郭延海

如今科技日益發(fā)達(dá)，與此同時網(wǎng)絡(luò)黑客也不斷在計(jì)算機(jī)和網(wǎng)絡(luò)上大做手腳，在以往的網(wǎng)絡(luò)入侵案件中根本無法拿出他們的犯罪證據(jù)來懲治他們，所以讓他們不曾有所畏懼，一味的逍遙法外。然而現(xiàn)在有關(guān)研究人員已經(jīng)結(jié)合計(jì)算機(jī)動態(tài)取證的執(zhí)行原理和多代理特點(diǎn)，發(fā)現(xiàn)了一種基于多代理的網(wǎng)絡(luò)入侵取證的系統(tǒng)，這樣一來，在各個代理的互相幫助下，我們能夠?qū)W(wǎng)絡(luò)入侵進(jìn)行實(shí)時取證，從而獲取最有利的證據(jù)。該文首先對計(jì)算機(jī)動態(tài)取證做了簡要的解釋，接著對多代理在計(jì)算機(jī)網(wǎng)絡(luò)取證中的應(yīng)用做了分析，最后提出了基于多代理的網(wǎng)絡(luò)入侵取證系統(tǒng)的總體設(shè)計(jì)方案。

多代理；網(wǎng)絡(luò)入侵；動態(tài)取證

在計(jì)算機(jī)發(fā)展的推動下，我們的社會逐漸的向信息化以及網(wǎng)絡(luò)化發(fā)展，所以計(jì)算機(jī)安全、網(wǎng)絡(luò)安全成為了大家最擔(dān)心、最重視的問題之一。通過有效地收集電子數(shù)據(jù)來給予網(wǎng)絡(luò)犯罪分子一些警告，從而降低網(wǎng)絡(luò)犯罪率是社會十分重視的問題，今日的基于多代理的網(wǎng)絡(luò)入侵取證確實(shí)能夠解決這個問題。

1.計(jì)算機(jī)動態(tài)取證

電子證據(jù)，顧名思義是指系統(tǒng)在運(yùn)行時對所經(jīng)歷的事實(shí)進(jìn)行電磁記錄。一旦不法分子入侵計(jì)算機(jī)網(wǎng)絡(luò)，系統(tǒng)能夠自動記錄那一系列的數(shù)據(jù)，通過這些原始的數(shù)據(jù)就能對犯罪分子進(jìn)行控告，這種方法就叫做計(jì)算機(jī)取證，總結(jié)起來就是兩個過程：掃描和重建，意思是時刻掃描是否有網(wǎng)絡(luò)入侵或者破壞行為，然后對掃描到的內(nèi)容進(jìn)行重建，從而成為了最原始的犯罪證據(jù)。然而最開始的取證只是靜態(tài)的，或者可以說是事后取證，在很大程度上受到了限制，效率較低，所以大家開始找尋動態(tài)取證的方法，也可以說是實(shí)時取證。動態(tài)取證所獲得的證據(jù)更加詳細(xì)，也更準(zhǔn)確。最重要的是，通過動態(tài)取證，系統(tǒng)可以分析出犯罪分子的目標(biāo)，從而提前進(jìn)入防患狀態(tài)，因此可以構(gòu)成一個計(jì)算機(jī)安全體系。

2.多代理在網(wǎng)絡(luò)入侵取證中的應(yīng)用

“代理”，在計(jì)算機(jī)系統(tǒng)中其實(shí)就是一個計(jì)算機(jī)程序或者實(shí)體，它在某些特定的環(huán)境中可以代表使用者自行運(yùn)行一些目標(biāo)。多代理也就是多個代理的聯(lián)合，各個代理之間互相合作，從而完成一些個體無法實(shí)現(xiàn)的目標(biāo)。因此多代理技術(shù)的特點(diǎn)表現(xiàn)為自主的同時互相之間又比較協(xié)調(diào)，能夠?qū)崿F(xiàn)自我組織、自我推理以及自我學(xué)習(xí)。正由于這些特點(diǎn)，研究人員才想到將它應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)入侵動態(tài)取證系統(tǒng)中。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用以及以數(shù)字形式存在的信息的急劇增加，以計(jì)算機(jī)為犯罪目標(biāo)和以計(jì)算機(jī)為犯罪手段的網(wǎng)絡(luò)犯罪呈現(xiàn)出驚人的增長速度電子證據(jù)作為一種新的證據(jù)形式，逐漸成為新的訴訟證據(jù)之一要解決日益猖狂的網(wǎng)絡(luò)犯罪問題，關(guān)鍵是借助法律手段進(jìn)行計(jì)算機(jī)取證只有獲取網(wǎng)絡(luò)犯罪證據(jù)并將之告上法庭，才能打擊威懾犯罪分子計(jì)算機(jī)取證一般分為三個階段證據(jù)獲取、分析和法庭展示電子證據(jù)的獲取是計(jì)算機(jī)取證技術(shù)中的核心內(nèi)容，是計(jì)算機(jī)取證研究的的熱點(diǎn)本文研究網(wǎng)絡(luò)入侵的計(jì)算機(jī)取證技術(shù)，著重對網(wǎng)絡(luò)電子證據(jù)的獲取技術(shù)進(jìn)行了研究文章首先分析了網(wǎng)絡(luò)犯罪現(xiàn)狀及其防控對策，總結(jié)了計(jì)算機(jī)取證研究的基本情況，并分析了當(dāng)前計(jì)算機(jī)取證存在的問題在此基礎(chǔ)上，結(jié)合軟件工程的思想，從獲取證據(jù)的需求出發(fā)，提出了一個基于入侵檢測的網(wǎng)絡(luò)證據(jù)獲取過程模型在該模型的指導(dǎo)下，設(shè)計(jì)了一個基于多代理的網(wǎng)絡(luò)證據(jù)獲取系統(tǒng)系統(tǒng)采用分布式策略，多個代理相互協(xié)作共同完成網(wǎng)絡(luò)證據(jù)獲取工作。

在計(jì)算機(jī)網(wǎng)絡(luò)入侵動態(tài)取證系統(tǒng)中，我們定義了幾個代理模塊，分別有通信代理、檢測代理、取證代理以及響應(yīng)代理等。這些代理坐落于各個網(wǎng)絡(luò)節(jié)點(diǎn)間，通過相互協(xié)作、相互通信來完成網(wǎng)絡(luò)入侵的取證任務(wù)。

3.系統(tǒng)總體設(shè)計(jì)

了提高網(wǎng)絡(luò)入侵的取證效率，我們將代理系統(tǒng)放到目標(biāo)系統(tǒng)中，這樣一來，電子證據(jù)的收集過程、分析過程以及證據(jù)的保護(hù)過程都將在目標(biāo)系統(tǒng)中進(jìn)行，從真正意義上做到了對網(wǎng)絡(luò)入侵進(jìn)行實(shí)時的取證，同時盡可能多地找到犯罪證據(jù)。

系統(tǒng)物理結(jié)構(gòu)?；诙啻淼木W(wǎng)絡(luò)入侵動態(tài)取證系統(tǒng)主要的系統(tǒng)組成分為取證中心服務(wù)器以及取證代理機(jī)。由前文介紹，我們已經(jīng)知道取證代理機(jī)就是多個代理組成的結(jié)構(gòu)，用來完成取證通信、檢測等一系列的任務(wù)。而取證中心服務(wù)器可以說是整個系統(tǒng)的調(diào)度中心，專門負(fù)責(zé)各個代理的管理工作和電子證據(jù)的顯示。

系統(tǒng)體系結(jié)構(gòu)與功能描述。通信代理：通信代理，顧名思義是專門負(fù)責(zé)各個代理和中心的通信，同時也要通過數(shù)據(jù)分析制定一些安全機(jī)制。具體做的事情主要是對各個代理進(jìn)行合理的配置、正確的管理和維護(hù)，接收各個代理傳送來的偵測數(shù)據(jù)，例如收集數(shù)據(jù)和檢測數(shù)據(jù)等，并將各個取證任務(wù)進(jìn)行合理的分配，交給其他的取證代理來完成。因此通信代理相當(dāng)于一個中央控制中心，是整個系統(tǒng)中控制的內(nèi)容最廣泛的環(huán)節(jié)。

數(shù)據(jù)收集代理：系統(tǒng)根據(jù)特定的環(huán)境情況建立相應(yīng)的數(shù)據(jù)收集代理，它一般設(shè)在監(jiān)控主機(jī)上或其他網(wǎng)段上的安全機(jī)上。其工作內(nèi)容是對收到的數(shù)據(jù)進(jìn)行初步的處理，之后將它傳送給檢測代理。

檢測代理：檢測代理接收來自數(shù)據(jù)采集代理傳送來的數(shù)據(jù)，對其進(jìn)行仔細(xì)的分析后得出判斷：此數(shù)據(jù)是否會入侵我們的網(wǎng)絡(luò)系統(tǒng)、對系統(tǒng)是否有破壞的動機(jī)等行為。只要發(fā)現(xiàn)有這些行為，檢測系統(tǒng)將相關(guān)信息立即上報(bào)對應(yīng)的響應(yīng)代理，讓它得到及時的處理。

取證代理：取證代理接收到檢測代理傳送來的入侵攻擊的相關(guān)信息，例如它的類別、遭受入侵主機(jī)的地址等，開始在對應(yīng)的機(jī)構(gòu)上完成取證過程。其實(shí)，取證代理有一個證據(jù)收集部件，專門用來收集不法分子犯罪的原始數(shù)據(jù)。該部件首先對獲得的證據(jù)進(jìn)行備份、整理、簽名，使之具有法律效應(yīng)。最后將它安全傳送至中心服務(wù)器進(jìn)行顯示。

電子證據(jù)，顧名思義是指系統(tǒng)在運(yùn)行時對所經(jīng)歷的事實(shí)進(jìn)行電磁記錄。一旦不法分子入侵計(jì)算機(jī)網(wǎng)絡(luò)，系統(tǒng)能夠自動記錄那一系列的數(shù)據(jù)，通過這些原始的數(shù)據(jù)就能對犯罪分子進(jìn)行控告，這種方法就叫做計(jì)算機(jī)取證，總結(jié)起來就是兩個過程：掃描和重建，意思是時刻掃描是否有網(wǎng)絡(luò)入侵或者破壞行為，然后對掃描到的內(nèi)容進(jìn)行重建，從而成為了最原始的犯罪證據(jù)。然而最開始的取證只是靜態(tài)的，或者可以說是事后取證，在很大程度上受到了限制，效率較低，所以大家開始找尋動態(tài)取證的方法，也可以說是實(shí)時取證。動態(tài)取證所獲得的證據(jù)更加詳細(xì)，也更準(zhǔn)確。最重要的是，通過動態(tài)取證，系統(tǒng)可以分析出犯罪分子的目標(biāo)，從而提前進(jìn)入防患狀態(tài)，因此可以構(gòu)成一個計(jì)算機(jī)安全體系。

入侵檢測可以分為：誤用入侵檢測技術(shù)和異常入侵檢測技術(shù)。什么叫誤用檢測？它是出現(xiàn)對計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)庫的破壞等惡意行為的時候，識別系統(tǒng)對這種行為作出的防護(hù)模式。誤用入侵檢測技術(shù)是以探析各種形式的攻擊，從而整合成一個數(shù)據(jù)庫，講這些攻擊個例記錄找出特征，分析當(dāng)時的數(shù)據(jù)情況，與之相互比較評估，然后找出與之相適應(yīng)的形式，如果有滿足條件的，那么這個誤用入侵檢測系統(tǒng)就會發(fā)出警報(bào)，并作出相應(yīng)的措施。他是入侵檢測的一部分，但是功能上相對獨(dú)立。所謂異常入侵檢測技術(shù)是指將過往的正常的系統(tǒng)運(yùn)行的數(shù)據(jù)和情況與現(xiàn)在的電腦的系統(tǒng)運(yùn)行數(shù)據(jù)、模式相互比較，得出分析數(shù)據(jù)，當(dāng)此時的數(shù)據(jù)與正常值失去甚遠(yuǎn)，也就是超出了正常值的時候，就表示此時的電腦系統(tǒng)是不正常的運(yùn)行，那么就是有不合法的危害出現(xiàn)。入侵檢測技術(shù)的系統(tǒng)能夠檢測沒有識別的對象，監(jiān)控對計(jì)算機(jī)系統(tǒng)企圖入侵的行為，監(jiān)控已識別的對象對系統(tǒng)的非法操作。

綜上所述，運(yùn)用多代理的方法對計(jì)算機(jī)網(wǎng)絡(luò)入侵取證確實(shí)可行，用這種方法收集到的電子證據(jù)不僅信息齊全，而且效率高，對計(jì)算機(jī)網(wǎng)絡(luò)體系的安全做出了保障，目前這項(xiàng)技術(shù)也還沒到很純熟的地步，我們需要對各個代理的功能實(shí)現(xiàn)進(jìn)行更深層次的了解和研究，將這項(xiàng)技術(shù)逐漸加以完善。

[1]朱劍.網(wǎng)絡(luò)入侵取證重構(gòu)—網(wǎng)絡(luò)入侵取證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].江南大學(xué)，2008.03

[2]蔣中云,張基溫.基于Multi-Agent的網(wǎng)絡(luò)入侵取證模型的設(shè)計(jì)[J].江蘇無錫江南大學(xué)信息工程學(xué)院，2005.09

[3]張喜生.計(jì)算機(jī)網(wǎng)絡(luò)入侵取證技術(shù)的研究[J].深圳職業(yè)技術(shù)學(xué)院電子與信息工程學(xué)院，2010.06