| 1引言 计算机技术与网络通信技术的发展,在给人们带 来便利的同时,发生在计算机领域中的各种犯罪(如 计算机诈骗、商业机密信息的窃取与破坏、电子商务 纠纷、对政府、军事网站的破坏等)在逐年剧增。研 究如何打击计算机犯罪、提取和分析计算机犯罪证据 并证明该证据是原始的、完整的、合法的、有效的新 型学科一计算机取证学由此应运而生。 在计算机犯罪案件中计算机扮演着作案目标和作 案工具双重角色,无论作为哪种角色,计算机系统中 都会留下大量的与犯罪有关的数据。因此给出的计算 机取~(computerforensic)的定义是“计算机取证就是 对计算机犯罪的证据进行获取、保存、分析和出示, 它实质上是一个详细扫描计算机系统以及重建入侵事 件的过程”【l1。根据取证时证据的特性,计算机取证可 以分为静态取证和动态取证。静态取证又称为事后取 证、、被动取证,随着网络犯罪技术的提高,事后取证 已无法适应要求,解决方案是进行实时取证,也称动 态取证。 目前常见的动态取证系统有基于入侵检测的动态 取证系统【、基于入侵容忍的蜜罐网络取证系统【3】、基 于Agent的分布式网络取证系统I钔、基于人工免疫动 态取证系统[51等,但这些系统还存在着一些不足,比 如基于入侵检测的动态取证系统仍然存在着误报率和 漏报率高的问题;利用蜜罐取证的缺陷是只能捕获到 入侵者进入蜜罐区的攻击行为,而不能捕获进入应用 区的攻击,对这样的系统获得的信息是否能作为法律 认可的证据,仍是一个有争议的问题;对动态取证中 获取的海量数据如何高效地分析出具有计算机犯罪特 征的数据还面临~些技术难题。此外,目前大多数动 态取证系统把重点放在来自于外部入侵者的犯罪行为 的取证上,而忽略了内部人员犯罪行为的取证。由于 内部人员熟悉网络的结构和取证系统的运行机制,他 们实施犯罪活动(如军队内部人员利用军网泄密或者 个人利用公司网络发布违法言论等)时,往往能绕过 取证系统,使取证系统失效。所以设计出一个既能对 外部入侵行为取证,又能对内部人员犯罪行为取证的 系统已经成为一个迫切需要。 本文针对目前一些系统中存在的不足,在分布式 网络取证模型的基础上设计了一个基于windows平台 的动态取证系统,该系统具有证据获取效率高、取证 过程隐秘、取证分析算法可扩展等特点,主要解决网 络中的计算机作为作案目标和作案工具双重角色时的 取证。 2基于windows平台的动态取证系统 2.1关键需求分析 首先要考虑两方面的取证工作:一方面是来自网 络外部的以计算机系统为攻击目标的犯罪行为,另一 方面是来自网络内部的以计算机为工具的犯罪行为, 所以需要取证过程具有隐秘性。 其次考虑到电子证据的可靠性,需要实时、高效 地采集多种数据源。 第三是考虑到网络中各主机的数据量非常大,要 完全依靠人工进行分析,其工作量将不可接受,所以 还需要一种对计算机取证获取的信息进行自动分析的 方法。本系统将数据挖掘技术应用到计算机取证分析 中,它能从海量的数据中发现有价值的知识和信息。 此外在平台的选择方面,考虑到Windows系统是 目前使用最多的操作系统,针对该系统发生严重的计 算机犯罪案件比较多,研究Windows系统下的计算机 取证不但具有理论价值,也具有重大的现实意义。本 文选择对WindowsXP系统网络环境下的各个主机进 行动态取证。 2.2取证系统结构 本系统分为取证服务器端和取证客户端,如图l 所示。取证客户端安装了入侵检测系统(IDS),分布 于网络中的各个主机实现分布式入侵检测。取证客户 端将所采集的电子数据证据加密后传送到安全的服务 器端进行统一的收集,经过数据预处理后按照统一的 格式存入数据库以方便后续的查询与分析活动。对于 已经获取的电子数据证据由证据分析模块进行分析产 生规则库并对具有犯罪嫌疑的证据进行提取,加密签 名后存入证据库。产生的新规则又反馈给客户端的入 侵检测系统,使其具有学习功能,进而能检测出新的 |
