本站原创【摘 要 】网络的入侵取证系统是对网络防火墙合理的补充,是对系统管理员安全管理的能力的扩展,可使网络安全的基础结构得到完整性的提高.该文即针对计算机基于网络动态的网络入侵取证作进一步的探讨.
【关 键 词 】网络动态;网络入侵;网络入侵取证系统
计算机网络的入侵检测,是指对计算机的网络及其整体系统的时控监测,以此探查计算机是否存在违反安全原则的策略事件.目前的网络入侵检测系统,主要用于识别计算机系统及相关网络系统,或是扩大意义的识别信息系统的非法攻击,包括检测内部的合法用户非允许越权从事网络非法活动和检测外界的非法系统入侵者的试探行为或恶意攻击行为.
1. 计算机入侵检测与取证相关的技术
1.1计算机入侵检测.
(1)入侵取证的技术是在不对网络的性能产生影响的前提下,对网络的攻击威胁进行防止或者减轻.一般来说,入侵检测的系统包含有数据的收集、储存、分析以及攻击响应的功能.主要是通过对计算机的网络或者系统中得到的几个关键点进行信息的收集和分析,以此来提早发现计算机网络或者系统中存在的违反安全策略行为以及被攻击迹象.相较于其他的一些产品,计算机的入侵检测系统需要更加多的智能,需要对测得数据进行分析,从而得到有用的信息.
(2)计算机的入侵检测系统主要是对描述计算机的行为特征,并通过行为特征对行为的性质进行准确判定.根据计算机所采取的技术,入侵检测可以分为特征的检测和异常的检测;根据计算机的主机或者网络,不同的检测对象,分为基于主机和网络的入侵检测系统以及分布式的入侵检测系统;根据计算机不同的工作方式,可分为离线和在线检测系统.计算机的入侵检测就是在数以亿记的网络数据中探查到非法入侵或合法越权行为的痕迹.并对检测到的入侵过程进行分析,将该入侵过程对应的可能事件与入侵检测原则规则比较分析,最终发现入侵行为.按照入侵检测不同实现的原来,可将其分为基于特征或者行为的检测.
1.2计算机入侵取证.
(1)在中国首届计算机的取证技术峰会上指出,计算机的入侵取证学科是计算机科学、刑事侦查学以及法学的交叉学科,但由于计算机取证学科在我国属于新起步阶段,与发达国家在技术研究方面的较量还存在很大差距,其中,计算机的电子数据的取证存在困难的局面已经对部分案件的侦破起到阻碍作用.而我国的计算机的电子数据作为可用证据的立法项目也只是刚刚起步,同样面临着计算机的电子数据取证相关技术不成熟,相关标准和方法等不足的窘境.
(2)计算机的入侵取证工作是整个法律诉讼过程中重要的环节,此过程中涉及的不仅是计算机领域,同时还需满足法律要求.因而,取证工作必须按照一定的即成标准展开,以此确保获得电子数据的证据,目前基本需要把握以下几个原则:实时性的原则、合法性的原则、多备份的原则、全面性的原则、环境原则以及严格的管理过程.
2. 基于网络动态的入侵取证系统的设计和实现
信息科技近年来得到迅猛发展,同时带来了日益严重的计算机犯罪问题,静态取证局限着传统计算机的取证技术,使得其证据的真实性、及时性及有效性等实际要求都得不到满足.为此,提出了新的取证设想,即动态取证,来实现网络动态状况下的计算机系统取证.此系统与传统取证工具不同,其在犯罪行为实际进行前和进行中开展取证工作,根本上避免取证不及时可能造成德证据链缺失.基于网络动态的取证系统有效地提高了取证工作效率,增强了数据证据时效性和完整性.
2.1计算机的入侵取证过程.
(1)计算机取证,主要就是对计算机证据的采集,计算机证据也被称为电子证据.一般来说,电子证据是指电子化的信息数据和资料,用于证明案件的事实,它只是以数字形式在计算机系统中存在,以证明案件相关的事实数据信息,其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据.
(2)就目前而言,由于计算机法律、技术等原因限制,国内外关于计算机的取证主要还是采用事后取证方式.即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后,但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中;另外,入侵等非法网络犯罪过程中,入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径.同时,2004年FBI/CSI的年度计算机报告也显示,企业的内部职员是计算机安全的最大威胁,因职员位置是在入侵检测及防火墙防护的系统内的,他们不需要很高的权限更改就可以从事犯罪活动.
2.2基于网络动态的计算机入侵取证系统设计.
(1)根据上文所提及的计算机入侵的取证缺陷及无法满足实际需要的现状,我们设计出新的网络动态状况下的计算机入侵的取证系统.此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时,还能够同时兼顾来自于计算机内、外犯罪的活动,获得尽可能多的相关犯罪信息.基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同,基于分布式策略的动态取证系统,可获得全面、及时的证据,并且可为证据的安全性提供更加有效的保障.
(2)此外,基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作.其一是攻击计算机本原系统的犯罪行为,其二是以计算机为工具的犯罪行为(或说是计算机系统越权使用的犯罪行为).系统采集网络取证和取证两个方面涉及的这两个犯罪的电子证据,并通过加密传输的模块将采集到的电子证据传送至安全的服务器上,进行统一妥善保存,按其关键性的级别进行分类,以方便后续的分析查询活动.并对已获电子证据以分析模块进行分析并生成报告备用.通过管理控制模块完成对整个系统的统一管理,来确保系统可稳定持久的运行.
2.3网络动态状况下的计算机入侵取证系统实现.
(1)基于网络动态计算机的入侵取证系统,主要是通过网络取证机、取证、管理控制台、安全服务器、取证分析机等部分组成.整个系统的结构取证,是以被取证机器上运行的一个长期服务的守护程序的方式来实现的.该程序将对被监测取证的机器的系统日志文件长期进行不间断采集,并配套相应得键盘操作和他类现场的证据采集.最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器,管理控制台会即刻发送指令知道操作. (2)网络取证机使用混杂模式的网络接口,监听所有通过的网络数据报.经协议分析,可捕获、汇总并存储潜在证据的数据报.并同时添加“蜜罐”系统,发现攻击行为便即可转移进行持续的证据获取.安全服务器是构建了一个开放必要服务器的系统进行取证并以网络取证机将获取的电子证据进行统一保存.并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性.而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据,以此获取犯罪活动的相关信息及直接证据,并同时生成报告提交法庭.管理控制台为安全服务器及取证提供认证,以此来管理系统各个部分的运行.
(3)基于网络动态的计算机入侵取证系统,不仅涉及本网络所涵盖的计算机的目前犯罪行为及传统计算机的外部网络的犯罪行为,同时也获取网络内部的、将计算机系统作为犯罪工具或越权滥用等犯罪行为的证据.即取证入侵系统从功能上开始可以兼顾内外部两方面.基于网络动态的计算机入侵取证系统,分为证据获取、传输、存储、分析、管理等五大模块.通过各个模块间相互紧密协作,真正良好实现网络动态的计算机入侵取证系统.
3. 结束语
随着信息科学技术的迅猛发展,给人们的生活和工作方式都带来了巨大的变化,也给犯罪活动提供了更广阔的空间和各种新手段.而基于网络动态的计算机入侵取证系统,则通过解决传统计算机的入侵取证系统瓶颈技术的完善,在犯罪活动发生前或进行中便展开电子取证工作,有效弥补了计算机网络犯罪案件中存在的因事后取证导致的证据链不足或缺失.全面捕获证据,安全传输至远程安全服务器并统一妥善保存,且最终分析获得结论以报告的形式用于法律诉讼中.但是作为一门新兴的学科,关于计算机取证的具体标准及相关流程尚未完善,取证工作因涉及学科多且涵盖技术项目广,仍需不断的深入研究.