网络取证体系结构及相关技术的研究

　　2 网络取证体系结构及相关技术的研究
　　
　　网络取证是计算机取证的一个重要分支，国内外在该领域的研究尚都处于起步阶段。本章首先介绍静态取证和动态取证的概念，并对文献中提到的几种的网络取证体系结构进行描述和分析，然后对证据分析技术、证据保全技术以及其他取证相关技术的研究进行详细介绍。

　　2.1 静态取证和动态取证
　　
　　传统的计算机取证方法通常都是在收到关于计算机犯罪的报告之后，才开始调查现场，从遭受计算机犯罪的计算机磁盘、内存临时文件等处查找证据，查找的证据包括系统现存的正常文件、已被删除但尚未被覆盖的文件、未被分配的磁盘空间和已分配但未被覆盖的空间中可能存留的信息，以及系统有关的日志信息等。DIBS、F1ightserver等工具都是按照这种方式进行磁盘镜像和数据恢复。由于这种方法是在入侵发生之后才开始取证工作，而且是针对目标系统的静态信息进行恢复、收集和分析，因此这种取证方法通常被称为静态取证或者事后取证。文献给出了静态取证的状态转移图，如图2一1所示。
　　
　　就目前的研究进展来看，静态取证在事后证据的恢复、数据搜索、提取、提交等方面已有不少成熟的方法和工具。但随着网络入侵技术的不断发展，静态取证方法暴露出越来越多的不足。首先，入侵者在入侵成功之后，完全可以把留在系统中的有关痕迹擦除或篡改，这样静态取证方法就无法获得关于入侵完整、准确的信息；其次，静态取证方法没有对入侵行为进行实时监视和记录，不能从主动防御的角度对入侵提供有效的响应；另外，未实施成功的攻击通常不会引起用户的注意，也就不会去收集与之有关的证据，或者无从收集与之有关的证据。随着对取证的实时性、有效性、可适应性等问题的要求的增强，动态取证技术逐渐引起了重视。动态取证也称为实时取证，通常是指利用相关技术，实时获取网络数据，并加以分析，获得关于入侵者和入侵行为的证据。实时性、有效性是动态取证的特点，即能够从实时动态的海量数据中提取有效数据，进行智能化分析，对入侵的行为具有高度判别力。文献同样给出了动态取证的状态转移图，如图2一2所示。
　　
　　从图中可以看出，取证的过程贯穿于始终，从攻击发生之前就收集证据，这样可以弥补事后取证遗漏证据的问题。但该模型存在一个不容忽视的问题：从一开始就收集证据，此时根本无法判别哪些是信息是取证分析所需要的，只能将所有信息全部收集，导致数据量巨大，且其中无关数据会占很大比重，给后续的取证分析造成很大的困难。
　　
　　黑客入侵的通常步骤如图2一3所示。

　　由图2一3可见，入侵者对计算机系统的入侵过程，通常可以划分为三个阶段。
　　
　　1.入侵前的准备阶段
　　入侵者在入侵目标系统之前，通常会通过踩点、扫描等方法收集与目标系统有关的信息，了解目标系统存在哪些漏洞可以进行利用，为下一步真正实施攻击做准备。此时，入侵者还没有获得目标系统的权限，目标系统此时相对而言还是处于安全状态。
　　
　　2.入侵中的实施阶段
　　入侵者根据第一阶段获取的关于目标系统的漏洞信息，利用对应的攻击技术及工具来对目标系统实施入侵。入侵者可能会获得系统的管理员权限，实施破坏数据、窃取数据、控制系统进程等活动，或者以该系统为跳板实施对网络中其他主机的入侵活动。如果入侵者无法进入系统，也许会利用拒绝服务攻击来使得系统无法继续提供服务。

　　3.入侵后的善后阶段
　　入侵者对目标系统入侵成功之后，为了防止被管理员发现，会采用清除日志、删除临时文件等方法隐藏自己的踪迹，还会设置后门及木马程序，方便以后能再次顺利进入系统。从入侵的全局过程来看，我们的取证技术应该考虑这些阶段的特点，采取相应的取证技术及方法，避免盲目性。同时也应该充分结合和利用其他类型的信息安全技术，对整个取证过程进行保护和辅助。