（计算机应用技术专业论文）安全强审计系统综合数据过滤及主动取证技术研究.pdf

重庆邮电大学硕士论文 摘要 摘要 网络给人们的生活和工作带来了极大的方便，但也使信息系统面临的新的 威胁。安全审计系统是网络信息安全整体防护体系中重要环节，与其他安全措施 相辅相成。它提供一个集中各种审计数据存储、分析以及管理的平台，根据一定 的安全策略记录和对历史操作事件及数据评估分析，发现能够改进系统性能和系 统安全策略的方法，或者在违反安全规则的事件发生后，为追究有关实体或个人 的责任提供依据。 作为强审计系统，审计数据量必然很大，用户提供的存储空间是有限的， 需要实现数据过滤。本文设计了一种数据过滤方法，对存储的各种日志文件和网 络数据依据时间和优先级设置淘汰规则，其中优先级依据不同类别的数据的重要 性确定。系统运行测试表明可实现系统的连续运行，保存更新有价值的审计数据。 本文第二部分的工作是为了在发生纠纷提起诉讼时提供更多真实有效被法 庭认可的计算机证据，从而进一步研究了主动取证技术。由于i d $ 日志存在误 报的可能，作为证据使用不够充分。一种观点是采取主动行动对全部网络数据流 进行实时记录。但同时网络数据量十分巨大，代价高，为了尽量保留有价值证据， 实现较大的数据缩减，并降低成本，提出一种证据选取存储的方法。该方法根据 i d s 日志对安全事件进行分类，针对不同类型的安全事件选取并存储不同的网络 数据作为证据存储，以实现证据量与代价的折衷。 关键字：安全审计数据过滤入侵检测系统计算机取证 i 重庆邮电大学硕士论文 a b s t r a c t a b s t r a c t i n t e m c tb r i n g sm u c hm o r ec o n v e n i e n c e st op e o p l e sl i f ea n dw o r k , b u ti ta l s o c a u s e st h en c wm o r es e c u r i t yt h r e a t s t h es e c u r i t ya u d i ts y s t e mp l a y sa ni m p o r t a n t r o l ei nt h ew h o l ed e f e n s es y s t e mo fn e t w o r ki n f o r m a t i o ns e c u r i t y i ts u p p l e m e n t st h e o t h e rs e c u r i t ym e a s u r e s i tp r o v i d e sap l a t f o r mw h i c hi n t e g r a t e st h ev a r i o u sa u d i t i n g d a t as t o r i n g ，a n a l y z i n g , a n dm a n a g i n g a c c o r d i n gt ot h eg i v e ns e c u r i t yp o l i c i e s ， a u d i t i n gs y s t e mc o l l e c t sa n da n a l y z e sh i s t o r i c a lo p e r a t i o nr e c o r d st of i n dm e t h o d s w h i c hc a ni m p r o v et h ep e d 缸m 锄o rt oo f f e re v i d e n c ea f t e rt h ee v e n t st h a t d i s o b e y e ds e c u r i t yr u l e sh a p p e n e d a s 觚e n h a n c e ds e c u r i t ys y s t e m , t h ed a t aa m o u n t m u s tb eh u g e f o rt h el i m i t e ds t o r a g es p a c e ，i ti sn e c e s s a r yt or e a l i z ed a t af i l t e r i n g t h i st h e s i sp r o p o s e dad a t af i l t e r i n gm e t h o dt os e te l i m i n a t er u l e sb yt h et i m ea n d p r io fa l lt h el o g sa n dn e t w o r ki r a f f i c s t h ep i l ll i e so ht h es i g n i f i c a n c et h ed i f f e r e n t d a t aa c ti nt h es y s t e m t h es y s t e mr u n n i n gt e s ti n d i c a t e st h a ti tc a l le n s u r et os t o r a g e t h eh e w e ra n dm o r ei m p o r t a n td a t ai nt h ec o n t i n u o u sr u n n i n g i no r d e rt oo f f e rm o r ea u t h e n t i ce n o u g he v i d e n c e sw h i c hc o u r tc a na c c e p tw h e n c o n f l i c t so c e n r r e d w es t u d i e dt h ep r o a c t i v ef o r e n s i c s f o rt h ep o s s i b l ef a l s ea l e r t i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) m a yc r e a t e ，t h ei d sl o gi sn o ts u f f i c i e n ta se v i d e n c e t h e r ei so n ep o i n to fv i e wt h a tw et a k ep r o a c d v ea c t i o n st oc a p t u r et h en e t w o r k r a 矗i c s b u tt h ea m o u n to f t h o r ni st o oh u g et or e f l v ef o rt h eh i 【g hc o s t s ot h i st h e s i s p u tf o r w a r dam e t h o d t or e s e r v ev a l u a b l ee v i d e n c ea sp o s s i b l ea sw ec o u l da n dr e d u c e t h es t o r a g es p a c ee x p e n d i t u r e a c c o r d i n gt oi d sa l e r t s , i tc l a s s i f i e st h es e c u r i t ye v e n t s ， r c s e r n e sd i f f e r e n tp a r t sa sv a l u a b l ee v i d e n c e i tc a l lr e a c hag o o dt r a d e - o f f p e r f o r m a n c e , b e t w e e np o s s i b l ee v i d e n c ea n dc o s t k e yw o r d s ：s e c u r i t ya u d i t , d a t af i l t e r , i n t r u s i o nd e t e c t i o ns y s t e m , c o m p u t e rf o r e n s i c 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得重废整电太堂 或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：毒一0 0 签字日期：囊彩年多月矿日 学位论文版权使用授权书 本学位论文作者完全了解重宏整皇太堂 有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查 阅和借阅。本人授权重庆邮电太堂 可以将学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。 ( 保密的学位论文在鼹密后适用本授权书) 学位论文作者签名：，童，幽u 导师签名： 瞄，戗 签字日期：庐卯占年彳月彦日签字日期：了帅f 年f 月易日 重庆邮电大学硕士论文 第一章绪论 1 1 研究背景 第一章绪论 自第一台计算机诞生到现在短短的5 0 年左右的时间，计算机已成为当今世 界的核心技术。无论在我国还是在世界上其它国家，信息和电子通讯技术在各 种高技术中最普及、影响最大。与此同时，计算机犯罪正在急剧增加，它不仅 给受害者造成巨大的经济损失，而且扰乱社会的经济秩序，对各国的国家安全、 社会文化等构成威胁。计算机犯罪己成为不容忽视的社会现象。计算机犯罪的 犯罪手段的技术性和专业化使得计算机犯罪具有极强的智能性。 1 1 1 现有的安全技术 面对严唆的安全形势，各种组织及个人纷纷采取各种技术以保障自身的网 络安全，目前采用的主要有加密、认证、访问控制、防火墙、入侵检测等技术。 1 密码技术 密码技术的用途有多种，它可以提供可信性保护、数据完整性认证、用户、 主机和消息认证、以及数字签名的功能，从而对开放网络环境下通信双方的通 信内容和存储在主机上的文件数据提供保护。密码技术本身具有的特性，使它 既可以作为一个系统形成一个独立的产品，也可以集成在其他应用程序或网络 服务中，对用户透明。密码技术本身的安全问题需要从加密算法、加密协议、 密钥生成以及密钥管理这几个方面来考虑。 2 认证技术 这种技术可以通过对机密信息，例如口令、个人身份号码加密密钥的确认 来认证用户、网络主机以及文档的合法性，也可以使用智能卡、访问令牌或加 密卡的方式，或者采用指纹识别、虹膜等生物测定法。这些方法都是行之有效 的方法，但也不能排除在某些环境下出现意外的情况。例如，机密信息被破解， 令牌被盗、生物测定法识别错误等。而且在认证技术中，存在一个最大的安全 隐患，就是安全控制点，一旦攻击者攻破了安全控制点那么所有采用的认证技 术将形同虚设。 3 访问控制技术 访问控制技术基于安全策略来控制用户对各类资源( 如：网络、计算机、应 用程序以及各类信息) 的访问。安全策略的制定可以根据使用者特定的需要，如 重庆邮电大学硕士论文第一章绪论 针对独立的用户、集团，或根据访问时间、地点等。根据安全策略，访问控制 需要对试图访问资源的用户进行身份认证。安全策略的制定和实现是访问控制 能否成为“安全门卫”的关键。 4 防火墙技术 一般将需要提供保护的局域网称为内部网，防火墙是隔离内部网和外部网 的关口，它通过在内部网和外部网之间架构一个安全防护区，过滤内部网和外 部网之间的通信，实现对内部网的安全保护。防火墙技术是计算机软件和硬件 的综合实现，通过设定安全规则，防火墙决定是否让每个报文通过。安全规则 的制定是防火墙技术的关键，安全规则的制定可以针对协议、源地址、目的地 址或者端口号，以及通信内容( 通常通过关键字的匹配实现) 。防火墙技术是一 种综合性很强的技术，它可以综合身份认证、加密技术和访问控制技术、以及 支持多种现有的安全通信协议来达到更高的安全性。但是防火墙技术同样有自 己的弱点：首先，经伪装通过了防火墙的入侵者将在内部网上将横行无阻；其次 防火墙对于来自内部的攻击则束手无策；最后防火墙的技术缺乏系统性，尽管防 火墙技术综合采用了多种计算机网络安全技术，它们分别在不同的层次上不同 t 程度地解决了不同方面的网络安全问题，但是从来没有一个统一的体系或者标 准把它们结合起来。 5 入侵检测 入侵检测系统i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 作为一种重要的安全部件， 是网络与信息安全防护体系的重要组成部分，是传统计算机安全机制的重要补 充。自1 9 8 0 年被提出以来，i d s 在2 0 多年间得到了较快的发展。近几年由于 非法入侵不断增多，网络与信息安全问题变得日渐突出。i d s 作为一种主动防 御技术因此越来越受到人们的关注。它通过对系统或网络中的若干关键点的信 息进行检测分析，从而检测出系统中的入侵行为以及未被授权许可的行为入 侵检测系统通过定时检查审计信息、监督网络流量来查找系统中当前发生的可 疑事件。- 入侵检视6 的基础就是信息的收集。信息包括系统、网络的数据及用户活动 的状态和行为。信息收集机制可以有许多种方式，根据获得审计数据的方法进 行分类，入侵检测可分为以下两类：基于主机的入侵检测系统和基于网络的入侵 检测系统( n i d s ) 1 ) 基于主机的监测基于主机型的监测是基于系统日志、应用程序日志或 者通过操作系统的底层支持来进行分析，监视可以的连接、系统日志检查以及 特定应用的执行过程。一般使用操作系统的审计跟踪日志作为输入，某些也会 主动与主机系统进行交互以获得不存在于系统日志中的信息其所收集的信息 2 重庆邮电大学硕士论文第一章绪论 集中在系统调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。这 种类型的入侵检测系统直接运行在受保护的计算机上，主要用于保护自身所在 的关键服务器。 2 ) 基于网络的监测 网络型的入侵监测利用网络侦听技术在网络的某一点被动的监听网络上 的传输流，收集网络上传输的分组数据包，并对这些数据包的内容、源地址、 目的地址等进行分析，提取特征模式，再与已知攻击特征相匹配或与正常网络 行为原型相比较来识别攻击事件，从中发现入侵行为。在以太网等共享网络中， 网络上的一个接口均能访问网络上传输的所有数据。通过将网络接口的状态设 置为混杂模式( p r o m i s c u o u sm o d e ) ，就可以截取网络上传输的全部数据包。代理 软件被安装在局域网网段或防火墙后监视和分析网络传输流。实时监控网络关 键路径的信息，监视着主机之间的通信量。 当前主流n i d s 采用的检测方法是基于误用检测的模式匹配技术，辅以异 常检测技术。在实际应用过程中，误报率高，警报量大的问题日益突出，成为 制约n i d s 应用普遍化的主要原因，一般的组织没有足够的人力去分析大量的 入侵检测警报，导致用户被这些信息淹没 从来就没有一种技术，可以绝对地保证网络安全。不同的安全技术保护的 对象是计算机网络的不同方面，每一种技术保护的范围都是有限的，然而网络 面临的攻击却是多种多样的，一两种技术无法完全抵御各种攻击。另一方面， 采用了多种安全手段会导致配置、管理和使用上的复杂，太多的检测还可能导 致网络性能的下降。即使技术在理论上可以很安全，也不可能保证执行人员可 以完整无误地执行。因此，无论技术上有多先进，审计功能依然非常重要。 1 1 2 安全审计技术研究现状 参照美国国家标准 m a x _ d a t a b a s e _ s i z e ) 如果超过数据库文件最大 允许空间 调用数据淘汰函数d a m d e l p r o c e s s ( ) 进行数据淘汰，淘汰后d b s i z e m a x _ d a t a b a s e _ s i z e ) ，检查是否已经被审计通过了( 优先级1 ) 给各数据表( t c p ，u d p ，i c m p ，主机日志等) 编号，假设有n 个表，存 入一个n 维数组s o r t 中，s o r t i 代表处于顺序i 的数据表的编号； f o r ( i n ti = o ；i n ；i h ) w h i l e ( s n o r t 田对应的根据审计标志决定的数据删除函数返回值不等于0 和1 ) 根据s n o r t i 调用对应的根据审计标志决定的数据删除函数删除数 据； 调用函数计算：d b s i z e ； i f ( d b s i z e = m a x _ d a t a b a s e _ s i z e ) b r e a k ； 重庆邮电大学硕十论文第三章安全审计系统中数据过滤方案设计 i f ( d b s i z e - m a x _ d a t a b a s e _ s i z e ) b r e a k ； i f ( d b s i z e _ m a x _ d a t a b a s e _ s i z e ) b r e a k ； 检查是否在可疑表中提到( 优先级2 ) 给各数据表( t c p ，u d p ，i c m p ，主机日志等) 编号，假设有n 个表存入 一个n 维数组s o r t 中，s o r t i 代表处于顺序i 的数据表的编号； f o r ( m t i 卸；i n ；i + + ) 得到数据表s n o r t i 中所有记录集r s w h i l e ( r s n e x t 0 ) 检查此条记录是否在可疑表中提到，( 看客户i p ，时间，端口等) i f ( 格在未在可疑表中提到) 删除此条记录； 调用函数计算：d b s i z e ： i f ( d b s i z e - m a x _ d a t a b a s es i z e ) b r e a k ； ) i f ( d b s i z e - m a x _ d a t a b a s e _ s i z e ) b r e a k ； ) i f ( d b s i z e _ m a x _ d a t a b a s e _ s i z e ) b m a k ； ，淘汰时间最早的( 优先级3 ) 给各数据表( t c p ，u d p ，i c m p ，主机日志等) 编号，假设有n 个表，按 得到的存入一个n 维数组s o r t 中，s o r t i 代表处于顺序i 的数据表的编号； f o r ( i n t 踟；i n ；i 什) ( w h i l e ( s n o r t i 对应的根据时间决定的数据删除函数返回值不等于0 和- 1 ) 1 9 重庆邮电大学硕士论文 第三章安全审计系统中数据过滤方案设计 根据s n o r t i 调用对应的根据时间决定数据删除函数删除数据； 调用函数计算：d b s i z e ； i f ( d b s i z e - m a x _ d a t a b a s e _ s i z e ) b r e a k ； i f ( t e m p t o t a l 数据最大阀值) b r e a k ； i f ( t e m p t o t a l 数据最大阀值) b r e a k ； 3 3 实验运行结果 为了验证数据淘汰模块紧急响应时的可用性和有效性，我们特别单独对此模、 块做了以下性能仿真测试； 实验结构图如图3 - 1 所示：7 髓客户 图3 - 1 实验结构图 实验环境配置： 主要由关键主机，监听机和审计服务器构成数据淘汰模块仿真实验环境。 关键主机： 硬件配置：m m 服务器( 双至强2 0 g h zc p u ，2 5 6 m b 主存，6 0 g b 高速 重庆邮电大学硕士论文第三章安全审计系统中数据过滤方案设计 硬盘) 操作系统：红旗l i n u x4 1 桌面服务器 任务：对外提供各种服务，通过与内外网交互产生各种网络流 监听机： 硬件配置：p 42 4 g h zc p u ，2 5 6 m b 主存，6 0 g b 高速硬盘 操作系统：m i c r o s o f tw i n d o w s2 0 0 0s e w i c e p a c k4 任务：抓取流经集线器的网络流( 包括与关键主机通信的网络流) ，发送 到审计服务器 审计服务器： 硬件配置：p h i1 0 g h z ，5 1 2 m b 主存，3 5 g b 高速硬盘 t 操作系统：红旗l i n u x4 1 桌面服务器 任务：将从监听机发送过来的网络数据流分类存入本机数据库中 实验参数设置见表3 1 所示： 参数名参数值 采用时间间隔 5 分钟 采样持续时间2 小时 网络数据允许占用的最大磁盘空间2 0 0 m b 存储网络数据的文件系统审计服务器 t m p a u d i t d a t a 一次允许删除的u d p 包个数 1 0 一次允许删除的t c p 会话个数 l 一次允许删除的i c m p 包个数 1 0 根据时间淘汰数据时，淘汰最早时间的天数 1 表3 1 实验参数设置 实验步骤 1 ) 按照上面给出的网络结构图搭建实验环境； 2 ) 启动关键主机，并让实验小组人员对关键主机持续进行各种应用访问， 以产生实验所需的各种网络数据流； 3 ) 启动监听机上的网络抓包程序( a g e n t e x e ，g u i 哪，d a t a e x e ) 和审计服务器 的数据库m y s q l 服务，由监听机抓取局域网中产生的流经集线器的网络流，并 发送到审计服务器进行分类入库； 4 ) 启动审计服务器上的数据库淘汰模块的模拟程序d a t a d e l e t e e 稀，监听存 储网络数据的文件系统占用空间的变化情况，根据需要启动数据淘汰进程； 重庆邮电大学硕士论文 第三章安全审计系统中数据过滤方案设计 5 ) 根据数据淘汰程序运行中所产生的日志记录下各采样点的各种参数值， 统计到实验结果部分如表3 2 所示。 表3 2 实验结果时间：2 0 0 6 - 0 4 1 60 9 ：0 9 ：1 6 a m 至2 0 0 6 - 0 4 - 1 6 1 1 ：0 4 ：1 6 序号采样时间t c p 会话t c p 会话文件u d p 包i c m p 包占用空间横块状态 ( 时汾：秒)( 个( 个)( 个)( 个似b )o 1 9 ( 其中，模块状态t 代表工作，f 代表等待) 在两个小时的持续运行中，程序稳定运行，并达到了预期的效果，验证了 数据淘汰模块的可用性和有效性。 实验仿真曲线见图3 - 2 ，可直观的看出存储网络数据的空间变化情况。 重庆邮电大学硕士论文第三章安全审计系统中数据过滤方案设计 数据淘汰模块实验仿真曲线 ；一一 一， l j t , jjj。jj，。jjjj。j。 每栽臻洚辩落菇菇氍激 时问( 最小采样时问问隔，5 分钟) 图3 - 2 实验仿真曲线 姗 耄言 啪 姗 舯 o 璺v星州胡翟衄苣璀赫 重庆邮电大学硕士论文第四章计算机取证技术 第四章计算机取证技术 4 1 计算机取证特点 计算机取证 4 1 是运用计算机及相关科学和技术的原理与方法获取与计算机相 关的证据以证明某个客观事实存在的过程。 计算机证据是指以计算机形式存在并为证据使用的一切材料及其派生物。与 传统证据一样，计算机证据必须是：可信的、准确的、完整的、使法官信服的、 符合法律法规的，即可为法庭所接受的。 例如，一个已经离职的公司职员出国后，有可能利用黑客工具，通过网络回 到公司的服务器上获得珍贵的技术专利，使公司造成巨大的经济损失。公司通过 对服务器系统的分析查出了专利被盗的原因，但是苦于没有合法的证据而无法起 诉偷窃的人要用法律工具打击网络上的犯罪行为，难就难在取证。这是因为计 算机证据和普通的证据相比，具有它的特点： ( 1 ) 容易被改变或删除，并且改变后不容易被发觉 ( 2 ) 多种格式的存贮方式 ( 3 ) 易损毁性 计算机信息是最终都是用二进制数字表示的，以数字信号的方式存在，而数 字信号是非连续性的，因此对数字证据进行截收、监听、删节、剪接等操作，从 直观上讲无法查清。或者由于计算机操作人员的误操作或供电系统、通信网络的 故障等环境和技术方面的原因都会造成数字证据的不完整性。 ( 4 ) 高科技性 计算机是现代化的计算、通信和信息处理工具，其证据的产生、储存和传输， 都必须借助于计算机软硬技术、存储技术、网络技术等，离开了高科技含量的技 术设备，电子证据无法保存和传输。如果没有外界的蓄意篡改或差错的影响，电 子证据就能准确地储存并反映有关案件的情况。正是以这种高技术为依托，使它 很少受主观因素的影响，其精确性决定了电子证据具有较强的证明力。而电子证 据的收集和审查判断，往往需要一定的科学技术，甚至是尖端的科学技术，并且 伴随科技的发展进程会不断的更新、变化。 ( 5 ) 传输中通常和其他无关信息共享信道 计算机证据主要来自两个方面，一个是系统方面的，另一个是网络方面的 其中，来自系统方面的证据包括： 1 ) 系统日志文件； 重庆邮电大学硕士论文第四章计算机取证技术 2 ) 备份介质；。 3 ) 入侵者残留物：如程序，脚本，进程，内存映象； 4 ) 交换区文件； 5 ) 临时文件； 6 ) 硬盘未分配的空间( 一些刚刚被删除的文件可以在这里找到) ； 7 ) 系统缓冲区； 8 1 打印机及其它设备的内存。 来自网络方面的证据有： 1 ) 防火墙日志； 劲d s 日志； 3 ) 其它网络工具所产生的记录和日志等； 一4 ) 网络数据流。 4 2 计算机取证的目的 如果在可预见的将来中计算机系统的绝对安全性无法保障，计算机犯罪将无 法避免。那么如何从计算机犯罪现场挖掘犯罪方法、犯罪动机、犯罪工具、确定 犯罪责任和评估损失? 这就是计算机取证( c o m p u t e rf o r e n s i c ) 领域要解决的问题。 计算机取证的目的是为了根据取证所得的分析结果找出入侵者( 或入侵的机 器) ，并解释入侵的过程。这样可以实现：将入侵者的破坏行为诉之法庭，通过法 律武器来保护用户的权益。 4 3 计算机证据常用获取技术 目前常用的计算机证据获取技术主要包括：对计算机系统和文件的安全获取 技术：对数据和软件的安全搜集技术；对磁盘或其它存储介质的安全无损伤备份 技术：对己删除文件的恢复、重建技术；对s l a c k 磁盘空间、未分配空间和自由 空间中所含信息的发掘技术；对交换文件、缓存文件、临时文件中包含的信息的 复原技术；计算机在某一特定时刻活动内存中数据的搜集技术；网络流动数据的 获取技术等。 。 4 4 计算机取证面临的困难 目前我国计算机取证领域面临的问题有： d 将计算机证据依照科学、规范的程序进行收集取证 重庆邮电大学硕士论文第四章计算机取证技术 虽然公安机关办理刑事案件程序规定( 第1 7 9 条) 对计算机犯罪案件现场 证据收集工作进行了原则性规定，但没有具体的程序性规范。不科学地取证，必 然降低甚至破坏证据的可信度，非法收集的证据是没有价值的。公安人员在执法 实践中的难题恰恰为在确认证据对象的条件下，如何结合计算机证据区别传统证 据和一般视听资料的特点，严格地按程序依法收集证据。 2 ) 在海量数据中准确有效地查找计算机犯罪证据 存储技术的飞速发展与计算机取证技术的落后的矛盾越来越明显。任何一 种计算机犯罪，其犯罪行为都是与对计算机信息系统( 犯罪对象) 的各种操作紧密 相联的，如对用户授权的变动、对应用系统或数据库数据的增删改、收发电子邮 件等，其行为产生、变动的计算机数据，都存储在计算机应用系统相对应的缓存 区、数据库或临时文件中，并和海量的正常计算机数据混杂在一起。由于计算机 应用系统繁多，复杂，造成了犯罪行为产生的计算机证据存贮状态复杂、表现形 式多样，所以，面对繁杂、海量的计算机数据，如何审查判断出与案件有关联的、 反映案件客观事实的计算机证据，这个审查判断的甄别过程具有难度。 3 ) 计算机证据的出示困难 计算机证据的出示是诉讼过程中的重要步骤。作为视听资料的计算机证据， 其出示必须借助一定的计算机信息系统。但实际案件中的计算机信息系统往往是 不能将其长时间停止运行的，为出示证据而将其它地理位置改变也是不现实的， 同时，计算机犯罪行为产生的过程数据是与计算机信息系统密切联系的，有的数 据是完全依赖特定环境才可被显示的 由于过分关注应用产品的开发而忽视了基本理论及基本方法的研究，使得数 字取证发展中隐含的问题越发突出。在“理论完善期”这个阶段，许多计算机犯 罪调查研究机构开始对计算机取证的基本问题，尤其是取证过程等问题展开了较 为热烈的讨论并进行了大量的实践工作。其间出现了许多行之有效的计算机取证 过程模型，推动了计算机取证理论及方法逐步走向成熟。尽管如此，这些模型中 仍存在一些不可回避的问题，现将其总结如下： ( 1 ) 多数计算机取证过程模型都针对于某种特定的环境而制定，注重环境中 的细节，缺乏通用性，造成对于新出现的计算机取证调查环境缺乏灵活性：而且 由于针对性比较强，使得计算机取证过程无法形成统一的标准。也很难将其它领 域中的方法( 如传统取证中的方法) 结合进来； ( 2 ) 没有把在事件发生前的。攻击预防( p r e i n c i d e n tp r e p a r a t i o n ) ”作为 取证过程的一个阶段。即便有所涉及，也仅停留在。事先准备取证工具及设备， 熟练取证技能”等“操作准备阶段，而并没有从系统基本构架的角度，预先在敏 感主机中安装证据收集系统，以便在攻击发生的同时对系统环境进行记录： 重庆邮电大学硕士论文第四章计算机取证技术 ( 3 ) 对诸如“检验0 j x a m i n a t i o n ) ”和“分析( a n a l y s i s ) ”等阶段的划 分不明显，容易引起混淆。 4 5 主动取证 b r a d f o r d 5 等总结了支持在企业内针对内部用户建立主动取证系统的基本原 理。主动取证的目标是要建立适当的系统自动发现收集、过滤可疑数据，并实现 高效、安全可靠地存储数据，在必要时供查询或提供自动分析报告。 4 5 1 现有安全技术中的主动策略 蜜罐蜜网技术 6 1 是最著名的采用主动的防护策略的陷阱技术，它基于主动 诱骗的原理，试图构建一个吸引攻击行为的环境，让攻击者在其中活动，从而记 录他们的行为。通过分析所记录的信息，了解攻击者的动机、攻击模式、攻击工 具等知识。蜜罐、蜜网不是对外提供服务的系统，本身不应当产生网络流量，也 不允许授权的访问。因此，与蜜罐、蜜网进行的一切交互行为都可以认为是恶意 的或者是未经授权的。任何连向蜜罐、蜜网的连接极可能是一个探测、扫描或者 攻击行为从蜜罐、蜜网中发出的所有连接都表明有人已经控制了陷阱中的某个 系统，并且利用这个系统向外发起连接。蜜罐、蜜网的这个特性就使得分析其内 的活动十分简单。对传统的安全技术如防火墙日志、或者入侵检测系统的感应器， 你必须从大量的数据中分辨出有价值的信息，或者从数以千计的警报中提炼出真 正对黑客行为的报警。大量的时间和精力都被花费在查看这些信息，分辨攻击行 为或者非授权访问上了 i d s 也是一种基于主动策略的网络安全系统。但由于现有的i d s 系统本身还 在变化中，远未达到成熟，目前绝大多数的商业i d s 的工作原理和病毒检测相 似，自身带有一定规模和数量的入侵特征模式库，可以定期更新。这种方式仅对 已知的攻击手段有效果。现有的i d s 系统错报率偏高，并缺少对检测结果的进 一步说明和分析，实际上是一种对可疑入侵的预警。 4 5 2 主动取证方法 由于调查人员的取证行为一般是在犯罪行为发生之后进行，因为计算机证据 的脆弱性、易逝性和隐蔽性等特点，即便使用了有效的收集工具，此时许多的计 算机证据己被破坏或隐藏，而且随着时间的推移，计算机证据可能会发生变化或 消失这使得调查人员很难7 获得充分的电子数据证据。即使取得了一些证据， 重庆邮电大学硕士论文第四章计算机取证技术 其完整性( i n t e g r i t y ) 和真实性( f i d e l i t y ) 也很难得到证明。这些电子数据证据 的固有特性严重阻碍了计算机取证技术的发展。而且在计算机系统中潜在的证据 还可能被黑客删除，也可能随条件改变而消失。 一种为司法界接受、无争议的方法是获取全部的网络数据【7 】，在出现犯罪活 动的情况下，把相关数据筛选出来作为证据。将计算机取证结合到实时网络数据 监听，预先在敏感主机中安装网络证据收集系统，在攻击发生的同时记录网络证 据，使整个取证过程更加系统并具有智能性和实时性，从而能够最大限度地获取 真实的、完整的计算机证据，解决调查人员事后收集证据的种种困难。 基于这种主动取证的方法，实时数据捕捉、收集对入侵者的活动进行实时监 视和记录就显得十分重要( 捕捉，收集，保留是否违法不在本文讨论范围) 。但 详细记录全部数据对于存储空间的要求是比较高的，一般的服务器至多只能存储 几天到一个星期的数据，采用其他介质存储还会产生大量数据垃圾以及物理垃圾 ( 如光盘) 。因此，本文提出利用现有的入侵检测系统的日志，在全部网络数据中 提取部分数据作为计算机证据。 重庆邮电大学硕士论文 0 d i “蝴舢o - 4i 第五章基于主动取证思想的两络证据获取 第五章基于主动取证思想的网络证据获取 5 1 黑客攻击技术分析及分类 由于不同攻击类型产生的证据特征的不同，因此先分析常用的黑客攻击技 术。当前对网络攻击的分类现在还没有一个统一的标准”6 1 。因为黑客在攻击的时 候往往是采用多种攻击手段，而且每种攻击手段采用的技术又不能完全割裂开 来。所以对此只能进行对其攻击方法大致的分类。 5 1 1 扫描技术 攻击者为了获取活动主机、开放服务、操作系统、安全漏洞等关键信息，通 常在攻击之前对系统进行扫描，这类活动会产生大量相似网络数据，其作用是进 行测试系统。 。 t c p c o n n e c t 扫描 这是最基本的t c p 扫描。操作系统提供的c o n n e c = t 系统调用，用来与每一个 感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么c o n n e c t 0 就能成功。否则，这个端口是不能用的，即没有提供服务这个技术的一个最大 的优点是，你不需要任何权限。系统中的任何用户都有权利使用这个调用。另一 个好处就是速度。如果对每个目标端口以线性的方式，使用单独的c o n n e c t 调用， 那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。 使用非阻塞y o 允许你设置一个低的时间用尽周期，同时观察多个套接字。但这 种方法的缺点是很容易被发觉，并且被过滤摔。目标计算机的l o g s 文件会显示 一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。 t c p s y n 扫描 这种技术通常认为是“半开放”扫描，这是因为扫描程序不必要打开一个完 全的t c p 连接。扫描程序发送的是一个s y n 数据包，好象准备打开一个实际的 连接并等待反应一样( 参考t c p 的三次握手建立一个t c p 连接的过程) 。一个 s y n i a c k 的返回信息表示端口处于侦听状态。一个r s t 返回，表示端口没有处 于侦听态如果收到一个s y n i a c k ，则扫描程序必须再发送一个r s t 信号，来 关闭这个连接过程这种扫描技术的优点在于一般不会在目标计算机上留下记 录。但这种方法的一个缺点是，必须要有r o o t 权 限才能建立自己的s y n 数据包 ， t c p f i n 扫描 重庆邮电大学硕士论文 第五章基于主动取证思想的网络证据获取 有的时候有可能s y n 扫描都不够秘密一些防火墙和包过滤器会对一些指定 的端口进行监视，有的程序能检测到这些扫描。相反，f i n 数据包可能会没有任 何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的r s t 来回复f i n 数据包。另一方面，打开的端口会忽略对f i n 数据包的回复。这种方法和系统 的实现有一定的关系。有的系统不管端口是否打开，都回复r s t ，这样，这种扫 描方法就不适用了并且这种方法在区分u n i x 和n t 时，是十分有用的。 i p 段扫描 这种不能算是新方法，只是其它技术的变化。它并不是直接发送t c p 探测数 据包，是将数据包分成两个较小的i p 段。这样就将一个t c p 头分成好几个数据 包，从而过滤器就很难探测到。 t c p 反向i d e n t 扫描 i d e n t ( r f c l 4 1 3 ) 协议允许看到通过t c p 连接的任何进程的拥有者的用户名，即 使这个连接不是由这个进程开始的。举个例子，连接到h t t p 端口，然后用i d e n t d 来发现服务器是否正在以r o o t 权限运行。这种方法只能在和目标端口建立了一 个完整的t c p 连接后才能看到。 u d p 、i c m p 端口不能到达扫描 这种方法与上面几种方法的不同之处在于使用的是u d p 协议。由于这个协议 很简单，所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送 一个确认，关闭的端口也并不需要发送一个错误数据包。幸运的是，许多主机在 你向一个未打开的u d p 端口发送一个数据包时，会返回一个i c m p 少o r s 几 i n 哏e a c h 错误。这样你就能发现哪个端口是关闭的u d p 和i c m p 错误都不保 证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传 输。这种扫描方法是很慢的，因为r f c 对i c m p 错误消息的产生速率做了规定。 同样，这种扫描方法需要具有r o o t 权限 u d pr e c v f r o m ( ) 和w r i t e 扫描 当非r o o t 用户不能直接读到端口不能到达错误时，l i n u x 能间接地在它们到 达时通知用户。比如，对一个关闭的端口的第二个w r i t e 调用将失败。在非阻塞 的u d p 套接字上调用r e c 话o m ( ) 时，如果i c m p 出错还没有到达时回返回a g a i n 一重试。如果i c m p 到达时，返回e c 0 1 悯f u s e d 连接被拒绝。这就是用来 查看端口是否打开的技术。 i c m p e c h o 扫描 这并不是真正意义上的扫描。但有时通过p i n g ，在判断在一个网络上主机是 否开机时非常有用。 重庆邮电大学硕士论文 第五章基于主动取证思想的网络证据获取 5 1 2 缓冲区溢出 1 缓冲区溢出的概念和原理 缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一 个位置的时候，因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有 一定企图的，攻击者写一个超过缓冲区长度的字符串，然后植入到缓冲区，而再 向一个有限空间的缓冲区中植入超长的字符串可能会出现两个结果，一是过长的 字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另 有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统r o o t 特级 权限。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成 的。 缓冲区是程序运行的时候机器内存中的一个连续块，它保存了给定类型的数 据，如果动态分配变量就会出现问题。大多数时为了不占用太多的内存，一个有 动态分配变量的程序在程序运行时才决定给它们分配多少内存。这样想下去的 话，如果说要给程序在动态分配缓冲区放入超长的数据，它就会溢出了。一个缓 冲区溢出程序使用这个溢出的数据将汇编语言代码放到机器的内存里，通常是产 生r o o t 权限的地方，这就不是什么好现象了仅仅就单个的缓冲区溢出，并不 是最大的问题根本所在。但如果溢出的数据被送到能够以r o o t 权限运行命令的 区域，一旦运行这些命令，那可就等于把机器拱手相让了 。 2 缓冲区溢出漏洞攻击方式 缓冲区溢出漏洞可以使任何一个有黑客技术的人取得机器的控制权甚至是 最高权限一般利用缓冲区溢出漏洞攻击r o o t 程序，大都通过执行类似 “e x e c ( s h ) ”的执行代码来获得r o o t 的s h e l l 。黑客要达到目的通常要完成两个 任务，就是在程序的地址空间里安排适当的代码和通过适当的初始化寄存器和存 储器，让程序跳转到安排好的地址空间执行 1 ) 在程序的地址空间里安排适当的代码 其实在程序的地址空间里安排适当的代码往往是相对简单的，但也同时要看 运气如何。如果说要攻击的代码在所攻击程序中己经存在了，那么就简单的对代 码传递一些参数，然后使程序跳转到目标中就可以完成了。当然了，很多时候这 个可能性是很小的，那么就得用一种叫“植入法”的方式来完成了当向要攻击 的程序里输入一个字符串的话，程序就会把这个字符串放到缓冲区里。这个字符 串包含的数据是可以在这个所攻击的目标的硬件平台上运行的指令序列。缓冲区 可以设在堆栈( 自动变量) 、堆( 动态分配的) 和静态数据区( 初始化或者未初始化的 数据) 等的任何地方。也可以不必为达到这个目的而溢出任何缓冲区，只要找到 重庆邮电大学硕士论文 第五章基于主动取证思想的网络证据获取 足够的空间来放置这些攻击代码就够了 2 ) 将控制程序转移到攻击代码的形式 所有的这些方法都是在寻求改变程序的执行流程，使它跳转到攻击代码，最 为基本就是溢出一个没有检查或者其它漏洞的缓冲区，这样做就会扰乱程序的正 常执行次序。通过溢出某缓冲区，可以改写相近程序的空间而直接跳转过系统对 身份的验证。原则上来讲攻击时所针对的缓冲区溢出的程序空间可为任意空间。 但因不同地方的定位相异，所以也就带出了多种转移方式。 5 1 3 拒绝服务( d o s ) 拒绝服务攻击是新兴攻击中最令人厌恶的攻击方式之一。因为目前网络中几 乎所有的机器都在使用着i c p i p 协议