7 总结与展望
本文主要对网络取证的体系结构,以及体系结构中的关键技术入侵威胁程度的评估方法、入侵模式的分析方法和证据的保全方法分别进行了研究和算法设计,并通过实验验证了方法的有效性。
7.1 本文主要参考文献
在网络取证的体系结构上,主要有两点贡献:(1)针对传统静态取证及动态取证存在证据收集不及时、收集不全面、过程不可靠等问题,提出了结合入侵检测、入侵诱骗以及入侵容忍技术的自适应动态取证体系结构,利用入侵容忍机制提高系统的容侵性,利用威胁评估机制对单纯的入侵检测进行补充,实现系统的自适应状态转换,将入侵诱骗系统与真实系统结合,在需要的时候将恶意及可疑流量定向到入侵诱骗系统,解决入侵诱骗系统的证据可采性问题,并延长取证过程,获取更多更完整的证据信息。(2)将对整个系统的研究转化为对不同状态的研究及对各状态之间转换性质的研究,建立自适应动态取证系统的半马尔科夫模型,采用半马尔科夫过程的分析方法对该模型进行安全性能的量化分析。
为了更明确说明入侵行为的影响后果,并为自适应状态转换提供依据,研究了入侵威胁评估方法。主要贡献包括两个方面:(1)分析了现有的威胁评估方法,在综合前人的研究成果和实际取证需要两个方面,选取了四个因素:攻击威胁级别、主机漏洞严重度、资产关键度以及目标系统性能影响程度作为衡量入侵威胁度的因素,并对这些因素进行量化:(2)针对已有关于综合威胁评估方法的不足,提出一种基于灰关联的入侵威胁度评估方法,不仅考虑到各个因素之间存在未确定的影响关系,也兼顾评估者对不同因素的关注程度。
在取证分析方面,针对取证的需要,研究了入侵模式发现及可视化表现方法。主要贡献有三点:(1)提出了入侵关联图的概念,用入侵关联图来描述入侵的主体、客体以及入侵事实,并介绍了入侵关联图的构造算法和合并算法;(2)基于入侵关联图发现同对主机之间的多步攻击模式和涉及多个主机的入侵模式;(3)提出给予三维事件时间线的方法对入侵模式进行可视化描述,使其作为更直观的可出示证据。
在证据保全方面,主要贡献在于针对“维护监督链”的需要,对证据的传输和存储提出一种多层保护方法:传输之前综合利用加密、验证、签名、时间戳等安全技术对证据进行全方位保护,存储时采用ED一IDA算法对证据分片编码保存提高证据的容侵性,利用用户密钥自动生成编码矩阵,既保证了安全性,又保证了可用性,并分别量化分析了各个层次的安全性,通过分析证明了本方法在证据安全保护方面的作用。
7.2 下一步的工作
本文所研究的方法还有一些有待提高的方向:
1.在自适应动态取证体系结构中,如何更好地设计真实系统和入侵诱骗系统之间的无缝切换机制,使蜜罐系统具有更强的迷惑性和仿真性;
2.如何更合理地量化威胁评估因素,以使得对入侵的威胁评估更合理,更体现实际情况;
3.如何改善入侵关联图的相关算法,以提高分析效率。
网络取证这个领域有很多具有挑战性的研究点,本文只是对其中一部分进行了涉足,还有很多需要研究和解决的问题。比如如何在大规模网络环境中有效收集证据,如何将多源证据构成具有法律证明力的证据链,如何将取证分析的结果进一步利用等等。随着黑客技术的发展以及人们法律意识的加强,这个领域的研究还需更进一步地深入和持续。
致谢
在学位论文即将完成之际,回首自己攻读博士学位的漫漫行程,心中感慨万千。在此,谨向各位鼓励和帮助过我的师长、同窗、朋友、亲人致以诚挚的谢意!
首先,我要由衷地感谢我的导师李芝棠教授、自从本科毕业,我就在李老师门下开始攻读硕士学位,然后攻读博士学位至今,在工作、学习和生活的各个方面,都得到了导师无微不至的关心和帮助,我的每一点成绩无不凝聚导师的心血。感谢李老师为我们创造了优越的科研和学习环境,带领我从事网络安全这个有挑战性的研究,培养我独立思考的能力,鼓励我选择网络取证这个研究课题,并对我悉心指导。攻读博士学位的过程比较曲折,感谢李老师一直以来对我的指导、鼓励和支持。李老师学术底蕴深厚同时又涉猎广泛,让我十分钦佩,为人和做事的态度都对我有很深刻的影响,无所拘泥的思维方式给了我很大的启迪,令我受益匪浅。在此,再次向李老师表示由衷的敬意和诚挚的谢意!
我还要深深感谢李汉菊老师,当初是在李汉菊老师的鼓励下我才选择了留校攻读硕士学位的道路,感谢李老师一直以来在工作上和生活上对我的关心和帮助。
感谢同团队的李伟明、张爱芳、梅松、高翠霞、王美珍、张云鹤、肖凌和已经离开学校的王莉,大家师出同门,一起学习工作,一起成长,一起经历了很多。感谢网络中心的涂浩、柳斌、汪燕、秦山秀、王景素、贺幸志、周丽娟、刘蜀豫、李战春、李冬等老师,感谢大家对我的帮助和支持,特别是在我们利用网络中心的实验环境的时候你们给予的协助。感谢安全系胡和平、彭冰和邹德清等老师,对我工作和学习上的关心和鼓励,特别是邹德清老师,为我们提供了很多对外交流的机会。另外,我还要感谢许榕生教授,在聆听了许教授一次精彩的报告之后,我才更坚定了选择这个研究课题的信念。
感谢课题组的郭正彪,与我关于论文中有关数学理论部分的讨论,对我启迪很大。感谢课题组的马杰、王斌斌、马晓静等博士生,刘建财、陈兴、舒科进、谢松林、竺霞芳、王金娥、余园芝、张黎、吴小伟等硕士生,还有己毕业的汪洋、黄轩、陈是达等硕士生。大家朝夕相处,一起从事科研课题的研究,一起拼杀于羽毛球赛场。我们这个气氛融洽的团队,令我的工作和学习过程充满快乐。
感谢硕士生刘建财帮我整理实验数据。感谢唐文强、万里、刘小宪等学生,帮我整理实验环境,收集实验数据。
我还要深深感谢我的家人。首先感谢父母对我的养育之恩,言传身教永生铭刻,是你们一直以来对我的爱护和支持,让我顺利走到了人生的今天。感谢我的丈夫对我一直以来的理解和支持,感谢你陪伴我度过困难和挫折,鼓励我的每一点进步。感谢我可爱的女儿,你是我生活中的一抹亮色,因为工作和学习的原因我无法经常陪伴在你身边。
再次感谢所有关心和支持我的师长、朋友和亲人!
最后,对各位评委和专家百忙之中抽出时间来评阅我的论文并提出宝贵意见表示深深的感谢!
参考文献
[1]Robert Richardson. CSI Computer Crime&Security Survey, 2008Marcus J. Ranum. Intrusion Detection and Network Forensics. Technical Report.
[2]Report from the Second USENIX symposium on InternetTechnologies&Systems(USITS'99)。 Boulder, Colorado, USA. 1999.
[3]GaryPalmer.ARoadMapforDigitalForensieResearch.TechnicalRePort.
RePortfromtheFirstDigitalForensieResearehWOrkshoP(DFRWS).Utica,New
York.2001.27一30
[4]D.Farnler,W.Venema.ComPuterForensiesAilalysisClassHandouts.
[5]MarkReith,ClintCarr,GreggGunseh.Anexaminationofdigitalforensiesmodels.
InternationalJournalofDigitalEvidenee,2002,l(3):l一12
[6]ChrisProsise,KevinMandia.IneidentResPonse:InvestigatingComPuterCrime.
MeGraw一HillOsborneMedia,2001
[7]TechnicalWbrkingGrouPforEleetricCrimeSeeneInvestigation.Eleetronie
CrimeSeeneInvestigation:AguideforFirstResPonders.2001
[8]Dominique,Brezinski.GuidelinesforEvideneeColleetionandArehiving.
RFC3227.February2002
[9]Enease.alzle-enease.html
[10]吴丹红.美国规制诱惑侦查的法理评介.国家检察官学院学报.
2001,9(3):104一108
[11]ynetManzano,AleeYasinsae.PolieiestoEnhaneeComPuterandNetwork
Forensies.In:ProeeedingsoftheZndAnnualIEEESystems,Man,Cybernetie
InformationAssuranee认brkshoP,June2001.289一295
[12]PeterSommer.Intrusiondetectionsystemsasevidenee.ComPuterNetworks,1999,31(23一24):2477一2487
