基于主动网络取证及防御系统的研究

肖应君 刘朝晖

南华大学计算机科学与技术学院 湖南 421001

0 引言

网络证据就是网络中的电子证据，电子证据是指在计算机或计算机网络工作中的过程中形成的，以数字技术为基础的，能够反映计算机工作状态、网络活动以及具体思想内容等事实的各类电子数据或电子信息，如电磁或光电转换程序、数据编码与数据交换方式、命令与编程、被命名为病毒的破坏性程序、文字与图象处理结果、数字音响与影像等等。网络取证可描述成这样一组行为：首先工作人员对网络审计线索进行捕获，然后记录并分析，从结果中发现安全漏洞或其它信息保障问题的根源，因此，可将网络过程大致划分为：证据获取、分析和法庭展示三个阶段。

1 网络取证

网络取证技术要借助一些其它相对成熟的网络安全防御技术，如防火墙，入侵检测技术、陷阱、网络追踪技术、计算机动态取证技术等，然而一个相对安全的综合防御系统，则需要这些网络安全防御技术综合应用。

网络追踪系统就是借鉴了路由反向追踪算法的思想。当回应黑客的访问请求时，系统对返回的数据包进行处理，在数据包中添加特殊的标记，然后才发送给黑客。同时通知分布在大大小小各个网络中的AGENT，要求它们开始对数据进行分析，筛选出带特殊标记的数据包，并把详细信息发送给数据分析控制台。接下来由控制台对发送过来的数据进行分析处理，输出黑客的真实地址或黑客最后出现的网络边界地址。在网络跟踪系统里的AGENT(跟踪嗅探器)起的就是和路由器类似的作用。而添加的特征标记解决了入侵者习惯使用的PROXY技术所带来的难题，也提高了追踪的效率。

计算机动态取证是将取证技术结合到防火墙、入侵检测技术以及陷阱技术中，对所有可能的计算机犯罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施切断链接或诱敌深入，在确保系统安全的情况下获取最大量的证据，并将证据鉴定、保存、提交的过程。计算机动态取证改变了以往的仅靠防火墙、入侵检测、陷阱这些传统的安全工具进行被动防御的局面。通过对实时获取的电子证据进行动态取证，我们能更好地了解犯罪的动机和手段，从而分析得出正确的防范措施，指导相应防火墙和入侵检测系统迅速做出响应，形成计算机取证与防火墙、入侵检测的互动。

2 取证及防御系统设计

随着Internet的迅速发展，防范病毒和黑客攻击己成为一个世界性的问题。在传统的网络安全防御技术中，采用的主要是被动防御技术，比如防火墙技术和入侵检测技术等，而随着网络技术的发展，逐渐暴露出其缺陷。防火墙在保障网络安全方面，对病毒、后门威胁和对于内部的黑客攻击等都无法起到作用。入侵检测则无法观测到所有可能的事件，有很高的漏报率和误报率，提供用于事后分析和调查的信息不多。被动防御技术的缺陷是：(1)防御滞后于攻击；(2)黑客侵入系统后，原有的防护体系无能为力；(3)防外部较好，防内部较差；(4)对合法用户的非法行为无法防护；(5)入侵者得手后可毁灭线索、证据；(6)事后的电子数据无说服力。国际信息安全防护技术已从被动防范走向主动防御。

本文讨论克服单个网络安全防御技术产品不足，综合应用防火墙，入侵检测技术、陷阱、网络追踪技术、计算机取证技术，构建一个集网络取证与防御于一体的系统，确保网络的安全运行。

2.1 网络取证及防御系统的基本架构

网络取证及防御系统由防火墙和入侵检测系统、联动系统、陷阱系统、网络追踪系统、取证系统组成。具体结构如图1所示。

图1 网络取证及防御系统结构图

2.2 防火墙和入侵检测系统联动子系统

防火墙和入侵检测系统联动子系统功能是：在装有陷阱的网络系统中，当恶意攻击出现时，除了可以利用现有的监视系统对管理员给予警告提示，我们还可以在防火墙和入侵检测系统处放置一些具有导向功能的结构将这些可疑的连接引入到陷阱环境中来。

防火墙维护一个黑名单机制，入侵检测根据自身系统的能力发现新的入侵来源，通过对网络陷阱的规则配置，可以将防火墙的黑名单和入侵检测系统能够识别的入侵者引入陷阱网络。取证系统对进入陷阱网络的入侵者进行实时检测和取证。取证系统发现的新入侵者特征及时的反馈给防火墙和入侵检测系统，使其更新规则配置，以此提高网络的安全性能。

一定程度上，入侵检测系统的能力决定了网络陷阱对付外界入侵的能力。利用一些商用的入侵检测和防火墙的接口协议实现防火墙和入侵检测系统的互动，提高系统通用性和兼容性。

2.3 陷阱系统

网络攻击者通过防火墙和入侵检测系统的引导进入陷阱系统。陷阱网络及诱骗技术中的伪装其实就是诱骗，即建造一些表面看上去易受攻击的系统，但实际上却不能访问有用数据、管理控制或其他计算机。通过伪装之后，陷阱系统好像很容易受到攻击，实际上根本没有任何合法用户或通信，这样能够让一个失败的入侵者暴露无遗，而且易于进行监视。为了吸引黑客，网络安全专家通常在诱捕系统上故意留下一些安全后门来吸引黑客上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假信息。这样，当黑客正为攻入目标系统而沾沾自喜的时候，他在目标系统中的所有行为，包括输入的字符、执行的操作都已经为诱捕系统所记录。把所所记录的数据传送给取证系统，由取证机进行犯罪证据的分析与固定。网络追踪系统根据黑客在攻击陷阱系统时留下的痕迹，追踪其来源，记录其犯罪证据。从而有效地防范黑客入侵，打击计算机犯罪。

2.4 取证系统

一个基本的计算机取证模型主要包括三部分：取证机、分析机和信息证据库。取证机主要负责电子证据的搜集工作，捕获网络数据包和获取目标主机(各个服务器和工作站)的日志等电子证据；分析机则是对电子证据进行数据分析的工作；信息证据库负责原始数据的保存，还有根据分析的结果建立犯罪证据库和犯罪知识库。

取证机设有双网卡，一个外部网卡与被取证的陷阱网络相连接，用于获取电子证据；另一专用网卡则与取证系统内部的分析机和信息证据库相连接。取证机实时地对网络和目标主机进行监控，获取了原始数据之后，就通过安全传输的方式发送到信息证据库，同时产生一份原始数据的拷贝传输到分析机上。取证机是取证系统中惟一与外部相连的部分，必须确保安全，只有经过认证和授权才能发送或接收数据。信息证据库则对原始的数据采用数字签名、加密、完整性保护、加时间戳等方式进行保存，保证了数据的安全性和准确性。分析机对备份的数据进行分析，之所以不对原始数据进行直接分析是为了防止原始数据受到破坏。分析机经过分析之后，把犯罪的证据传输到信息证据库保存起来，如果发现新的攻击手段，还要对规则库进行扩充。

取证机对防火墙、入侵检测技术以及陷阱技术中，所有可能的计算机犯罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施切断链接或诱敌深入，在确保系统安全的情况下获取最大量的证据，并将证据鉴定、保存、提交的过程。取证机系统将获取的犯罪数据进行分析，如果是新的攻击手段，把信息反馈给防火墙和入侵检测系统，使防火墙和入侵检测系统更新其规则配置。信息证据库的信息及时反馈给陷阱系统，陷阱系统及时的做修补。使其更具有迷惑性。

2.5 网络追踪系统

网络追踪系统根据黑客在攻击陷阱系统时留下的痕迹，对其所攻击的数据包进行分析，寻找其IP包头中的源地址，根据源地址，利用网络追踪系统寻找出攻击者的准确位置。将犯罪分子绳之以法。

网络跟踪通过整个网络中的所有主机相互配合，收集分析网络中的每台主机的有关信息，将入侵者的活动轨迹展现出来。要实现这样的操作，就需要网络中的所有主机都是安全可信的，即网络中的主机没有被入侵者攻击破坏，收集到的数据是可信的，而且在传输这些数据时也没有被破坏或修改，在此基础上对这些收集到的数据进行处理，包括对数据进行过滤和筛选，将入侵者在整个网络中的活动轨迹连接起来，实现网络入侵的跟踪。随着网络带宽的逐渐增加，网络入侵者在互联网中控制大量代理攻击服务器，可以快速发动大规模的攻击，在这样的环境下进行网络跟踪，则需要网络跟踪技术能够快速、准确的反应，并尽量减少占用系统的有效资。

防火墙像一个防盗门防止非法者进入，入侵检测就是一个防盗报警装置，一旦有攻击行为就自动报警，而取证系统就是被保护现场的监控器、摄像头、录音器，能把犯罪行为如实地一记录下来。追踪系统就是犯罪行为人的追逃者，这样不仅能够防范外部的入侵，也能防止从内部进行的破坏，构成一个立体的安全体系。

[1] 陈浩然.据学原理.东理工大学出版社.2002.

[2] LIU Zai-Qiang+, LIN Dong-Dai, FENG Deng-Guo.Fuzzy Decision Tree Based InferenceTechniques for Network Forensic Analysis[J]. 软件学报.2007.

[3] 张楚,张樊.网络取证中的若干问题研究[J].证据科学.2007.

[4] L.Spitzner, "Thehoneynetproject," http：//www.honeynet.org, (Last visited： May 26.

[5] A. Yasinsac and Y. Manzano, "Honeytraps, a network forensic tool,"in SixthMulti-Conference on Systemics, Cybernetics and Informatics.2010.

[6] 刘东辉.计算机动态取证技术的研究.计算机系统应用.2005.

[7] 范海绍,侵检测与预警控制的捷径一设置陷阱Tsinghua TongfangOPtiealDiseCoLtd.Allrightsreserved.1995.

[8] 张有东.网络取证技术研究[D].(学位论文).京航天航空大学信息科学与技术学院.2007.

[9] 殷联甫.计算机取证技术[M],科学出版社.2008.

[10] 高献伟,郑捷文,杨泽明,许榕生.智能网络取证系统[J].计算机仿真.2006.

[11] 向建国,夏长城.网络入侵取证系统(1)[J].湖南学院学报.2004.