網絡安全防御理論的成熟。本文對于電子證據的獲取，保存、分析方面進行了探討和分析，提出在網絡環境中進行動態監控和取證的思路，并給出了一個網絡耿證系統的設計方案，討論并解決了系統設計過程中出現的關鍵技術問題。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.lukmueng.com/

本文標題：網絡取證系統設計關鍵技術研究

本文網址：http://www.lukmueng.com/html/consultation/1083953083.html