3.2 自适应动态取证系统框架
取证工作中有两个侧重点需要得到充分的考虑,并有具体的实施保障。
1.评估所调查的恶意行为或可疑行为造成危害的程度。
如果要将所调查的行为定性为计算机犯罪,必须能够说明这些行为造成了足够严重的后果,这样,这些行为才有可能被控为计算机犯罪。
2.收集并分析与所调查行为有关的信息。
这个是计算机取证中更被人熟知的一个方面。通过收集并分析与所调查行为有关的信息,重现入侵过程,追溯入侵者。
针对取证的工作的两个侧重点要求,我们建立的自适应动态取证系统应能收集并分析反映入侵的有关信息,并能评估入侵中恶意行为或者可疑行为所造成危害的程度。但这只是动态取证系统最基本的要求,为增强取证系统和证据的可靠性,并提高取证的效率,我们入侵检测、入侵诱骗及入侵容忍技术结合到动态取证过程中来。由于动态取证系统是对己有系统的安全补充,不应对已有系统再重新设计体系结构,改变已有系统的工作模式,因此我们整体采用攻击响应的入侵容忍结构。另外,由于入侵诱骗系统的目的是为了更好地模拟真实系统,因此入侵诱骗系统构造时采用冗余、多样性等入侵容忍的技术。
自适应动态取证系统的系统框架如图3-6所示。入侵检测系统来检测攻击,威胁评估系统来评估恶意行为或可疑行为所造成危害的程度,资源调整系统通过调整资源来限制破坏区域的扩大,入侵诱骗系统来吸引可疑或恶意流量进行进一步观察,威胁隔离系统来隔离恶意或可疑行为,证据收集系统从以上系统及真实的应用和网络系统中收集有用证据,交给证据分析系统进行分析,并将分析结果存入证据存储系统。其中,入侵检测及威胁评估系统作为入侵容忍及取证机制的触发器。具体化之后的系统结构及数据流动如图3-7所示。
1.入侵检测系统:本系统框架中的入侵检测系统包括NIDS和HIDS}NIDS监视网络中的通信,HIDS对主机的文件、进程以及网络连接进行检测,如果发现有攻击活动就产生告警。IDS可以作为启动入侵容忍以及取证的触发器。常用的IDS如snort是基于规则来检测入侵的,规则中有一个字段“priority”用来表示攻击活动的级别,匹配该条规则的攻击活动所触发的告警可以相应反映出该攻击活动的威胁级别。攻击的威胁级别是进行威胁评估的重要参数之一。
2.入侵诱骗系统:入侵诱骗系统包括真实服务器的影子服务器、安全监测工具以及强访问控制设备。利用虚拟计算技术动态模拟关键服务器的操作系统、应用层服务,实现真实服务器的“影子服务器(shadowServer)”,由于其应用服务配置、网络流量上高度相似,因此具有更大的欺骗性和伪装性,能够更好地吸引和观察攻击者行为,搜集更完整的攻击证据。影子服务器的数据通常与真实服务器一致,但从容忍的多样性角度来考虑,其结构、实现都与真实服务器有所区别。入侵诱骗系统的主要目标是吸引攻击,继续观察和记录恶意流量或可疑流量,因此,要安装Sebek,Nepenthes等安全工具,对所有进入到入侵诱骗系统的流量都进行分析和一记录,其结果用以更新入侵防御策略和取证。入侵诱骗系统的强访问控制措施是为了防止入侵者利用蜜罐实施跳板攻击。
3.威胁评估系统:威胁评估系统收集入侵检测系统、入侵诱骗系统、真实系统以及访问控制系统的有关信息,信息包括:安全事件的威胁级别、服务器系统的漏洞信息、关键主机的资产值、对目标主机的性能影响程度等。通过对这些信息的综合评估,确定当前的威胁程度,从而决定系统状态的转换,触发相应的响应机制。威胁评估系统的分析结果还可以说明所调查行为所造成的后果,调查人员可以根据这个结果对计算机犯罪行为进行指控。
4.访问控制+重定向器:访问控制和重定向器主要起到威胁隔离和资源调整的作用,可以由带有负载均衡和带宽管理功能的防火墙来充当,在必要的时候对流量进行重定向。正常情况下,请求被送给真实的服务器;如果入侵检测系统及威胁评估系统发现有不能确定的疑似攻击流量,则这种流量被同时发送给真实的服务器和影子服务器,由诱骗系统中更有针对性的安全工具进行观察和确认,同时限制疑似恶意IP地址的可用带宽;一旦可疑流量被确定为攻击,则阻断恶意流量到真实服务器的连接,将恶意流量全部重定向到影子服务器,由入侵诱骗系统进一步监视和记录证据。
5.取证处理系统:证据处理系统包括证据收集、证据分析和证据安全存储三个部分。证据收集主要由集成在各个证据源中的日志收集代理LCA(LogCollectingAgent)负责收集日志证据,证据源包括IDS、真实服务器、入侵诱骗系统等,为了防止LCA进程被入侵者破坏,可以采用rootkit技术。证据分析系统对收集到的日志证据进行分析。分析产生的结果是最后用来出示的证据,安全存储在证据库中,采用秘密共享的入侵容忍技术对证据进行容忍入侵保护。
6.控制中心:控制中心是整个系统的核心,根据各个子系统的反馈信息来控制系统状态的转换,并通知相关的模块。
其中威胁评估系统的评估结果以及取证分析的结果可以反馈到访问控制系统和入侵检测系统,这两个系统根据反馈信息更新访问控制规则和入侵检测规则,动态调整下一步的访问控制和入侵检测处理。
近年来,随着手机、相机、摄像机这些低廉、便携、操作简单的设备以及影像编辑软件的普及,获...
3自适应的动态取证系统自适应系统是指系统并不设定固定的工作模式或配置参数,而是根据自身状态或运行环境的异常变化动态调整运行行为,获得最佳工作状态或服务性能的特性。这里的异常是指系统组件故障、运行模式变化、用户需求改变等情况.对于...
目录摘要Abstract绪论1.1研究背景1.2国内外研究现状1.3网络取证存在的问题1.4论文的研究目标!创新及组织结构2网络取证体系结构及相关技术的研究2.1静态取证和动态取证2.2网络取证的体系结构2.3证据分析技术2.4证据保全技术2...
1.2.5取证技术和工具的研究美国等网络技术发达国家开展计算机取证相关的研究已有多年的历史,积累了许多经验,成立了许多专门的计算机取证部门和实验室。1984年美国FBI和其它法律执行部门开始建立检查计算机证据的实验室。目前,至少70%的法律部...
2网络取证体系结构及相关技术的研究网络取证是计算机取证的一个重要分支,国内外在该领域的研究尚都处于起步阶段。本章首先介绍静态取证和动态取证的概念,并对文献中提到的几种的网络取证体系结构进行描述和分析,然后对证据分析技术、证据保全...
摘要网络取证就是获取网上犯罪行为之潜在证据的过程。它主要通过实时监测、捕获或搜寻网络数据流、网络设备及主机日志等中的可疑信息,来分析和发现反映网络入侵活动及所造成损失的有效法律证据,以支持对网络犯罪人的指控。网络取证问题交叉着复...
随着通信技术、网络技术、电子技术以及计算机技术的迅猛发展,与计算机有关的各类犯罪案件也在悄悄地涌现。因此,电子取证技术应运而生,并且迅速成为司法部门打击犯罪活动的一把利器。电子取证技术借助于专门的硬件、软件设备,来收集以及分析一些存储在各...
2.2网络取证的体系结构目前对网络取证中关于证据收集、分析的相关技术研究较多,体系结构研究方面主要是结合入侵检测、入侵诱骗技术来进行实时取证,以及利用代理技术实现分布式取证系统。2.2.1结合入侵检测技术的网络取证系统首先提出将入侵...
计算机取证技术对于证据收集与分析等环节均有着十分重要的应用意义。在实际的取证过程中,我们的取证人员为了提高取证效率以及提高数据信息的准确性,应多多利用计算机取证技术以从根本上规范取证流程,实现计算机取证技术标准化的最终效果。...
3.3框架的FSM模型自适应动态取证系统在工作过程中随着攻击行为的进行以及自动响应措施的进行,会有安全状态的变化,因此我们可以对系统建立有限状态机(FSM)模型,对系统状态的转换进行描述。截图1截图2系统初始处于qo状态,如果入侵检测系...