（计算机软件与理论专业论文）网络取证系统的研究与设计.pdf

摘要 网络取证系统的研究与设计 专业：计算机软件与理论 硕士生：蔡耿平 指导老师：李磊教授 摘要 计算机与网络技术的广泛应用与发展，不仅促进了社会的进步，带动了经济 的发展，而且极大地改善了人们的工作和生活方式。然而，它也为犯罪分子提供 新的犯罪空间和手段。目前利用计算机和网络进行犯罪的现象曰趋严重，其危害 性也越来越大。在计算机犯罪手段与网络安全防御技术不断升级的形势下，单靠 网络安全技术打击计算机犯罪不可能从根本上解决问题，因此需要发挥社会和法 律的强大威力来对付计算机及恻络犯罪，计算机取证正是在这种形势下产生和发 展的。计算机取证的主要目的就是要收集电子证据，重构犯罪现场，为诉讼案件 提供有效的证据。电子证据本身及计算机取证过程许多有别于传统物证和取证的 特点，对司法和计算机科学领域提出了新的挑战。 本文通过研究计算机取证的相关理论及技术，阐述了国内外计算机取证的研 究现状及存在的问题，并在电子证据的获取，保存、分析方面进行了探讨和分析， 最终给出了一个网络取证系统的设计方案。该系统有如下几方面的设计要点：( 1 1 使用了面向a g c t 的系统分析与系统漫计方法，设计并实现了多个代理来协作完 成系统信息的监控与取证功能；( 2 ) 设计了一种基于插件模型的动态型代理，使 得系统事件的监控是可增加、可更新的；( 3 1 实现了多种系统事件监控和提取， 并详细讨论了其技术实现；f 4 ) 在系统的安全方面，讨论证据传输安全、网络时 间安全的问题，并给出了本文的设计方案。论文还详细讨论并解决了系统设计过 程中出现的关键问题，包括缓冲区管理，系统事件拦截，组件技术，内核驱动编 程，网络数据包捕获与过滤，协议分析。目前系统的主机取证和网络取证模块已 经实现。 关键词：计算机取证，电子证据，计算机犯罪，网络监控，代理 a b s 椭d r e s e a r c ho nn e t w o r kf o r e n s i c ss y s t e ma n di t sd e s i g n m 砌o r ：c o m p u t e rs o f t w a 豫a n dt h e o r y n a m e ：( ：a ig e n g p i n g s u p e r v i s o r ：ui 七ip r o f e s s o r a b s t r a c t t h e e ) 【t e n s i v e 印p l i c a t i o na n dd e v e l o p m e n to fc o m p u t e ra n di n t e m e tt e c h i l o l o g y n o to n l ym a k e sp r o g r e s sj nc i v i l i z a t i o na n de c o n o m y b u ta l s o i i l l p r o v e sg r e a t l y p e o p l e sw o r ka n dl i f cs t y l e h o w e v er i ta l s os u p p l i e sn e wc r h n es p a c ea n dm e a n sf o r c r i m i n a l t b d a 弘t h ep h e n o m e n o no fu t i l 泣i n gt h ec o m p u t e ra n dn e t w o r kt oc a r r vo n h ec r j m ej sb e c o m i n gm o f es e f i o u sa n dj l sh a r m f u l n e s sj sg e a l e ra n dg r c a l e lu n d e f t h es i t u a t i o nt h a t w a y so fc o m p u i c rc r i m ea n ds a f e g u a r dt e c h n o l o g i e so fn e t w o r k s e c i t ya r ec o n t i n u a l l yu p 酽a d e d ，i t si m p o s s i b l et os 0 1 v et h ep r o b l e mb a s i c a l l yb y o n l yu s i n gn e t w o r ks e c u r i t yt e c l l l l o l o g yt os t r 诙ec o m p u t e rc r i m eah e a v i l yb l o w s o i t sn e c e s s a r yt oe x e r ta p r o f o u n dr o l eo fs o c i e t ya i l dl a wo nc o m p u t e rc r 曲e ，a n d c o m p u t e rf b r e n s i c sc o m e so u ta n dd e v e l o p s 血t h i ss i t u a t i o n t h em a i np u r p o s eo f c o m p u t e rf o r e n s i c si st oc 0 u e c t i l l ge l e c t r o 如ce v 诏e i l c e ，r e c o n s t n l c t i i l gt h ea l i b ia n d p r o v i d i n gv a l i de v j d e n c e sf o r1 a wc a s e n e wc h a l l e n g e st oh w a i l dc o m p u t e rs c i e n c e d o m a i l la r eb r o u g h tf o r w a r db yc h a r a c t e f i s t j c s0 fe l e c t r o n i ce v j d e n c ei t s e l fa n d c o l l e c t m gp m c e s st h a ta f ed 磕陀r e n tt ot h o s eo fc l a s s i c a lm a t e i i a le v i d e n c ea n d c o l l e c l i n gp m c e s s b yd o i l l gr e s e a r c ho nr e l a t e dl h e o r ya n dt e c h 肿l o g yo fc o m p u t e rf o t e n s i c s ，t h i s p a p e f 岛r s tp r o v j d e sj 工l s 蟾h t sd o m e s l j ca 盯do v e r s e a so nc h n c n s “u a t j o na l l de x i s t i n g p r o b l e m si nt h ea r e ao fc o m p u t e rf o r e n s i c s ，a n dt h e nm a k e sad i s c u s s i o na n da n a l v s j s o nt h ec o u e c t i o n s ，c o n s e r v a t i o na n da n a l y s i so fe l e c t r o n i ce v i d e n c e f i i l a y ad e t a i l e d p r o j e c ta b o u th o w t od e s 毽nn e t w o f kf o r e n s i c ss y s t e mi sp r o v i d e d t h i ss y s t e mh a st h e f 0 1 l o w i l l gd e s i g np o i n t s ：( 1 ) b yu s i n gl h ea g c n t o r i e n t c ds y s t e md e s 谵na n da a l y s i s m e t h o d ，m u l t i - a g e m ss y s t e ma r ed e s 追n e da n dj m p i e m e n t e dt of i i l i s hf u n d i o n so f s y s t e mi i l f o r m a t i o nm o n “o r i i l ga n dc o u e c t i i l g ；( 2 ) o n ek i n d o fp l u g - i n o d e l b a s e d d y n a m j ca g e n tj sd e s 塘n e dt o 如a k es y s t e 埘e v e n t sm o n i t o ra d d a b 】ea n du p d a t e a b l e ； ( 3 ) s e v e r a lk i l l d so fs y s t e me v e n t sm o n i l o r i i l ga n de x t r a c t i l l 旦i si m p l e m e n t e da n d r e l a t e dt e c h n o l o g i e s 盯ed i s c u s s e di i ld e t a i l ；( 4 ) i 1 1s y s t e ms e c u r i t y ，p r o b l e m sa b o u t e v i d e n c et r a l l s i i l i s s i o ns e c u r i t ya n dn e t w o r kt i m es e c u r i t ya r ed i s c u s s e da n dm e t h o d s i nt h i s p a p e rj sp u tf d 九v a r d t h ep a p e ra l s od i s c u s s e sa n ds o l v e so u tt h ek e v t e c j l i l o l o g i e sp m b 王c mp r c s e n t i i lt h e p r o c e s so fs y s t e md e s i g n ，i i l c l u d m gb u 赶h m a n a g e m e m ，s y s t e me v e n th o o l 【i l l g ，c o mt e c t l n o l o g y k e m e ld r i v e ip r o g r a m m i n g ， n e t w o r kp a c k c tc 印t u r i n ga n df i n e r i n ga n dp r o t o c o la n a l y s i s a tp r e s e m ，h o s tf o r e n s i c a n dn e t w o r kf o r e n s i cm o d u l e so fs y s t e mh a v eb e e ni m p l e m e n t e d k e y w o r d s ： c o m p u t e rf o r e n s i c s ， e l e c t r o n i ce v i d e n c e ， c o m p u t e rc r i m e n e t w o r km o n i t o r i n g ，a g e n t i l 网络取证系统的研究与设计中山大学硕士学位论文 1 1计算机犯罪现状 第一章引言 二十世纪九十年代以来，计算机与网络技术迅猛发展，并广泛应用于各个领 域，给人类社会带来深远的影响。整个社会对于计算机及互联网络的依赖程度越 来越高。计算机不仅广泛地应用于企业的生产部门，实现生产过程的自动化控制， 极大地提高了生产效率，而且正在渗入企业组织、政府部门与机构的办公，乃至 人们的日常生活和工作中。众多的企业、组织、政府部门与机构都以建立自己的 信息化部门，组建和发展自己的网络，并连接到i n t e r n e t ，以充分共享、利用 网络的信息和资源。总之，计算机及网络技术已经成为社会和经济发展的强大动 力，其地位越来越重要。然而，如同任何技术一样，计算机与网络技术也是一柄 双刃剑，它的广泛应用和迅猛发展，一方面使社会生产力获得极大解放，另一方 面又给人类社会带来前所未有的挑战，其中尤以计算机犯罪为甚。 根据刑法第2 8 5 条、第2 8 6 以及第2 8 7 条规定，计算机犯罪是指借助计算机 实施相关犯罪，以计算机资源为对象而实施的犯罪的总称。通俗的讲，计算机犯 罪，是指使用计算机技术来进行的各种犯罪行为，它既包括针对计算机的犯罪， 即把电子数据处理设备作为作案对象的犯罪，如非法侵入和破坏计算机信息系统 等，也包括利用计算机的犯罪，即以电子数据处理设备作为作案工具的犯罪，如 利用计算机进行盗窃、贪污等。前者系因计算机而产生的新的犯罪类型，可称为 纯粹意义的计算机犯罪，又称狭义的计算机犯罪：后者系用计算机来实施的传统 的犯罪类型，可称为与计算机相关的犯罪，又称广义的计算机犯罪。 从1 9 6 6 年美国查处的第一起计算机犯罪案算起，世界范围内的计算机犯罪 以惊人的速度在增长。据有关资料统计，目前计算机犯罪的年增长率高达3 0 ， 其中发达国家和一些高技术地区的增长率还要远远超过这个比率，如法国达 2 0 0 ，美国的硅谷地区达4 0 0 。国外犯罪研究学者已经预言，未来信息化社会 犯罪的主要形式将主要是计算机犯罪。发达国家的情况已经证明了这一点，计算 机犯罪已经成为十分严重的社会问题。目前美国每年由于网络安全问题而遭受的 经济损失超过1 7 0 亿美元，德国、英国也均在数十亿美元以上，法国为1 0 0 亿法 郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜 ：，计算机犯罪已名列榜首。根据2 0 0 4 年c s i f b i 计算机犯罪年度报告显示， 在调查所接触的4 8 6 个组织中，有7 9 遇到电脑安全事件，其中4 7 遇到1 5 起、2 0 遇到6 1 0 起，1 2 以上遇到儿起以上。更令人不安的是，有2 1 的组织 蜕他们不知道自己的网站是否受到损害。在被调查的其中2 8 9 个组织，由于计算 机犯罪造成的直接经济损失达$ 1 4 l ，4 9 6 ，5 6 0 吐 国内计算机普及发展较晚，计算机犯罪案件虽没有国外猖獗，但其形势也日 趋严重。我国自1 9 8 6 年在深圳发生的第一起计算机案件以来，发案数连年增加。 据公安部公共信息网络安全监察局不完全统计，1 9 9 8 年立案侦查的计算机违法 犯罪案件仅为1 4 2 起；1 9 9 9 年增至9 0 8 起；2 0 0 0 年剧增为2 7 0 0 余起，比上一年 增加了2 倍：2 0 0 1 年又涨到4 5 0 0 余起，比上年上升7 0 。由此可见，国内计算 机犯罪问题不容忽视例。 网络取证系统的研究与设计中山大学硕士学位论文 1 2网络安全现状及其技术分析 网络安全问题是产生计算机犯罪的一个直接起因。正因为网络安全的不完 善，才使犯罪分子有机可乘，心存侥幸心理攻击网络，实施计算机犯罪。因此了 解网络面临的各种威胁，防范和消除这些威胁，实现真正的网络安全已经成了网 络发展中最重要的事情。 目前，网络面临的主要威胁主要来自下面几方面1 4 】； ( 1 ) 黑客的攻击 黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多 的人掌握和发展，目前，世界上有2 0 多万个黑客网站，这些站点都介绍一些攻 击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能 性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得 黑客攻击的隐蔽性好，杀伤力强，是网络安全的主要威胁。 ( 2 ) 管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很 多企业、机构及用户的网站或系统都疏于这方面的管理。据i t 行业企业团体i t a a 的调查显示，美国9 0 的i t 企业对黑客攻击准备不足。目前，美国7 5 一8 5 的 网站都抵挡不住黑客的攻击，约有7 5 的企业网上信息失窃，其中2 5 的企业损 失在2 5 万美元以上。 ( 3 ) 网络的缺陷 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的 r c p i p 协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会 因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服 务质量、带宽和方便性等方面存在着不适应性。 ( 4 ) 软件的漏洞或“后门” 随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的 存在，比如我们常用的操作系统，无论是w i n d o w s 还是u n l x 几乎都存在或多或 少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在 安全隐患。大家熟悉的尼姆达，中国黑客等病毒都是利用微软系统的漏洞给企业 造成巨大损失，可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计 中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之。 ( 5 ) 企业网络内部 来自网络内部用户的误操作，资源滥用和恶意行为，再完善的防火墙也无法 抵御来自网络内部的攻击，也无法对网络内部的滥用做出反应。有关资料显示， 来自企业网络内部的攻击正在逐年上升，造成的损失远比由于企业外部的攻击而 带来损失大得多。据美国联邦调查局的报告显示，一次成功的外部攻击所带来的 损失平均为5 6 0 0 0 美元，而一次成功的内部攻击的损失平均为2 7 0 ，o o o 美元，相 差将近5 0 倍。报告还指出8 0 的信息安全事故来自内部的使用者。 针对目前的网络安全问题，许多政府组织及研究机构开展了大量研究工作并 已出现不少技术成果。现有的网络安全研究主要集中在安全防御方面，其中主要 的技术包括：防火墙、入侵检测、漏洞扫描、虚拟专用网、蜜罐等。以下是对这 些技术思想的简要介绍和分析【5 】。 ( 1 ) 防火墙技术 2 网络取证系统的研究与设计中山大学硕士学位论文 防火墙技术是在被保护网络和i n t e r n e t 之间设置一个隔离装置，从而为一 个地理上比较集中的物理网络提供抵御外来侵袭的能力，是使用最为广泛的一种 安全技术。目前防火墙技术主要分两大类，一类是包过滤技术，另一类是代理技 术。其中包过滤防火墙的主要优点是实现简洁，并且一个单个的、恰当放置的包 过滤路由器有助于保护整个网络。但它也存在很多局限性，如数据包过滤规则难 以配置、一些协议不适合于数据包过滤、正常的数据包过滤路由器无法执行某些 策略等。应用层网关防火墙的主要优点是其透明度，并且由于它实现了内外网络 之间的相互隔离，大大地增强了网络的安全性能。但它也有缺点，如代理服务落 后于非代理服务，对于每项服务可能要求不同的服务器，代理服务不适用于某些 服务等。尽管防火墙技术有很好的防护能力，它也有力不能及的地方。如果允许 受保护网络内部不受限制地向外拨号，一些用户就可以绕过防火墙，造成一个潜 在的后门攻击渠道；防火墙不能防止感染了病毒的软件或文件的传输；防火墙不 能防止数据驱动式攻击。 ( 2 ) 入侵检测 入侵检测是检测和识别针对计算机系统和网络系统，或者更广泛意义上的信 息系统的非法攻击，或者违反安全策略事件的过程。它是从计算机系统或者网络 环境中采集数据，分析数据，发现可疑攻击行为或者异常事件，并采取一定的响 应措施拦截攻击行为，降低可能的损失。入侵检测的分类标准很多，最重要两个 标准是数据来源和数据分析手段。从数据分析来源看，入侵检测可以分为基于主 机的入侵检测和基于网络的入侵检测。从数据分析手段看，入侵检测又可以分为 滥用入侵检测和异常入侵检狈0 。 ( 3 ) 漏洞扫描 漏洞扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式 对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交 换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的 安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建 设中，安全扫描是一种花费低、效果好、见效快、与网络的运行相对对立、安装 运行简单的工具，它可以大规模减少安全管理员的手工劳动，有利于保持全网安 全政策的统一和稳定。 目前有的技术资料将漏洞扫描作为入侵检测的一部分来处理。漏洞扫描与常 规意义上的入侵检测不同之处是：前者为主动检测后者为被动监测。两者的共 同之处都是采用技术手段发现目标网络或主机存在的安全风险问题，他们互为补 充。漏洞扫描能够在黑客进行攻击之前发现系统的缺陷或配置问题，入侵检测只 有在大规模应用时候才能提前预警且预警时问比较有限。 ( 4 ) 虚拟专用网 虚拟专用网( v p n ) 被定义为通过一个公共网络建立一个临时的、安全的连接， 是一条穿过混乱的公用网络安全的，稳定的隧道。虚拟专用网可分为网络v p n 与远程访问v p n 。网络v p n 是为了实现两个局域网之间通过i n t e r n e t 互连，两 个局域网内的终端都能够使用另一个网络的内部资源，就像他们在一个局域网的 不同子网一样；远程访问v p n 是为了实现接入互联网的终端用户能够通过 i n t e r n e t 访问到企业局域网内部的网络资源，该终端对局域网内部资源的使用 方式与其它局域网内部终端是一致的。 ( 5 ) 蜜罐技术： 蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些 网络取证系统的研究与设计 中山大学硕士学位论文 试图非法闯入他人计算机系统的人( 如电脑黑客或破解高手等) 而设计的。蜜罐 系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机。给攻 击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务， 因此所有链接的尝试都被视为是可疑的。蜜罐的另一个用途是拖延攻击者对真f 目标的攻击，让攻击者在蜜罐上浪费时间。这样，最初的攻击目标得到了保护， 真正有价值的内容没有受到侵犯。此外，蜜罐也可以为追踪攻击者提供有用的线 索，为起诉攻击者搜集有力的证据。蜜罐就是“诱捕”攻击者的一个陷阱。 1 3计算机取证技术的提出 虽然针对目前网络安全存在的问题目前已经存在很多技术来解决，但是这些 技术大多数只是从防御的角度来防止入侵，并不能从根本上来解决问题。已有网 络安全防御工具并不是十全十美的，每一种防御工具或多或少都存在一些缺陷安 全漏洞。比如防火墙和入侵检测系统。 防火墙技术是应用最广泛，最成熟的网络安全技术，但是却可以有很多方法 来绕过防火墙。t c p 暗藏通道技术和反向连接技术就可以绕过防火墙的限制。t c p 暗藏通道( t c p t u n n e l ) ，是一种绕过防火墙端口屏蔽的通信方法，它可以把防火 墙禁止通过的数据包封装成防火墙所允许通过的数据包类型或是端口上，然后穿 过防火墙与对方通讯，当封装的数据包到达目的地时，再将数据包还原，并将还 原后的数据包交送到相应的服务上。现在的防火墙禁止外部主机访问内部网络但 却允许内部机器访问外部网络的特点，反向连接技术正是利用这一点。传统的远 程控制一般是在被控制计算机开放一个端口，处于1 i s t e n i n g 状态，等待主控端 来连接，而反向连接则相反，在主控制计算机开放一个端口，处于1 i s t e n i n g 状态，等待被控端来连接，这样也就使防火墙失去作用。 入侵检测系统( i d s ) 也存在如下缺点：( 1 ) 较高的漏报率和误报率；( 2 ) 对 i d s 系统的管理和维护比较难，它需要安全管理员有足够的时间、精力及丰富的 知识，以保持传感器的更新和安全策略的有效；( 3 ) 当i d s 系统遭受拒绝服务攻 击时，它的失效开放机制使得黑客可以实施攻击而不被发现( i d s 系统的失效开 放机制是指，一旦系统停止作用，整个网络或主机就变成开放的。这与防火墙的 失效关闭机制正好相反，防火墙一旦失效，整个网络是不可访问的) ；( 4 ) 最重 要的是，i d s 系统是以被动的方式工作，只能检测攻击，而不能阻止攻击。 事实也证明了这一点，现有安全防御工具并不能完全解决网络安全问题。 根据c s i f b i 计算机犯罪年度报告显示，发生网络安全事件的组织中，有9 9 以 上：是装了防火墙和防病毒软件【”。因此，需要发挥社会和法律的强大威力来对付 计算机及网络犯罪，计算机取证正是在这种形势下产生和发展的，它标志了网络 安全防御理论的成熟。计算机取证的最终日的和其他网络安全技术一样，都是为 了保障网络的安全，但它主要是指将计算机调查和分析技术应用于对潜在的、有 法律效力的证据的确定与获取，即收集电子证据，然后重构犯罪现场，为诉讼案 件提供有效证据。电子证据本身及计算机取证过程许多有别于传统物证和取证的 特点，对司法和计算机科学领域提出了新的挑战。2 0 0 1 年6 月1 8 曰至2 2 日， 在法国图鲁兹城召开的为期5 天的第十三届全球n r s t 年会上，计算机取证成 为此次大会的主题。由此可见，作为计算机领域和法学领域的一门交叉学科，计 算机取证正逐渐成为人们的研究热点1 6 j 。 4 网络取证系统的研究与设计 中山大学硕士学位论文 在目前的网络安全形势严峻的情况下，计算机取证技术研究具有十分重要的 意义。据2 0 0 0 年3 月美国出版的电子隐私信息中心论文资料显示，1 9 9 2 年 以来，向联邦检举法官提交的各种电脑犯罪案件数量增长了三倍，但实际起诉的 案件数量却没有变化。原因就在于，因为取证棘手，很多案件由于证据缺乏而放 弃起诉。如果采用电脑辨析学方法，组织各方面人力进行调查取证，搜寻确认罪 犯和犯罪事实并进行起诉，就可以从根本上杜绝这类犯罪，并为企业挽回损失。 1 4论文的研究内容 本文通过研究计算机取证的相关理论及技术，阐述了国内外计算机取证的研 究现状及存在的问题，并在电子证据的获取，保存、分析方面进行了探讨和分析， 最终给出了一个网络取证系统的设计方案。浚系统在如下几方面进行了研究与设 计：( 1 ) 传统的计算机取证思路是事前不预防，事后再取证。而网络及主机多处 于不安全状态，特别是一些对安全要求较高的地方，必须在事前做好安全部署和 预防工作。本文正是在这种背景下，提出一个基于多代理技术的动态取证思路， 设计了功能可变动的动态型代理，使得取证操作是可配置的，可管理的，它可以 动念装载新的取证模块来满足实际的需要而无须重新修改或安装原有系统代码。 ( 2 ) 实现了多种系统事件监控、提取和存储，并详细讨论了其技术实现，系统事 件日志数据被实时地传送到远程安全主机，然后写入只读设备，最大限度保证证 据的完整性。完整性校验采用数字签名技术。( 3 ) 实现了网络数据包的捕获、分 析、存储工作，详细说明了实现数据包捕获和分析的技术方法。r 4 1 在系统安全 方面，设计网络自动对时程序，保证网络主机时间安全；利用s s l 加密协议来保 证证据的安全性。 1 - 5论文的组织结构 论文的组织结构如下： 第一章，引言。主要介绍了计算机犯罪现状以及网络安全现状，并对现有 的网络安全技术进行分析，指出研究计算机取证的意义所在。最 后给出了本文的研究内容及论文的组织结构。 第二章，计算机取证及a g e n t 技术。介绍了计算机取证的相关概念、基本 步骤、相关技术和计算机取证的研究现状。介绍了a g e n t 的概念、 特点、体系结构和面向蟾e n t 的软件工程方法。 第三章，网络取证系统的分析和设计。介绍了网络取证系统的需求分析内 容，基于g a i a 方法的面向a g e n t 的系统分析和设计。给出系统 在传输安全和网络时间安全方面的考虑与设计。最后给出系统数 据库的设计内容。 第四章，系统代理的技术实现。介绍了本文所涉及的代理的实现思路，包 括利用多线程和消息技术来实现一般型代理以及设计插件式软 件模型来实现代理功能的动态需求。最后是代理的存储策略设 计。 第五章，介绍了主机事件监控实现的关键技术，包括利用h 0 0 k 技术的解 网络取证系统的研究与设计 中山大学硕士学位论文 决键盘事件、窗口创建与销毁事件和命令调用的监控，采用核心 模式驱动编程技术来解决文件系统、注册表和进程事件的监控， 利用组件技术解决系统登陆和网页浏览事件的记录，另外还介绍 了操作系统日志事件的监控。 第六章，介绍了网络取证子系统的关键技术，包括w i n p c a p 的介绍，数据 包的捕获、过滤、协议格式和协议分析技术。 第七章，总结。给出系统的部分运行结果以及对本文的研究内容进行总结 并指出以后进一步的研究工作。 结论，对本文的研究内容进行总结并指出以后进步的研究工作。 其中，第三章到第六章，描述了本文研究的主要内容。 6 网络取证系统的研究与设计中山大学硕士学位论文 第二章计算机取证及a g e n t 技术介绍 2 1 计算机取证技术介绍 2 1 1 电子证据和计算机取证 什么是计算机取证? 作为计算机取证方面的资深人士，j u d dr o b b i n s 对此给 出了如下的定义：“计算机取证是将计算机调查和分析技术应用于对潜在的、有 法律效力的证据的确定与提取。证据可以在计算机犯罪或误用这一大范围中收 集，包括窃耿商业机密，窃取或破坏知识产权和欺诈行为等”。e n t e r a s v s 公司 c t 0 、办公室网络安全设计师d i c kb u s s i e r e 则认为计算机取证也呵以称为计算 机法医学，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行 为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼的过程和技 术。综合以上定义，计算机取证是指对能够为法庭接受的、足够可靠和有说服力 的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以 及法庭出示的过程，它能对推动或促进犯罪事件的重构，或者帮助预见有害的未 经授权的行为【”。 从计算机取证的定义中可以看出，取证过程主要是围绕电子证据来展丌工作 的，因此电子证据是计算机取证技术的核心。电子证据也称为计算机证据，是指 在计算机或计算机系统运行过程中产生的，以其记录的内容束证明案件事实的电 磁记录物。电子证据在计算机屏幕上的表现形式是多样的，尤其是多媒体技术的 出现，更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信 息，这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。电子证 据主要来自两个方面，一个是系统方面，另一个是网络方面。来自系统方面的电 子证据包括：系统日志、系统的审计记录、操作系统和数据库的临时文件或隐藏 文件、数据库的操作记录、硬盘驱动的交换( s w a p ) 分区、扇区间隙( s l a c k ) 和空 闲区、软件设置、完成特定功能的脚本文件、w e b 浏览器数据缓冲、书签、历史 记录或会话日志、a r p 缓存、内核统计、内存数据、物理配置、网络拓扑图以及 由应用软件产生的记录和同志等。来自网络方面的证据有防火墙日志、i d s 臼志、 路由器目志、f t p 、啊和邮件服务日志、e m a i l 原始数据、实时聊天记录、网络 监控流量以及其他网络工具所产生的记录和同志等【7 】。 2 1 2 计算机取证的基本步骤 计算机取证过程和技术比较复杂，它是随着黑客技术的提高而不断发展的。 在打击计算机犯罪时，执法部门还没有形成统一标准的程序来进行计算机取证工 作。一般来说，为确保获取有效的法律证据，并保证其安全性和可靠性，计算机 取证一般应包括保护目标系统、电子证据确定、收集、保护、分析和归档等六个 步骤【9 】，见图2 1 的虚线框部分。 7 网络取证系统的研究与设计中山大学硕士学位论文 j 一一一。一一。一- 一一一一。一一+ 一_ 图2 1 计算机取证的基本步骤 1 、保护目标计算机系统 计算机取证时，第一件要做的事是冻结计算机系统，不给犯罪分子破坏证据 提供机会。在这方面，计算机取证与普通警察封锁犯罪现场、搜索物证没有区别。 避免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感染的情况。 2 、电子证据的确定 从存储在大容量介质的海量数据中，相对计算机取证来晚，需区分哪些是电 子证据，哪些是垃圾数据，以便确定那些由犯罪者留下的活动记录作为主要的电 子证据，并确定这些记录存在哪里、是怎样存储的。 3 、电子证据的收集 取证人员在计算机犯罪现场收集电子证据的工作包括收集系统的硬件配置 信息和网络拓扑结构，备份或打印系统原始数据，以及收集关键的证据数据到取 证设备，并将有关的日期、时间和操作步骤详细记录等。 4 、电子证据的保护 采用有效措施保护电子证据的完整性和真实性，包括用适当的储存介质( 如 c d r o m ) 进行原始备份，并将备份的介质打上封条放在安全的地方；对存放在取 证服务器上的电子证据采用加密、物理隔离、建立安全监控系统实时监控取证系 统的运行状态等安全措施进行保护，非相关人员不准操作存放电子证据的计算 机；不轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢 失。 5 、电予证据的分析 对电子证据的分析并得出结果报告是电子证据能否在法庭上展示，作为起诉 计算机犯罪者的犯罪证据的重要过程。分析包括用一系列的关键字搜索获取最重 要的信息；对文件属性、文件的数字摘要和日志进行分析；分析w i n d o w s 交换文 件、文件碎片和未分配空间中的数据；对电子证据做一些智能相关性的分析，即 发掘同一事件的不同证据间的联系；完成电子证据的分析后给出专家证明，这与 侦查普通犯罪时法医的角色类似。 6 、归档 对涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本、运行 取证j ：具时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许 8 网络取证系统的研究与设计中山大学硕士学位论文 可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理，形成能提 供给法庭的电子证据。 另外，在处理电子证据的过程中，为保证证据的可信度，必须确保“证据链” 的完整性即证据保全，对各个步骤的情况进行归档，包括收集证据的地点、日期 时间和人员、方法及理由等，以使证据经得起法庭的质询。调查人员在收集、保 护和分析电子证据时，每一个步骤都必须填写证据保全表格。 2 1 3 计算机取证的相关技术 由于计算机犯罪的多样性，涉及的计算机取证技术也较复杂。一般地，计算 机取证技术有： l 、i p 地址追踪和定位技术 i p 地址是揭示犯罪嫌疑人身份和地理位置的重要线索。获取被调查对象的 i p 地址的方法有：对各系统日志，e m a i l 信息的分析和被调查对象进行直接通 信( 如利用实时聊天工具i c q 、o i c q 相应追查功能的软件，n e t s t a t 功能，嗅探 器抓包分析软件) 获取对方的真地址；利用陷阱技术如h o n e y p o l ( 蜜罐) 技术。获 取真地址后就可利用v is u a l r o u t e 等软件和全球j 下地址分配表定位该真地址的 位置，如果是国内的则可以通知有关单位进行协查，如果是国外的则可以对该 i p 地址实施监控。 2 、陷肼技术 如果没有足够的电子证据，调查人员可采用陷阱技术获取犯罪嫌疑人的记 录：诱骗对方访问某个受控制的服务器以获取相关信息：通过设置h o n e y p o t ( 蜜 罐) 诱骗黑客，即设置一些存在明显漏洞的服务器诱骗黑客攻击，并使用特定的 入侵检测系统记录所有入侵记录吼 3 、电子证据的收集和传输技术 常用的电子证据收集技术包括：对计算机系统和文件的安全获取技术：避免 对原始介质进行任何破坏和干扰；对数据和软件的安全搜集技术；对磁盘或其它 存储介质的安全无损伤镜像备份技术；对己删除文件的恢复、重建技术；对交换 文件、缓存文件、临时文件中包含的信息的复原技术；计算机在某一特定时刻活 动内存中数据的搜集技术；网络流动数据的获取技术等【”j 。 在电予证据收集过程中，将待收集的数据从目标机器安全地转移到取证设备 上，必然需要安全的传输技术，用r s 一2 3 2 为接口的传输光缆进行异步传输，确 保计算机取证的整个过程具有不可篡改性的要求。安全的传输技术主要采用加密 技术，如加密、v p n 隧道加密、s s l 加密等协议标准，保证数据的安全传输。另 外，可通过使用消息鉴别编码( 姒c ) 保证数据在传输过程巾的完整性。 4 、数据保存 数据在安全传送到取证系统的机器后，就要对机器和网络进行物理隔离，以 防止外部黑客攻击，并对数据使用加密技术进行保存，来防止内部非法人员的篡 改和删除。磁盘加密的主要方法有固化部分程序、激光穿孑l 加密、掩膜加密和芯 片加密等，还可利用修改磁盘参数表( 如：扇区间隙、空闲的高磁道) 来实现磁盘 的加密。 5 、电子证据的分析技术 在己经获取的数据流或信息流中寻找、匹配关键词或关键短语，是目前主要 的电子证据分析技术，它具体包括：文件属性分析，文件的数字摘要分析，日志 9 网络取证系统的研究与设计 中山大学硕士学位论文 分析，对空闲磁盘空间、未分配空间和自由空间中所含信息的发掘技术，发掘同 一事件的不同证据间的联系，即证据的相关性分析技术，数据解密技术，密码破 译技术，对电子介质中的被保护信息的强行访问技术等【1 0 j 。 2 1 4 计算机取证的研究现状 在国外特别是在美国等网络技术发达国家，打击计算机犯罪有着二三十年的 历史，在计算机取证方面积累了一定的经验，出现了许多专门的计算机取证部门 实验室和咨询服务公周。1 9 8 4 年美国f b i 实验室和其他法律执行部门开始建立 了检查计算机证据的实验室【1 1 】。很多专门从事计算机取证的公司开发了许多非常 实用的取证产品。比较好的产品有美国g u i d a n c e 软件公司研制的e n c a s e 产品， 它是基于w i n d o w 系统的用于法庭数据收集和分析系统可将f 在运行的系统在不 停机的情况下将系统的全部运行环境和数据生成一个映像文件再对该文件进行 分析从而发现犯罪证据【1 2 】；美困的计算机取证公司( c o m p u t e rf o r e n s i cl t d ) 开 发的d l b s 产品它是一种数据镜像备份系统使用独特的数据镜像查证和鉴定技术 确保了单独复制的绝刘安全性和完整性【”】；英国v o g o n 公司，r 发了基于p c 、m a c 和u n i x 等系统的数据收集和分析系统( f 1 i g h ts e r v e r ) 它可以将计算机犯罪现场 中的计算机硬盘逐个扇区( 包括坏扇区) 进行复制、拷贝并生成一个物理镜像文 件，然后对该镜像文件进行分析从而辅助办案人员发现犯罪证据1 1 4 j ；美国的 s a n d s t o r m 公司开发了n e t i n t e r c e p t 网络取证系统，它可获取和分析网络数据 以及数据恢复等功能，能产生详细的报告，可支持6 0 多种网络协议的数掘流格 式。国外各研究机构与公司所丌发的工具主要覆盖了电子证据的获取、保全、分 析和归档的过程，各研究机构与公司也都在进一步优化现有的各种工具，提高利 用工具进行电予证据搜集、保全、鉴定、分析的可靠性和准确度进一步提高计算 机取证的自动化和智能化程度。但目前还没有能够全面鉴定电子数据证据设备来 源、地址来源、软件来源的工具。 在计算机取证的程序和标准研究方面，巴西研究人员m a r c e l oa b d a l l ad o s r e i s 做了大量的工作1 1 5 】【1 6 】，发表了多篇相关的论文并在2 0 0 2 年7 月美国夏威夷 召开的第十四届f i r s t 技术论坛上提出了计算机取证协议和程序的标准化的思 想1 1 7 】，指出标准化的模型分为合法标准和技术标准合法标准包括合法原则和证 据的法律和规则技术标准包括技术原则、分析策略以及技术方案和解决方法其标 准化模型。另外美国f b i 也制定了计算机取证的程序规范和电子物证的标准化 【1 8 】。f b i 的取证专家m n o b l e t 等人提出了计算机取证的金字塔模型包括检查原 则、策略与实践以及程序与技术三类标准1 1 ”。 而目前在国内，全国各省市级公安机关已建立专门打击计算机犯罪的警察队 伍。但这些执法机关技术上还比较缺乏有效的工具，仅有的也只是利用国外一些 常见取证工具或利用自身的技术经验，程序上还缺乏一套计算机取证的流程提供 给法庭的证据很容易遭到质疑。因此急需有效组织社会资源着手防范和打击计算 机犯罪的技术研究。 在我国有关计算机取证的研究与实践尚在起步阶段。中科院在网络入侵取 证、武汉大学和复旦大学在取证技术、吉林大学在网络逆向追踪、电子科技大学 在网络诱骗北京航空航天大学在入侵诱骗模型等方面都展开了研究工作。另外还 有在研的国家级项目：国家8 6 3 项目子课题一一电子物证保护与分析技术和公安 部重点项目一一打击计算机犯罪侦查技术研究包括计算机系统运行环境勘察取 1 0 网络取证系统的研究与设计中山大学硕士学位论文 证技术、计算机系统日志勘察取证技术、常用应用软件默认数据及缓冲数据勘察 取证技术、存储介质中残缺数据勘察取证技术、常用软件加密数据的勘察取证技 术、常见破坏性程序的搜索与取证技术、计算机犯罪证据固定与保全技术和电子 数据证据鉴定技术等八个课题。 国内市场上已推出几款计算机取证的系统：深圳中科新业的网络入侵取证系 统，上海金诺网安的计算机犯罪取证勘查箱和中软公司的网络信息监控分析与取 证系统等。这些工具的面世，在一定程度上弥补了我国在计算机取证工具研制方 面的空白。 2 2 旭e n t 技术的介绍 2 2 1a g e n t 的概念及特点 在计算机和人工智能领域中，a g e n t 可以看成是一个实体。它通过传感器感 知环境，通过效应器作用于环境。a