（计算机应用技术专业论文）用于电子取证的安全日志审计系统.pdf

北京交通人学硕上研究生学位论文 摘要 随着计算机的迅速普及，利用计算机和网络作为工具的恶性非法 事件逐渐增多，计算机取i 正( c o m p u t e rf o r e n s i c s ) 技术已经成为计算机 犯罪的立法及实施过程中要重点解决的一项技术。但是目前，计算机 取证方面的技术在保证电子证据的正确性、完整性、不可抵赖等方面 做得是不够的。 在计算机系统巾，日志系统可以实时或非实时地监测系统状态， 监测和追踪侵入者等。但是，计算机系统遭到入侵后，攻击者可以删 除部分或全部同志记录文件及其它重要的数据。因此，为了保证系统 日志作为电子证据的有效性，本文对计算机日志系统做了改进使它 能更好地满足安全需要。 本文以计算机电子取证和安全审计的理论为基础，设计并开发了 用于电子取证的安全同志审计系统。系统主要包括数据采集、分析引 擎、信息发布三大部分。数据采集部分基于分布式设计，可同时收集 多个采集点的主机和网络日志作为审计数据。为保证日志的安全性， 在日志储存中引入m a c 技术。分析引擎部分基于规则库和数理统计 的方法，按照规则语言对规则库中的规则进行解释，对原始审计数据 进行匹配和分析，检测出各类入侵安全事件，得到安全审计跟踪记录。 信息发布以不同的用户角色对审计数据和审计跟踪记录进行发布，提 供了各个层次的安全报告，并且实现对规则库和发布系统各种参数的 管理。 关键字：日志；安全审计：电子取证：规则库 北京交通大学硕j 一研究生学位论立 a b s t r a c t w i t ht h er a p i dp r e v a l e n c eo ft h ec o m p u t e r , t h e r ea r em o r ea n dm o r ec r i m e e v e n t s t h ec o m p u t e rf o r e n s i c st e c h n i q u ei so n eo ft h em o s ti m p o r t a n t t e c h n i q u e st h a ts h o u l d b es o l v e di nt h ep r o c e s so fl e g i s l a t i o na b o u t c o m p u t e rc r i m ea n di t si m p l e m e n t a t i o n h o w e v e r , n o w a d a y s ，t h e r ea r e s t i l lm a n yt h i n g st od ot oa s s u r et h ev a l i d i t y , i n t e g r i t ya n d n o n r e p u d i a t i o n o f t h ee l e c t r o n i ce v i d e n c e i nt h ec o m p u t e rs y s t e m ，l o gs y s t e mc a ni n s p e c tt h es y s t e ms t a t u sa n d d e t e c tt h ei n t r u d e rr e a l t i m eo rn o tr e a l t i m e h o w e v e r , t h ei n t r u d e rc a n d e t e c tp a r to fo ra l lo ft h el o gr e c o r df i l ea n do t h e ri m p o r t a n td a t aa f t e r t h e yi n t r u d e dt h ec o m p u t e rs y s t e m t h i sp a p e ri m p r o v e st h ec o m p u t e rl o g s y s t e mt oa s s u r et h ev a l i d i t yo ft i l el o gt ob et i l ee l e c t r o n i ce v i d e n c e t h ep a p e rr e s e a r c h e so i la n d d e v e l o p st h es e c u r i t yl o ga u d i ts y s t e mb a s e d o nt h et h e o r yo fc o m p u t e re l e c t r o n i cf o r e n s i c sa n ds e c u r i t ya u d i t t h e s y s t e mi n c l u d e s t h r e em o d u l e s ：d a t ac o l l e c t i o n ，a n a l y s i se n g i n e ， i n f o r m a t i o nr e l e a s e t h ed a t ac o l l e c t i o nm o d u l ei sb a s e do nd i s t r i b u t i n g d e s i g na n d c o l l e c t st h em a i n f r a m ea n dn e t w o r kl o gf r o mm a n yc o l l e c t i o n p o i n t s t oe n s u r et h el o g ss e c u r i t y , t h es y s t e mi n t r o d u c e sm a ct e c h n i q u e i nt h el o gs t o r a g e t h ea n a l y s i se n g i n em o d u l em a t c h e sa n da n a l y z e st h e o r i g i na u d i td a t aa c c o r d i n gt ot h er u l el i b r a r yb a s e do nt h er u l el i b r a r ya n d s t a t i s t i c s t h em o d u l ed e t e c t sa l lk i n d so fe v e n t sa n dg e t st h ea u d i tt r a c k r e c o r d t h ei n f o r m a t i o nr e l e a s em o d u l ep r o v i d e st h er e p o r t sa b o u ta u d i t r e c o r da c c o r d i n gt od i f f e r e n tu s e r s ；w h a t sm o r e ，w em a n a g et h e p a r a m e t e r si nt h i sm o d u l et o o k e y w o r d ：l o g ；s e c u r i t ya u d i t ；e l e c t r o n i cf o r e n s i c s ；r u l el i b r a r y 北京交通大学硕士研究生学位论文 1 绪论 1 1 研究背景 近年来，我国信息技术和信息产业的迅猛发展，计算机技术特别 是因特网对我国国民经济和社会发展的各个领域都产生了广泛而深 远的影l 恂，同时也为违法犯罪分子提供了新的犯罪空问和手段。计算 机犯罪呈现日趋严重的发展态势，从最初的仅是针对钱财的犯罪，发 展为针对政治、军事、知识产权等多个领域的犯罪：从单机犯罪，发 展到现在的网络犯罪、信息犯罪。计算机犯罪给国家安全和社会稳定 造成了严重的威胁严重地危害了我国的政治安全、经济安全和社会 安定。随着计算机犯罪日益猖獗，计算机病毒、网络入侵和攻击时刻 威胁着我们的网络信息资源。而我国执法机关还缺乏比较有效的技术 手段来打击计算机犯罪活动。计算机系统中的各种同志文件，对计算 机犯罪案件的调查和取证非常重要，但我们在遇到计算机犯罪案件发 生时，没有采取有效的手段将系统日志作为合法的电子证据提供给法 庭。突出的问题表现在以下几个方面： 1 ) 忽视对系统日志的保护： 2 ) 保护措旌不完备，系统产生的日志可能被攻击者入侵后篡改 或删除，使得取证人员无法获取有效的日志作为电子证据： 3 ) 缺乏日志取证方案和技术； 4 ) 缺乏用的日志取证系统或工具。 因此，我们有必要研究计算机日志取证技术，制定一套计算机取 证流程，开发一系列有自主知识产权的实用取证工具，提高执法机关 北京交通人学硕士研究生学位论文 打击计算机犯罪的技术水平。 计算机取证技术的研究是一个相当复杂的课题，本文对计算机 取证技术的过程和步骤进行探讨，提出一种较为完善的安全审计日志 以支持计算机取证的方法，并设计了一套用于电子取证的日志审计系 统，对日志文件的保护和分析进行比较详细的描述。本文的研究目的 如下： 1 ) 探讨计算枫取证相关技术，对计算机犯罪的内在特点和规律 有更加清楚地认识； 2 ) 分析和总结各类系统的只志文件及格式，为设计与实现用于 电子墩证的f j 志审计系统提供技术齄础： 3 ) 探讨一种安全审讣f i 志以支持计算机取证的方法：提出收集、 保护和分析系统目志文件的解决方案： 4 ) 为计算机取证技术的深入研究提出自己的看法。 安全日志服务器的日志审计技术是安全日志服务器系统中的日 志审计处理模块。本论文的工作是国家高技术研究发展计划( 8 6 3 计划) 课题一计算机信息系统安全体系结构研究及其后续工作的一部分。 系统安全审计是要充分利用操作系统和应用平台的审计系统，对 操作系统和应用服务器( 如w e b 、f t p 、邮件等) 以及数据库平台上的 操作进行详细的审计跟踪：对系统级的安全漏洞、安全攻击、危险操 作以及病毒和病毒事件进行检查分析，并做出详细的记录，及时封堵 安全漏洞和确认安全责任。 利用系统日志进行安全审计分析的思想，最早是在1 9 8 0 年 a n d e r s o n 的论文中提出，至今经历了2 0 余年的研究和发展，已经形 成了较为完备的理论和实际应用系统，包括针对各种安全策略的具体 北京交通大学硕士研究生学世论文 审计策略的确定、安全审计标准、安全审计等级划分、安全相关时间 的确定等方面。目前主流的操作系统和应用软件，均有自己较为完善 的安全审计机制，但是，一旦攻击者获取管理员权限，他们就可以轻 易篡改或删除操作系统和应用系统所保留的日志记录，从而掩盖他们 留下的犯罪“痕迹”。因此，使用第三方的日志工具已刻不容缓。这 样做的原因是：首先，攻击者对基于操作系统的漏洞很熟悉，但很少 有入侵第三方日志软件的知识：其次，好的第三方日志软件能够单独 获得日志信息，不需要操作系统日志文件作为开始的索引，以后用这 些信怠与操作系统的口志信息进行比较发现不一致时，管理员立即就 可以知道有人入侵了系统；此外，第三方开忠可以被隔离保护，免受 攻击者的篡改；最后第三方| = 1 志产- 锅在系统因攻击出现问题时可以为 攻击行为的侦察提供可信依据。 现在一般的t l r 汁软件对数据的采集都有一定的限制。审计的基础 就是要有数据，数据如何采集在很大一部分上决定了这个软件的适用 程度。入侵检测系统的数据大都是用操作系统和防火墙自带的日志文 件，收集到的信息不完全，所以用于电子取证的日志审计系统采用自 己开发的日志信息收集客户端从操作系统底层直接截获系统日志， 并收集注册表和命令行的日志，主机日志和网络t t 志综合考虑，进行 审计。 在对收集的数据包进行审计后，得出的结果一般没有相应的安全 保密措施，往往是直接呈现在黑客们的面前，因此很容易发生被篡改 或者非法获取的可能，这样完全失去了我们进行审计工作的要求和初 衷。普通的审计软件都没有考虑到这方面的问题，因此存在着很大缺 陷。在用于电子取证的日志审计系统中，我们的日志服务器采用物理 北京交通大学硕士研究生学位论文 隔离加逻辑隔离的方法，同时采用加密技术对日志信息进行保护，使 得黑客入侵系统后也不能篡改和伪造系统以前的日志，很好地保证了 日志的安全性，为电子取证建立了很好的基础。 1 2 计算机安全 1 2 1 概念及特点 目前对于计算机安全尚无一个统一的定义，综合若干文献，可以 将其概括为：计算机安全就是在全面分析计算机系统安全威胁的基础 上，按照一定的安全策略，运用特定的安全机制与相应的安全技术手 段，并合理地采取配套的安全措施，以保障计算机系统( 包括网络) 物 理实体的安全与逻辑信息的安全及保密，保汪系统功能的正常发挥， 以维护系统的安全运行。 1 2 2 安全威胁与安全目标 计算机系统面临的安全威胁和攻击多种多样，诸如假冒窃取、篡 改伪造、计算机病毒、意外事故损害等，不一而足。他们或来自系统 外部，或来自系统内部：或是系统软硬件及数据被破坏，或是涉密信 息遭窃取；或是针对物理实体，或是针对逻辑信息。 但就技术角度而言，主要的、且较难防范的是对系统逻辑信息的 侵害( 包括对系统软件和数据的侵害) ，针对计算机安全的威胁主要有 两种： 人为的恶意攻击：这是计算机所面临的最大威胁。此类攻击 又可以分为以下两种：一种是主动攻击，它以各种方式有选 4 北京交通大学颐士研究生学位论文 择地破坏信息的有效性和完整性；另一类是被动攻击，它是 在不影响计算机正常工作的情况下，进行截获、窃取、破译 以获得重要机密信息。这两种攻击均可对计算机造成极大的 危害，并导致机密数据的泄漏。 软件的漏洞和“后门”：软件不可能是百分之百的无缺陷和无 漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选 目标，曾经出现过的黑客攻入网络内部的事件，这些事件的 大部分就是因为安全措施不完善所招致的苦果。另外，软件 的“后门”都是软件公司的设计编程人员为了自便而设置的， 一般不为外人所知但一旦“后门”洞丌，其造成的后果将 不堪设想。 从系统的角度出发，这些安全威胁可归结为以下三类： 对数据及程序完整性的威胁，即信息被修改或破坏； 对信息保密性的威胁，即涉密信息或非共享信息被泄漏或窃 取： 对信息及系统可用性的威胁，即数据或系统拒绝提供服务。 从而，计算机安全系统总的任务就是维护完整性( 信息未经授权 不得修改，并隐含真实性。正确性和一致性) 、保密性( 包括系统的分 级和授权存取) 与可用性( 合法用户的正常请求及保证及时、正确、安 全地得到服务】。 在实际应用中，通常会提出下列一些基本安全目标：防止数据篡 改；防止数据遗漏或重复；防止信息泄露：防抵赖：防否认；确保对 数据访问的授权控制；确保数据的接收，发送正确无误：确保数据交 换者、数据交换量对第三方不可见：确保提供可用于安全审计的通信 北京交通大学硕士研究生学位论文 记录等。 1 2 3 常用安全技术的不足 防火墙技术的不足 防火墙技术是发展时间最长，也是当今防止网络入侵行为的最主 要手段之一，主要有包过滤防火墙和应用级防火墙两类。其主要思想 是在内外部网络之间建立起一定的隔离，控制外部对受保护网络的访 问，它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及 阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的 种技术，但是由于防火墙技术自身存在的一些缺陷，使其越来越难以 完全满足当前网络安全防护的要求。防火墙不能防范不经由防火墙的 攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用 o 可以形成与i n t e m e t 的直接的连接，从而绕过防火墙，造成一个潜 在的后门攻击渠道。防火墙不能防止感染了病毒的软件或文件的传 输。防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被 邮寄或复制到i n t e m e t 主机上并被执行而发起攻击时，就会发生数据 驱动攻击。 包过滤防火墙是根据站点的安全策略，在内部网络和外部网络之 间选择性地过滤包。其过滤规则主要是根据源地址、目的地址、协议、 源端口、目的端口以及包到达或者发出的接口而定嘲。只实现了粗粒 度的访问控制，对网络数据包中其他内容的检查极少，再加上其规则 的配置和管理极其复杂，以及用户级身份认证的缺乏，要求管理员对 网络安全攻击有较深入的了解，因此在黑客猖獗的开放i n t e m e t 系统 中显得越来越难以使用。 6 北京交通大学硕士研究生学位论文 应用级防火墙的作用是仲裁不同网络上客户和服务器之间的通 信业务流，一般雇佣代理服务器筛选数据包。应用级防火墙虽然可以 将内部用户和外界隔离开来，从外部只能看到代理服务器而看不到内 部任何资源，但它没有从根本上改变包过滤技术的缺陷。应用级防火 墙最大的缺点就是速度比包过滤防火墙慢很多，而且对于不同的网络 服务，需要提供不同的代理，才能提供全面的安全保证。 入侵检测技术的不足 入侵检测技术是防火墙技术的合理补充，能够对各种黑客入侵行 为进行识别，扩展了网络管理员的安全管理能力。一般来说，入侵检 测系统( i d s ) 是防火墙之后的第二层网络安全防护机制。 目前较为成熟的d s 系统可分为基于主机的i d s 和基于网络i d s 两种。基于主机的i d s 来源于系统的审计= | 志，它和传统基于主机的 审计系统一样。一般只能检测发生在本主机上面的入侵行为。 基于网络的i d s 系统对网络中的数据包进行监测，对一些有入侵 嫌疑的包做出报警。入侵检测的最大特色就是它的实时性( 准实时性) ， 它能在出现攻击的时候发出警告，让管理人员在第一时间了解到攻击 行为的发生，并做出相应措施。以防止进一步的危害产生。实时性的 要求使得入侵检测的速度性能至关重要，因此决定了其采用的数据分 析算法不能过于复杂，也不可能采用较长的时间窗进行分析或把历史 数据与实时数据结合起来进行分析，所以现在大多数入侵检测系统只 是对单个数据包或者一小段时间内的数据包进行简单分析，从而做出 判断。这样势必会产生较高的误报率和漏报率，一般只有2 0 攻击行 为被i d s 发现也就不足为奇了。虽然国内外普遍对入侵检测技术都有 很高的评价，但是随着黑客技术的发展，一般入侵检测系统本身的缺 北京交通大学硕：t 研究生学位论文 陷也为人们所了解，一些黑客利用某些分布式技术，在同一时刻向某 个入侵检测系统发送大量垃圾数据包，使得入侵检测系统来不及处理 而过载，直到发生丢包现象。黑客在此时发动攻击，入侵相关的网络 活动被淹没在大量的噪声之中，使得入侵检测无法检测出包含入侵模 式的网络信息，这样一来黑客就达到了逃避入侵检测的目的。 在这种情况下，安全审计系统孕育而生，安全审计系统在近几年 刚刚起步，尚处在探索阶段，其审计重点也是系统和网络的访问行为 和各种数据。安全审计系统作为一个完整安全框架中的一个必要环 节，一般处在入侵检测系统之后。作为对防火墙系统和入侵检测系统 的一个补充，它一般有如下几个功能：首先它能够检测出某些i d $ 无 法检测的入侵行为( 比如时间跨度很大的长期的攻击特征) ；其次它可 以对入侵行为进行记录并可以在任何时问对其进行再现以达到取证 的目的；最后它可以用来提取一些未知的或者未被发现的入侵行为模 式等。 1 3 安全审计 1 3 1 安全审计及其作用 安全审计是安全系统中必要的一项安全机制，它与系统的其它安 全措施相辅相成、互为补充。但由于安全审计是在传统审计学、信息 管理学、计算机安全、行为科学、人工智能等学科相互交叉基础上发 展的- - i 新学科，涉及到多方面的知识。所以一方面安全审计问题广 泛而复杂，另一方面安全审计技术的发展又极不充分。 安全审计就是对系统安全的审核、稽查与计算。概括地讲，安全 北京交通大学硕士研究生学位论文 审计，就是在记录一切( 或部分) 与系统安全有关活动的基础上，对其 进行分析处理、评价审查，发现系统中的安全隐患，或追查出造成安 全事故的原因，并做出进一步的处理。可见安全审计过程主要分为物 证收集和物证评价两大部分。通常，安全审计还与系统实时告警功能 相结合，这样就可做到：每当有违反系统安全规则的事件发生或危及 系统安全的重要操作进行时，可以向安全管理员终端发送相应的告警 信息，以便及时采取适当的防范、抵制措施。 安全审计既作为安全系统的一个有机组成部分，又具有一定的独 立性。一方面安全审计作为系统其它安全防范及侵害抵制措施的有 力补充，检测并调查那些试图或、【k 已突破系统安全屏障的非法事件， 为系统安全服务：另一方面，系统安全成为它审计的对蒙，包括对系 统安全管理的审计。这就决定了它必须具有相当的独立性和某种独特 的地位，甚至与系统安全的某种对立性。事实上，安全审计本身就其 作用而言，具有两层含义：一是指在某阶段，对系统安全防护能力 的测试、评估与审核，旨在对系统的安全性能状况做出客观合理的评 价，看其安全控制，管理是否恰当，保证与既定安全簧略及策略的调 整协调一致，有助于做出侵害评估，并尽可能地找出潜藏的安全漏洞， 寻求安全系统的改进完善；二是指贯穿于整个系统的生命周期之中， 致力于系统安全的一种持续的审计跟踪监控过程，其主要目的是及时 发现、记录妨害系统安全的事故、事件，并查明原因，进而据此追究 相关责任。 1 3 2 安全审计系统的一般要求 按照美国国家标准可信计算机系统评估标准( “t r u s t e d 北京交通大学硕士研究生学位论文 c o m p u t e rs y s t e m e v a l u a t i o n c r i t e r i a ”) 4 1 中的定义，安全审计可以理解 为：一个安全的系统中的安全审计系统，是对系统中任一个或所有安 全相关事件进行记录、分析和再现的处理系统。 因此，对于安全审计系统的一般要求主要包括： 记录和再现：要求审计系统能够记录系统中所有的安全相关事件。 同时，如果有必要，应该能够再现产生某一系统状态的主要行为； 入侵检测：审计系统应该能够检查出大多数常见的系统入侵的企 图，同时，经过适当的设计，应该能够阻止这些入侵行为； 记录入侵行为：审计系统应该记录所有的入侵企图，即使某次入 侵已经成功，这是进行事后调查取证和系统恢复所必不可少的： 威慑作用：应该对系统中具有的安全市计系统及其性能进行恰当 地宣传，这样可以对企图入侵者起到威慑作用，又可以减少合法 用户在无意中违反系统的安全策略： 系统本身的安全性：安全审计系统本身的安全性必须保证，其中， 一方面包括基础操作系统和软件的安全性，另一方面包括审计数 据的安全性；一般来说，要保证审计系统本身的安全，必须与系 统中其他安全措施( 例如认证、授权、加密措施等) 相配合。 1 3 3 安全日志审计系统的实现方法 常用的审计系统的实现技术有以下两种： 基于规则库的方法 基于规则库的安全审计方法就是将己知的攻击行为进行特征提 取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行 安全审计时。将收集到的数据与这些规则进行某种比较和匹配操作 1 0 北京交通大学硕士研究生学位论文 ( 关键字、正则表达式、模糊近似度等) ，从而发现可能的网络攻击行 为。 这种方法和某些防火墙和防病毒软件的技术思路类似，检测的准 确率都相当高，可以通过最简单的匹配方法过滤掉大量的数据信息， 对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口 为1 3 9 以及含有o o b 标志的数据包，一般肯定是w i n n u k 攻击数据 包。而且规则库可以从互连网上下载和升级( 如c e r t 等站点都可以 提供了各种最新攻击数据库) ，使得系统的可扩充性非常好。 基于数理统计的方法 数理统计方法就是首先给对象创建一个统计量的描述，比如一个 网络流量的平均值、方差等等，统计出正常情况下这些特征量的数值， 然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常 数值时，就可以认为是潜在的攻击发生。 对于著名s y nf l o o d i n g 攻击来说，攻击者的目的是不想完成正常 的t c p 三次握手所建立起来的连接，从而让等待建立这一特定服务 的连接数量超过系统所限制的数量，这样就可以使被攻击系统无法建 立关于该服务的新连接。很显然，要填满一个队列，一般要在一段时 间内不停地发送s y n 连接请求，根据各个系统的不同，一般在每分 钟1 0 2 0 ，或者更多。显然，在一分钟从同一个源地址发送来2 0 个以 上的s y n 连接请求是非常不正常的，我们完全可以通过设置每分钟 同一源地址的s y n 连接数量这个统计量来判别攻击行为的发生。 为达到安全审计系统的要求，本系统利用多个日志收集点充分收 集所有的安全相关事件，并在安全日志服务器中采用加密算法进行保 存。针对收集到的系统主机日志和网络，结合以上两种常用技术进行 北京交通大学硕士研究生学位论文 分析。一种是针对会在系统中留下明显痕迹的病毒和攻击方法，采用 规则库匹配的方式，建立系统的病毒和攻击方法特征库，对分类好的 日志数据库进行定时或实时分析。另一种是针对与事件发生频率有关 的攻击方法，采用数理统计技术，对不同的安全事件设定安全闽值， 当发生次数超过此阈值时则认为是攻击行为，提醒系统安全管理员系 统可能遭受的攻击和所面临的安全威胁。系统对发生的入侵行为进行 了很好的记录，当作为电子证据时，系统中的审计数据可以完整再现。 1 4 本章小结 本章开始拙述了毕业设计的研究背景和课题意义，系统安全审计 和网络安全审计然后从基础理论出发，介绍计算机安全和网络安全， 通过描述防火墙、入侵检测等常用安全系统的不足，引出了安全审计 技术，介绍了安全审计的作用和一般要求。介绍了安全审计常用的两 种实现方法，基于规则库的方法和基于数理统计的方法。最后，总结 了本文采用的安全审计技术。 北京交通大学硕上研究生学位论文 2 计算机取证技术 2 1 计算机取证的相关概念 什么是计算机取证? l e eg a r b e r 在i e e es e c u r i t y 中发表的文章中 认为例，计算机取证是分析硬盘驱动、光盘、软盘、z i p 和j a z z 磁盘、 内存缓冲以及其它形式的储存介质以发现犯罪证据的过程。计算机取 证资深专家j u d dr o b b i n s 对此给出了如下的定义：计算机取证是将计 算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与提 取。计算机紧急事件响应组和取汪咨询公司n e w t e c h n o l o g i e s 进一步 扩展了该定义：计算机取证包括了对以磁介质编码信息方式存储的计 算机证据的保护、确认、提取和归档。系统管理审计和网络安全协会 s a n s 狃归结为：计算机取证是使用软件和工具按照一些预先定义 的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证 据。 因此，计算机取证是指对能够为法庭接受的、足够可靠和有说服 力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、 分析、归档以及法庭出示的过程。 2 1 1 电子证据 计算机取证主要是围绕电子证据来展开工作的，目的是使储存在 计算机及相关设备中的反映犯罪者犯罪的信息成为有效的诉讼证据 提供给法庭。电子证据也称为计算机证据，是指在计算机或计算机系 北京交通人学硕士研究生学位论文 统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物 1 1 4 1 。电子证据在计算机屏幕上的表现形式是多样的，尤其是多媒体技 术的出现，更使电子证据综合了文本、图形、图像、动画、音频及视 频等多种媒体信息，这种以多媒体形式存在的计算机证据几乎涵盖了 所有传统证据类型。与传统证据一样，电子证据必须是可信的、准确 的、完整的、符合法律法规的，即可为法庭所接受的m 】。但是，电子 证据还具有与传统证据有别的其它特点：1 ) 高科技性，电子证据的 产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术 等，离开了高科技含量的技术设备，电子证据就无法保存和传输；2 ) 无形性，不是肉眼直接可见的，必须借助适当的工具：3 ) 易破坏性， 可能被篡改甚至删除而不留任何痕迹。 电子证据主要来自两个方面，一个足系统方面，另一个是网络方 面。来自系统方面的电子证据包括：系统同志，系统的审计记录，操 作系统和数据库的临时文件或隐藏文件，数据库的操作记录，硬盘驱 动的交换分区、扇区间隙和空闲区，软件设簧，完成特定功能的脚本 文件，w e b 浏览器数据缓冲，书签、历史记录或会话同志、a r p 缓存， 内核统计、内存数据以及由应用软件产生的记录和日志等。来自网络 方面的证据有防火墙日志，i d s 日志，路由器日志，f t p ，w w 、v 和邮 件服务日志，e m a i l 原始数据，实时聊天记录，网络监控流量以及其 他网络工具所产生的记录和日志等。 2 1 2 计算机取证的原则 根据电子证据易破坏性的特点，确保电子证据可信、准确、完整 并符合相关的法律法规，计算机取证的主要遵循以下几点原则： 北京交通大学硕士研究生学位论文 1 1 尽早搜集电子证据，并保证其没有受到任何破坏； 2 ) 必须确保“证据链”的完整性，也称为证据保全，即在证据 被正式提交给法庭时，必须能够说明在证据从最初的获取状 态到在法庭上出现状态之间的任何变化； 3 ) 不要直接对原始数据进行分析，分析数据的计算机系统和辅 助软件必须安全、可信； 4 ) 整个检查、取证过程必须是受到监督的。 2 1 3 计算机取证涉及的技术 由于计算机犯罪的多样。陀，涉及的计算机取证技术也较复杂。一 般地，计算机取证技术有： 1 i p 地址追踪和定位技术 护地址是揭示犯罪嫌疑人身份和地理位露的重要线索。获取被调 查对象的碑地址主要方法有：对各系统日志，e m a i l 头信息的分析 和被调查对象进行直接通信( 如利用实时聊天工具i c q ，o i c q 相应追 查口功能的软件，嗅探器抓包分析软件) 获取对方的p 地址：利用陷 阱技术如h o n e y p o t ( 蜜罐1 技术。获取疋地址后就可利用t r a c e r o u t e 、 v i s u a l r o u t e 等软件和全球口地址分配表定位该p 地址的位置，如果 是国内的则可以通知有关单位进行协查，如果是国外的则可以对该口 地址实施监控。 2 电子证据的收集和传输技术 常用的电子证据收集技术包括：对计算机系统和文件的安全获取 技术、避免对原始介质进行任何破坏和干扰；对数据和软件的安全搜 集技术；对磁盘或其它存储介质的安全无损伤镜像备份技术：对己删 北京交通太学硕士研究生学位论文 除文件的恢复、重建技术；对交换文件、缓存文件、临时文件中包含 的信息的复原技术；计算机在某一特定时刻活动内存中数据的搜集技 术：网络流动数据的获取技术等。 在电子证据收集过程中，将待收集的数据从目标机器安全地转移 到取证设备上，必然需要安全的传输技术，确保计算机取证的整个过 程具有不可篡改性的要求。安全的传输技术主要采用加密技术，如加 密、v p n 隧道加密、s s l 加密等协议标准，保证数据的安全传输。另 外，可通过使用消息鉴别编码( m a c ) 保证数据在传输过程中的完整 性。 3 数据保存 数据在安全传送到耿证系统的机器后，就要对机器和网络进行物 理隔离。以防外部照客攻击，并对数据使用加密技术进行保存，防止 内部非法人员的篡改和删除。磁盘加密的主要方法有固化部分程序、 激光穿孔加密、掩j 漠加密和芯片加密等，还可利用修改磁盘参数表( 如 扇区间隙、空闲的高磁道) 来实现磁盘的加密。 4 电子证据的分析技术 在已经获取的数据流或信息流中寻找、匹配关键词或关键短语， 是目前主要的电子证据分析技术。它具体包括：文件属性分析；文件 的数字摘要分析；日志分析：对空闲磁盘空间、未分配空间和自由空 间中所含信息的发掘技术：发掘同一事件的不同证据间的联系，即证 据的相关性分析技术：数据解密技术，密码破译技术，对电子介质中 的被保护信息的强行访问技术等。 6 北京交通大学硕士研究生学位论文 2 1 4 计算机取证的过程与步骤 计算机取证过程和技术比较复杂，它是随着黑客技术的提高而不 断发展的。在打击计算机犯罪时，执法部门还没有形成统一标准的程 序来进行计算机取证工作。一般来说，为确保获取有效的法律证据， 并保证其安全性和可靠性，计算机取证一般应包括保护目标系统、电 子证据确定、收集、保护、分析和归档等六个步骤唧，。 1 保护目标计算机系统 计算机取证时，第一件要做的事是冻结计算机系统，不给犯罪分 子破坏证据提供机会。避免发生任何的更改系统设置、硬件损坏、数 据破坏或病毒感染的情况。 2 电子证据的确定 从存储在火容量介质的海量数据中，相对计算机取证来说，需区 分哪些是电子证据，哪些是垃圾数据，以便确定那些由犯罪者留下的 活动记录作为主要的电子证据，并确定这些记录存在哪里、是怎样存 储的。 3 电子证据的收集 取证入员在计算机犯罪现场收集电子证据的工作包括收集系统 的硬件配置信息和网络拓扑结构，备份或打印系统原始数据，以及收 集关键的证据数据到取证设备，并将有关的日期、时间和操作步骤详 细记录等。 4 电子证据的保护 采用有效措施保护电子证据的完整性和真实性，包括用适当的储 存介质( 如w o r m 或c o r o m ) 进行原始备份，并将备份的介质打上 北京交通人学硕士研究生学泣论文 封条放在安全的地方：对存放在取证服务器上的电子证据采用加密、 物理隔离、建立安全监控系统实时监控取证系统的运行状态等安全措 施进行保护，非相关人员不准操作存放电子证据的计算机；不轻易删 除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失。 5 电子证据的分析 对电子证据的分析并得出结果报告是电子证据能否在法庭上展 示，作为起诉计算机犯罪者的犯罪证据的重要过程。分析包括用一系 列的关键字搜索获取最重要的信息：对文件属性、文件的数字摘要和 同志进行分析：分析交换文件、文件碎片和未分配空问中的数据；对 电子证据做一些智能相关性的分析，即发掘同一事件的不同证据间的 联系；完成电子证据的分析后给出专家证明，这与侦查普通犯罪时法 医的角色类似： 6 归档 对涉及计算机犯罪的同期和时间、硬盘的分区情况、操作系统和 版本、运行取证工具时数据和操作系统的完整性、计算机病毒评估情 况、文件种类，软件许可证以及取证专家对电子证据的分析结果和评 估报告等进行归档处理，形成能提供给法庭的电子证据。 2 2 计算机日志用于电子取证技术 2 2 1 日志取证技术在打击计算机犯罪中的作用 打击计算机犯罪的关键之一是如何将犯罪者留在计算机中的“痕 迹”作为有效的诉讼证据提供给法庭，以便将犯罪者绳之以法。 系统中的日志记录着犯罪者利用计算机进行犯罪的大量“痕迹”， 北京交通大学硕士研究生学位论文 成为打击计算机犯罪非常重要的线索和证据来源。但是，计算机系统 产生的同志文件基本上没有保护机制，容易被入侵者修改、删除甚至 伪造，使得计算机系统日志作为电子证据时常受到法庭的质疑。如何 对存在各种系统中的日志文件进行安全审计、收集、保护、分析和归 档，以确保f ：| 志文件的完整和真实，使f l 志文件作为有效的证据出示 给法庭，已成为迫切需要研究的问题。计算机日志取证技术就是解决 上述问题的主要手段之一，在打击计算机犯罪中起着非常里要的作 用。 2 2 2 日志文件作为电子证据的科学性 有关电子证据的概念有很多，本文指的电子证据又称为计算机汪 据，是指存在于计算机及相关外围设备( 包括网络介质) 中的在计算 机或计算机系统运行过程中产生的以其记录的内容米证明案件事实 的电磁记录物。虽然我国民事诉讼法规定的七类证据中并未明确 规定电子证据可以作为有效的诉公证据，但在学术界和司法实践时都 将电子证据划归为刑事诉讼法第4 2 条规定的视听资料类中，把 电子证据作为有效证据来处理有关计算机犯罪的案件。依照有关证据 理论，电子证据当属于证据理论中的原始证据及间接证据范畴。 日志文件是由计算机系统运行内部程序产生的，几乎每个系统都 有自身的日志文件。日志记录着系统日常运行的状况，通过它来检查 错误发生的原因，或查找受到攻击时攻击者留下的“痕迹”，它还可 以实时的监测系统状态，监测和追踪入侵者等。日志对于系统安全的 作用是显而易见的，无论是网络管理员还是黑客都非常重视日志。一 个有经验的管理员能够迅速通过日志了解到系统的安全性能，而一个 1 9 北京交通大学硕士研究生学位论文 聪明的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。目 前，各种操作系统和应用软件本身有很多漏洞，对系统日志也没有很 好的保护机制，使得日志文件存在安全隐患。那么臼志文件可以作为 有效的证据吗? 从技术角度讲，日志文件比较直观化和人性化，管理 员发现入侵和攻击事件往往是从分析日志文件开始的，通过大量分析 各种日志文件可以跟踪和定位攻击者，利用有效的技术手段把这些日 志文件作为有效证掘起诉攻击者。从法律的角度讲，这种由多种独立 的数据源能从不同角度反映出同一个事件，有比较强的说服力。当把 r 志文件作为电子证据时必须要考虑三个基本要求：一是能证明日志 文件的真实性，用一定的方式保护日志文件，确保不被丢失、毁坏或 修改：二是必须在日志文件晕发现证据；三是处理原始同志文件时要 对其归档并给出证明，使得提交的证据经得起司法的详细审查。 罪犯利用计算机进行犯罪不像其他传统的犯罪。例如，在抢劫案 中，可以让受害人辨认嫌疑人的照片：在盗窃案中指纹对确认嫌疑 人有很大的帮助。然而，犯罪者利用计算机进行犯罪时，既没有体型 描述，也没有指纹，更没有他人可以作为旁证。为了起诉攻击者，在 计算机取证中最重要的证据来源便是系统中各种不会出错的、安全的 日志记录。如果没有留有犯罪者“痕迹”的日志文件，那么用法律来 制裁计算机犯罪者几乎是不可能的。管理员发现攻击事件往往是分析 日志开始的，进而跟踪和定位攻击者，条件成熟时将他起诉至法庭。 因此，在计算机取证过程中，完全可以也应该把日志文件作为重要的 证据来源。 北京交通大学硕士研究生学位论立 2 2 3 日志取证应注意的问题 上面2 1 1 节提到的电子证据来源有很多，日志是计算机犯罪案 件( 尤其是通过网络犯罪的案件) 的重要证据来源。因此，基于日志的 计算机取证是计算机取证的重要组成部分，取证对象的电子证据主要 是日志，这在处理通过网络犯罪的案件时非常有用。计算机取证遵循 的原则、涉及的技术、取证过程和应注意的问题，原则上都适合日志 取证。由于日志自身的特点，在日志取证过程中，除计算机取证应注 意的问题外，还应着重注意以下几点： 1 ) 了解各类系统的同志文件内容及格式、配置方式、默认存放 路径等，应收集各类系统同志的相关信息建立r 志文件信息 库，以便更好地理解日志； 2 ) 采用安全审计日志系统，确保收集的日志真实、可靠和完整； 3 ) 由于日志数量繁多，应对各种日志采用关联分析，挖掘更多 潜在的证据，真实反映犯罪案件事实。 2 3 本章小结 本章首先介绍了计算机取证的相关概念，然后介绍了将计算机日 志运用于电子取证过程的有效性，最后阐述了日志取证技术的特点以 及运用过程中应该注意的问题。 北京交通大学硕十研究生学位论文 3 安全审计的基本理论 3 1 信息安全的国际标准 3 1 1 国际安全等级保护的发展历程 美国国防部早在8 0 年代就针对国防部门的计算机安全保密开展 了一系列有影响的工作，后来成立了所属的机构国家计算机安全中心 n c s c ( n a t i o n a lc o m p u t e rs e c u r i t yc e n t e r ) 继续进行有关工作。19 8 3 年 他们公狮了可信计算机系统评估准则t c s e cf t r u s t e dc o m p u t e r s y s t e me v a l u a t i o nc r i t e r i a ，俗称桔皮书) 。在t c s e c 的评价准则中， 从b 级丌始就要求具有强制存取控制和形式化模型技术的应用。桔皮 书论述的重点是通用的操作系统，为了使它的评判方法适用于网络， n c s c 于1 9 8 7 年出版了一系列有关可信计算机数据库、可信计算机 网络等的指南等( 俗称彩虹系y u ) 。该书从网络安全的角度出发，解释 了准则中的观点，从用户登录、授权管理、访问控制、审计跟踪、隐 通道分析，可信通道建立、安全检测、生命周期保障、文本写作、用 户指南均提出了规范性要求，并根据所采用的安全策略、系统所具备 的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度 划分为d ，c 1 ，c 2 ，b 1 ，b 2 ，b 3 和a 1 七个层次。 t c s e c 带动了国际计算机安全的评估研究，9 0 年代西欧四国( 英、 法、荷、德) 联合提出了信息技术安全评估标准i t s e c ( i n f o r m a t i o n t e c h n o l o g ys e c u r i t ye v a l u a t i o nc r i t e r i a ，又称欧洲白皮书) 。t t s e c 除 了吸收t c s e c 的成功经验外，首次提出了信息安全的保密性、完整 北京交通大学硕士研究生学位论文 性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度 上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信 息安全的研究、实施带来深刻的影响。 美国为了保持他们在制定准则方面的优势，不甘心t c s e c 的影 响被i t s e c 取代，他们采取联合其他国家共同提出新评估准则的办 法体现他们的领导作用。1 9 9 1 年1 月宣布了制定通用安全评估准则 c c ( c o m m o nc r i t e r i a ) = 】的计划。1 9 9 6 年1 月出版了1 0 版。它的基础 是欧洲的n s e c ，美国的包括t c s e c 在内的新的联邦评估标准，加 拿大的c t c p e c ，以及国际标准化组织i s o ：s c 2 7 w g 3 的安全评估标 准。c c 标准吸收了各先进国家对现代信息系统信息安全的经验与知 识，将会别未来信息安全的研究与应用带来重大影响。 3 1 2 c c 标准 c c 定义了作为评估信息技术产品和系统安全性的基础准则，提 出了目前国际上公认的表述信息技术安全性