下一代网络取证系统

陈 华, 许 能

(1.福建交通职业技术学院信息技术与工程系,福建福州 350007;2.中科院高能物理所计算中心,北京 100039)

0 引 言

随着网络与信息化的普遍应用与快速发展以及高带宽在各部门的应用,网络安全问题变得日益突出。由于互联网的发展,整个世界正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。网络已成为社会和经济发展强大动力,其地位越来越重要。网络入侵现象越来越严重,黑客攻击水平不断提高,网络犯罪呈现多样化,另外,网络犯罪行为也可能是正常的网络活动,计算机犯罪取证技术越来越成为世界各国普遍关注、并亟待解决的学术前沿课题之一。网络取证用法律的武器来对抗计算机犯罪,以一种主动防御的方法保护网络的安全。现有的网络取证系统在对高速报文的捕获、大量数据分析方面和海量数据存储已显现不足,因此,急需新的高速网络取证系统来保护高速网络的安全,形成对网络攻击者的强有力的威慑。文中将对高带宽网络实时取证的需求提出下一代网络取证系统。

1 网络取证系统近期研究工作

1.1 网络证据

网络证据就是正在网络上传输的电子证据,其实质是网络数据流。随着网络应用的日益普及,对网络证据进行正确地提取和分析对于各种案件的侦破具有重要意义。网络证据的获取属于事中取证,或称为实时取证,即在犯罪事件进行或证据数据的传输途中进行截获。网络数据流的存在形式依赖于网络传输协议,采用不同的传输协议,网络数据流的格式不同。但无论采用什么样的传输协议,根据其表现形式的不同,都可以把网络数据流分为文本、视频、音频、图片等。

网络证据[1]具有以下特点:

1)动态性。网络证据是网络数据流,即正在网络上传输着的数据,因而具有动态性。

2)时效性。网络数据流的数据包传输过程是有时间限制的,从源地址传送到目的地址后就不再属于网络数据流了。所以网络数据流具有时效性。

3)海量性。随着网络带宽的增加和网络应用的普及,网络上传输的网络数据流也越来越多,可能的网络证据也越来越多,所以具有海量性。

4)异构性。网络结构及相应协议的差异导致了网络数据流的异构性。

5)多态性。网络数据流有文本、图像、视频、动画和音频等多种形式,其表现形式具有多态性。

1.2 近期研究工作

近年来国内外在网络取证方面做了许多工作,Case.A[2]等提出了电子证据的自动发现和关联分析框架FACE;Cohen.M[3]提出了网络取证框架PyFlag,并分析如何H TML,DNS等类型数据取证;Yongping.T[4]等提出了一个基于代理的分布证据模型;国内如中科院软件所的孙波[5]等人则从取证机制本身的安全性出发,研究了取证收集系统的保护机制。

网络取证系统采用的证据是作为呈堂证供的,必须是原始的、不可更改的,然而网络数据是易逝的,转储过程中可能被修改,同时网络数据是基于会话的,任何网络数据包的丢失都可能导致会话无法还原,有可能造成证据的丢失。因此,面对高速网络给网络取证提出的挑战,文中将应高带宽网络实时取证的需求提出下一代可扩展网络取证系统。

2 网络取证系统的挑战

目前大多数网络取证系统是基于100 M或1 Gbps的网络环境,它们的能力和存储容量只能支持100 M或1 Gbps的网络。2006年普遍采用10 Gbps网络技术,越来越多的公司和单位将升级网络骨干至10 Gbps。回顾近10年计算机网络的发展,不得不承认Moore定律在互联网已经被打破——处理器的速度每18个月翻一番,但互联网骨干连接的带宽每12个月就要翻一番。Eric Weigle等人研究表明,尽管处理器的处理速度仍然以摩尔定律增长,但相对于通信链路速度的增长仍显得微不足道。

随着链路带宽的增加(当前互联网的主干链路带宽已经达到10 G以上),网络取证面临着高带宽、大规模、大数据分析的严峻挑战。原有的取证技术和方法已经不能适应这种高带宽环境的要求,尤其在数据包的捕获过程中,主要表现在以下几个方面。

2.1 PCI总线速度的限制

数据包的捕获与存储过程都经过PCI总线传输两次,首先是从采集卡上复制到主存中,最后将主存中的信息存储到存储阵列。对当前PCI总线技术指标下,还难以满足高速环境的要求。

2.2 存储设备容量的限制

在对高速链路采用基于数据包的捕获时,每天的数据量将以TBbytes计,大量的数据存储、传输、有效管理与分析都是所必须面对的问题。

2.3 内存和外存设备的访问速度与链路速度的矛盾

近年来,内存访问速度增长缓慢,大大落后于通信链路速度的增长。同时,外存储设备如磁盘阵列的速度也不能跟上链路速度的增加。

3 下一代可扩展网络取证系统

考虑网络取证系统采用分布式结构,实现时给整个网络增加负荷,降低整个网络性能,同时在分析方面存在着不足。文中提出了一个新的Gbps以上高速网络的网络取证模型[6],该模型的目标是针对网络入侵行为制定一个严格的取证模型,能够较好地解决网络入侵取证中存在的证据完整性、真实性的问题。尽管可能不能完全取代其它的模型,但它能够提供一个有利于发展的更宽松的环境。

新系统首先有以下优点:

1)与普通硬件和软件的高兼容性;

2)易于软件和硬件更新,又不影响运行的系统;

3)易于管理,更新和维护无须专家完成。

本系统更为详细的定义是:在Gbps或更高速的网络环境下能够不断地提供可信证据的可扩展、高吞吐量的网络取证系统。整个系统的设计都基于常用的硬件和软件环境。

3.1 基本系统结构

依照每个机器的主要功能,本系统划分成3个池:数据采集池、数据分析池和存储池。根据不同的功能和需求,每个池都设计有自己相应的结构和负载均衡系统。系统模型如图1所示。

图1 下一代可扩展网络取证系统

3.2 采集池

数据采集池的主要功能是从网络上抓取数据。这个池的机器称为数据采集器(DC),每个DC动态地分派去抓取网络流。DC抓取网络流并存储成小文件,这些小文件直接发送到数据分析池中。

取证系统位于网络主干上,以TAP方式捕获网络数据,对整个网络无影响。高速网络流量超过单机的处理能力,采用NP进行分流,根据收集器的处理能力将当前网络数据流均衡到收集器,实现本系统的第一级负载均衡技术。这样,普通的CPU和内存就能处理数据流。

3.3 分析池

分析池对收集池发送过来的数据,利用入侵检测技术判断是否是入侵犯罪行为。若是,则记录其入侵行为、危害程度,同时产生新文件来存放这些判断结果,并用MD5信息摘要、加密压缩提交到证据存储池;如果不能确定,则加密压缩提交给证据存储池以作进一步分析。即DA分析数据、压缩数据、发送结果到存储模块中。

为提高网络数据分析速度,系统使用Private Condor系统[7-8]来分析数据文件。收集器每产生一个数据文件,都将定义一个Condor作业,并将数据文件传输过去,这些都由Condor系统主动完成。入侵分析程序无需自己查找输入文件,大大提高了处理速度。

此外,由Condor处理的作业都是无人运行,我们将其设置为不允许写到本地硬盘,保证证据的安全性。

Condor系统能够自动地将分析作业调度到空闲的分析器上,实现了取证系统的第二级负载均衡。

3.4 存储池

存储池是由多个高交换RAID系统组成。RAID系统天生就是个可扩展的存储系统。然而,对一个存储池来说只是可扩展是不够的。从以下几个方面来保证存储池的特点满足网络取证证据存储的要求:

1)I/O带宽。使用高吞吐的RAID接口卡,使得数据可以快速地写到磁盘,提高网络取证处理速度。存储池由若干RAID系统组成,这样可以为写和读操作提供充足的带宽,保证本系统在高速网络环境下快速存储。

2)存储文件的格式。分析池对网络数据分析后,数据分析器将生成一个分析结果文件。原始文件仍需要保留,这样可以做更深层的再处理或做为证据呈交给法庭。为节省磁盘空间,数据分析器会压缩原始文件。压缩文件的同时进行加密,避免泄密。存储文件使用MD5检验来保证数据的完整性。

3)存储空间的管理。存储池的容量是有限的,不可能没有删除旧文件而不断地往池中写入。这个存储时间很大程度上取决于存储池的大小和所选的数据。我们设计不同类型的数据,它们的存储时间长短不一。每个文件服务器上都运行着deamon自动管理存储空间,自动释放空间。

4 结 语

提出的下一代可扩展网络取证系统的优点是可扩展性。系统从技术上保证网络取证过程的高度合法性,同时又满足5个特点:

1)与普通硬件和软件的高度兼容性;

2)易于更新且不影响系统的正常运行;

3)易于管理;

4)高速数据处理能力;

5)高度安全性。

旧机器可以继续使用或被更新,系统的升级不影响整个系统的运行。本系统模型满足Gbps网络取证的需求。

[1] 王峰.网络证据基本问题研究[D]:[硕士学位论文].南京:南京师范大学,2004.

[2] Case A,Cristina A,M arziale L,et al.FACE:Automated digital evidence discovery and correlation[J].Digital Investigation,2008,5:65-75.

[3] Cohen M.Pyflag-An advanced network forensic framework[J].Digital Investigation,2008,5:112-120.

[4] Yongping T,Thomas E Daniels.A simple framework for distributed forensics[A].Second International Workshop on Security in Distributed Computing Systems(SDCS)[C].Columbus:IEEE Press,2005:163-169.

[5] 孙波,孙玉芳,张相锋,等.电子数据证据收集系统保护机制的研究与实现[J].电子学报,2004:32(8):1374-1380.

[6] 陈华.高速网络取证系统的研究与设计[D]:[硕士学位论文].福州:福州大学,2008.

[7] 都志辉.网格计算[M].北京:清华大学出版社,2002.

[8] 杨泽明,许榕生,曹爱娟.网络取证与分析系统的设计与实现[J].计算机工程,2004(13):72-74.