朱亞東

ZHU Ya-dong

（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院 南京工程分院，南京 210035）

0 引言

電子證據(jù)是計算機(jī)取證技術(shù)的核心，計算機(jī)取證的過程主要就是圍繞電子證據(jù)的保護(hù)、獲取、傳輸和存儲工作開展的。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是：可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的，即可為法庭所接受的。另外，根據(jù)計算機(jī)犯罪年度報告顯示，病毒和內(nèi)部職員成為計算機(jī)安全的最大威脅。并且內(nèi)部職員的威脅正在持續(xù)擴(kuò)大，其危害程度也在不斷加強(qiáng)。內(nèi)部職員是內(nèi)部網(wǎng)絡(luò)的合法使用者，不同的內(nèi)部職員擁有不同的權(quán)限，很難管理，防火墻對內(nèi)部職員沒有作用，入侵檢測也經(jīng)常發(fā)現(xiàn)不了問題。有些計算機(jī)犯罪活動并不需要很高的權(quán)限[1,2]。

鑒于事后取證的缺陷以及內(nèi)部職員的安全威脅，在可能發(fā)生網(wǎng)絡(luò)安全事故或者需要高安全保護(hù)的環(huán)境進(jìn)行監(jiān)控將是十分必要的。動態(tài)取證是計算機(jī)取證技術(shù)的一個發(fā)展趨勢。在這一背景下，本文設(shè)計了一個網(wǎng)絡(luò)動態(tài)取證系統(tǒng)，該系統(tǒng)的基本思路是：確定可能發(fā)生網(wǎng)絡(luò)安全事故或者需要高安全保護(hù)的環(huán)境(主機(jī)或網(wǎng)絡(luò))；為計算機(jī)現(xiàn)場環(huán)境建模，即為現(xiàn)場活動的主體(用戶、操作系統(tǒng)、設(shè)備)設(shè)置監(jiān)控Agent，進(jìn)行實時監(jiān)控，最大限度獲取真實地、完整地數(shù)據(jù)，并建立系統(tǒng)事件日志數(shù)據(jù)庫，把現(xiàn)場獲取的數(shù)據(jù)發(fā)送到遠(yuǎn)程安全數(shù)據(jù)服務(wù)器加以妥善保存。在計算機(jī)犯罪案件發(fā)生后，取證調(diào)查人員可以通過記錄在數(shù)據(jù)庫中系統(tǒng)事件數(shù)據(jù)對犯罪現(xiàn)場模擬重現(xiàn)，進(jìn)行取證分析工作，提交分析結(jié)果，保證計算機(jī)犯罪案件訴訟過程順利進(jìn)行。

1 系統(tǒng)的設(shè)計目標(biāo)與功能分析

系統(tǒng)的設(shè)計目標(biāo)是實現(xiàn)一個網(wǎng)絡(luò)取證系統(tǒng)，該系統(tǒng)能夠自動、動態(tài)收集網(wǎng)絡(luò)和主機(jī)的證據(jù)，并對能夠證據(jù)進(jìn)行保護(hù)、存儲、分析。具體來講，系統(tǒng)的目標(biāo)包括：動態(tài)監(jiān)控主機(jī)活動，獲取事件數(shù)據(jù)并加以保護(hù)，存儲到遠(yuǎn)程服務(wù)器；動態(tài)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，保存網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)；提供一個管理平臺來配置和管理系統(tǒng)的取證和監(jiān)控過程提供一個分析平臺來輔助分析獲取的證據(jù)，提供分析報告[3]。

出系統(tǒng)的設(shè)計目標(biāo)可以直接導(dǎo)出系統(tǒng)主要功能包括四個方面，即主機(jī)取證，網(wǎng)絡(luò)取證，取證中心管理，取證分析。鑒于這四個方面在功能上相對獨(dú)立而在網(wǎng)絡(luò)物理環(huán)境下處在不同的位置，因此每一個方面可以設(shè)計成一個獨(dú)立的子系統(tǒng)。各個子系統(tǒng)具體功能說明如下：

1.1 主機(jī)取證子系統(tǒng)

主機(jī)取證子系統(tǒng)主要功能：實時監(jiān)控被取證主機(jī)的行為，記錄用戶、系統(tǒng)，應(yīng)用程序的重要狀態(tài)和行為。系統(tǒng)啟動時，具有向取證管理子系統(tǒng)登記注冊的職責(zé)。在運(yùn)行過程中接受取證管理予系統(tǒng)的控制，包括鎖定，重啟，關(guān)閉，更新等操作。

目前系統(tǒng)已經(jīng)確定的事件監(jiān)控類別有如下十二種[4]：1）監(jiān)控CPU和Memory的使用狀態(tài)；2）監(jiān)控操作系統(tǒng)R志文件，包括系統(tǒng)日志、安全審計日志、應(yīng)用程序日志；3）監(jiān)控系統(tǒng)的注冊表使用情況，包括注冊表的創(chuàng)建、打開、修改，刪除操作，可以根據(jù)需要進(jìn)行過濾；4）監(jiān)控文件系統(tǒng)的詳細(xì)使用情況，包括文件及目錄的創(chuàng)建、打開、修改、刪除操作，也包括文件及目錄屬性的修改；5）監(jiān)控文件系統(tǒng)的一般使用情況，包括文件創(chuàng)建，修改，刪除，但不能確定是哪個進(jìn)程操作該文件；6）監(jiān)控系統(tǒng)的端口使用情況，包括TCP和uDP端口；7）監(jiān)控系統(tǒng)進(jìn)程的創(chuàng)建與銷毀；8）監(jiān)控用戶的鍵盤使用記錄：9）監(jiān)控用戶的登陸和退出時間；10）監(jiān)控用戶的打開和關(guān)閉的窗口；11）監(jiān)控用戶的命令記錄；12）監(jiān)控用戶的www訪問同志。

1.2 網(wǎng)絡(luò)取證子系統(tǒng)

網(wǎng)絡(luò)取證子系統(tǒng)的主要功能：完整地、真實記錄網(wǎng)絡(luò)中數(shù)據(jù)包，對每個數(shù)據(jù)包按協(xié)議棧進(jìn)行解析，目前系統(tǒng)能夠?qū)thernet，IP，ARP，RARP，ICMP，IGMP，TcP，UDP以及部分應(yīng)用層協(xié)議的解析。能夠按定義過濾規(guī)則，實現(xiàn)對數(shù)據(jù)包的底層過取證管理子系統(tǒng)的控制，包括鎖定，重啟，關(guān)閉，更新等操作。

1.3 取證管理子系統(tǒng)

取證管理子系統(tǒng)主要配置系統(tǒng)信息，管理和控制其他子系統(tǒng)來完成取證任務(wù)。具體包括如下功能：1）管理取證Agent及系統(tǒng)監(jiān)控事件列表，包括加入，刪除豁控操作；2）管理系統(tǒng)管理員的添加，修改，刪除操作；3）管理被取證主機(jī)的添加，修改，刪除操作；4）實施對被取證主機(jī)的更新，關(guān)閉，重啟，鎖定操作，包括對被取證主機(jī)上取證Agent的信息更新；5）與網(wǎng)絡(luò)取證Agent的配合，對過濾規(guī)則列表的添加，刪除，修改管理；6）查詢管理員登陸，主機(jī)登陸，系統(tǒng)目志記錄；7）管理取證分析員的添加、修改和刪除操作。

1.4 取證分析子系統(tǒng)

取證分析子系統(tǒng)在獲取證據(jù)后，對證掘進(jìn)行分析，最終提交分析結(jié)果。它的主要功能有：

1）提供豐富的查詢和過濾功能，基于內(nèi)容，關(guān)鍵字，過濾規(guī)則等；2）提供現(xiàn)場重現(xiàn)功能，能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行動態(tài)現(xiàn)場重現(xiàn)和對主機(jī)數(shù)據(jù)進(jìn)行靜態(tài)模擬；3）提供統(tǒng)計分析功能；4）提供數(shù)據(jù)挖掘功能，支持關(guān)聯(lián)分析和序列分析；5）能夠自動進(jìn)行周期性審計，檢測可疑數(shù)據(jù)，提供報告。

2 面向Agent的系統(tǒng)分析與設(shè)計

2.1 系統(tǒng)環(huán)境分析

本文系統(tǒng)的核心工作就是要實旎對計算機(jī)犯罪現(xiàn)場的連續(xù)監(jiān)控，從現(xiàn)場獲取有用數(shù)據(jù)，并安全存儲到遠(yuǎn)程服務(wù)器。計算機(jī)現(xiàn)場環(huán)境可以描述為多個對象及其相互之間的交互行為。如下圖3．1所示，原始的計算機(jī)現(xiàn)場環(huán)境模型可以描述為用戶、操作系統(tǒng)、系統(tǒng)設(shè)備和應(yīng)用程序等多個對象之間的交互場景。在計算機(jī)犯罪現(xiàn)場，用戶通過操作系統(tǒng)來使用計算機(jī)資源，比如操作設(shè)備，運(yùn)行特定的應(yīng)用程序，與外界進(jìn)行通訊和資源共享。用戶在使用操作系統(tǒng)時，會以各種方式計算機(jī)發(fā)出請求處理的動作。操作系統(tǒng)在運(yùn)行的過程，會做出響應(yīng)用戶、設(shè)備、應(yīng)用請求的動作，同時為了保證系統(tǒng)的正常運(yùn)行，操作系統(tǒng)本身也會做出一些例行工作。應(yīng)用程序為了響應(yīng)用戶或者操作系統(tǒng)的控制、請求，也會執(zhí)行一些動作。這些動作的發(fā)生，采用事件來表示。一個對象的活動日志記錄，就是由事件發(fā)生的時間、地點(diǎn)和內(nèi)容來表示。通過記錄這些對象的事件來達(dá)到實現(xiàn)對計算機(jī)現(xiàn)場環(huán)境進(jìn)行監(jiān)控取證的目的。

Agent技術(shù)的一個重要應(yīng)用場合就是用于在分布式網(wǎng)絡(luò)環(huán)境下的信息收集和信息監(jiān)控。本文的系統(tǒng)正是實現(xiàn)在分布式網(wǎng)絡(luò)環(huán)境下的信息監(jiān)控與收集，并且用Agent來分析和設(shè)計系統(tǒng)，能夠使問題得到簡化，因為這種方式的建模比面向?qū)ο蟮姆治龊驮O(shè)計更直接的反映現(xiàn)實世界的實體及其它們的關(guān)系，它不但抽象出實體的特性、動作，還有感覺、心智、承諾等。這樣從現(xiàn)實出發(fā)，更加容易將系統(tǒng)分解成以Agent為單位的靈活、強(qiáng)交互的系統(tǒng)。通過為計算機(jī)現(xiàn)場環(huán)境中的每類對象設(shè)置取證Agent來實現(xiàn)計算機(jī)犯罪環(huán)境的動態(tài)獲取。

2.2 基于Gaia方法的面向Agent系統(tǒng)分析

從對系統(tǒng)環(huán)境的分析，采用Agent來構(gòu)建系統(tǒng)能夠更真實的反映系統(tǒng)環(huán)境，系統(tǒng)的構(gòu)架也更清晰。Gaia K．Kinney等人于2000年提出的基于Agent的系統(tǒng)分析與設(shè)計方法。該方法提供了一條系統(tǒng)化的道路讓用戶能夠從需求開始分析，最終得出足夠具體的設(shè)計方案。因此本文選擇Gaia方法來進(jìn)行系統(tǒng)分析，其步驟如下：

1）識別系統(tǒng)中的角色，輸出原始的角色模型。

通過系統(tǒng)的需求分析，可以發(fā)現(xiàn)如下角色：主機(jī)取證協(xié)調(diào)者，系統(tǒng)日志文件監(jiān)控器，注冊表監(jiān)控器，系統(tǒng)狀態(tài)監(jiān)控器，系統(tǒng)端口監(jiān)控器，系統(tǒng)進(jìn)程監(jiān)控器，用戶鍵盤監(jiān)控器，用戶登錄監(jiān)控器，用戶窗口監(jiān)控器，文件系統(tǒng)監(jiān)控器，用戶網(wǎng)頁瀏覽監(jiān)控器，用戶命令監(jiān)控器，應(yīng)用程序監(jiān)控器，數(shù)據(jù)收集器，數(shù)據(jù)發(fā)送者，網(wǎng)絡(luò)取證協(xié)調(diào)者，數(shù)據(jù)包捕獲器，協(xié)議分析和過濾器，數(shù)據(jù)包存儲者，中心管理者，中心管理界面，取證分析者，取證分析界面。

2）識別角色之間的協(xié)議(角色之間的交互)，輸出交互模型。

協(xié)議定義角色之間交互的方法，協(xié)議的定義如下六個屬性：（1）目的，關(guān)于交互的本質(zhì)的簡單概括：（2）交互發(fā)起者，發(fā)起交互的角色；（3）交互響應(yīng)者，發(fā)起者的交互角色；（4）輸入：（5）輸出；（6）處理：簡單描述發(fā)起者在本次交互過程中的執(zhí)行動作。

由于系統(tǒng)角色之間的協(xié)議較多，在這里僅以主機(jī)取證協(xié)調(diào)者與中心管理者的交互為例。由主機(jī)取證協(xié)調(diào)者向中心管理者發(fā)出注冊確認(rèn)，登陸，退出等請求。

3）以交互模型為基礎(chǔ)，細(xì)化角色模型的內(nèi)容。

在角色模型中，每個角色的內(nèi)容包括角色名，描述，協(xié)議和活動，允許，責(zé)任這個五個方面。描述是對角色職能的簡單說明。協(xié)議表示與系統(tǒng)中其他角色的交互，活動是與角色相關(guān)的計算。允許表示角色擁有的權(quán)利。責(zé)任表明角色的功能，它包括生存屬性和安全屬性。生存特性描述了在給定的環(huán)境條件下，角色必須實現(xiàn)的事件的狀態(tài)。安全特性表明可接收的事件狀態(tài)在執(zhí)行過程中保持不變。

4）重復(fù)迭代（1），（2），（3），最終完成系統(tǒng)的分析工作。

3 系統(tǒng)的體系結(jié)構(gòu)設(shè)計

本文使用Agent來分析和設(shè)計系統(tǒng)，但最終依然采用面向?qū)ο蟮某绦蛟O(shè)計語言來實現(xiàn)系統(tǒng)。事實上面向Agent的分析和設(shè)計方法主要是針對系統(tǒng)的接口層以及業(yè)務(wù)邏輯層。由于系統(tǒng)本身的復(fù)雜性，又要保證系統(tǒng)具有一定的擴(kuò)展能力，因此系統(tǒng)的體系結(jié)構(gòu)仍然需要精心的設(shè)計。系統(tǒng)的結(jié)構(gòu)分為兩個層次。

第一個層次是采用分而治之的策略，把復(fù)雜問題分解幾個次復(fù)雜的問題。系統(tǒng)按各自的功能劃分為四個子系統(tǒng)，分別為：主機(jī)取證子系統(tǒng)，網(wǎng)絡(luò)取證子系統(tǒng)，取證管理子系統(tǒng)，取證分析子系統(tǒng)。

第二個層次是各個子系統(tǒng)各系統(tǒng)采用多層體系架構(gòu)，分為表示層、領(lǐng)域?qū)?、服?wù)層、存儲層四個層次。各個層次用包來組織，保證系統(tǒng)的高度模塊化，結(jié)構(gòu)清晰。以主機(jī)取證子系統(tǒng)的高層體系結(jié)構(gòu)圖為例。其中表示層定義系統(tǒng)的輸入輸出接口，用于接收和顯示外部系統(tǒng)的信息，包括外部系統(tǒng)消息、用戶輸入、系統(tǒng)輸出等，領(lǐng)域?qū)佣x了系統(tǒng)的主要功能和任務(wù)，主機(jī)取證子系統(tǒng)的領(lǐng)域?qū)影唤MAgem，通過Agent的合作來完成證據(jù)獲取和存儲任務(wù)。服務(wù)層提供了系統(tǒng)安全、網(wǎng)絡(luò)通訊、數(shù)據(jù)庫訪問等基礎(chǔ)服務(wù)。存儲層負(fù)責(zé)系統(tǒng)數(shù)據(jù)的持久化存儲功能。

4 系統(tǒng)的安全性設(shè)計

4.1 傳輸安全性

系統(tǒng)在被監(jiān)控主機(jī)收集到證據(jù)后，必須向遠(yuǎn)程安全數(shù)據(jù)服務(wù)器發(fā)送證據(jù)，證據(jù)在傳輸?shù)倪^程中必須確保的完整性，同時系統(tǒng)的關(guān)鍵數(shù)據(jù)也必須經(jīng)過加密后才能傳輸。而傳統(tǒng)TCP/IP協(xié)議并能保證一點(diǎn)，TCP/IP協(xié)議在一開始設(shè)計時就沒有考慮安全問題，在通訊過程，數(shù)據(jù)報的字段時可以被偽造和修改。因此，必須引入加密協(xié)議來支持系統(tǒng)安全通訊的需求。

SQL Server2000支持SSL加密傳輸?？梢酝ㄟ^同時配置服務(wù)器網(wǎng)絡(luò)實用工具和客戶端網(wǎng)絡(luò)實用工具啟用加密協(xié)議傳輸選項來達(dá)到保護(hù)證據(jù)傳輸安全的目的。當(dāng)然，SQL server 2000必須獲得公共證書頒發(fā)機(jī)構(gòu)證書而且相應(yīng)的客戶端應(yīng)用程序也必須有一個從同一證書頒發(fā)機(jī)構(gòu)取得的根CA證書。

4.2 網(wǎng)絡(luò)時間安全性

要實現(xiàn)時間安全性，需要周期性對時間進(jìn)行同步。時問同步是指網(wǎng)絡(luò)各個節(jié)點(diǎn)時鐘以及通過網(wǎng)絡(luò)連接的各個應(yīng)用界面的時鐘的時刻和時間間隔與協(xié)調(diào)世界時(UTC)同步，最起碼在全國范圍內(nèi)要和北京時間同步。時間同步網(wǎng)絡(luò)是保證時問同步的基礎(chǔ)，構(gòu)成時間同步網(wǎng)絡(luò)可以采取有線方式，也可以采取無線方式。本文要實現(xiàn)局域網(wǎng)網(wǎng)絡(luò)時間同步屬于有線方式。在局域網(wǎng)中通常采用NTP協(xié)議來實現(xiàn)局域網(wǎng)內(nèi)時間同步。NTP協(xié)議是基于客戶機(jī)/服務(wù)器的計算模式?？蛻魴C(jī)以傳統(tǒng)的c/s方式，周期性地向服務(wù)器請求時間信息，客戶機(jī)首先向服務(wù)器發(fā)送一個NTP包，其中包含了該數(shù)據(jù)包離開客戶機(jī)時的時間戳T1，當(dāng)服務(wù)器收到該包時，將填入包到達(dá)時問的時間戳T2，然后對本數(shù)據(jù)包進(jìn)行處理，對調(diào)源1P、目標(biāo)IP，處理完后填入包離開的時間戳T3，立即把數(shù)據(jù)包返回給客戶機(jī)?？蛻羰盏椒?wù)器來的數(shù)據(jù)包后又填入包到達(dá)客戶機(jī)的時間戳。

由于網(wǎng)絡(luò)時間同步對于計算機(jī)取證的重要意義，因此本文在取證管理子系統(tǒng)專門開發(fā)了一個時間同步服務(wù)器，在其他被取證主機(jī)開發(fā)了時問同步客戶端，以支持網(wǎng)絡(luò)時間同步的需求。

5 結(jié)束語

在電腦網(wǎng)絡(luò)犯罪手段與網(wǎng)絡(luò)安全防御技術(shù)不斷升級的形勢下，單靠網(wǎng)絡(luò)安全技術(shù)打擊計算機(jī)犯罪不可能非常有效，因此需要發(fā)揮社會和法律的強(qiáng)大威力來對付網(wǎng)絡(luò)犯罪，計算機(jī)取證正是在這種形勢下產(chǎn)生和發(fā)展的，它標(biāo)志著網(wǎng)絡(luò)安全防御理論的成熟。本文對于電子證據(jù)的獲取，保存、分析方面進(jìn)行了探討和分析，提出在網(wǎng)絡(luò)環(huán)境中進(jìn)行動態(tài)監(jiān)控和取證的思路，并給出了一個網(wǎng)絡(luò)耿證系統(tǒng)的設(shè)計方案，討論并解決了系統(tǒng)設(shè)計過程中出現(xiàn)的關(guān)鍵技術(shù)問題。

[1] 杜淑光, 陳永浩. 網(wǎng)絡(luò)安全與防火墻技術(shù)[J]. 制造業(yè)自動化, 2007, 29(12).

[2] 王丹, 蔡皖東, 蔡俊朝. 分布式網(wǎng)絡(luò)行為審計系統(tǒng)設(shè)計與實現(xiàn)[J]. 微電子學(xué)與計算機(jī), 2008, 25(5).

[3] 鄢喜愛, 楊金民, 常衛(wèi)東. 基于蜜罐技術(shù)的計算機(jī)動態(tài)取證系統(tǒng)研究[J]. 微電子學(xué)與計算機(jī), 2010, 27(1).

[4] 陳龍, 李鵬. 一種基于完整性指示碼的電子證據(jù)分散存儲改進(jìn)方法[J]. 計算機(jī)工程與科學(xué), 2010, 32(11).