2.2 网络取证的体系结构
目前对网络取证中关于证据收集、分析的相关技术研究较多,体系结构研究方面主要是结合入侵检测、入侵诱骗技术来进行实时取证,以及利用代理技术实现分布式取证系统。
2.2.1 结合入侵检测技术的网络取证系统
首先提出将入侵检测系统IDS同网络取证联系起来的是Sommer,他指出IDS虽然主要目标是进行入侵检测,但更进一步的目标可以是为指控计算机犯罪提供法律认可的证据。在文献中sommer分析了IDS的类型及输出的检测信息,与法庭对所采纳证据的要求进行比较,指出要使IDS日志能够成为法庭采纳证据而应该采取的处理措施。Yull等人提出了用于取证调查的入侵检测I一ID(xnvestigativeIntrusionDetection)方法,利用入侵检测技术收集所需的信息,根据这些信息刻画攻击者的入侵行为,识别出疑似被攻击设备LCD(Likely一eompromiseddeviees),从而防止入侵者对疑似目标的进一步破坏。
StePhenson认为IDS的告警日志可以作为网络取证的实时或接近实时的证据源,并建立了一个入侵管理模型,将入侵检测与网络取证相结合,在取证体系结构方面做出了重要的理论贡献。该模型包括四个层次:规避入侵、对入侵实施防范、检测入侵以及从入侵中恢复,调查取证是最后一个层次中的一个子层,而入侵检测层次是实时检测入侵,收集原始数据,并保护数据的完整性为取证提供服务。入侵检测在这个模型中的另一个作用是作为触发响应机制的触发器(trigger)。Udo Paye:实现了第一个实时入侵取证的原型系统,其基本思想是实现一个基于操作系统的协议栈(Stack一based)的NIDS,实时收集数据包,并根据内存信息、包头信息及包载荷的相关知识进行取证分析。Payer已在两种主流的操作系统上实现了基于NIDS的取证系统,能够对IP欺骗、操作系统探测、畸形包、shencode及多态shencode种类的攻击进行检测和取证。特别是对于shencode类的攻击,Payer的方法有较好的效果。
文献则将网络监控与网络取证有机结合,基于人工免疫原理提出了一种基于人工免疫的网络入侵动态取证方法,建立了网络入侵检测中自体、抗原的动态演化模型,提出了基于抗原提呈的动态取证模型,如图2一4所示。
入侵检测系统在工作目的、工作实质、处理对象以及分析技术等方面与与计算机取证有很大联系。
1.根本目的相同。都是收集信息,检测是否如有入侵行为,只是计算机取证的目的要更进一步,发现入侵行为是否构成计算机犯罪。
2.入侵检测系统的告警可以作为动态取证的证据源。入侵检测系统的告警反映了入侵事件,如果入侵行为构成计算机犯罪,这些告警日志经过合法的技术处理之后可以作为指控计算机犯罪的证据,利用这些证据可以很好地还原计算机犯罪过程。
3.入侵检测中的成熟技术可以用于辅助动态取证。入侵检测技术中的信息判别与提取技术都已发展地比较成熟,这些技术完全可以用于动态取证分析。
现在利用IDS检测非法入侵及恶意行为并激活取证机制,为取证提供实时的证据,已经成为IDS的一个新的应用方向。但是目前入侵检测系统由于技术上的缺陷,存在误报率和漏报率比较高的问题,单纯依靠入侵检测系统提供证据,证据的信息量和可信度不足,难以全面正确地反映入侵实际情况。
2.2.2 结合入侵诱骗技术的网络取证系统
Yasinsac等人认为入侵诱骗系统的目标是收集入侵者的入侵信息,这与和网络取证系统的首要步骤相同,因此提出将蜜罐及蜜网等入侵诱骗技术应用于网络取证。提出了如图2一5(a)和图2一5(b)所示的串行和并行两种体系结构。
相应的取证模型如图2一6(a)和2一6(b)所示。
Redmon则提出了一种联盟诱骗网络(the Federationof Deeoy Network)取证框架设计思想,其框架如图2一7所示。通过从诱骗网络及实际业务网络收集信息进行综合分析,可以学习到比孤立的诱骗网络更多的知识,可以得到一个入侵者入侵计划的全局视图,识别入侵意图,并生成可以出示给法庭的证据。利用蜜罐等诱骗系统来收集证据可以减小取证量,因为进入蜜罐系统的流量一般都被认定为入侵活动,取证者的注意力可以完全集中在入侵活动上,另外蜜罐系统可以用来拖延攻击者对真实目标的攻击,为入侵响应赢得时间。但是入侵诱骗系统只是一个被保护系统的模拟系统,即使攻击者侵入该系统也只是侵入模拟系统而并非真实系统,因此通过蜜罐等诱骗系统获得的数字证据在这方面是否具有法律效力还存在争议。
2.2.3 分布式网络取证系统
分布式技术也可以用来构建取证体系结构。ForNet是一种可适用于大规模网络的分布式网络logging系统,可以对网络取证进行辅助。它由两个主要部分组成:取证服务器和集成在网络设备中的SynApps,构成一个层次式结构。如图2一8所示。
SynAPPs之间以PZP方式协作,收集并共享数据。一个域中的SypPs要与其他域的SynApPs进行联系必须要通过取证服务器。Ren讨论了一种基于Agent的分布式实时入侵取证方法,给出了基于Honeynet的分布式网络取证系统的框架结构及实现。主要方法是在网络中设置网络监视系统、网络调查系统以及网络取证服务器,在被监控主机上设置取证代理,代理收集证据,然后通过SSL传递到取证服务器进行分析。该方法的目标是解决当前入侵检测系统的性能瓶颈以及证据分析困难的问题,文献:设计了一种分布式网络取证框架,构建一个自动收集证据、存储证据的统一平台,各个模块有效协作,提供证据的图形化分析。文献设计了一种远程取证系统,着重讨论了远程取证的身份认证等安全问题。文献提出了一种基于代理的主动型网络取证系统,以入侵检测系统及主机系统为多数据源,通过代理主动收集证据,采用完整性算法保证数字证据传输过程中的完整性。
返回本篇论文目录查看全文 上一章:网络取证体系结构及相关技术的研究 下一章:证据分析与保全技术
