（计算机应用技术专业论文）网络入侵取证重构网络入侵取证系统的设计和实现.pdf

摘要 摘要 计算机及网络技术的迅速发展，给人们的现代生活带来了方便、快捷的新鲜 享受。人类丌始进入信息时代、电子商务时代。我们的生活越来越数字化，无纸 社会近在眼前。互联网改变了人们的生活方式、生产方式、管理方式以及思维方 式。互联网最大的优点在于它的资源共享，但这也在一定程度上给我们的生活带 来了一些负面效应，因为很计算机网络犯罪就是利用了这点。 在已有的网络安全研究中，多着眼于防犯入侵，而对于入侵后的取证问题研 究甚少。依据入侵者最有可能在系统日志和网络通信数据中留下的痕迹，研制出 一个网络入侵取证系统。该系统能有效地解决网络入侵取证的难题。 本文首先阐述了计算机取证与分析的概念，然后介绍了网络取证与分析的一 般过程，并把基于间接因果关联的入侵重构技术引入到计算机取证中，并对其进 行了扩展。最后给出了一个网络取证与分析系统的设计与实现。 关键词：电子取证：网络入侵：取证系统；日志模块：网络数据收集模块：间接关联 i i i 江南人学硕上学位论文 a b s t r a c t n o w a d a y st h er a p i dd e v e l o p m e n to fc o m p u t e ra n dn e t w o r kt e c h n o l o g yh a s b r o u g h tc o n v e n i e n c ea n de n j o y m e n tf o rp e o p l e sm o d e r nl i f e t h eh u m a nb e i n g ss t a r t t oe n t e rt h ei n f o r m a t i o na g ea n dt h ee l e c t r o n i cc o m m e r c et i m e s o u rl i f ei sb e c o m i n g m o r ea n dm o r ed i g i t i z e d as o c i e t yw i t h o u tp a p e ri sa th a n d t h ei n t e r n e th a sc h a n g e d p e o p l e sl i f es t y l e s ，p r o d u c t i o nm e t h o d s ，m a n a g e m e n tw a y sa sw e l la st h i n k i n gm o d e s t h ei n t e r n e tb i g g e s tm e r i tl i e si ni t sr e s o u r c e ss h a r i n g ，b u tt h i sa l s oh a sb r o u g h ts o m e n e g a t i v ee f f e c t si nt h ec e r t a i nd e g r e ef o ro u r sl i f e ，b e c a u s ev e r yt h ec o m p u t e rn e t w o r k c r i m eh a su s e dt h i ss p o t t h ef o c u so fc u r r e n ts e c u r i t ys t u d yi sf o rg u a r d i n ga g a i n s ti n t r u s i o n ，b u tt h e r ei s l i t t l er e s e a r c hi n t oc o l l e c t i n ge v i d e n c eo fn e t w o r ki n t r u s i o n t h e r e f o r e ，w er e s e a r c h a n dd e v e l o pac o l l e c t i n ge v i d e n c es y s t e mo fn e t w o r ki n t r u s i o no nt h eb a s i co ft h e t r a c ew h i c hi n t r u d e r sl e f t s y s t e m a t i cl o g sa n dt h en e t w o r kc o m m u n i c a t i o nd a t a p o s s i b l y t h i ss y s t e mc a ns o l v et h ed i f f i c u l t i e so ft h ec o l l e c t i n ge v i d e n c ei nt h e n e t w o r ki n t r u s i o ne f f e c t i v e l y t h ec o n c e p to fc o m p u t e rf o r e n s i c sa n da n a l y s i si sa n a l y z e df i r s t ，a n dt h e ng e n e r a l p r o c e s so fn e t w o r kf o r e n s i c sa n da n a l y s i si si n t r o d u c e d a l s o i n t r u s i o nr e c o n s t r u c t i o n b a s e do ni n d i r e c tc a u s a l i t yr e l e v a n c yi sa p p l i e dt on e t w o r kf o r e n s i c s ，a n di se x t e n d e d t of i tc o m p u t e rf o r e n s i c s f i n a l l y t h ed e s i g n e da n di m p l e m e n t a t i o no fan e t w o r k f o r e n s i c sa n da n a l y s i ss y s t e ma r eg i v e n k e yw o r d s ：c o m p u t e rf o r e n s i c s ；n e t w o r ki n t r u s i o nr e c o n s t r u c t i o n ；c o l l e c t i n ge v i d e n c e s y s t e m ；l o gp a t t e r n ；n e t w o r kd a t ac a t c h i n gp a t t e r n ；i n d i r e c tr e l e v a n c y i v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 本人为获得江南大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名： 基垒尘 日期：2 q 勺孑年主月3 日 关于论文使用授权的说明 本学位论文作者完全了解江南大学有关保留、使用学位论文的规 定：江南大学有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅，可以将学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、 汇编学位论文，并且本人电子文档的内容和纸质论文的内容相一致。 保密的学位论文在解密后也遵守此规定。 签名： 拯生! )导师签名： 日期：) 。口 1 比垂 z l r 年3 月3日 第一章绪论 1 1 课题背景 第一章绪论 随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中， 与计算机相关的法庭案例( 如电子商务纠纷和计算机犯罪等) 也不断出现。一种 新的存在于计算机及相关外围设备( 包括网络介质) 中的电子证据逐渐成为新的 诉讼证据之一。人们每天面对大量的计算机犯罪案例，如商业机密信息的窃取和 破坏、计算机欺诈、对政府或金融网站的破坏等，这些案例的取证工作需要提取 存在于计算机系统中的数据，甚至需要从已被删除( 已经从硬盘上删除，但还没 被新的数据覆盖) 、加密或破坏的文件中重获信息。电子证据本身和电子耿证过 程有别于传统物证和传统取证，这对司法和计算机科学领域都提出了新的挑战。 2 0 0 1 年6 月1 8 日至2 2 日，在法国图鲁兹城召丌的第十三届全球f i r s t 年会上， 对入侵后的系统进行恢复和分析取证成为此次大会的主要议题。由此可见，作为 计算机领域和法学领域的一门交叉科学，计算机取证正逐渐成为人们研究与关注 的焦点。 日益增长的网络安全威胁严重阻碍着网络的进一步发展，给人们造成无可挽 回的经济损失。目前，网络安全研究主要集中在安全防御方面，主要技术包括： 防火墙、入侵检测、安全漏洞扫描，虚拟专用网等。解决黑客入侵问题，除了预先 使用有效的防卫手段以外，还要依靠法律，利用有效的法律手段对黑客行为予以 制裁。而要到达这一目的，就必须进行入侵取证。计算机取证正是在这种形势下 产生和发展的，它标志着网络安全防御理论的成熟。 1 2 计算机取证的定义 作为计算机取证方面的资深人士，j u d dr o b b i n s 先生对计算机取证给出了 如下定义：“计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法 律效力的证据的确定与获取。证据可以在计算机犯罪或误用这一大范围中收集， 包括窃取商业秘密，窃取或破坏知识产权和欺诈行为等。计算机专家可以提供 一系列方法来挖掘储存于计算机系统中的数据或是恢复已删除的、被加密的或被 破坏的文件信息。这些信息在收集证词、宣誓作证或实际诉讼过程中都可能有帮 助。 计算机紧急事件响应和取证公司n e wt e c h n o l o g i e s 进一步扩展了该定义， 即计算机取证包括了对以磁介质编码信息方式存储的计算机取证的保护、确认、 提取和归档。s a n s 公司则归结为如下说法：计算机取证是使用软件和工具，按 l 江南大学硕 ：学位论文 照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪 的证据。而s e n s e i 信息技术咨询公司则将其简单的概括为对电子证据的收集、 保存、分析和称述。 e n t e r a s y s 公司c t o 、办公室网络安全设计师d i c kb u s s i e r e 则认为计算机 取证也可以称作计算机法医学，是指把计算机看作犯罪现场，运用先进的辨析技 术，对计算机犯罪行为进行法医式的解剖，搜寻确认犯罪及其犯罪证据，并据此 提起诉讼的过程和技术。该定义强调了计算机取证与法医学的关联性。 综合以上定义认为，计算机取证是指对能够为法庭接受的、足够可靠和有况 服力的、存在于计算机和计算机相关外设中的电子证据的确认、保护、提取和归 档的过程，它能推动或促进犯罪事件的重构，或者帮助预见有害的未经授权的行 为。若从一种动态的观点来看，计算机取证概念可归结为以下几点： ( 1 ) 是一门在犯罪进行过程中或之后收集证据的技术。 ( 2 ) 需要重构犯罪行为。 ( 3 ) 将为起诉提供证据。 ( 4 ) 对计算机网络进行取证尤其困难，且完全依靠所保护的信息的质量。 1 3 电子证据的概念和特点 从计算机取证的概念中可以看出，取证过程主要是围绕电子证据来进行，因 此，电子证据是计算机取证技术的核心，它与传统证据的不同之处在于它是以电 子介质为媒介的。而且，它的存在形式直接决定着取证的方式及对其的分析方式， 如动态证据就要采用动态方法获取数据，并进行实时分析，这是必须的，因为动 态获取的数据是变化，形式不断发生变化，很可能时间t 1 时刻的数据是有用的 潜在证据，但到了t 2 时刻就变得没用了，比如被黑客删除或其他程序进行覆盖 操作等。 近年来，网络上发生的众多纠纷案件中，电子证据几乎无一例外地出现。和 书面证据不同的是，电子证据往往以多种形式存在：电子文章、图形文件、视频 文件、已删除的文件( 指已经在操作系统中删除，但磁盘区域还没被覆盖) 、隐 藏文件、系统文件、电子邮件、光盘、网页和域名等。而且其作用的领域很广， 如证明著作权侵权、不正当竞争以及经济诈骗等。随着网络技术的快速发展，还 出现了许多除电子文件和邮件以外的新型电子证据。例如，c o o k i e ( “小甜饼 ) ， 能够由网站自动下载到客户端，并在用户不知觉的情况下记录用户的信息。黑客 攻击计算机系统中留下的痕迹也可以作为一种电子证据。目前，国内法学界多数 学者将电子证据定义为：在计算机或计算机系统运行过程中产生的以其记录的内 容来证明案件事实的电磁记录物。 2 第一章绪论 一般来讲，计算机犯罪中，电子证据i 叮分为静态的磁盘证据和动态网络证据 两大类。自 f 者一般包括操作系统同志，网络使用f 1 志，防火墙同志等等。它们的 最人特点是不随着攻击事件的结束而消失，并且重启动后能够再现关机前的情 况，这对于某些场合( 如必须马上关机以中止黑客攻击行为的继续) 来说，这类 证据非常关键，所采用的分析方法主要是静态分析方法。这类证据的存在也是静 态入侵重构分析的前提。 第二类证据主要是网络证据。网络证据就是正在网上传输的计算机证据，其 实质是网络数据流，对它们进行正确地提取和分析后就可以用来作为证据提交给 法庭。网络证据的获取属于事中取证，即在犯罪事件进行或证据数据的传输途中 进行截取。网络数据流的存在形式依赖于网络传输协议，采用不同的传输协议， 网络数据流的格式不同。但无论采用什么样的传输协议，根据其表现形式不同， 都可以把网络数据流分为：文本、视频、音频、图片等等。 网络证据的特点： 动态：区别于存储在硬盘等存储设备中的数据，网络数据流是正在网上传输 着的数据，是“流动 着的数据； 实时：就在网络上传输的一个数据包而言，其传输的过程是有时间限制的， 从源地址经由传输介质达到目的地址就不再属于网络数据流了。所以，网络数据 流的存在具有实时性； 海量：随着网络带宽的不断增加，网上传输的数据越来越多，形成海量数据； 异构：由于网络的结构不同，采用的协议的差别导致了网络数据流的异构性； 多态：网络上传输的数据流有的是文本，有的是视频，有的足音频，其表现 形式呈多态性。 对于网络数据的分析只能采用动态实时的方法，在本文中，将针对这类证据， 建立一个利用i d s 为基础的，最终输出能再现网络攻击过程的系统。而这个入侵 重构输出结果也就是动态网络证据。 电子证据种类很多，有电子邮件，同志文件，历史文件，隐藏文件，交换文 件，c o o k i e 等等，而这些记录或文件都足为了再现犯罪过程，以达到证明其犯罪 的目的。对于黑客入侵案件而言，就是要重构入侵过程，这样才能形成证据链。 在计算机( 网络) 犯罪中，证据链同样需要构成犯罪的四个要件，即主体，客体， 主观方面，客观方面，对这四个方面的分析也就是计算机取证分析主要内容，具 体包括：犯罪主体分析就是依据计算机证据对嫌疑人画像，根据信息重新构建行 为人的地理位置、上网习惯、性别类型、爱好、技术水平等基本情况。对犯罪客 体的分析包括受害程度评估等。对犯罪客观方面的分析主要对犯罪行为进行重 构，证实嫌疑人在什么时间、用什么方法、实施过什么操作，在网络入侵犯罪中， 就是重构网络入侵过程。对犯罪主观方面的分析是对犯罪动机的重构，这方面的 3 江南大学硕 学位论文 研究要结合犯罪心理学进行研究。 1 4 计算机取证的基本原则 实施计算机取证要遵循以下基本原则： ( 1 ) 尽早搜集证据，并保证其没有受到任何破坏，如销毁或其它破坏方式 也不会被取证程序本身所破坏。 ( 2 ) 必须保证耿证过程中计算机病毒不会被引入目标计算机。 ( 3 ) 必须保证“证据连续性 ( c h a i no fc s t o d y ) ，即在证据被正式提交给 法庭时必须保证一直能跟踪证据，也就是要能说明在证据从最初的获取状态到法 庭上出现状态之间的任何变化，当然最好是没有任何变化，还要能够说明证据的 取证拷贝是完全的，用于拷贝这些证据的进程是可靠并可复验的以及所有的介质 都是安全的。 ( 4 ) 整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家 所作的所有调查取证工作，都应该受到由其他方委派的专家的监督。 ( 5 ) 必须保证提取出来的可能有用的证据不会收到机械或电磁损害。 ( 6 ) 被取证的对象如果必须运行某些商务程序，要确保该程序的运行只能影 响一段有限的时间。 ( 7 ) 在取证过程中，应当尊重不小心获取的任何关于客户代理人的私人信 息，不能把这些信息泄露出去。 在整个取证的过程中，都要遵循以上原则，这是由法律对技术的特殊性决定 的。因此，不管设计何种取证分析软件或硬件系统，都要考虑以上原则。否则即 使得出正确结论，因操作不符合法律规范，法庭最终也将不予采纳。因此，这些 原则也是设计任何取证工具系统所要注意的问题。 1 5 计算机取证的一般步骤 计算机取证一般包含如下五个步骤： ( 1 ) 识别证据：识别可获取的信息的类型，以及获取的方法。 ( 2 ) 传输证据：将获取的信息安全地传送到取证分析机上。 ( 3 ) 保存证据：确保跟原始数据一致，不对原始数据造成改动和破坏。 ( 4 ) 分析证据：以可见的方式显示。结果要具有确定性，不要作任何假设。 ( 5 ) 提交证据：向管理者，律师，或者法院提交证据。 4 第一章绪论 1 6 计算机取证的研究现状 1 6 1 计算机取证在国外的研究现状 在国外，尤其在美国等网络技术发达国家，打击计算机犯罪已有二三十年的 历史，在计算机取证方面积累了一定的经验，出现了许多专门的计算机取证部门、 实验室和咨询服务公司。1 9 8 4 年美国f b i 和其它法律执行部门开始建立了检查 计算机证据的实验室，目前，至少7 0 的法律部门拥有自己的取证实验室。很 多专门从事计算机取证的公司开发了许多非常实用的取证产品。比较好的产品 有： ( 1 ) 美国g u i d a n c e 软件公司研制的e n c a s e 产品，它是基于w i n d o w s 系统下 用于法庭数据收集和分析系统，可将在正在运行的系统在不停机的情况下，将系 统的全部运行环境和数据生成一个映像文件，再对该文件进行分析，从而发现犯 罪证据。 ( 2 ) 美国的计算机取证公司( c o m p u t e rf o r e n s i c sl t d ) 开发的d i b s 产品， 它是一种数据镜像备份系统，使用独特的数据景象查证和鉴定技术，确保了单独 复制的绝对安全性和完整性。 ( 3 ) 英国v o g o n 公司开发了基于p c 、m a c 和u n i x 等系统的数据收集和分析 系统( f l i g h ts e r v e r ) ，它可以将计算机犯罪现场中的计算机硬盘逐个扇区( 包括 坏扇区) 进行复制、拷贝，并生成一个物理镜像文件，然后对该镜像文件进行分 析，从而辅助办案人员发现犯罪证据。 ( 4 ) 美国的s a n d s t o r m 公司开发了n e t i n t e r c e p t 网络取证系统，它可获取和 分析网络数据以及数据恢复等功能，能产生详细的报告，可支持6 0 多种网络协 议的数据流格式。国外各研究机构与公司所开发的工具主要覆盖了电子证据的获 取、保全、分析和归档的过程，各研究机构与公司也都在迸一步优化现有的各种 工具，提高利用工具进行电子证据搜集、保全、鉴定、分析的可靠性和准确度， 进一步提高计算机取证的自动化和智能化程度。但目前还没有能够全面鉴定电子 数据证据设备来源、地址来源、软件来源的工具。 在计算机取证理论研究方面，主要集中在取证程序模型的研究。典型的模型 有： ( 1 ) f a r m e r 和v e n e m a 提出了基本过程模型( b a s i cp r o c e s sm o d e l ) 。基本 的取证过程包括：现场安全保证及隔离、对现场信息进行记录、系统地查找证据、 对证据进行提取和打包。 ( 2 ) c h r i sp r o s i s e 和k e v i nm a n d i a 提出事件响应过程模型( i n c i d e n t r e s p o n s ep r o c e s sm o d e l ) 。该方法针对被怀疑俘获的网络紧急系统的响应，可 s 江南人学硕十学位论文 操作性强。其目的是针对系统的一次实时攻击，将系统恢复到初始状态。该过程 模型将计算机取证分为取证准备、事件侦测、初始响应和响应策略确定四个阶段。 ( 3 ) 美国司法公证处( u s d e p a r t m e n to fj u s t i c e ，d o j ) 提出法律执行过 程模型( l a we n f o r c e m e n tp r o c e s sm o d e l ) 。该模型参考了标准的物理现场调查 模型，拉近了数字取证与司法实践问的距离。过程模型的内容有：准备阶段、收 集阶段、检验、分析、报告。 ( 4 ) 美国空军学院( u s a i rf o r c ei n s t i t u t e ) 提出了一个抽象过程模型( a b s t r a c t p r o c e s sm o d e l ) 。该过程模型内容有：识别、准备、策略制定、保存、收集、检 验、分析、提交，为数字取证工具的丌发提供了一个统一的、标准化的框架。 1 6 2 计算机取证在国内的研究现状 在国内，公安部门打击计算机犯罪案件是近几年的事，有关计算机取证方面 的理论研究和工具开发都处于起步阶段。 理沦研究：中科院在网络入侵取证、武汉大学和复旦大学在研究取证技术、 吉林大学在网络逆向追踪、电子科技大学在网络诱骗、北京航空航天大学在入侵 诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。另外， 还有在研的国家级项目：国家8 6 3 项目子课题电子物证保护与分析和公安部 重点项目打击计算机犯罪侦查技术研究，包括计算机系统运行环境勘察取证 技术、计算机系统日志勘察取证技术、常用应用软件默认数据及缓冲数据勘察取 证技术、存储介质种残缺数据勘察取证技术、常用软件加密数据的勘察取证技术、 常见破坏性程序的搜索与取证技术、计算机犯罪证据固定与保全技术和电子数据 证据鉴定技术等八个课题。 技术工具开发：深圳中科新业的网络入侵取证系统、上海金诺网安的计算机 犯罪勘查箱和中软公司的网络信息监控分析与取证系统等。这些工具的面世，在 一定程度上弥补了我国在计算机取证工具研制方面的空白。 2 0 0 5 年召开的c f a t 2 0 0 5 ( 中国计算机取证技术峰会) 是我国第一届计算机 取证技术峰会，她的成功召开标志着我国计算机取证研究已经有了一个可以互相 交流的平台。 1 6 3 计算机取证的关键难题 证据信息完整性问题，攻击源定位问题以及入侵过程分析重建问题是网络取 证过程中面临的关键性问题。 ( 1 ) 证据信息完整性问题 6 第一章绪论 证据信息的完整性足进行法律调查所必需的。在目前司法制度中“谁主张谁 举证”的原则下，当事人要对自己的主张负举证责任，而数字证据篡改、伪造和 销毁非常容易且不会留下任何痕迹，因此必须能够向第三方证明，数字证据收集 中和收集后没有被任何人( 包括受害者本人) 有意或无意删节、篡改和伪造，只 有这样才能保证数字证据具有法律效力。目前国内外对证据信息完整性保护的研 究较少，通过网上第三方认证机构进行数字签名或加盖数字时间戳的方法只适用 于文件完整性保护，这种方法显然不适合证据信息的完整性保护。证据信息完整 性保护必须考虑的另一个问题是，系统每天产生的大量的潜在证据材料，其中多 数信息其实并无太多价值，因此必须考虑对潜在证据信息的约简、压缩和定期删 节，既要提高系统效率又保证必要的证据信息被完整保护。 ( 2 ) 攻击源定位问题 在网络环境中，由于t c p i p 协议固有的缺陷使网络入侵者很容易改变i p 源 地址进行匿名攻击，这使攻击源定位变得非常困难。目前攻击源定位技术包括： 基于主机、基于网络、基于i p 数据包和基于路由器技术等。但这些技术都是针 对整个i n t e r n e t 互联网企图寻求一种完全的解决方案，这需要对现有网络进行 大幅度改造，或在路由器中增加支持攻击源定位功能，或对i p 数据包进行改造， 或在网络中的部署特定的定位设备等等，这并不足在短时间内能够实现的。 ( 3 ) 入侵过程分析重建问题 如何通过对收集到的潜在证据信息的认真分析，识别和重新建立起攻击者真 实地入侵过程并能够证明结论的可信性，是网络取证面临的挑战。目前入侵过程 分析重建主要技术方法包括：由原因到结果、由结果到原因或两者混合。 由原因到结果技术方法的基本原理是，面对长期收集的大量的潜在的证据材 料，首先要初步筛选相关的证据材料。要能够采用多种查询方法，如i p 地址、 时间、空间等多角度的筛选出相关的证据信息集。通过分析初步筛选出的证据信 息集，提出入侵过程的假设。依据已知证据材料做出可能性推断，并同已知事实 汇总起来，构成整个入侵过程的假设。依据假设，在已收集的潜在证据材料中进 一步挖掘可能存在的证据材料以证明假设的成立。如果不存在证据证明假设中的 关键部分，那么就要重新分析证据材料，提出新的入侵过程假设。如此过程循环 直到达到满意。这种方法优点是能够识别出新的未知的攻击手段，但存在的问题 是缺乏引导性，自动化程度低，在某些情况下造成分析过程烦琐。 由结果到原因技术方法又称为启发式的方法。其基本原理是预先建立已知入 侵过程和网络运行情况的模板。发现系统被入侵后，扫描网络查找受害系统漏洞 和系统配置信息，以此为输入同模板相匹配，产生可能的攻击过程假设。由于有 时不能完全记录攻击者入侵的所有细节信息，因此可以对某些过程进行推导假 设。在模拟器上模拟假设的攻击过程，并记录下模拟攻击过程中产生日志。最后 7 江南人学硕，l ：学位论文 将该同志同受害主机同志相对比，确定最为可能的攻击过程。该方法优点是效率 和自动化程度相对较高，但存在问题是缺乏对新的未知的攻击手段的分析和识 别。 目前，计算机取证技术的研究大部分为静态分析方法，即事件发生后对目标 系统的静态分析。这种静态分析方法的对象主要为目标系统的各种文件，包括现 存的正常文件、已经被删除但仍存在于磁盘上( 即没有被新文件覆盖) 的文件、 隐藏文件、经过加密的文件等。这些文件包含了系统日志信息与应用日志信息。 静态分析方法也对位于磁盘特殊区域中的所有相关数据进行分析、提取，包括未 分配的磁盘空问以及分配给文件的最后一簇中未被文件使用的剩余空间，其中可 能包含先前磁盘操作或者文件系统遗留下来的信息。国内外已经开发了不少静态 取证工具，包括数据硬拷贝和恢复工具，如s a f e b a c k ，s n a p b a c k ；数据分析取证 工具，如e n c a s e 、m y c r o f t 等；同志分析工具，如w e b t r e n d st o o l s ，t c p s h o w 等。 但这些静态取证技术的共同不足之处在于没有针对攻击行为进行实时监视和实 时记录。 随着计算机入侵攻击技术的发展变化，静态取证方法已经无法满足要求。因 为入侵者在入侵成功后，完全可能将入侵系统的相关数据销毁，以此来隐匿行踪。 入侵相关的证据数据可能已经被入侵者恶意的删除或者篡改了。这样，事后的静 态取证就不可能取得完整准确的入侵相关数据。因此，需要对静态取证技术进行 改进，以适应计算机犯罪技术的发展。 1 7 课题研究意义及要解决问题 网络入侵取证技术是计算机取证技术的一个重要分支，它是对网络入侵事 件、网络犯罪活动进行的证据获取、保存、分析和出示的一门科学技术，是严格 按照法律对证据的要求对所有针对被保护机器的操作或流经该网段的所有数据 进行如实的记录，为用户通过法律手段保护网络和数据的安全提供基础和保障。 网络入侵取证的目的在于尽可能真实地恢复过去发生网络入侵事件的“现场 。 在取证过程中，做出最后判断之前应将各种可能得到的信息关联起来。 我国有关网络入侵取证的研究与实践尚在起步阶段，只有一些法律法规涉及 到了一些有关计算机证据的说明，如关于审理科技纠纷案件的若干问题的规 定，计算机软件保护条例等。法庭案例中出现的计算机证据也都比较简单， 如电子邮件、程序源代码等不需要使用特殊的工具就能够得到的信息。但随着技 术的不断发展，计算机犯罪手段的不断提高，我们必须制定相关的法律，而且必 须自主开发相关的计算机取证工具，使日益增加的计算机及网络犯罪受到应有的 制裁，进一步保护网民与用户的合法权益不受侵害。 8 第一章绪论 网络入侵取证技术是网络安全核心技术之一，由于它在中国起步较晚，因而 进行相关的研究具有很强的必要性和紧迫性，更深一步，网络入侵重构技术又是 网络入侵取证技术中的核心技术。 9 江南大学硕十学位论文 第二章网络入侵重构技术 2 1 网络入侵重构的起源及概念 网络入侵重构概念最早是在网络入侵检测技术中( i d s ) 中被提出的。当时 由于入侵检测技术的限制，检测系统报警误报率和漏报率都较高。报警数量多， 粒度太细，各个报警之间没有联系，因此无法对入侵者的入侵行为形成全局映像。 为了弥补入侵检测系统的这些缺点，人们提出了入侵过程重构的方法，将入侵检 测系统的报警消息综合分析，从不同的方面反映入侵的特点和步骤，从而提高对 安全事件判断和处理的准确率。 网络入侵重构是指再现入侵者为达到入侵目的所采取的一系列攻击步骤。攻 击步骤之间存在着紧密的联系。准确地重构出入侵过程有助于分析入侵者的入侵 行为模式，评价系统安全状态和预测将要发生的攻击行为。 2 2 在计算机取证中应用的网络入侵重构的意义 首先，计算机取证技术和其他网络安全技术不同，它要求数据的法律标准是 第一位，即如何从海量的，且有着比较高的误报率和漏报率的告警信息提取出有 效的，符合法律规范的证据形式是计算机取证技术中必须首要解决的问题，而网 络入侵重构技术的研究目的就是从海量信息中提取出攻击攻击过程，而这就类似 飞机上的黑匣子，可以把当时入侵时候发生事件、状态重现，这相比海量杂乱的 原始告警信息来说，更具有说服力。 其次，拓展了计算机取证技术的研究范围。以往，计算机取证技术主要是在 计算机入侵事件发生后，由取证人员对磁盘数据、系统日志进行人工静态分析， 这当然是一种重要的分析方法。但这个方法也有着自身的局限性，面对海量数据， 人工分析肯定效率低下；面对事后的静态数据，用同样静态的取证工具去挖掘证 据，则会带来工作模式和结果的单一，缺乏智能自学习性。这对于证据的时效性 要求来讲，显然不利。而引入了静态分析和动态分析相结合的网络入侵重构技术 后，上面的问题就能较有效的解决。而且，如果在在入侵重构技术运用了人工智 能( a i ) 、在线攻击场景重构算法、自我学习、调节参数等方法，这样的网络取 证系统运行一段后，它所分析得出的结果会越来越接近真实情况。而那些事后静 态取证分析工具是无法做到这一点的。 再次，因为针对网络的计算机取证和网络入侵检测有不少类似之处，所以原 来针对入侵重构技术的研究成果仍旧可以在取证系统领域中使用。这使得取证研 究人员，不必从零点开始，只需把原来在i d s 中的使用情况进行修改和扩充，使 它能有效工作在入侵取证系统中。大大缩短了取证研究人员的研发周期。同样， 入侵重构技术也可以作为一个子模块，以插件的方式加入现有的，已经运行的网 1 0 第一二章嘲络入侵蕈构技术 络入侵取证系统中。 2 3 网络入侵重构技术的研究现状 当前，网络入侵重构已经足网络入侵检测技术中的重要研究方向。具代表性 的方法有： ( 1 ) 事件关联法【1 】 该方法利用算法去判断一系列报警事件是否源于同一个攻击行为并完成入 侵过程的重构。所采用的关联算法根据其对先验知识的依赖程度可以划分为两 类：有指导关联算法和无指导关联算法。所谓有指导关联算法指的是在先验知识 的指导下，完成整个事件关联过程。而无指导关联算法不需要先验知识的帮助而 完成事件关联的整个关联工作。从能够查阅到的公开发表的文献来看，除了文献 【2 1 】还没有文献全面的介绍安全领域的事件关联方面的工作的进展。但文献【2 1 】只 是简单罗列了几种事件关联的算法，缺乏对算法的比较分析，同时也没有包含该 领域的一些最新的研究成果和该领域所需做的进一步研究工作。 ( 2 ) 利用模糊聚类实现入侵重构【2 j 该方法针对因果关联在一些条件下会引发关联图分裂的问题，提出利用 模糊聚类的方法实现攻击场景重构。在聚类过程中，针对告警特性提出一种基于 属性层次树的相似度隶属函数定义方法。 ( 3 ) 利用贝叶斯规则的基于可信报警事件的在线入侵重构算法【3 】 该方法利用贝叶斯规则【5 】首先对多个安全设备产生的报警信息进行过滤，生 成了可信的报警事件集，在此基础上完成攻击场景的重构工作，减少了安全设备 产生的误报信息对关联算法的影响，提高了关联算法的健壮性和可扩展性。描述 的关联方法可以使报警事件的聚合操作和攻击场景重构同时进行，实现了对报警 事件的在线分析功能，弥补了现有算法的不足。 ( 4 ) 利用a i 领域的规划求解过程对攻击过程建模【4 】 该方法通过观察a i 领域的规划【6 】概念( 一个规划p l a n 就是一个行为过程的 描述) ，发现它和攻击过程具有很多相似的地方，可以用规划求解过程对攻击过 程建模。该方法中，建立了类似树的数据结构，根结点为总规划，子规划为叶子 结点，结点之间关系可为“或”、“与”、“顺序与”三种关系，并用一个三元组表 示。相应的，它把入侵重构的建模分为攻击行为的建模、攻击意图的建模，攻击 场景的建模。分别规划求解各个子模型，最终得出整个入侵过程。 以上这些方法各有有缺点。他们主要运用范围都针对入侵检测系统。它们的 数据源就是入侵检测系统的告警信息。为了拓展入侵重构技术在计算机取证中的 运用，就必须扩大它的数据源范围，同时采用新的方法。 江南人学硕十学位论文 第三章基于间接因果关联的可信入侵重构分析 作为一个配置好的入侵取证系统，最终必须能提交可读性好、可信度高、具 有法律效力的结果( 证据) 。但在实际运用中，很多信息源并不完整，除了传感 器的误报或漏报，一个主要的因素是：单个警讯过于基本，仅提供很少的信息量， 难以被人理解；对手工处理而言，告警的数量又太多，负担过于繁重。如 m a n g a n a r i s 所言：“单个传感器每天产生1 0 2 0 0 0 0 个告警是正常的。 为解决此 问题，近年来提出了一些关联算法，常见的有基于属性相似度的方法和基于攻击 前提、结果的因果关联算法。基于属性相似度的方法利用入侵取证系统的输出中 存在大量重复告警的特点，将相似的警讯合并成一个，降低了输出结果的数量； 因果关联算法基于这样的假设：入侵者具有一定的攻击计划和目标，这使得他的 各种行动表现出一定的关联性。因此，如发现一个攻击有助于另一攻击的实施， 则可认为这两者存在关联，属于同一个攻击计划。因果关联算法将所有存在关联 的攻击所对应的告警组合起来，整体呈现给安全管理员，这就部分还原出入侵者 的攻击计划，使安全管理员易于理解入侵者的意图。因果关联技术提供了对入侵 更高层次的理解，体现了某种智能的因素，是关联技术未来发展方向之一。 但是，因果关联技术的效果对输入数据的完整性有较高的要求，少量的几次 漏报就可能使原本完整的攻击场景分裂成多个小块，难以得出有意义的结果。以 图3 1 为例，左半部分是关联得到的攻击场景，图中的节点代表警报( 及其对应 的攻击) ，联接节点的线条代表攻击间的关联，关联技术有效的组合了孤立的攻 击。但如果底层i d s 未发现攻击a 、b ，经关联技术处理后的结果如图3 一l 的 右半部分，每个攻击单独构成一个攻击场景，不存在任何关联，这样的攻击场景 对安全管理员没有任何价值，可见遗漏攻击严重影响了关联技术的实用性。 目前的关联技术仅仅是被动的在发现的攻击间建立关联，不主动发掘攻击的 规律，这是造成以上问题的根本原因。本文根据因果关联算法的原理，利用各攻 击的前提与结果间隐含的因果关系，提出了间接发起和发起约束条件的概念，指 出遗漏攻击会造成攻击场景中出现孤立攻击，通过寻找使孤立攻击形成间接发起 关系的攻击序列，就可以发现部分遗漏攻击，并对结果进行可信度分析，提出了 可信度的概念。 1 2 第三章皋于间接| 大l 果关联的可信入侵蕈构分析 n o u oo 图3 1 出现与未出现遗漏攻击的关联结果对比 3 1 因果关联基本原理 o p e n gn i n g 提出的因果关联框架是近期较完善的框架，本文的补全方法主要 基于这一因果关联框架。下面简要介绍了这一因果关联框架的概念。 因果关联中，如果发起一个攻击有助于另一攻击的实施，可认为它们存在关 联。因果关联引入前提与后果来表达抽象的“有助于 概念。攻击的前提指出攻 击成功的必要条件，如端口扫描的前提是目标主机存活；攻击的结果指出一次成 功攻击的可能后果，端口扫描的后果是发现目标主机打开的端口。 为严格起见，使用谓词( p r e d i c a t e ) 作为描述前提与后果的方法，如对端口扫 描，可用i s a l i v e ( d e s t l p ) 表达“目标主机存活”，用k n o w o p e n i n g p o r t ( d e s t l p ) 表 达“发现目标主机打开的端口”。当前提与后果的条件较为复杂时，引入八( a n d ) 、 v ( o r ) 、 ( n o t ) 符号联接各谓词。 一种攻击类型对应着一个警报类型。在因果关联中，仅要求警报包含前提和 后果的描述。当然，对表达前提、后果的谓词中包含的自由变元，也应该有精确 的定义。因此，可认为警报类型由一个三元组( 事实，前提，后果) 构成，“事 实 包含了一系列属性名，每一属性名都有定义，属于一定的类型；“前提 、“后 果”是由谓词与运算符组成的逻辑式，逻辑式中的自由变元定义在“事实中。 对某一具体攻击，将根据攻击的类型，由对应的警报类型生成一个实例，这就是 警报，并用从实际攻击中提取的信息填充“事实，为其中的变元赋值。此外， 警报还包括标识警报发生时间的一时间区间 b e g i n ，t 1 。t i m e e n di m e 对一警报类型t ，p ( t ) 代表t 的前提，c ( t ) 代表t 的后果。对一类型t 的警报h ，p ( h ) 通过将p ( t ) 对应的逻辑式中的自由变元赋值为h 中的值生成； c ( h ) 通过将c ( t ) 对应的逻辑式中的自由变元赋值为h 中的值生成。h b e g i nt i m e 表示h 的开始时间，h e n dt i m e 表示h 的结束时间。 仅使用攻击的前提和后果还不足以说明如何关联两警报，攻击的后果有时可 以推理出更多信息，如目标主机存在n e t b i o s 服务意味着目标主机使用 w i n d o w s 系列操作系统，即由e x i s t s e r v i c e ( d e s t l p ，n e t b i o s 1 可推出 1 3 江南大学硕l ：学位论文 u s e o s ( d e s t l p ，w i n d o w ) 。对任一警报类型t ，其后果集经过推理得到扩充 的后果集，用e x p c ( t ) 表示，对应的实例h 的扩充后果集以e x p c ( h ) 表示。 根据以上定义，对任意两警报类型t 1 、t 2 ，若谓词p e x p c ( t 1 ) ，且p p ( t 2 ) ，称警报类型t 1 发起警报类型t 2 ，对任意两警报h l 、h 2 ，若逻辑式p e x p c ( h 1 ) 、p p ( h 2 ) 且h 1 e n d t i m e h 2 b e g i n t i m e ，称警报h l 发起警报1 1 2 。 这就定义了一种发起意义上的关联关系。表3 1 列举了需要用到的警报类型及 其描述。其中t s i go v e r f l o w 是指b i n d 实现传输签名( t s l g ) 时存在的缓冲区 溢出漏洞进行的攻击( c v ei d ：c v e 2 0 0 1 0 0 1 0 ) ，允许远程攻击者在b i n d 服务 器上执行任意代码； w u f l po v e r f l o w 是指w u f l p d 文件扩展( g l o b ) 失败远程堆溢 出漏洞( c v ei d ：c v e 2 0 0 1 0 5 5 0 ) ，远程攻击者可以通过溢出攻击在主机上以 r o o t 用户的权限执行任意指令。 表3 - 1 警报类型描述 i p s w e e pa e e e s s ( s r c l p )l s a l i v e ( d e s t l p )i s a l i v e ( d e s t l p ) p o r t s c an a c c e s s ( s r c l p ) 八 o p e n p o r t ( d e s t l p , p o r t )o p e n p o r t ( d e s t l p , i s a l i v e ( d e s t l p ) p o r t ) e x i s t s e r v i c e ( d e s t i p , s e r v i c e ) c h a o s 查询 e x i s t s e r v i c e ( d e s td n s v e r s i o n ( d e s t l p , v ed n s v e r s i o n ( d e s t i p , d n s ) r s i o n )i p , v e r s i on ) t s i go v e r f l o w d n s v e r s i o n ( d e s ta c c e s s ( d e s t l p )a c c e s s ( d e s t l p ) ，i s cb i n d 8 2 2 ) f t p i s a