3 自适应的动态取证系统
自适应系统是指系统并不设定固定的工作模式或配置参数,而是根据自身状态或运行环境的异常变化动态调整运行行为,获得最佳工作状态或服务性能的特性。这里的异常是指系统组件故障、运行模式变化、用户需求改变等情况.对于动态取证而言,取证过程并不仅仅只是取证系统孤立的工作,它牵涉到取证对象及其所处的网络环境,因此相对于一般的应用系统而言更为复杂,而且由于其工作的特殊性,还取决于网络攻击技术和攻击手段的发展,因此,为了保证取证系统的安全性和实时性,我们必须对动态取证过程及涉及对象进行分析,将运行过程中由于安全态势变化所造成的各种系统状态区分开来,使得取证进程能够根据环境变化动态调整,尽可能获得更完整的证据,且使得取证系统及证据更安全可控。
本章首先分析了取证的要求和特点,提出了自适应动态取证的思想,对相关技术进行了研究,给出了自适应动态取证系统的框架。正确的自适应响应是以对系统的安全性定量评估为基础的,本章分析了取证系统的动态转移过程,量化了系统的取证能力以及安全性能与环境风险变化之间的映射关系,建立了SMP模型对系统的取证能力和安全性进行了分析,并通过入侵实验验证了系统模型的有效性。
3.1 自适应动态取证的的思想
通过2.1节中的介绍,我们可以看出,为了弥补事后取证可能会出现的证据丢失问题,动态取证一般将取证的过程提前,在未发生入侵之前就开始收集数据,当检测到攻击行为时,取证系统开始分析入侵从预备阶段到实施阶段过程中的有关证据信息,这个模型已经具有了一定的自发和自适应的特点。但该模型在如何设定取证的开始时机和结束时机、从哪里获取证据、获取哪些证据这些方面没有过多地描述,因此该模型存在一些需要进一步考虑的问题:
1.从一开始就收集证据,虽然从理论上来说可以收集到完整的信息,但此时收集的信息数据量巨大,且无关数据占很大比重,为后续的分析带来巨大的开销;
2.当检测到攻击行为时就停止收集证据,转而进行分析,虽然可以较快得到关于入侵的分析结果,但无法获得进一步攻击行为的信息,不能完整了解入侵的全貌;
3.在攻击行为进行中虽然能收集到实时的证据,但此时系统的可靠性以及证据的可靠性难以得到保障,而且如何防止入侵者对已经收集到的证据的破坏也是必须要考虑的问题。
采用入侵检测、诱骗系统等技术来实现动态取证,有助于获得实时的证据,并有助于及时地对网络安全风险进行评估。但是,除了它们应用在取证方面具有自身一些特定的缺陷之外,这些方法都是基于一个共同的假设:系统在遭受入侵时,仍然可以正常工作,所以可以照常获得证据。但实际上,当系统被攻击时,系统已经处于一种不安全不可靠的状态,进程可能己被入侵者劫持,所获得的证据很有可能是己被入侵者篡改过的。因此,我们希望能够有一种机制可以使得系统即使在遭受到入侵的时候仍然处于一种可控的状态或者是一种自适应的状态,能够容忍入侵,在入侵被确认的情况下仍能继续观察入侵行为,获取必要的证据,整个过程应该是可控且可信任的。
入侵容忍是近年来的一个研究热点,入侵容忍关注的是入侵造成的影响而不是入侵的原因,能够实现自我诊断、故障隔离。我们可以利用入侵容忍的思想构造一个更为健壮的动态取证系统,并能够比较准确地把握取证时机,进一步消除入侵检测的误报,减少证据量。
针对这些问题,我们提出自适应动态取证的思想,结合入侵检测、入侵诱骗及入侵容忍技术,构建自适应动态取证系统,自适应调整取证时机,延长取证过程,确定有效的取证源,提高取证分析的效率,增强系统及证据的可靠性,并通过取证分析的结果进行反馈,自适应地调整系统的安全策略。
3.1.1 入侵诱骗
入侵诱骗的思想最早是在文献中提出的,作者利用一些包含虚假信息的文件来诱骗入侵者,保持系统对入侵者开放,严密监视入侵者的活动。这种对入侵者进行欺骗和诱导的方法就是入侵诱骗思想的雏形。在此基础之上,BillCheswick等采用这种思想对入侵进行诱骗和监视,他在文献中描述了一个利用牢笼(jail-type)技术来捕获及监视入侵活动的实际案例。现在该技术的一般方法都是利用具有漏洞的诱骗系统(DecoySystem)来吸引入侵者的注意力,从而保护真实的系统。该理论的重点不是如何防御入侵,而是采取何种方法有效地欺骗和吸引入侵,使得诱骗系统看起来更真实,以及如何进一步监视入侵行为并收集足够信息。
蜜罐(Honeypot)的概念也是BillCheswick最早提出的,方法就是模拟服务和漏洞以吸引入侵者。LanceSpit~给蜜罐下的定义是:蜜罐是一种安全资源,其价值就是被攻击或攻陷.Lance0写了一系列“KnowYourEnemy”的文章,通过其研究可以看出,蜜罐是一个了解黑客的有效手段。通过构建真实的或模拟的系统来吸引攻击,收集相关信息,可以了解攻击者的攻击工具、手段、方法,分析攻击者的动机和目的。蜜罐还可以帮助发现未知攻击,对攻击者的下一步行动进行预警。DTK(DeceptionToolKit)是第一个公开发布的蜜罐系统.
蜜网(Honeynet)技术是在蜜罐技术基础上逐步发展起来的,蜜网的本质是利用一个或多个高交互蜜罐构成的诱捕网络,高交互指的是采用真实的系统、应用程序以及服务来与攻击者进行更真实的交互。蜜网提供多种工具对入侵者的攻击策略、攻击工具以及攻击动机等信息进行采集。蜜网的关键在于如何对进入蜜网的活动进行观察并加以控制,必须保证蜜网不会被入侵者控制并作为攻击他人的工具。蜜网项目组(TheHoneynetProject)是由LanceSpitzner在1999年发起,并于2000年6月成立。蜜网项目组开展了对蜜网的一系列研究,2005年发布了最新的HoneywallRoo,标志着蜜网技术进入了第三代。
单个蜜罐具有视野受限的缺陷,单一的蜜网也只能捕获单个网络中的入侵行为。为了在大型的分布式网络中实现入侵的监视和记录,蜜场(Honeyfarm)的想法应运而生。图3-1是一个蜜场体系结构示意图。该网络中有多个子网需要进行监控,所有的蜜罐都集中部署在一个独立蜜场中,而在各个子网中均设置一个重定向器(Redirector),如果检测到子网中某些网络数据流是入侵流量,则通过重定向器将这些流量重定向到蜜场中,由蜜场选择某台蜜罐来响应,并利用一系列数据捕获和数据分析工具对黑客攻击行为进行收集和分析。
目前国外己经有一些基于蜜场思想的工具和产品,比较着名的有普渡大学的Collapsar,葡萄牙蜜网项目组的HoneyMole,Symantec公司的DecoyServer和NetBait公司的NetBait等。
由于蜜罐系列的入侵诱骗系统能够对入侵者的入侵行为进行完整的观察和一记录,所以很多研究人员都设想将入侵诱骗技术与网络取证技术结合起来,利用蜜罐收集更为完整的电子证据。F.Raynal通过一次对用户行为流程进行分析,揭示了如何利用Honeynet进行入侵取证.Pouget比较全面地描述了利用Honeypot进行取证的方法.SvenKrasser提出利用可视化的方法来帮助管理员进行实时的蜜罐取证但实际中的诱骗系统,即使是采用的高交互蜜罐,由于操作系统的选择,漏洞的性质,服务的配置等,都与真实的用户环境有比较大的差异,难以吸引到入侵者做进一步的深入攻击。为了对实际当中使用的蜜罐系统捕获攻击行为的能力进行验证,我们做了多次实验。其中一次典型实验如下:
我们在华中科技大学校园网的一个实际子网当中部署了honeynet3.0,选取2008-10-8至2008-10-20期间蜜网捕获的数据来进行分析。这段时间中蜜网中的snort产生的告警量如图3-2所示。其中,告警所反映的安全事件类型及百分比统计如表3-1所示,安全事件优先级统计如图3-2所示。
从以上数据的统计信息来看,蜜网收集到的安全事件比同期同环境的真实网络收集到的安全事件少很多,而且真实网络中发生的严重度高的事件(snort的priority为1)都没有被蜜网捕获到,蜜网能够观察到的都是严重度不高的攻击(priority为2和3),安全事件类型中大部分都是Miscactivity和GenericProtocolCommandDecode这种不重要的攻击。可见,部署在网络中的蜜网实际上没有起到很好的吸引入侵的作用,不能诱惑入侵者进行深入的攻击,也就无法获取有用的入侵证据。
因此,为了将蜜罐更好地服务于动态取证,必须对蜜罐的部署以及工作机制进行调整。马新新研究了蜜罐系统模型的有限自动机,根据确定性有限自动机状态转换图模拟捕捉攻击行为的全过程,为蜜罐系统设计提供了理论依据。
为了提高蜜罐的隐蔽性和吸引力,TeoLawrence提出了主动蜜罐(ActiveHoneypot)的概念。蜜罐中采用了动态访问控制机制,一旦蜜罐发现攻击,则通过着色Petri网生成攻击特征,将特征发送到IDS,同时产生访问控制规则,并将规则发送到防火墙上。因此,这种主动蜜罐具有动态感知入侵并产生防御策略的能力。
Fred Cohen提出可以运用防火墙技术的控制思想将未授权访问引向Honeypot,消耗入侵者的资源。为实现该功能必须使用流量的重定向技术。
L.Carter提出了一种基于snort和IPTables的方法来恶意流量的重定向.当一个访问真实服务器的数据包匹配上了snort的攻击特征,则会被snort认为是恶意流量,因此IPTables会对该数据包打上标记,然后按照一个特定的路由表将数据包重定向到蜜罐中。蜜罐是对真实服务器的镜像,因此对攻击者来说难以发现自己目标发生了改变,这样蜜罐就具有了更好的迷惑性。而且在这种方式下,对真实服务器的正常访问不会受到影响。但是该重定向技术采用了Fail-Shut策略,即失败则关闭,因此不是一种完全透明无缝的处理机制。
另外,直接利用入侵诱骗系统进行取证属于“陷阱取证”的范畴。“陷阱取证”是法学理论与司法实践中非常复杂的问题,通常用在特殊刑事案件的侦查中。其基本含义是指,在对特殊刑事案件的侦查中,侦查人员为了获取犯罪嫌疑人犯罪的证据或线索、抓获犯罪嫌疑人而采取的诱使被侦查对象实施犯罪行为的一种特殊侦查手段或方法。
国外的相关理论将“陷阱取证”区分为犯意诱发型和机会提供型两种。前者是指诱惑者促使被诱惑者产生犯罪意图并实施犯罪的情形,被称作“侦查陷阱(PoliceEntrapment)”或“警察圈套”;后者是指对于己有犯罪行为的人提供有利于其犯罪实施的客观条件而使其犯罪行为暴露。最早对刑事诉讼中的侦查陷阱进行探讨的是美国判例,谢尔曼案是很有名的“陷阱之法理”(LawofEntrapment)标志性案例,该案确定了以被告人有无犯罪倾向作为侦查陷阱是否有效的判断原则,该原则被称为“索勒斯一谢尔曼准则”,(Sollors-ShermanTest)。
从世界各国的立法来看,都普遍承认机会提供型“陷阱取证”的正当性,而根本否定犯意诱发型“陷阱取证”的正当性。实践中,英美法系国家多从证据的关联性和可采性两方面去决定该类证据的取舍,而大陆法系国家则通过自由心证方式去判断该类证据的取舍。对于“陷阱取证”我国现行法律并无明确的具体规定,实际中多是取决于法官的认定。
还有一个最常被提到的法律问题是蜜罐是否违反了“反窃听法案”(美国的一部保护隐私权的法律),这种质疑已经被美国司法部的认证打消,它承认只要是部署蜜罐是出于保护系统的原因,蜜罐可以成为反窃听法案下面的一个特例。
3.1.2 入侵容忍
无数的网络安全事件告诉我们,网络的安全仅依靠“堵”和“防”是不够的。当入侵发生时,假如我们无法完全阻挡住入侵行为,也不能正确地检测到入侵行为,如何解决系统的“生存”问题,以保护信息系统的保密性、完整性、真实性、可用性和不可否认性等安全属性是一个必须要考虑的问题。入侵容忍技术(IntrusionToleranceTechnology)就是面向这个需求产生的,入侵容忍技术是目前所称的第三代网络安全技术,隶属于信息生存技术的范畴。它强调的是在系统已被破坏的前提下如何继续保持提供服务,也就是说入侵是可以被容忍发生的,它主要是评估入侵造成的影响而不是分析入侵的原因,考虑的是在被入侵的情况下系统的生存能力。因此,入侵容忍技术处理的是入侵突破入侵防护和入侵检测技术后侵入系统的情况。图3-5是入侵防护、入侵检测和入侵容忍的三层保护示意图。
通过对入侵容忍思想的分析,我们发现可以将入侵容忍技术应用于网络取证过程中。首先,采用了入侵容忍机制的服务器可以在遭受入侵的情况下仍能维持运行,因此取证过程可以继续工作,获取更完整的入侵记录;其次,可以利用入侵容忍有关技术来对证据进行保护,不被入侵者破坏。因此,入侵容忍技术可以有效地应用于网络取证,保护取证系统及证据的安全,提高取证质量。
入侵容忍技术的实现主要有两种途径。第一种方法是攻击响应,当检测到系统被攻击或者部分组件失效则进行响应,调整系统结构,重新分配资源,达到继续提供服务的目的。这样的入侵容忍不需要重新设计系统结构,但该种方法的效果依赖于检测或评估系统的检测能力。另一种方法被称为攻击遮蔽,初始就对整个系统进行重新设计,设计时考虑增加足够的冗余,使得在攻击发生后即使部分组件失效,整个系统仍旧能够正常工作,整体不会受到太大的影响,这种方法主要是借鉴了容错技术的思想。
“入侵容忍”的概念早在上世纪八十年代年就已提出,但相关研究工作是最近几年才兴起的。入侵容忍的思想的雏形最早是由Dobson和Randell提出来的,他们希望能够采取一种方法可以利用不可靠部件来构建安全可靠的系统。文献中第一次正式出现了入侵容忍(IntrusionTolerance)这个术语。1991年,Deswarte.Y和L.Blain等人提出了基于分割+分散(fragmentation-scatteringtechnique)的技术来实现容忍入侵.随着分布式技术的大量应用,以及分布式密码研究的逐渐成熟,很多组织和学者逐渐认识到入侵容忍技术对于信息安全技术发展的重要性。oases(OrganicallyAssuredandSurvivableInformationSystem)是美国国防部高级研究计划署(DARPA)的一个重要研究计划,该计划旨在减弱敌人通过信息系统攻击美国国家安全的能力,并使信息系统能够在敌人攻击成功的情况下继续正常运转。该计划资助了大概30个左右的项目,其中包括ITUA(IntrusionTolerancebyUnpredictableAdaptation)项目、ITTC(IntrusionToleranceviaThresholdCryptography)项目以及ITDBMS(IntrusionTolerantDatabaseManagementSystem)项目等。另外MAFTIA(Malicious-andAccidental-FaultToleranceforInternetApplications)是欧盟的研究项目,其中重要的一个工作是用容错技术和分布式系统技术构建入侵容忍系统。
根据入侵容忍理论,系统中任何敏感的数据都可以利用秘密共享技术以冗余分割的方法进行保护。ITTC项目就是基于门限技术构造容忍入侵的应用程序,MAFTIA项目对因特网应用中入侵的容忍也主要是利用密码共享技术来实现的。
返回本篇论文目录查看全文 上一章:证据分析与保全技术 下一章:自适应动态取证系统框架
