引言
電子證據(jù)是計算機取證技術(shù)的核心,計算機取證的過程主要就是圍繞電子證據(jù)的保護、獲取、傳輸和存儲工作開展的。與傳統(tǒng)證據(jù)一樣,電子證據(jù)必須是:可信的、準確的、完整的、符合法律法規(guī)的,即可為法庭所接受的。另外,根據(jù)計算機犯罪年度報告顯示,病毒和內(nèi)部職員成為計算機安全的最大威脅。并且內(nèi)部職員的威脅正在持續(xù)擴大,其危害程度也在不斷加強。內(nèi)部職員是內(nèi)部網(wǎng)絡(luò)的合法使用者,不同的內(nèi)部職員擁有不同的權(quán)限,很難管理,防火墻對內(nèi)部職員沒有作用,入侵檢測也經(jīng)常發(fā)現(xiàn)不了問題。有些計算機犯罪活動并不需要很高的權(quán)限。
鑒于事后取證的缺陷以及內(nèi)部職員的安全威脅,在可能發(fā)生網(wǎng)絡(luò)安全事故或者需要高安全保護的環(huán)境進行監(jiān)控將是十分必要的。動態(tài)取證是計算機取證技術(shù)的一個發(fā)展趨勢。在這一背景下,本文設(shè)計了一個網(wǎng)絡(luò)動態(tài)取證系統(tǒng),該系統(tǒng)的基本思路是:確定可能發(fā)生網(wǎng)絡(luò)安全事故或者需要高安全保護的環(huán)境(主機或網(wǎng)絡(luò));為計算機現(xiàn)場環(huán)境建模,即為現(xiàn)場活動的主體(用戶、操作系統(tǒng)、設(shè)備)設(shè)置監(jiān)控Agent,進行實時監(jiān)控,最大限度獲取真實地、完整地數(shù)據(jù),并建立系統(tǒng)事件日志數(shù)據(jù)庫,把現(xiàn)場獲取的數(shù)據(jù)發(fā)送到遠程安全數(shù)據(jù)服務(wù)器加以妥善保存。在計算機犯罪案件發(fā)生后,取證調(diào)查人員可以通過記錄在數(shù)據(jù)庫中系統(tǒng)事件數(shù)據(jù)對犯罪現(xiàn)場模擬重現(xiàn),進行取證分析工作,提交分析結(jié)果,保證計算機犯罪案件訴訟過程順利進行。
1 系統(tǒng)的設(shè)計目標與功能分析
系統(tǒng)的設(shè)計目標是實現(xiàn)一個網(wǎng)絡(luò)取證系統(tǒng),該系統(tǒng)能夠自動、動態(tài)收集網(wǎng)絡(luò)和主機的證據(jù),并對能夠證據(jù)進行保護、存儲、分析。具體來講,系統(tǒng)的目標包括:動態(tài)監(jiān)控主機活動,獲取事件數(shù)據(jù)并加以保護,存儲到遠程服務(wù)器;動態(tài)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù),保存網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù);提供一個管理平臺來配置和管理系統(tǒng)的取證和監(jiān)控過程提供一個分析平臺來輔助分析獲取的證據(jù),提供分析報告。
出系統(tǒng)的設(shè)計目標可以直接導(dǎo)出系統(tǒng)主要功能包括四個方面,即主機取證,網(wǎng)絡(luò)取證,取證中心管理,取證分析。鑒于這四個方面在功能上相對獨立而在網(wǎng)絡(luò)物理環(huán)境下處在不同的位置,因此每一個方面可以設(shè)計成一個獨立的子系統(tǒng)。各個子系統(tǒng)具體功能說明如下:
1.1主機取證子系統(tǒng)
主機取證子系統(tǒng)主要功能:實時監(jiān)控被取證主機的行為,記錄用戶、系統(tǒng),應(yīng)用程序的重要狀態(tài)和行為。系統(tǒng)啟動時,具有向取證管理子系統(tǒng)登記注冊的職責(zé)。在運行過程中接受取證管理予系統(tǒng)的控制,包括鎖定,重啟,關(guān)閉,更新等操作。
目前系統(tǒng)已經(jīng)確定的事件監(jiān)控類別有如下十二種:1)監(jiān)控CPU和Memory的使用狀態(tài);2)監(jiān)控操作系統(tǒng)R志文件,包括系統(tǒng)日志、安全審計日志、應(yīng)用程序日志;3)監(jiān)控系統(tǒng)的注冊表使用情況,包括注冊表的創(chuàng)建、打開、修改,刪除操作,可以根據(jù)需要進行過濾;4)監(jiān)控文件系統(tǒng)的詳細使用情況,包括文件及目錄的創(chuàng)建、打開、修改、刪除操作,也包括文件及目錄屬性的修改;5)監(jiān)控文件系統(tǒng)的一般使用情況,包括文件創(chuàng)建,修改,刪除,但不能確定是哪個進程操作該文件;6)監(jiān)控系統(tǒng)的端口使用情況,包括TCP和uDP端口;7)監(jiān)控系統(tǒng)進程的創(chuàng)建與銷毀;8)監(jiān)控用戶的鍵盤使用記錄:9)監(jiān)控用戶的登陸和退出時問;10)監(jiān)控用戶的打開和關(guān)閉的窗口;11)監(jiān)控用戶的命令記錄;12)監(jiān)控用戶的www訪問同志。
1.2網(wǎng)絡(luò)取證子系統(tǒng)
網(wǎng)絡(luò)取證子系統(tǒng)的主要功能:完整地、真實記錄網(wǎng)絡(luò)中數(shù)據(jù)包,對每個數(shù)據(jù)包按協(xié)議棧進行解析,目前系統(tǒng)能夠?qū)thernet,IP,ARP,RARP,ICMP,IGMP,TCP,UDP以及部分應(yīng)用層協(xié)議的解析。能夠按定義過濾規(guī)則,實現(xiàn)對數(shù)據(jù)包的底層過取證管理子系統(tǒng)的控制,包括鎖定,重啟,關(guān)閉,更新等操作。
1.3取證管理子系統(tǒng)
取證管理子系統(tǒng)主要配置系統(tǒng)信息,管理和控制其他子系統(tǒng)來完成取證任務(wù)。具體包括如下功能:1)管理取證Agent及系統(tǒng)監(jiān)控事件列表,包括加入,刪除豁控操作;2)管理系統(tǒng)管理員的添加,修改,刪除操作;3)管理被取證主機的添加,修改,刪除操作;4)實施對被取證主機的更新,關(guān)閉,重啟,鎖定操作,包括對被取證主機上取證Agent的信息更新;5)與網(wǎng)絡(luò)取證Agent的配合,對過濾規(guī)則列表的添加,刪除,修改管理;6)查詢管理員登陸,主機登陸,系統(tǒng)目志記錄;7)管理取證分析員的添加、修改和刪除操作。
1.4取證分析子系統(tǒng)
取證分析子系統(tǒng)在獲取證據(jù)后,對證掘進行分析,最終提交分析結(jié)果。它的主要功能有:
1)提供豐富的查詢和過濾功能,基于內(nèi)容,關(guān)鍵字,過濾規(guī)則等;2)提供現(xiàn)場重現(xiàn)功能,能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進行動態(tài)現(xiàn)場重現(xiàn)和對主機數(shù)據(jù)進行靜態(tài)模擬;3)提供統(tǒng)計分析功能;4)提供數(shù)據(jù)挖掘功能,支持關(guān)聯(lián)分析和序列分析;5)能夠自動進行周期性審計,檢測可疑數(shù)據(jù),提供報告。
2 面向Agent的系統(tǒng)分析與設(shè)計
2.1系統(tǒng)環(huán)境分析
本文系統(tǒng)的核心工作就是要實旎對計算機犯罪現(xiàn)場的連續(xù)監(jiān)控,從現(xiàn)場獲取有用數(shù)據(jù),并安全存儲到遠程服務(wù)器。計算機現(xiàn)場環(huán)境可以描述為多個對象及其相互之間的交互行為。如下圖3.1所示,原始的計算機現(xiàn)場環(huán)境模型可以描述為用戶、操作系統(tǒng)、系統(tǒng)設(shè)備和應(yīng)用程序等多個對象之間的交互場景。在計算機犯罪現(xiàn)場,用戶通過操作系統(tǒng)來使用計算機資源,比如操作設(shè)備,運行特定的應(yīng)用程序,與外界進行通訊和資源共享。用戶在使用操作系統(tǒng)時,會以各種方式計算機發(fā)出請求處理的動作。操作系統(tǒng)在運行的過程,會做出響應(yīng)用戶、設(shè)備、應(yīng)用請求的動作,同時為了保證系統(tǒng)的正常運行,操作系統(tǒng)本身也會做出一些例行工作。應(yīng)用程序為了響應(yīng)用戶或者操作系統(tǒng)的控制、請求,也會執(zhí)行一些動作。這些動作的發(fā)生,采用事件來表示。一個對象的活動日志記錄,就是由事件發(fā)生的時間、地點和內(nèi)容來表示。通過記錄這些對象的事件來達到實現(xiàn)對計算機現(xiàn)場環(huán)境進行監(jiān)控取證的目的。
Agent技術(shù)的一個重要應(yīng)用場合就是用于在分布式網(wǎng)絡(luò)環(huán)境下的信息收集和信息監(jiān)控。本文的系統(tǒng)正是實現(xiàn)在分布式網(wǎng)絡(luò)環(huán)境下的信息監(jiān)控與收集,并且用Agent來分析和設(shè)計系統(tǒng),能夠使問題得到簡化,因為這種方式的建模比面向?qū)ο蟮姆治龊驮O(shè)計更直接的反映現(xiàn)實世界的實體及其它們的關(guān)系,它不但抽象出實體的特性、動作,還有感覺、心智、承諾等。這樣從現(xiàn)實出發(fā),更加容易將系統(tǒng)分解成以Agent為單位的靈活、強交互的系統(tǒng)。通過為計算機現(xiàn)場環(huán)境中的每類對象設(shè)置取證Agent來實現(xiàn)計算機犯罪環(huán)境的動態(tài)獲取。
2.2基于Gaia方法的面向Agent系統(tǒng)分析
從對系統(tǒng)環(huán)境的分析,采用Agent來構(gòu)建系統(tǒng)能夠更真實的反映系統(tǒng)環(huán)境,系統(tǒng)的構(gòu)架也更清晰。Gaia K.Kinney等人于2000年提出的基于Agent的系統(tǒng)分析與設(shè)計方法。該方法提供了一條系統(tǒng)化的道路讓用戶能夠從需求開始分析,最終得出足夠具體的設(shè)計方案。因此本文選擇Gaia方法來進行系統(tǒng)分析,其步驟如下:
1)識別系統(tǒng)中的角色,輸出原始的角色模型。通過系統(tǒng)的需求分析,可以發(fā)現(xiàn)如下角色:主機取證協(xié)調(diào)者,系統(tǒng)Et志文件監(jiān)控器,注冊表監(jiān)控器,系統(tǒng)狀態(tài)監(jiān)控器,系統(tǒng)端口監(jiān)控器,系統(tǒng)進程監(jiān)控器,用戶鍵盤監(jiān)控器,用戶登錄監(jiān)控器,用戶窗口監(jiān)控器,文件系統(tǒng)監(jiān)控器,用戶網(wǎng)頁瀏覽監(jiān)控器,用戶命令監(jiān)控器,應(yīng)用程序監(jiān)控器,數(shù)據(jù)收集器,數(shù)據(jù)發(fā)送者,網(wǎng)絡(luò)取證協(xié)調(diào)者,數(shù)據(jù)包捕獲器,協(xié)議分析和過濾器,數(shù)據(jù)包存儲者,中心管理者,中心管理界面,取證分析者,取證分析界面。
2)識別角色之間的協(xié)議(角色之間的交互),輸出交互模型。協(xié)議定義角色之間交互的方法,協(xié)議的定義如下六個屬性:(1)目的,關(guān)于交互的本質(zhì)的簡單概括:(2)交互發(fā)起者,發(fā)起交互的角色;(3)交互響應(yīng)者,發(fā)起者的交互角色;(4)輸入:(5)輸出;(6)處理:簡單描述發(fā)起者在本次交互過程中的執(zhí)行動作。
由于系統(tǒng)角色之間的協(xié)議較多,在這里僅以主機取證協(xié)調(diào)者與中心管理者的交互為例。由主機取證協(xié)調(diào)者向中心管理者發(fā)出注冊確認,登陸,退出等請求。
3)以交互模型為基礎(chǔ),細化角色模型的內(nèi)容。
在角色模型中,每個角色的內(nèi)容包括角色名,描述,協(xié)議和活動,允許,責(zé)任這個五個方面。描述是對角色職能的簡單說明。協(xié)議表示與系統(tǒng)中其他角色的交互,活動是與角色相關(guān)的計算。允許表示角色擁有的權(quán)利。責(zé)任表明角色的功能,它包括生存屬性和安全屬性。生存特性描述了在給定的環(huán)境條件下,角色必須實現(xiàn)的事件的狀態(tài)。安全特性表明可接收的事件狀態(tài)在執(zhí)行過程中保持不變。
4)重復(fù)迭代(1),(2),(3),最終完成系統(tǒng)的分析工作。
3 系統(tǒng)的體系結(jié)構(gòu)設(shè)計
本文使用Agent來分析和設(shè)計系統(tǒng),但最終依然采用面向?qū)ο蟮某绦蛟O(shè)計語言來實現(xiàn)系統(tǒng)。事實上面向Agent的分析和設(shè)計方法主要是針對系統(tǒng)的接口層以及業(yè)務(wù)邏輯層。由于系統(tǒng)本身的復(fù)雜性,又要保證系統(tǒng)具有一定的擴展能力,因此系統(tǒng)的體系結(jié)構(gòu)仍然需要精心的設(shè)計。系統(tǒng)的結(jié)構(gòu)分為兩個層次。
第一個層次是采用分而治之的策略,把復(fù)雜問題分解幾個次復(fù)雜的問題。系統(tǒng)按各自的功能劃分為四個子系統(tǒng),分別為:主機取證子系統(tǒng),網(wǎng)絡(luò)取證子系統(tǒng),取證管理子系統(tǒng),取證分析子系統(tǒng)。
第二個層次是各個子系統(tǒng)各系統(tǒng)采用多層體系架構(gòu),分為表示層、領(lǐng)域?qū)、服?wù)層、存儲層四個層次。各個層次用包來組織,保證系統(tǒng)的高度模塊化,結(jié)構(gòu)清晰。以主機取證子系統(tǒng)的高層體系結(jié)構(gòu)圖為例。其中表示層定義系統(tǒng)的輸入輸出接口,用于接收和顯示外部系統(tǒng)的信息,包括外部系統(tǒng)消息、用戶輸入、系統(tǒng)輸出等,領(lǐng)域?qū)佣x了系統(tǒng)的主要功能和任務(wù),主機取證子系統(tǒng)的領(lǐng)域?qū)影唤MAgem,通過Agent的合作來完成證據(jù)獲取和存儲任務(wù)。服務(wù)層提供了系統(tǒng)安全、網(wǎng)絡(luò)通訊、數(shù)據(jù)庫訪問等基礎(chǔ)服務(wù)。存儲層負責(zé)系統(tǒng)數(shù)據(jù)的持久化存儲功能。
4 系統(tǒng)的安全性設(shè)計
4.1傳輸安全性
系統(tǒng)在被監(jiān)控主機收集到證據(jù)后,必須向遠程安全數(shù)據(jù)服務(wù)器發(fā)送證據(jù),證據(jù)在傳輸?shù)倪^程中必須確保的完整性,同時系統(tǒng)的關(guān)鍵數(shù)據(jù)也必須經(jīng)過加密后才能傳輸。而傳統(tǒng)TCP/IP協(xié)議并能保證一點,TCP/IP協(xié)議在一開始設(shè)計時就沒有考慮安全問題,在通訊過程,數(shù)據(jù)報的字段時可以被偽造和修改。因此,必須引入加密協(xié)議來支持系統(tǒng)安全通訊的需求。
SQL Server2000支持SSL加密傳輸?梢酝ㄟ^同時配置服務(wù)器網(wǎng)絡(luò)實用工具和客戶端網(wǎng)絡(luò)實用工具啟用加密協(xié)議傳輸選項來達到保護證據(jù)傳輸安全的目的。當(dāng)然,SQL server 2000必須獲得公共證書頒發(fā)機構(gòu)證書而且相應(yīng)的客戶端應(yīng)用程序也必須有一個從同一證書頒發(fā)機構(gòu)取得的根CA證書。
4.2網(wǎng)絡(luò)時間安全性
要實現(xiàn)時間安全性,需要周期性對時間進行同步。時問同步是指網(wǎng)絡(luò)各個節(jié)點時鐘以及通過網(wǎng)絡(luò)連接的各個應(yīng)用界面的時鐘的時刻和時間間隔與協(xié)調(diào)世界時(UTC)同步,最起碼在全國范圍內(nèi)要和北京時間同步。時間同步網(wǎng)絡(luò)是保證時問同步的基礎(chǔ),構(gòu)成時間同步網(wǎng)絡(luò)可以采取有線方式,也可以采取無線方式。本文要實現(xiàn)局域網(wǎng)網(wǎng)絡(luò)時間同步屬于有線方式。在局域網(wǎng)中通常采用NTP協(xié)議來實現(xiàn)局域網(wǎng)內(nèi)時間同步。NTP協(xié)議是基于客戶機/服務(wù)器的計算模式。客戶機以傳統(tǒng)的c/s方式,周期性地向服務(wù)器請求時間信息,客戶機首先向服務(wù)器發(fā)送一個NTP包,其中包含了該數(shù)據(jù)包離開客戶機時的時間戳T1,當(dāng)服務(wù)器收到該包時,將填入包到達時問的時間戳T2,然后對本數(shù)據(jù)包進行處理,對調(diào)源1P、目標P,處理完后填入包離開的時間戳T3,立即把數(shù)據(jù)包返回給客戶機?蛻羰盏椒⻊(wù)器來的數(shù)據(jù)包后又填入包到達客戶機的時間戳。由于網(wǎng)絡(luò)時問同步對于計算機取證的重要意義,因此本文在取證管理子系統(tǒng)專門開發(fā)了一個時間同步服務(wù)器,在其他被取證主機開發(fā)了時問同步客戶端,以支持網(wǎng)絡(luò)時間同步的需求。
5 結(jié)束語
在電腦網(wǎng)絡(luò)犯罪手段與網(wǎng)絡(luò)安全防御技術(shù)不斷升級的形勢下,單靠網(wǎng)絡(luò)安全技術(shù)打擊計算機犯罪不可能非常有效,因此需要發(fā)揮社會和法律的強大威力來對付網(wǎng)絡(luò)犯罪,計算機取證正是在這種形勢下產(chǎn)生和發(fā)展的,它標志著網(wǎng)絡(luò)安全防御理論的成熟。本文對于電子證據(jù)的獲取,保存、分析方面進行了探討和分析,提出在網(wǎng)絡(luò)環(huán)境中進行動態(tài)監(jiān)控和取證的思路,并給出了一個網(wǎng)絡(luò)耿證系統(tǒng)的設(shè)計方案,討論并解決了系統(tǒng)設(shè)計過程中出現(xiàn)的關(guān)鍵技術(shù)問題。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:網(wǎng)絡(luò)取證系統(tǒng)設(shè)計關(guān)鍵技術(shù)研究
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953083.html