2.3 证据分析技术
在网络取证研究中,通常以各种日志以及实时捕获的网络流量作为证据源进行分析,从中发现入侵者的入侵活动。
由于网络取证通常需要从多个数据源收集数据,然后进行综合分析,所以需要对多源数据进行必要处理。Alil提出一种模型检测(modelchecking)的方法对多源日志进行格式化,将日志构建成树结构,并采用逻辑公式对模型、攻击场景及事件序列进行形式化描述。Adam提出对日志进行“匿名”处理,清理掉日志中关于IP地址等隐私信息以供取证共享,开发了CANINE工具(Converter and ANonymizer for hivestigating Netflow Events)专门针对NetFlow的日志进行处理。
文献所提出的系统在证据分析方面,根据网络攻击各步骤时间与空间相关性,将数据流时间与空间特征融合,并将数据流与数据包特征进行融合,综合多种技术手段对多步网络攻击过程进行分析,并实现攻击源定位。刘在强提出一种模糊决策树推理方法进行网络取证分析。首先捕获网络流量,从流量中提取特征值,然后利用模糊决策树判别正常流量和异常流量,根据判别结果通知取证组件记录相关的流量及日志信息。Cho提出了一种通过包内容指纹(fingerprint)来追踪网络流内容的网络取证方法,核心是基于Rabin一Karp字符串匹配算法采用RBF(Roning Bloom Filter)结构来解决流分析的时间和空间需求问题。文献根据源地址和目的地址等物理属性对数据包进行分析,设计并实现了一个支持实时取证分析的数据包可视化工具,依照时间顺序对数据包进行可视化处理,方便取证人员了解某个时间段内网络的通信流量的情况。
Wang W和Thomas E.D研究了一种基于攻击组及攻击场景进行推理的取证分析方法,提出Leader一Foltower算法对告警进行聚合,构建一种新型的图模型)证据图(Evidence Graph)对入侵证据进行维护和表示。主机的角色可能是Attackers、Victims、stepping Stones或者Baekund Attaekers,通过本地推理判别可疑主机在入侵中的角色,通过全局推理识别隶属于一个攻击组的具有高度关联性的各个主机,并根据攻击场景上下文进一步完善本地推理的结论。
文献研究了在大容量硬盘中如何提高搜索信息速度的问题,提出了一种基于LZW无损压缩算法的取证模式。首先采用LZW算法对计算机硬盘的信息进行压缩,用简单的代码代替重复的字节串或位串,大幅度降低搜索的空间。然后,系统在代码和字节串“位串的匹配关系表中进行搜索,如果发现匹配,则将相关的原文信息提示出来。实验证明,这种方法能够降低取证过程中关键词搜索的时间开销,提高取证工作的效率。
还有许多取证分析方法是基于对日志的关联分析方法,包括利用告警属性相似性进行聚类的方法、利用己定义好的攻击场景进行匹配的方法洋以及利用攻击间因果关系进行关联的方法等一系列典型方法。
1.利用告警属性之间的相似性聚类的方法
SRI的Andersson等和Valdes以及Skinner提出了基于告警属性相似度的安全事件关联分析方法,手工定义的入侵事件间概率相似度,根据极小匹配规则重建入侵场景,该方法应用在EMERALD项目中。CuPPens等在MIRADoR项目中也使用了类似的聚类方法。这类方法的优点是如果处理对象的相似度比较高(如告警日志中的源或目标地址相同)则非常有效,否则难以取得理想效果,而且还有一个缺点是不能充分揭示告警之间的因果关系。IBM的Debar和WesPi构造了ACC(Aggregation and Correlation componet)组件,使用聚类方法构建入侵场景,综合考虑了相似性和因果两种关系,可以处理重复告警和因果告警。
2.利用攻击行为的前提条件和后果的方法
该方法的基本思想是通过比较先发生的攻击的结果和后发生攻击的前提条件来对两个告警信息进行关联,重构入侵场景。这种方法可以有效地揭示出告警之间的因果关系,并可以发现未知的攻击场景。美国北卡罗莱纳州大学的PengNing等人在这个研究方向上做了一系列系统且深入的研究。cheung等人提出CAML语言采用前提(Premise)、活动(Aetivity)和结果(Result)来描述多步攻击。cuPpens等也利用这一方法对MIRADoR系统做出了改进。staniford等提出采用网络事件图的形式描述安全事件的因果关系和时序关系,构建了GrIDs系统,可以检测出大规模的网络攻击。这类方法的缺陷在于因果关系的定义太过复杂,而且需要构建庞大的攻击知识库。
3.利用数据挖掘的方法
Wenke Lee在这方面做了大量的研究工作,在入侵检测中采用数据挖掘的方法处理收集到的数据,对正常行为和异常行为建立行为模式从而发现入侵。Qinx提出利用GCT的统计时序算法来挖掘攻击场景片段,再把攻击片段连接成完整的攻击场景。IBM的Hellerstein等利用数据挖掘方法在历史数据中挖掘出一些特殊的模式,如时间间隔模式,事件依赖关系等,然后利用这些模式构建关于入侵场景的关联规则。Dain和Cunningham通过实验比较后指出数据挖掘方法优于原始匹配方法和启发式关联方法。
2.4 证据保全技术
在取证过程中,应对电子证据及整套的取证机制提供安全保障,保护电子证据的真实性、完整性和安全性,这对于网络取证过程尤为关键。目前,这方面的研究尚处于起步阶段,没有建立一套公认的完整的电子证据安全保护机制。
文献提出了一个可信的因特网取证架构TIF(Trusted Internet Forensies),对取证过程进行安全性保护,提供一个基于可信计算平台的网络设备从网络中收集数据,确保计算链(ComPutational Chain)的安全性,从而使得收集到的数据能够用于法庭证据。Redmon提出了涉及证据保全及证据出示的物证保持力(Retention of Material)的问题,指出维护证据监督链保持力涉及到技术和法律问题,主要对电子证据的安全性展开了讨论,设计了一个电子证据传输联盟的哈希过程(Hashing Process)。
孙波等对电子证据的收集及保护机制进行了研究,指出为了获得完整可信的电子证据,应该预先在敏感主机上安装电子证据收集系统EDECS,只有保证了整个EDECS的完整性,才能依据此系统所取得的数据进行后续的取证分析工作。他们提出采用改进的强访问控制方法构建内核层的安全隔离环境,将EDECS运行于一个安全隔离环境并以此保护电子证据和取证进程,但该方法实现比较复杂,附加的检查操作增大了性能开销。
丁丽萍等在实时取证思想指导下,提出了一个较为完整的电子证据获取与存储框架,对取证行为建模,并基于安全操作系统实现了对取证进程的安全保护以及证据数据的安全存储。戴江山等提出并设计了一种分布式网络实时取证系统,实时提取入侵犯罪证据,对证据信息进行完整性保护和验证,其设计的证据信息完整性处理过程如图2一9所示。
2.5 其他技术
网络取证的一个目标是追踪并定位入侵者。文献提出了一种通过单播ARP请求报文的探测方法来验证数据包中的源地址是不是真实的发送者的源地址,并对报文的源节点进行定位。
网络取证还需考虑的一个问题是隐私问题。S.Srinivasan提出了在不阻碍法律调查前提下应考虑的关于对用户隐私进行保护的十条策略,可以看作是对计算机取证工具及技术在这一方面的指导原则的一个总结。Giannakis在隐私保护技术PET(PrivacyEnhancingTecbnologies)之上提出了一个尊重隐私的网络取证协议RPINA,避免非法用户在PET保护下进行恶意的活动而不被抓获。Brian Carrler和Clay ShieldS在常用的IDENT基础之上提出了STOP(Session Token Protocol)协议能够对跳板式(stoneStepping)攻击方式进行取证和追踪,同时可以保护用户的隐私。STOP能够保存网络通信中用户级和应用级的数据以供取证和追踪,但不会将这些数据随便提交给请求数据的人,而是将产生于相应连接信息hash值的token提交给本地管理员,再由管理员决定是否可以将数据交付给请求者。Omer Demir:提出了基于会话的包记录(SBL)方法。
2.6 本章小结
本章主要介绍了国内外对网络取证体系结构及相关技术的研究情况。
通过对静态取证和动态取证的特点分析,可以看出网络取证需要采用动态取证的方法实时收集证据实时分析,因此应考虑黑客入侵过程的各个阶段,将动态取证过程与之相适应。通过对国内外关于网络取证的体系结构的研究可以了解到,目前有代表性的网络取证体系结构包括:将入侵检测技术与网络取证相结合,利用入侵检测系统生成的告警作为证据,进行取证分析:将入侵诱骗技术与网络取证相结合,利用蜜罐吸引入侵,对入侵行为进行记录和分析;以及采用分布式技术实现证据的收集和取证的协同。这些体系结构各有自己的特点和侧重点,也分别存在一些不足,有必要对网络动态取证的体系结构进行研究,提出更合理的体系结构。最后,对当前网络取证研究中关于证据分析、证据保全以及其他相关技术进行研究,分析这些技术的目标和特点。
返回本篇论文目录查看全文 上一章:网络取证的体系结构 下一章:网络取证体系结构及相关技术的研究