3.2 自适应动态取证系统框架
取证工作中有两个侧重点需要得到充分的考虑,并有具体的实施保障。
1.评估所调查的恶意行为或可疑行为造成危害的程度。
如果要将所调查的行为定性为计算机犯罪,必须能够说明这些行为造成了足够严重的后果,这样,这些行为才有可能被控为计算机犯罪。
2.收集并分析与所调查行为有关的信息。
这个是计算机取证中更被人熟知的一个方面。通过收集并分析与所调查行为有关的信息,重现入侵过程,追溯入侵者。
针对取证的工作的两个侧重点要求,我们建立的自适应动态取证系统应能收集并分析反映入侵的有关信息,并能评估入侵中恶意行为或者可疑行为所造成危害的程度。但这只是动态取证系统最基本的要求,为增强取证系统和证据的可靠性,并提高取证的效率,我们入侵检测、入侵诱骗及入侵容忍技术结合到动态取证过程中来。由于动态取证系统是对己有系统的安全补充,不应对已有系统再重新设计体系结构,改变已有系统的工作模式,因此我们整体采用攻击响应的入侵容忍结构。另外,由于入侵诱骗系统的目的是为了更好地模拟真实系统,因此入侵诱骗系统构造时采用冗余、多样性等入侵容忍的技术。
自适应动态取证系统的系统框架如图3-6所示。入侵检测系统来检测攻击,威胁评估系统来评估恶意行为或可疑行为所造成危害的程度,资源调整系统通过调整资源来限制破坏区域的扩大,入侵诱骗系统来吸引可疑或恶意流量进行进一步观察,威胁隔离系统来隔离恶意或可疑行为,证据收集系统从以上系统及真实的应用和网络系统中收集有用证据,交给证据分析系统进行分析,并将分析结果存入证据存储系统。其中,入侵检测及威胁评估系统作为入侵容忍及取证机制的触发器。具体化之后的系统结构及数据流动如图3-7所示。
1.入侵检测系统:本系统框架中的入侵检测系统包括NIDS和HIDS}NIDS监视网络中的通信,HIDS对主机的文件、进程以及网络连接进行检测,如果发现有攻击活动就产生告警。IDS可以作为启动入侵容忍以及取证的触发器。常用的IDS如snort是基于规则来检测入侵的,规则中有一个字段“priority”用来表示攻击活动的级别,匹配该条规则的攻击活动所触发的告警可以相应反映出该攻击活动的威胁级别。攻击的威胁级别是进行威胁评估的重要参数之一。
2.入侵诱骗系统:入侵诱骗系统包括真实服务器的影子服务器、安全监测工具以及强访问控制设备。利用虚拟计算技术动态模拟关键服务器的操作系统、应用层服务,实现真实服务器的“影子服务器(shadowServer)”,由于其应用服务配置、网络流量上高度相似,因此具有更大的欺骗性和伪装性,能够更好地吸引和观察攻击者行为,搜集更完整的攻击证据。影子服务器的数据通常与真实服务器一致,但从容忍的多样性角度来考虑,其结构、实现都与真实服务器有所区别。入侵诱骗系统的主要目标是吸引攻击,继续观察和记录恶意流量或可疑流量,因此,要安装Sebek,Nepenthes等安全工具,对所有进入到入侵诱骗系统的流量都进行分析和一记录,其结果用以更新入侵防御策略和取证。入侵诱骗系统的强访问控制措施是为了防止入侵者利用蜜罐实施跳板攻击。
3.威胁评估系统:威胁评估系统收集入侵检测系统、入侵诱骗系统、真实系统以及访问控制系统的有关信息,信息包括:安全事件的威胁级别、服务器系统的漏洞信息、关键主机的资产值、对目标主机的性能影响程度等。通过对这些信息的综合评估,确定当前的威胁程度,从而决定系统状态的转换,触发相应的响应机制。威胁评估系统的分析结果还可以说明所调查行为所造成的后果,调查人员可以根据这个结果对计算机犯罪行为进行指控。
4.访问控制+重定向器:访问控制和重定向器主要起到威胁隔离和资源调整的作用,可以由带有负载均衡和带宽管理功能的防火墙来充当,在必要的时候对流量进行重定向。正常情况下,请求被送给真实的服务器;如果入侵检测系统及威胁评估系统发现有不能确定的疑似攻击流量,则这种流量被同时发送给真实的服务器和影子服务器,由诱骗系统中更有针对性的安全工具进行观察和确认,同时限制疑似恶意IP地址的可用带宽;一旦可疑流量被确定为攻击,则阻断恶意流量到真实服务器的连接,将恶意流量全部重定向到影子服务器,由入侵诱骗系统进一步监视和记录证据。
5.取证处理系统:证据处理系统包括证据收集、证据分析和证据安全存储三个部分。证据收集主要由集成在各个证据源中的日志收集代理LCA(LogCollectingAgent)负责收集日志证据,证据源包括IDS、真实服务器、入侵诱骗系统等,为了防止LCA进程被入侵者破坏,可以采用rootkit技术。证据分析系统对收集到的日志证据进行分析。分析产生的结果是最后用来出示的证据,安全存储在证据库中,采用秘密共享的入侵容忍技术对证据进行容忍入侵保护。
6.控制中心:控制中心是整个系统的核心,根据各个子系统的反馈信息来控制系统状态的转换,并通知相关的模块。
其中威胁评估系统的评估结果以及取证分析的结果可以反馈到访问控制系统和入侵检测系统,这两个系统根据反馈信息更新访问控制规则和入侵检测规则,动态调整下一步的访问控制和入侵检测处理。