王軍偉

【摘要】網(wǎng)絡(luò)的入侵取證系統(tǒng)是對(duì)網(wǎng)絡(luò)防火墻合理的補(bǔ)充，是對(duì)系統(tǒng)管理員安全管理的能力的擴(kuò)展，可使網(wǎng)絡(luò)安全的基礎(chǔ)結(jié)構(gòu)得到完整性的提高。該文即針對(duì)計(jì)算機(jī)基于網(wǎng)絡(luò)動(dòng)態(tài)的網(wǎng)絡(luò)入侵取證作進(jìn)一步的探討。

【關(guān)鍵詞】網(wǎng)絡(luò)動(dòng)態(tài)；網(wǎng)絡(luò)入侵；網(wǎng)絡(luò)入侵取證系統(tǒng)

計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)，是指對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)及其整體系統(tǒng)的時(shí)控監(jiān)測(cè)，以此探查計(jì)算機(jī)是否存在違反安全原則的策略事件。目前的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，主要用于識(shí)別計(jì)算機(jī)系統(tǒng)及相關(guān)網(wǎng)絡(luò)系統(tǒng)，或是擴(kuò)大意義的識(shí)別信息系統(tǒng)的非法攻擊，包括檢測(cè)內(nèi)部的合法用戶非允許越權(quán)從事網(wǎng)絡(luò)非法活動(dòng)和檢測(cè)外界的非法系統(tǒng)入侵者的試探行為或惡意攻擊行為。

1. 計(jì)算機(jī)入侵檢測(cè)與取證相關(guān)的技術(shù)

1.1計(jì)算機(jī)入侵檢測(cè)。

（1）入侵取證的技術(shù)是在不對(duì)網(wǎng)絡(luò)的性能產(chǎn)生影響的前提下，對(duì)網(wǎng)絡(luò)的攻擊威脅進(jìn)行防止或者減輕。一般來(lái)說(shuō)，入侵檢測(cè)的系統(tǒng)包含有數(shù)據(jù)的收集、儲(chǔ)存、分析以及攻擊響應(yīng)的功能。主要是通過(guò)對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)或者系統(tǒng)中得到的幾個(gè)關(guān)鍵點(diǎn)進(jìn)行信息的收集和分析，以此來(lái)提早發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)或者系統(tǒng)中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產(chǎn)品，計(jì)算機(jī)的入侵檢測(cè)系統(tǒng)需要更加多的智能，需要對(duì)測(cè)得數(shù)據(jù)進(jìn)行分析，從而得到有用的信息。

（2）計(jì)算機(jī)的入侵檢測(cè)系統(tǒng)主要是對(duì)描述計(jì)算機(jī)的行為特征，并通過(guò)行為特征對(duì)行為的性質(zhì)進(jìn)行準(zhǔn)確判定。根據(jù)計(jì)算機(jī)所采取的技術(shù)，入侵檢測(cè)可以分為特征的檢測(cè)和異常的檢測(cè)；根據(jù)計(jì)算機(jī)的主機(jī)或者網(wǎng)絡(luò)，不同的檢測(cè)對(duì)象，分為基于主機(jī)和網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以及分布式的入侵檢測(cè)系統(tǒng)；根據(jù)計(jì)算機(jī)不同的工作方式，可分為離線和在線檢測(cè)系統(tǒng)。計(jì)算機(jī)的入侵檢測(cè)就是在數(shù)以億記的網(wǎng)絡(luò)數(shù)據(jù)中探查到非法入侵或合法越權(quán)行為的痕跡。并對(duì)檢測(cè)到的入侵過(guò)程進(jìn)行分析，將該入侵過(guò)程對(duì)應(yīng)的可能事件與入侵檢測(cè)原則規(guī)則比較分析，最終發(fā)現(xiàn)入侵行為。按照入侵檢測(cè)不同實(shí)現(xiàn)的原來(lái)，可將其分為基于特征或者行為的檢測(cè)。

1.2計(jì)算機(jī)入侵取證。

（1）在中國(guó)首屆計(jì)算機(jī)的取證技術(shù)峰會(huì)上指出，計(jì)算機(jī)的入侵取證學(xué)科是計(jì)算機(jī)科學(xué)、刑事偵查學(xué)以及法學(xué)的交叉學(xué)科，但由于計(jì)算機(jī)取證學(xué)科在我國(guó)屬于新起步階段，與發(fā)達(dá)國(guó)家在技術(shù)研究方面的較量還存在很大差距，其中，計(jì)算機(jī)的電子數(shù)據(jù)的取證存在困難的局面已經(jīng)對(duì)部分案件的偵破起到阻礙作用。而我國(guó)的計(jì)算機(jī)的電子數(shù)據(jù)作為可用證據(jù)的立法項(xiàng)目也只是剛剛起步，同樣面臨著計(jì)算機(jī)的電子數(shù)據(jù)取證相關(guān)技術(shù)不成熟，相關(guān)標(biāo)準(zhǔn)和方法等不足的窘境。

（2）計(jì)算機(jī)的入侵取證工作是整個(gè)法律訴訟過(guò)程中重要的環(huán)節(jié)，此過(guò)程中涉及的不僅是計(jì)算機(jī)領(lǐng)域，同時(shí)還需滿足法律要求。因而，取證工作必須按照一定的即成標(biāo)準(zhǔn)展開(kāi)，以此確保獲得電子數(shù)據(jù)的證據(jù)，目前基本需要把握以下幾個(gè)原則：實(shí)時(shí)性的原則、合法性的原則、多備份的原則、全面性的原則、環(huán)境原則以及嚴(yán)格的管理過(guò)程。

2. 基于網(wǎng)絡(luò)動(dòng)態(tài)的入侵取證系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)

信息科技近年來(lái)得到迅猛發(fā)展，同時(shí)帶來(lái)了日益嚴(yán)重的計(jì)算機(jī)犯罪問(wèn)題，靜態(tài)取證局限著傳統(tǒng)計(jì)算機(jī)的取證技術(shù)，使得其證據(jù)的真實(shí)性、及時(shí)性及有效性等實(shí)際要求都得不到滿足。為此，提出了新的取證設(shè)想，即動(dòng)態(tài)取證，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)系統(tǒng)取證。此系統(tǒng)與傳統(tǒng)取證工具不同，其在犯罪行為實(shí)際進(jìn)行前和進(jìn)行中開(kāi)展取證工作，根本上避免取證不及時(shí)可能造成德證據(jù)鏈缺失?；诰W(wǎng)絡(luò)動(dòng)態(tài)的取證系統(tǒng)有效地提高了取證工作效率，增強(qiáng)了數(shù)據(jù)證據(jù)時(shí)效性和完整性。

2.1計(jì)算機(jī)的入侵取證過(guò)程。

（1）計(jì)算機(jī)取證，主要就是對(duì)計(jì)算機(jī)證據(jù)的采集，計(jì)算機(jī)證據(jù)也被稱為電子證據(jù)。一般來(lái)說(shuō)，電子證據(jù)是指電子化的信息數(shù)據(jù)和資料，用于證明案件的事實(shí)，它只是以數(shù)字形式在計(jì)算機(jī)系統(tǒng)中存在，以證明案件相關(guān)的事實(shí)數(shù)據(jù)信息，其中包括計(jì)算機(jī)數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳輸、記錄、打印等所有反映計(jì)算機(jī)系統(tǒng)犯罪行為的電子證據(jù)。

（2）就目前而言，由于計(jì)算機(jī)法律、技術(shù)等原因限制，國(guó)內(nèi)外關(guān)于計(jì)算機(jī)的取證主要還是采用事后取證方式。即現(xiàn)在的取證工作仍將原始數(shù)據(jù)的收集過(guò)程放在犯罪事件發(fā)生后，但計(jì)算機(jī)的網(wǎng)絡(luò)特性是許多重要數(shù)據(jù)的存儲(chǔ)可能在數(shù)據(jù)極易丟失的存儲(chǔ)器中；另外，黑客入侵等非法網(wǎng)絡(luò)犯罪過(guò)程中，入侵者會(huì)將類似系統(tǒng)日志的重要文件修改、刪除或使用反取證技術(shù)掩蓋其犯罪行徑。同時(shí)，2004年FBI/CSI的年度計(jì)算機(jī)報(bào)告也顯示，企業(yè)的內(nèi)部職員是計(jì)算機(jī)安全的最大威脅，因職員位置是在入侵檢測(cè)及防火墻防護(hù)的系統(tǒng)內(nèi)的，他們不需要很高的權(quán)限更改就可以從事犯罪活動(dòng)。

2.2基于網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)設(shè)計(jì)。

（1）根據(jù)上文所提及的計(jì)算機(jī)入侵的取證缺陷及無(wú)法滿足實(shí)際需要的現(xiàn)狀，我們?cè)O(shè)計(jì)出新的網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)入侵的取證系統(tǒng)。此系統(tǒng)能夠?qū)崿F(xiàn)將取證的工作提前至犯罪活動(dòng)發(fā)生之前或者進(jìn)行中時(shí)，還能夠同時(shí)兼顧來(lái)自于計(jì)算機(jī)內(nèi)、外犯罪的活動(dòng)，獲得盡可能多的相關(guān)犯罪信息?；诰W(wǎng)絡(luò)動(dòng)態(tài)的取證系統(tǒng)和傳統(tǒng)的取證系統(tǒng)存在的根本差別在于取證工作的開(kāi)展時(shí)機(jī)不同，基于分布式策略的動(dòng)態(tài)取證系統(tǒng)，可獲得全面、及時(shí)的證據(jù)，并且可為證據(jù)的安全性提供更加有效的保障。

（2）此外，基于網(wǎng)絡(luò)動(dòng)態(tài)的入侵取證系統(tǒng)在設(shè)計(jì)初始就涉及了兩個(gè)方面的取證工作。其一是攻擊計(jì)算機(jī)本原系統(tǒng)的犯罪行為，其二是以計(jì)算機(jī)為工具的犯罪行為（或說(shuō)是計(jì)算機(jī)系統(tǒng)越權(quán)使用的犯罪行為）。系統(tǒng)采集網(wǎng)絡(luò)取證和代理取證兩個(gè)方面涉及的這兩個(gè)犯罪的電子證據(jù)，并通過(guò)加密傳輸?shù)哪K將采集到的電子證據(jù)傳送至安全的服務(wù)器上，進(jìn)行統(tǒng)一妥善保存，按其關(guān)鍵性的級(jí)別進(jìn)行分類，以方便后續(xù)的分析查詢活動(dòng)。并對(duì)已獲電子證據(jù)以分析模塊進(jìn)行分析并生成報(bào)告?zhèn)溆?。通過(guò)管理控制模塊完成對(duì)整個(gè)系統(tǒng)的統(tǒng)一管理，來(lái)確保系統(tǒng)可穩(wěn)定持久的運(yùn)行。

2.3網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)入侵取證系統(tǒng)實(shí)現(xiàn)。

（1）基于網(wǎng)絡(luò)動(dòng)態(tài)計(jì)算機(jī)的入侵取證系統(tǒng)，主要是通過(guò)網(wǎng)絡(luò)取證機(jī)、取證代理、管理控制臺(tái)、安全服務(wù)器、取證分析機(jī)等部分組成。整個(gè)系統(tǒng)的結(jié)構(gòu)取證代理，是以被取證機(jī)器上運(yùn)行的一個(gè)長(zhǎng)期服務(wù)的守護(hù)程序的方式來(lái)實(shí)現(xiàn)的。該程序?qū)?duì)被監(jiān)測(cè)取證的機(jī)器的系統(tǒng)日志文件長(zhǎng)期進(jìn)行不間斷采集，并配套相應(yīng)得鍵盤操作和他類現(xiàn)場(chǎng)的證據(jù)采集。最終通過(guò)安全傳輸?shù)姆绞綄⒁勋@電子數(shù)據(jù)證據(jù)傳輸至遠(yuǎn)程的安全服務(wù)器，管理控制臺(tái)會(huì)即刻發(fā)送指令知道操作。

（2）網(wǎng)絡(luò)取證機(jī)使用混雜模式的網(wǎng)絡(luò)接口，監(jiān)聽(tīng)所有通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)。經(jīng)協(xié)議分析，可捕獲、匯總并存儲(chǔ)潛在證據(jù)的數(shù)據(jù)報(bào)。并同時(shí)添加“蜜罐”系統(tǒng)，發(fā)現(xiàn)攻擊行為便即可轉(zhuǎn)移進(jìn)行持續(xù)的證據(jù)獲取。安全服務(wù)器是構(gòu)建了一個(gè)開(kāi)放必要服務(wù)器的系統(tǒng)進(jìn)行取證代理并以網(wǎng)絡(luò)取證機(jī)將獲取的電子證據(jù)進(jìn)行統(tǒng)一保存。并通過(guò)加密及數(shù)字簽名等技術(shù)保證已獲證據(jù)的安全性、一致性和有效性。而取證分析機(jī)是使用數(shù)據(jù)挖掘的技術(shù)深入分析安全服務(wù)器所保存的各關(guān)鍵類別的電子證據(jù)，以此獲取犯罪活動(dòng)的相關(guān)信息及直接證據(jù)，并同時(shí)生成報(bào)告提交法庭。管理控制臺(tái)為安全服務(wù)器及取證代理提供認(rèn)證，以此來(lái)管理系統(tǒng)各個(gè)部分的運(yùn)行。

（3）基于網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)，不僅涉及本網(wǎng)絡(luò)所涵蓋的計(jì)算機(jī)的目前犯罪行為及傳統(tǒng)計(jì)算機(jī)的外部網(wǎng)絡(luò)的犯罪行為，同時(shí)也獲取網(wǎng)絡(luò)內(nèi)部的、將計(jì)算機(jī)系統(tǒng)作為犯罪工具或越權(quán)濫用等犯罪行為的證據(jù)。即取證入侵系統(tǒng)從功能上開(kāi)始可以兼顧內(nèi)外部?jī)煞矫??；诰W(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)，分為證據(jù)獲取、傳輸、存儲(chǔ)、分析、管理等五大模塊。通過(guò)各個(gè)模塊間相互緊密協(xié)作，真正良好實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)。

3. 結(jié)束語(yǔ)

隨著信息科學(xué)技術(shù)的迅猛發(fā)展，給人們的生活和工作方式都帶來(lái)了巨大的變化，也給犯罪活動(dòng)提供了更廣闊的空間和各種新手段。而基于網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)，則通過(guò)解決傳統(tǒng)計(jì)算機(jī)的入侵取證系統(tǒng)瓶頸技術(shù)的完善，在犯罪活動(dòng)發(fā)生前或進(jìn)行中便展開(kāi)電子取證工作，有效彌補(bǔ)了計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件中存在的因事后取證導(dǎo)致的證據(jù)鏈不足或缺失。全面捕獲證據(jù)，安全傳輸至遠(yuǎn)程安全服務(wù)器并統(tǒng)一妥善保存，且最終分析獲得結(jié)論以報(bào)告的形式用于法律訴訟中。但是作為一門新興的學(xué)科，關(guān)于計(jì)算機(jī)取證的具體標(biāo)準(zhǔn)及相關(guān)流程尚未完善，取證工作因涉及學(xué)科多且涵蓋技術(shù)項(xiàng)目廣，仍需不斷的深入研究。

參考文獻(xiàn)

[1]魏士靖.計(jì)算機(jī)網(wǎng)絡(luò)取證分析系統(tǒng)[D].無(wú)錫：江南大學(xué)，2006.

[2]李曉秋.基于特征的高性能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[D].鄭州：中國(guó)人民解放軍信息工程大學(xué)，2003.

[3]史光坤.基于網(wǎng)絡(luò)的動(dòng)態(tài)計(jì)算機(jī)取證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].長(zhǎng)春：吉林大學(xué)，2007.

[4]張俊安.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D].成都：西南交通大學(xué)，2003.

[5]戴江山，肖軍模，張?jiān)鲕?分布式網(wǎng)絡(luò)實(shí)時(shí)取證系統(tǒng)研究與設(shè)計(jì)[J].電子科技大學(xué)學(xué)報(bào)，2005（3）.

[文章編號(hào)]1619-2737（2014）03-12-589