网络入侵取证审计数据分析技术地研究.pdfVIP

大会报告 ·257· 网络入侵取证审计数据分析技术的研究 钱桂琼 许榕生 中国科技大学研究生院 中国科学院高能物理研究所计算中心 摘耍：本文首先介绍了网络入侵取证的研究背景，引出网络入侵取证技术研究的必要性。之后，给 出网络入侵取证的基本原理及总体框架，提出系统审计数据在取证中的重要性，最后，对 系统审计数据的分析技术进行详细阐述。通过作者的取证技术研充工作及充分的调研，提 出使用ASAX来对系统审计教据进行深入分析，最后给出一个实例。 关键词：网络入侵取证计算机犯罪 审计数据A5∞又 进行分析和挖掘。 一、引育 二、网络入侵取证的基本原理 跨入2l世纪，Internet技术带领信息科技进入新 的时代。计算机的使用已经成为人们日常生活的一部 网络入侵取证系统主要由三部分组成：被取证 分。然而遗憾的是，计算机犯罪活动也应运而生。 机、取证机和分析机。被取证机上装有收集被取证机 根据美国计算机安全研究院与联邦调查局反计 系统信息的软件模块，通过网络以实时的方式获取 算机入侵小组的调查，1999年美国企业由于网络犯被取证机的状态和信息；取证机是进行取证信息获 罪而遭受的损失已经超过26亿6千万美元。同样 取和保存的计算机，分析机是对取证信息的组织、分 地，中国从1986年发现第一例涉及计算机犯罪案件析和图表方式的显示，并得出最终的结论。其物理结 以来，从1986年至1987年，发生案件9起；1988年构如图1所示。 至1989年，则发生上百起；1993年，计算机犯罪案件 为1000多起；1994年为1450多起。 一旦网络已经遭受入侵，并造成了既有的损失， 我们就希望象现实中的解决方法一样，对网络入侵 者交给法律以保护自己的合法权益。同时，司法部门 通过侦破并获取电子证据，最终将网络罪犯绳之以 法。实现这一过程的就是最近两年出现的技术热点 之一——计算机取证。 事实上．计算机取证又分为几种取证模式，一种 是事后对计算机的取证，这主要是针对损坏了的文 圈1 计算机入侵取证系统物理结构圈 件系统进行恢复和分析；而另一种则是黑匣子模式 的取证，将进出被取证机器的数据实时地传送到取 图中，在被取证机上安装一个收集数据的A． 证机上，这种模式我们称之为网络入侵取证。本篇论 gent。收集的数据来源于两部分，其中一部分是网络 文研究的重点就是采用国外先进的审计数据分析工 数据，另一部分是系统审计数据。Agent将收集好的 具ASAX来对网络入侵取证系统中的系统审计数据数据进行处理后，发送到取证机，最后在分析机上形 ．，c露． 弟十七次全国计算机安会学术交盹会论文 一————————————————————————————————————————————～ 成结沦性的取证分析报表。 (2)灵活的编程语言：它有一门通用的基于规则 Evalua。 分析语言RUSSEL(RUled-basedSequence 三、系统审计数据 tion Langllage)，适用于处理大量的序列化文件(即一 对于入侵者来说，要做的第一件事就是清除入 条条格式相同的记录)。通过RUSSEL语言编写的规 侵的痕迹，这需要入侵者获得root