（计算机软件与理论专业论文）一种基于人工免疫的网络入侵动态取证方法.pdf

v o 7 7 9 0 7 8 一种基于人工免疫的网络入侵动态取证方法 专业计算机软件与理论 研究生丁菊玲指导教师李涛 追着互联网的发展，计算机犯罪活动越来越猖獗，防火墙和i d s 在一定程 制了黑客入侵，但是高明的入侵者防不胜防，作为主动防御技术的计算机 技术的出现弥补了传统网络安全防御手段的缺陷。然而，传统的计算机取 术都是一种静态方法，其研究与网络监控如入侵检测技术脱节，网络攻击 之后，提取的证据非常有限，而且不能对付高明的黑客，对取证a 员的要 常高，过多地依赖取证人员的工作经验。 人工免疫在网络安全领域的应用的得到了一定程度上的发展，尤其是在i d s 然而，以往的研究缺乏对自体的动态描述，定义的自体都是静态的，而且 的自体是庞大的，缺乏严格的定量描述，造成较大的随意性。 鋈于以e 所述，本文将计算机取证技术与网络监挎技术有机结合起来，提 一种基于人工免疫的网络入侵动态取证方法。本文首先从网络安全研究现 发，介绍了计算机犯罪的发展情况，指出计算机取证技术研究的必要性。 对计算机取证技术做了探讨，分析了传统的静态计算机取证技术，并将静 证技术与动态取证技术进行了比较。 文章从理论e 详细地对基于人丁免疫的动态耿证技术进行了阐述。建立了 入侵监控中有关自体、抗原的动态演化数学模型，提出了基于抗原提呈的 机动态取证模型，给出了具体刻画自体、抗原随时问变化的递推方程。在 础上，进步建立了免疫细胞的耐受、生命周期以及免疫记忆等动态模型 递推方程，探讨了证据的存档及其呈供方法等。最后本文对模型进行了仿 ：验，并通过对比实验表明该模型具有较好的多样性、实时性和自学习、自 性能力。 具体来说，本文的主要贡献肓： 从理论发展和应用产品方面，分析比较了国内外计算机取证技术的 研究现状； 分析了人工免疫系统在网络安兮领域中的应用： 分析了目前现有的计算机耿证技术，对比了静态计算机取证与动态 驭让万法： 详细阐述了基于人1 ：免疫的网络入侵动态取证方法的理论原理； 给出了基于免疫的网络入侵动态取证理论原理上的定量描述，建立 了白体动态演化、抗原动态演化、动态取i ：、动态耐受、免疫细胞 生命周期、动态免疫记忆等数学模型； 建立了基于免疫的网络入侵动态取证系统模型； 系统殴计了基于人工免疫的网络入侵动态取征方法； 实验仿真了基于人工免疫的网络入侵动念取证方法，； 将基_ 丁免疫的网络入侵z 山念取西方法i 传统的静态取证方法进行比 较对照，给出对比结果。 关键词：网络入侵，人工免疫，动态取证，白体耐受 a ni m m u n e b a s e ds y s t e mf o rd y n a m i c c o m p u t e r f o r e n s i c sa g a i n s tn e t w o r ki n t r u s i o n m a j o rc o m p u t e rs o f t w a r e & t h e o r y s t u d e n td i n gj u l i n g a d v i s o rl it a o w i t ht h ed e v e l o p m e n to fi n t e r a c t c o m p u t e rc r i m eh a sb e e nm o r ea n dm o r e r a m p a n t f i r e w a l la n di d s ( i n t r u s i o nd e t e c t i o ns y s t e m lt e c h n i q u e sh a v ee v e rh e l d b a c kt h eh a c ki n t r u s i o n si nac e r t a i ne x t e n t y e t i ti ss od i f f i c u l tf o rt h en e t w o f k s e c u r i t ya d m i n i s t r a t o r st od e f e r i s et h o s ec r a c kh a c k e r s a so n eo ft h ea c t i v en e t w o r k d e f e n s et e c h n i q u e s ，t h ea p p e a r a n c eo fc o m p u t e rf o r e n s i ct e c h n i q u em a k e su pt h e l i m i t a t i o n so ft h et r a d i t i o n a ld e f e n s em e t h o d s h o w e v e r , c u r r e n ts o l u t i o n sf o r c o m p u t e rf o r e n s i c sa r em o s t l ys t a t i cm e t h o d s a n dt h er e s e a r c ho fc o m p u t e rf o r e n s i c t e c h n i q u ei sa p a r tf r o mt h en e t w o r ks u r v e i l l a n c et e c h n i q h es u c ha sn e t w o r ki n t r u s i o n d e t e c t i o n a t i e ri n t r u s i o n s t h ec o l l e c t e de v i d e n c e da r es ol i m i t e dt h a tc a n td e a lw i t h t h o s eh a c k s a l s oi tm a yt a k ee x c e s s i v et i m ea n dr e q u i r es p e c i a lt r a i n i n gf o rf o r e n s i c p r a c t i t i o n e r s t ou s es u c hs t a t i ct o o l st oc o l l e c tu s e f u le v i d e n c e s t h u s ，t h e i r a p p l i c a t i o n si nc o m p u t e rf o r e n s i c sa r eg e n e r a l l yl i m i t e da n dd e p e n d sm o r eo nt h e f o r e n s i cp r a c t i t i o n e r s e x p e r i e n c e a r t i f i c i a li m m u n es y s t e m ( a i s ) h a sb e e nd e v e l o p i n gi nt h en e t w o r ks e c u r i t y a r e a , e s p e c i a l l yt h ei n t r u s i o nd e t e c t i o ns y s t e m b u tt h ef o r m e rr e s e a r c hl a c k sd y n a m i c d e s c r i p t i o nf o rs e l f t h ed e f i n e ds e l fi ss t a t i c t h en t m a b e ro ft h ec o l l e c t e ds e l f si s l u r g e a n dt h e r ei sn oq u a n t i t i v ed e s e r j i p t i o nw h i c hr e s u i t si nm o r er a n d o m n e s s f o r t h i sr e a s o n i nt h i sp a p e r , t h ec o m p u t e rf o r e n s i ct e c h n i q u ei st i g h t l yc o m b i n e d 而t 1 1 t h en e t w o r ks u r v e i l l a n c et e c h n i q u e a n dam e t h o do fi m m u n e b a s e dd y n a m i c c o m r l u t e rf o r e n s i c sa g a i n s tn e t w o r k i n t r u s i o ni sp u tf o r w a r d i nt h i sp a p e hf i r s t l yt h eg e n e r a ld e v e l o p m e n to fc o m p u t e rc r i m ef r o mt h e r e s e a r c ho v e r v i e wo fn e t w o r ks e c u d t yi si n t r o d u c e d a n dt h en e c e s s i t yt oc o m p u t e r f o r e n s i c st e c h n i q u er e s e a r c hi sp o i n t e do u t t h ek i n d so fc o n v e n t i o n a lc o m p u t e r f o r e n s i c st e c h n i q u e sa r ed i s c u s s e di n t h i sp a d e r n l es t a t i cc o m p u t e rf o r e n s i c s t e c h n i q u e sa r ea n a l y z e da n dc o m p a r e dw i t hd y n a m i cc o m p u t e rf o r e n s i ct e c h n i q u e s t h em e t h o do f i m m u n e b a s e dd y n a m i cc o m p u t e rf o r e n s i c si sd e s c r i b e di nd e t a i l s a n dw i t ht h ec o n c e p t sa n dt h ef o r m a ld e f i n i t i o n so f s e l f , n o n s e l f , a n t i g e n ，l y m p h o c y t e a n dd i g i t a le v i d e r i c ea l ei n t r o d u c e di nt h en e t w o r ks u r v e i l l a n c ea n dc o m p u t e r i i i f o r e n s i c s ，t h ed y n a m i ce v o l u t i v em o d e l sa n dt h er e c u r s i v ee q u a t i o n st o t h es e l f , a n t i g e n ，d y n a m i cc o m p u t e rf o r e n s i c s ，i m m u n o l o g i c a l t o l e r a n c e ，l i f e c y c l e o f l y m p h o c y t ea n di m m u n em e m o r y a r ep r e s e n t e d t h e r e f o r e ，an e wm o d e lf o r i m m u n e b a s e dd y n a m i cc o m p u t e rf o r e n s i c sa g a i n s tn e t w o r ki n t r u s i o nh a st h u sb e e n b u i l t w ea l s od i s c u s sh o wt ok e e pd i g i t a le v i d e n c e sa n di t sw a yt os h o wo u t t 1 1 c s i m u l a t i o nf o rt h i sm o d e lh a sb e e ng i v e n t h ec o n t r a s t i v ee x p e r i m e n tr e s u l ts h o w s t f l a tt h en e w m o d e lh a st h ef e a t u r e so fr e a l t i m e ，s e l f - l e a r n i n g ，s e l f - a d a p t i v ea n d d i v e r s i t y t h e r e f o r e ，i ti sag o o ds o l u t i o nf o rd y n a m i cc o m p u t e rf o r e n s i c s s p e c i f i c a l l y , t h ec o n t r i b u t i o n so f t h ep a p e ri n c l u d e s ： a n a l y z i n gt h er e s e a r c ho v e r v i e wo fc o m p u t e rf o r e n s i ct e c h n i q u e sa t h o m ea n da b o a r da st ot h et h e o r yd e v e l o p m e n ta n da p p l i c a t i o np r o d u c t s ， p o i n t i n go u tt h ee n d a n g e r i n gc o m p u t e rc r i m ed e v e l o p m e n t ； a n a l y z i n gt h ea p p l i c a t i o no fa r t i f i c i a li m m u n es y s t e mi nt h en e t w o r k s e c u r i t ya r e a ； i n t r o d u c i n gt h ee x i s t i n gc o m p u t e rf o r e n s i ct e c h n i q u e s c o m p a r i n gs m i l e c o m p u t e rf o r e n s i ct e c h n i q u e sw i t hd y n m n i co n e s ，a l s od i s c u s s i n gt h e e x i s t i n gd y n a m i cc o m p u t e rf o r e n s i ct e c h n i q u e s ； p r o p o s i n ga ni r o l t l u n e b a s e dm e t h o df o rd y n a m i cc o m p u t e rf o r e n s i c s a g a i n s tn e t w o r ki n t r u s i o n ； e x p o u n d i n gt h et h e o r y o ft h ei m m u n e - b a s e dm e t h o do fd y n a m i c c o m p u t e rf o r e n s i c sa g a i n s tn e t w o r ki n t r u s i o n ； g i v i n go u tt h eq u a n t i t i v ed e s c r i p t i o no ft h et h e o r y , p r e s e n t i n gt h e d y n a m i ce v o l u t i v e m o d e l sa n dt h er e c u r s i v e e q u a t i o n s t os e l f , a n t i g e n 。d y n a m i cc o m p u t e rf o r e n s i c s ，i m m u n o l o g i c a lt o l e r a n c e ，l i f e c y c l eo f l y m p h o e y t e sa n di m m u n em e m o r ye t c ； b u i l d i n gt h em o d e l 甜也ei m m u n e b a s e ds y s t e mf o rd y n a m i cc o m p u t e r f o r e n s i c sa g a i n s tn e t w o r ki n t r u s i o n s ； d e s i g ! i f i n gt h es y s t e mo fd y n a m i cc o m p u t e rf o r e n s i c sa g a i n s tn e t w o r k i n t r u s i o n s ； i m p l e m e n t i n g t h e s y s t e mo fd y n a m i cc o m p u t e r f o r e n s i c sa g a i n s t n e t w o r ki n t r u s i o na n dc o m p a r i n gw i t ht h es t a t i et 0 0 1 k e y w o r d s ：n e t w o r ki n t r u s i o n , a r t i f i c i a li m m u n es y s t e m ，d y n a m i cc o m p u t e rf o r e n s i c s ， s e l f - t o l e r a n c e 四川大学硕士学位论文 1 绪论 1 。1 背景 随着国家信息化、网络化的不断发展，黑客成为了网络社会的一大公害， 因为他t 1 的不断入侵，严重危害了网络社会匝常秩序，甚至威胁到国家安全， 汁算机犯罪( c o m p u t e r c r i m e ) 愈演愈烈。 计算机犯罪一词从被人们提出来到现在已经有许多年了，并且得以广泛使 用。在我国新修订的刑法o “”第2 8 5 条( 非法侵入计算机信息系统罪) 、第2 8 6 条( 破坏计算机信息系统罪) 、第2 8 7 条( 利用计算机实旋的各类犯罪) 当中 对计算机犯罪作了法律上的规定。 计算机犯罪指的是行为人通过计算机操作所实施的危害计算机信息系统 ( 包括内存数据及程序) 安全以及其他严重危害社会的并应当处以刑罚的行 为。 计算机犯罪始于上个世纪六十年代，七十年代迅速增长，八十年代形成威 胁。美国因计算机犯罪造成的损失已在千亿美元以上，年损失达几十亿，甚至 上百亿美元，英、德的年损失也达几十亿美元。近年来，计算机犯罪的对象从 金融犯罪到个人隐私、国家安全、信用卡密码、军事机密等等，无所不包。而 酲犯罪发展迅速。我国从1 9 8 6 年开始每年出现至少几起或几十起计算机犯罪， 到1 9 9 3 年一年就发生了上百起，近几年利用计算机计算机犯罪的案件以每年 3 0 的速度递增，其中金融行业发案比例占6 1 ，平均每起金额都在几十万元以 上，单起犯罪案件的最大金额高达1 4 0 0 余万元，每年造成的直接经济损失近 亿元，而且这类案件危害的领域和范围将越来越大，危害的程度也更严重。计 算机犯罪涉及面广，已经涉及了所有计算机联网的领域。而且据2 0 0 5 年的c e r t ( 应急响应中心) 的报告”1 显示，仅2 0 0 4 年报告的网络安全事件就为6 4 6 8 6 起， 而2 0 0 3 年为1 3 4 3 0 起，2 0 0 2 年为1 7 6 1 件，由此可见，网络安全事件的发生越 来越普遍，计算机犯罪的案件也越来越多，对社会造成的危害越来越大。 在各种各样的计算机犯罪手段和网络安全防御技术对垒的形势下，如果仅 仅通过现有的网络安全技术防止计算机犯罪已经不能适应现实情况，在这种情 四川人学硕士学位论文 况下，计算机取证i ”( c o m p e e rf o r e n s i c s ) 的出现让司法人员对计算机犯罪案 件看到了希望。因为，在攻击事件发生后，如果没有证据证明所发生的事件， 在选择法律途径束解决这类案件时就没有充实的法律追索权。 计算机取证在网络安全中属于主动防御安全技术，极具挑战性和发展性， 在构建对入侵者有威慑力的网络安全主动防御体系时，具有重大的意义。 计算机取证也称计算机法医学，它是指运用计算机辨析技术，对计算机犯 罪行为进行分析以确认罪犯及电子证据，并据此提起诉讼。也就是针对计算机 入侵与犯罪，进行证据获取、保存、分析和出示。从技术上讲，计算机取证是 一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。 传统的计算机取证技术是一种静态的计算机取证，也就是是在案发后对现 场进行分析取证，所获取的证据缺乏实时性与连续性，因而在法庭上缺乏说服 力，有时入侵者会在入侵后清除入侵足迹，对此传统的静态取证则显得无能为 力。 目前，相应的计算机取证技术正从传统的事后取证模式转向与i d s 、蜜罐 ( h o n e y p o t ) 等网络安全工具相结合的动态取证模式”“”1 。动态取证是在计算 机犯罪发生时进行取证的，即能在入侵时实时进行，从而其提取的证据具有实 时性和连续性，结合入侵前后的网络环境变量可再现入侵过程，因而使其提取 的电子证据更具有说服力与法律效力。 基于此，本文提出了一种基于人工免疫的网络入侵动态取证系统。该系统 建立了基于动态克隆选择原理的入侵监控细胞以及动态取证细胞的模型，并对 该模型进行了仿真。对比实验表明该模型能有效地对多种攻击进行实时证据的 提取，具有自适应性、分布性、实时性等优点，是动态计算机取证的一个较好 解决方案。 综上所述，对基于人工免疫的网络入侵动态取证的研究主要集中在以下几 个方面： 将传统的静态计算机取证与动态计算机取证进行比较； 对比了几种计算机动态取证方法； 基于人工免疫的网络入侵动态取证方法的理论研究； 对基于人工免疫的网络入侵动态取证方法的整体设计； 实验仿真基于人工免疫的网络入侵动态取证方法； 对比静态取证工具与基于人工免疫的网络入侵动态取证所进行的 2 四川大学硕士学位论文 取证结果； 得出仿真对比结论。 1 2 课题来源 本课题来源于四川大学计算机学院李涛教授主持的国家自然科学基金( 项 目编号：6 0 3 7 3 1 1 0 ) 、教育部博士点基金( 项目编号：2 0 0 3 0 6 1 0 0 0 3 ) “大规模 网络入侵动态取证、实时风险检测与控制技术”。本课题是解决其中网络入侵 动态取证这一部分的。 1 3 国内外研究应用现状 计算机取证这一术语是1 9 9 1 年在美国召开的国际计算机专家会议上首次 提出的。最近几年，计算机取证技术的研究成为网络安全领域的研究热点，每 年都有相关的国际会议召开。 2 0 0 1 年6 月1 8 日至2 2 日，在法国图鲁滋城召开的为期5 天的第十三届全 球f i r s t ( f o r u mo f i n c i d e n tr e s p o n s ea n ds e c u r i t yt e a m s ) 年会上，入侵后的系 统恢复和分析取证成为此次大会的主要议题；此后接连地在美国、加拿大等国 分别召开的第1 4 、1 5 、1 6 届f i r s t 年会上，计算机取证再次成为主要的热点。 计算机取证是门针对计算机入侵与犯罪进行证据获取、保存、分析和出 示的科学与技术，是现代网络安全技术的重要组成部分，是对传统网络安全技 术的重要补充。单靠传统的防御手段已经无法抵御黑客的入侵，还应该从法律 的角度来考虑计算机网络安全问题，而计算机取证问题是网络诉讼的核心部 分。 近几年许多国家也相继出现了许多专门的计算机取证部门、实验室和咨询 服务公司，并有一些产品已经研制出现。 国际上对计算机取证的技术研究、专门的工具软件的开发以及相关商业服 务的出现始于2 0 世纪9 0 年代中后期。尤其是近几年来，在计算机取证理论研 究方面已经有了比较深入的研究。美国已建成和计划建设的计算机取证实验室 共5 个，用来做恐怖活动追踪和计算机犯罪调查。另外，美国计算机犯罪取证 先驱，d a nf a r m e r 和w i e t s ev e n e m a 编写了能够有助于取证检查的一些工具， 四川人学硕十学位论文 还有一些进行数据恢复的软件能辅助进彳亍取证检查。对于专业的计算机取证技 术和设备方面，国外已经处于成熟阶段，以美国l o g i c u b e 、i c s 、g u i d a n c e 、 a c c e s s d a t a 为代表的公司不断推出并改进其专业取证、数据分析软硬件产品。 l o g i c u b e 是当今发展最为迅速的硬盘复制公司，是硬盘复制，备份和计算 机司法取证领域的行业领袖。提供革命性的全系列硬件及软件复制产品，其硬 盘复制机提供硬盘复制，数据备份和数据恢复，在硬盘复制领域具有丰富的工 程和设计经验。 i c s ( i n t e l l i g e n tc o m p u t e rs o l u t i o n s ) 是设计和生产高速硬盘复制设备、软件 克隆以及诊断系统的技术领头羊。无论是个人司法取证还是联邦国家司法的执 法机关，i c s 都是一个突出的计算机取证服务提供商。 g u i d a n c e 公司是提供计算机取证和应急响应解决方案的行业领袖。该公司 开发的e n c a s e ( 见2 2 3 2 专用取证程序) 是业界公认的最具有权威性的计算 机取证工具之一。 a c c e s s d a t a 早在1 9 8 7 年就开始从事计算机取证技术和加密系统的研发，是 最早提供计算机取证技术服务的公司之一，也是密码恢复领域的专家。 a c c e s s d a t a 公司服务于联邦政府、卅i 、地区司法机关甚至整个美洲，其计算机 取证调查工具已经成为全球行业标准。 另外，英国的v o g o n 是全球最大的数据恢复服务提供商之，在计算机取 证方面，v o g o n 是欧洲和北美的许多政府部门和司法机关的服务提供商，主要 涉及计算机证据的提取、分析和提呈。 2 0 0 4 年l1 月3 同，我国首届全国计算机取证技术研讨会在北京顺利结束。 会上，冯登国、卿斯汉、许榕生、贺也平等国内知名学者就计算机取证技术的 有关热点问题作专题报告。我国是近两年才涉足计算机取证方面的研究，但发 展迅速。 目前，国内研究机构对计算机取证的研究现状大致如下：中国科学研究院 致力于“取证机”的开发研究工作；浙江大学和复旦大学在研究计算机取证技 术；吉林大学立足于网络逆向追踪；成都电子科技大学在网络诱骗以及北京航 空航天大学在入侵诱骗模型等方面都展开了一定的研究工作。但这些研究都目 前为止都还没有看到相关的阶段性成果的报道。 然而，我们应该认清的形势是：在我国，有关计算机取证的研究与实践尚 处于起步阶段。目前，全国各省市级公安机关基本已经建立了专门打击计算机 4 四川大学硕士学位论文 犯罪的执法机构。但这些执法机构技术上还缺乏有效的工具，仅有的也只是利 用国外的一些常见取证工具或自身的技术经验，程序上还缺乏一套计算机取证 流程，提供给法庭的证据很容易遭到质疑。因此急需有效组织社会资源，加强 打击计算机犯罪的技术研究。 令人可喜的是，在我国，一些致力于网络安全产品研发的公司也开始推出 自己的取证产品：2 0 0 4 年5 月，上海金诺网安公司成功开发研制了金诺网安 介质取证系统软件，此产品同时具备了面向普通用户的数据恢复功能和面向公 安等专业用户的取证功能。北京天宇公司在计算机取证产品的开发方面已经走 到前列，研发了数种取证产品：如，数据分析专用机、数据恢复专用机、移动 介质取证套装等。另外，厦门美亚柏科资讯公司推出了网络监控及电子数据 取证勘查系列产品。总的来说，这些产品工具中对计算机上的所有数据进行总 体分析的工具还不多，尤其是缺乏反跟踪能力。这些网络安全入侵取证产品的 出现，在一定程度上为用户通过法律手段保护网络和数据的安全提供了基础和 保障。 以上所述计算机取证研究现状均针对于传统的静态计算机取证而言。目前 国内对动态计算机取证刚刚开始。深圳中科新业公司于推出了“网络黑匣子”， 这是亚洲首台互联网入侵取证系统，也是目前国内唯一的网络入侵取证产品。 另外，启明星辰公司也对动态取证展开了一定的研究工作。总的来说，对于动 态计算机取证，目前还仅仅处于开始阶段，几乎没有多少研究人员涉及这一领 域，相关的报道也几乎没有。 此外，计算机安全领域中的网络入侵方面，人工免疫理论的注入促进了它 的迅速发展。1 9 9 4 年，f o r r e s t 提出了否定选择算法0 3 。此后，否定选择算法应 用于网络入侵检测问题，其中f o r r e s t 和其他人一起介绍了一种入侵检测方法， 该方法是通过监控特定的活动进程使用的系统调用来实现。之后，h o f m e y r 和 f o r r e s t 提出了一种人工免疫系统结构( a r t i s ) ”，在i d s 领域中取得了很大的 进步。a r t i s 用来监控网络数据流中的t c ps y n 包，结合了很多免疫机制( 包 括耐受、检测器生命周期、监测器记忆、协同刺激等) 。k i m 和b e n t l e y 提出 了一个网络入侵检测人工免疫模型，之后又提出了动态克隆选择算法 ”“1 。在另外，d a s g u p t a 也提出了一种基于免疫的i d s 整体架构”，该框架 中定义了大量a g e n t s ，这些a g e n t s 模拟生物免疫系统中的免疫细胞执行免疫功 能。由此，基于人工免疫的网络入侵检测技术得到了发展。 s 四川1 人学硕十学位论文 2 1 2 ；e = = = = t - 。_ ，_ _ l = ，_ _ t _ - z - _ _ _ _ _ _ - - - - 。- 。_ - _ _ ，_ _ _ _ _ h _ ；_ _ - _ _ _ _ _ - - - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ _ - _ - 目| _ _ e = j _ _ 一t _ _ _ - - - _ _ _ 一 但是，在f o r r e s t 等人建立的基于免疫的入侵检测系统存在以下问题：一是 定义的自体库非常庞大，这样给整个入侵检测系统带来很大的代价；另外一个 是系统中自体、非自体的描述为一种静念的方式， 一旦定义后极少变化，这样 不能满足真实网络环境下网络监控的需求，缺乏较好的自适应性。在k i m 等人 建立的动念克隆选择算法中，进行了初步的尝试，试着克服这一缺点，但是由 于缺乏系统的定量的描述，具有较大的随意性。 基于以上所述，本文在此基础上提出了一种基于人工免疫的网络入侵动态 取证方法，该方法是构建在基于人工免疫理论上的网络入侵技术基础之上的。 将网络监控技术与计算机取证技术结合起来，达到动态取证的目的，实现实时 证据的提取，能够有效地得到证据，同时，浚方法具有自适应性、分布性、动 态性，是动态计算机取证的一种较好解决方案。 1 4 本文工作 本文设计并实现了一种基于人工免疫的网络入侵动态取证系统，主要工作 如下： 从理论发展和应用产品方面，分析比较了国内外计算机取证技术的 研究现状； 分析了目前现有的计算机取证技术以及电子证据的特点，对比了静 态计算机取证与动态取证方法，对比了现有的动态计算机取证方法； 分析了人工免疫系统在网络安全领域中的应用； 提出了一种基于人工免疫的网络入侵动态取证方法； 阐述了基于人工免疫的网络入侵动态取证方法的理论原理； 给出了理论上的定量描述； 建立了基于免疫的网络入侵动态取证系统模型； 系统设计了该种基于人工免疫的网络入侵动态取证方法； 实验仿真了基于人工免疫的网络入侵动态取证方法： 与传统的静态取证方法进行比较对照，得出实验结果。 6 - 四j 1 1 人学硕士学位论文 1 5 论文结构 本文设计并实现了一种基于人工免疫的网络入侵动态取证系统，并介绍了 相关的原理及技术。论文的结构如下： 第一章，( 即本章) 讲述课题背景、来源，国内外研究现状及本文下作。 第二章，分析了现有的计算机取证技术，对比了传统的静态取证方法与现 有的动态取证方法，介绍了现有的动态取证方法。 第三章，介绍了人工免疫系统原理及其主要算法，以及本文中采用的算法。 第四章，阐述了基于人工免疫的网络入侵动态取证系统的理论原理，给出 了该系统模型的定量描述，以及相关递推方程，分析并设计了该系统模型。 第五章，用实验仿真了基于人一i j 免疫的网络入侵动态取证方法，得出实验 结果，对比了传统静态取证方法的实验结果。 第六章，对全文总结。 1 6 小结 信息技术的普及，计算机网络的广泛应用，大大地加快了社会进步的脚步。 然而，利用计算机进行的计算机犯罪活动从2 0 世纪6 0 年代末开始出现，在7 0 年代发案率迅速上升，而今，计算机犯罪手段表现得愈来愈智能化，愈来愈难 以防范，因此，有必要对计算机取证技术进行深入的研究和应用。事实也是如 此，计算机取证技术在国际、国内都已经开始了广泛研究，并得到快速发展。 四川大学硕士学傅论文 2 计算机取证技术 2 1 计算机取证概述 2 。1 1 计算机取证定义 计算机取证的定义。3 “”很多，但大同小异。总的来说，有以下说法： j u d dr o b b i n s 作为计算机取证方面资深专业人士，对计算机取证给出了自 己的定义：“计算机取证不过是将计算机调查和分析技术应用于对潜在的、有 法律效力的证据的确定和获取。证据可以在计算机犯罪或误用这一+ 大范围中收 集，包括窃取商业机密、窃取或破坏知识产权和欺诈行为等”。 计算机紧急事件响应和取证咨询公司n e wt e c h n o l o g i e s 进一步扩展了该定 义，定义计算机取证为：包括了对以磁介质编码信息方式存储的计算机证据的 保护、确认、提取和归档。 s a n s 公司认为：计算机取证是使用软件和工具，按照一些预先定义的程 序，全面地检查计算机系统，以提取和保护相关计算机犯罪的证据。 s e n s e i 信息技术咨询公司则将计算机取证简单概括为对电子证据的收集、 保存、分析和陈述。 澳大利亚司法局取证专家r o dm c k e m m i s h 提出：计算机取证就是以合法 的行为确定、保存、分析、提呈数字证据的过程。 e n t e r a s y s 公司的c t o 、办公网络安全设计师d i c kb u s s i e r e 认为：计算机取 证，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进 行法医式的解剖，搜寻确认犯罪及其犯罪证据，并据此提起诉讼的过程和技术。 该定义强调了计算机取证和法医学的关联性。 另外还有其他一些杂家之谈，如计算机取证就是计算机科学应用到司法调 查中的过程( v a r n e y ，2 0 0 0 ) ：计算机取证是用来揭露公认的犯罪现场和组织大 量数据的技术( k u c h t a ，2 0 0 0 ) ；计算机取证就是发现计算机系统中的数据或者 恢复被删除、加密或者破坏的文件信息的一系列方法( d e a r n e ，2 0 0 1 ) 。 计算机取证人员是集技术师、程序员、调查员于一体的。第一个进行计算 四川大学硕十学位论文 机取证的人可以说是c l i f f o r ds t o l l ，1 9 8 9 年，他通过一系列的计算机侦察，查 出了一个间谍。也就是从那时丌始，到2 0 世纪9 0 年代，国际上计算机取证才 外始发展起来。 目前，计算机取证发展迅速，计算机取证技术研究人员指出计算机取证的 二丈研究方向为： 1 ) 基于网络的取证：网络入侵取证的目的在于尽可能真实地恢复过去 发生网络入侵事件的“现场”。在取证过程中，做出最后判断之前应 将各种可能得到的信息关联起来。 2 ) 基于主机的取证：包括原始二进制流的映像拷贝及分析、对比分析 与关键字查询、文件特征分析、残留数据分析、s l a c k 空间的数据分 析等，尽可能地将主机入侵的过程呈现。 3 ) 与国内相关法律人士相配合：没有法律界的配合与支持，取证技术 发展再好也会显得单薄无力，因此迫切需要一整套完整的法律体系 来形成支撑，也真诚希望相关法律界人士能参与进来。 2 1 2 电子证据 2 1 2 1 电子证据概述 计算机取证的过程主要是围绕电子证据来进行，因此电子证据是计算机取 证技术的核心。 证据作为法官判定犯罪嫌疑人是否犯罪的标准，在人类的司法证明友展过 程中，其方法和手段经历了两次重大转交。第一次是以“神证”为主的证明向 以“人证”为主的证明的转变：第二次是以“人证”为主的证明向以“物证” 或“科学证据”为主的证明的转变。 之后随着科学技术的突飞猛进，各种以人身识别为核心的物证技术层出不 穷。如笔迹鉴定法、人体测量法、指纹鉴定法、足迹鉴定、牙痕鉴定、声纹鉴 定、唇纹鉴定等技术不断地扩充着司法证明的“武器库”，特别是2 0 世纪8 0 年代出现的d n a 遗传基因鉴定技术，更给司法证明带来了一次新的飞跃。而电 子证据的出现，则是对传统证据规则的一个挑战。 电子证据的出现在信息技术较发达的美国已有3 0 年左右的历史，而出现在 四川大学硕士学位论文 我国的法庭上，历史不到1 0 年。最初的电子证据是从计算机中获得的正式输 出，法庭刁i 认为它与普通的传统物证有什么不同。但随着计算机技术的发展， 以及随着与计算机相关的法庭案例的复杂十牛的增加，电子证据与传统证据之间 的类似性逐渐减弱。 1 9 7 6 年，美国就出台了相应的有关法律条文来解决由电子证据带来的计算 机犯罪问题。在我国，有关计算机取证的研究与实践都尚在起步阶段，只有一 些法律法规涉及到了一些有关电子证据的说明，如关于审理科技纠纷案件的 若干问题的规定，计算机软件保护条例等。法庭案例中出现的电了证据也 都比较简单，如电子邮件、程序源代码等不需要使用特殊的工具就能够得到的 信息。随着技术的不断发展，计算机犯罪手段的不断提高，必须制定相关的法 律，开发相关的自主软件以保护人们的合法权益不受侵害。 2 0 0 2 年1 0 月1 日起施行的最高人民法院 第六十四条规定：“以有形载体固定或显示的电子数据交换、电子邮 件以及其他数据资料) 其制作情况和真实性经对方当事人确认，或者以公证等 其他有效方式予以证明的，与原件具有同等的证明效力。”正式确立了电子证 据作为诉讼证据在行政诉讼中的法律地位。这在总体上适应了共性的行政诉讼 需求，是我国诉讼法律制度前进的重要一步。另外，我国于2 0 0 5 年4 月1 日 起施行了中华人民共和国电子签名法。 目阿，国内法学界多数学者将电子证据定义为：在计算机或计算机系统运 行过程中产生的以其记录的内容来证明案件事实的电磁记录物，也称计算机证 据。还有一个相关的名词一数字迁据，它只是电子证据的一种，更是主要的电 子证据类型。另外，需要注明的一点是，国外很多业界人士、专家将电子证据 称为计算机证据。因此本书如不特别注明，计算机证据就是电子证据，它们之 间等同。 2 1 2 2 电子证据特点 与传统证据一样，电子证据必须是：可信的、准确的、完整的、符合法律 法规的，即可为法庭所接受的。电子证据和其他种类的证据一样，具有证明案 件事实的能力。而且在某些情况下电子证据可能是唯一的证据。同时电子证据 与其他种类的证据相比，有其自身的特点： 四川1 人学硕士学位论文 1 表现形式的多样性：电子证据以计算枧为载体，其实质是以一定格式存 储在计算机硬盘、软盘或c d r o m 等存储介质上的二进制代码，其形成和还原都 要借助于计算机设备。 2 存储介质的电子性：电子证据依据计算机技术产生，化为一组组电予信 息存储在特定的电子介质上。它的产生和重现必须依赖于这些特定的电子介 质。 3 准确性：如果没有人为的蓄意修改或毁坏，电子证据能准确地反映整个 事件的完整过程和每一个细节，准确度非常高。 4 脆弱性：存放在电磁介质上的电子证据，可以轻易被改动，并且不会留 下任何痕迹。另外，电子证据还很容易受到电磁攻击。 5 数据的挥发性：在收集电子证据时必须充分考虑到数据的挥发性，在数 据的有效期内及时收集数据。这是因为在计算机系统中，有些紧急事件的数据 必须在一定时间内获得才有效，经过一段时间，数据可能就无法得到或失效了， 就像”挥发”了一样，这就是数据的挥发性。 6 电子证据的高科技性：计算机是现代化的计算、通信工具和信息处理工 具，其证据的产生、存储和传输等都必须借助于计算机软、硬件技术、存储技 本、网络技术等，只有依靠高科技含量的技术设备，电子证据才能准确反映到 相关案件中去。 2 1 2 3 电子证据处理 证据是定义为任何具有证盟力的信息，能够证明或者帮助证明与案件相关 的事情。在民事诉讼和刑事诉讼过程中，对电子媒体、纸质文档、设备和其他 的物理证据的搜寻、处理、存储都会受到对方的质疑，本小节介绍如何