2 网络取证体系结构及相关技术的研究
网络取证是计算机取证的一个重要分支,国内外在该领域的研究尚都处于起步阶段。本章首先介绍静态取证和动态取证的概念,并对文献中提到的几种的网络取证体系结构进行描述和分析,然后对证据分析技术、证据保全技术以及其他取证相关技术的研究进行详细介绍。
2.1 静态取证和动态取证
传统的计算机取证方法通常都是在收到关于计算机犯罪的报告之后,才开始调查现场,从遭受计算机犯罪的计算机磁盘、内存临时文件等处查找证据,查找的证据包括系统现存的正常文件、已被删除但尚未被覆盖的文件、未被分配的磁盘空间和已分配但未被覆盖的空间中可能存留的信息,以及系统有关的日志信息等。DIBS、F1ightserver等工具都是按照这种方式进行磁盘镜像和数据恢复。由于这种方法是在入侵发生之后才开始取证工作,而且是针对目标系统的静态信息进行恢复、收集和分析,因此这种取证方法通常被称为静态取证或者事后取证。文献给出了静态取证的状态转移图,如图2一1所示。
就目前的研究进展来看,静态取证在事后证据的恢复、数据搜索、提取、提交等方面已有不少成熟的方法和工具。但随着网络入侵技术的不断发展,静态取证方法暴露出越来越多的不足。首先,入侵者在入侵成功之后,完全可以把留在系统中的有关痕迹擦除或篡改,这样静态取证方法就无法获得关于入侵完整、准确的信息;其次,静态取证方法没有对入侵行为进行实时监视和记录,不能从主动防御的角度对入侵提供有效的响应;另外,未实施成功的攻击通常不会引起用户的注意,也就不会去收集与之有关的证据,或者无从收集与之有关的证据。随着对取证的实时性、有效性、可适应性等问题的要求的增强,动态取证技术逐渐引起了重视。动态取证也称为实时取证,通常是指利用相关技术,实时获取网络数据,并加以分析,获得关于入侵者和入侵行为的证据。实时性、有效性是动态取证的特点,即能够从实时动态的海量数据中提取有效数据,进行智能化分析,对入侵的行为具有高度判别力。文献同样给出了动态取证的状态转移图,如图2一2所示。
从图中可以看出,取证的过程贯穿于始终,从攻击发生之前就收集证据,这样可以弥补事后取证遗漏证据的问题。但该模型存在一个不容忽视的问题:从一开始就收集证据,此时根本无法判别哪些是信息是取证分析所需要的,只能将所有信息全部收集,导致数据量巨大,且其中无关数据会占很大比重,给后续的取证分析造成很大的困难。
黑客入侵的通常步骤如图2一3所示。
由图2一3可见,入侵者对计算机系统的入侵过程,通常可以划分为三个阶段。
1.入侵前的准备阶段
入侵者在入侵目标系统之前,通常会通过踩点、扫描等方法收集与目标系统有关的信息,了解目标系统存在哪些漏洞可以进行利用,为下一步真正实施攻击做准备。此时,入侵者还没有获得目标系统的权限,目标系统此时相对而言还是处于安全状态。
2.入侵中的实施阶段
入侵者根据第一阶段获取的关于目标系统的漏洞信息,利用对应的攻击技术及工具来对目标系统实施入侵。入侵者可能会获得系统的管理员权限,实施破坏数据、窃取数据、控制系统进程等活动,或者以该系统为跳板实施对网络中其他主机的入侵活动。如果入侵者无法进入系统,也许会利用拒绝服务攻击来使得系统无法继续提供服务。
3.入侵后的善后阶段
入侵者对目标系统入侵成功之后,为了防止被管理员发现,会采用清除日志、删除临时文件等方法隐藏自己的踪迹,还会设置后门及木马程序,方便以后能再次顺利进入系统。从入侵的全局过程来看,我们的取证技术应该考虑这些阶段的特点,采取相应的取证技术及方法,避免盲目性。同时也应该充分结合和利用其他类型的信息安全技术,对整个取证过程进行保护和辅助。
