计算机网络入侵取证中安全日志设计和实现.docVIP

计算机网络入侵取证中安全日志设计和实现 　　摘要：Internet的普及和新技术的层出不穷给网络攻击者以更多的便利，因此网络的安全以成为日益突出问题。对于破坏网络的安全并由此产生的危害极大的影响了人们生产生活和国民经济以及国家安全。但如果要追究入侵者的法律责任，就必须对入侵者的行为进行取证和调查。入侵者最容易在日志留下痕迹，本文研究的是通过访问日志可以建立对入侵者的访问日志进行取证。 　　关键词：入侵 取证 日志 网络安全 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2012）10-0178-02 　　1、前言 　　计算机网络无疑是当今世界最为激动人心的高新技术之一。它的出现和快速的发展，尤其是Internet的日益推进和迅猛发展，为全人类建构起一个快捷、便利的虚拟世界。Internet的普及和新技术的层出不穷给网络攻击者以更多的便利，因此网络的安全以成为日益突出问题。对于破坏网络的安全并由此产生的危害极大的影响了人们生产生活和国民经济以及国家安全，计算机网络犯罪正是其中一个典型的例子。同传统的犯罪相比，网络犯罪具有一些独特的特点： 　　（1）成本低、传播迅速，传播范围广； 　　（2）互动性和隐蔽性高，取证难度相对较大； 　　（3）严重的社会危害性。 　　操作系统的漏洞和通信线路和设备的安全缺陷构成了网络信息系统的潜在安全隐患。而这些漏洞恰好可以被黑客利用，进行入侵，因此利用法律手段对黑客行入侵行为予以制裁是解决黑客入侵的问题的根本，而入侵取证是最关键的问题之一。入侵取证系统可对网络或系统中发生的攻击过程及攻击行为进行记录和分析，并确保记录信息的真实与完整性。由于电子证据与普通证据有差异较大，特别是易损毁性，导致网络入侵取证有很多特殊的要求。本文研究的目的是从入侵者访问的日志来为网络入侵提供证据。 　　2、计算机取证系统 　　计算机取证是指对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式，进行识别、保存、分析和提交数字证据的过程。计算机取证通常包含五个步骤： 　　（1）甄别：通过适当的方法获得能够识别信息的类型。 　　（2）传输：将获取的有效的证据信息安全地传送到服务器上。 　　（3）存储：确保原始的一致性和完整性，不被篡改。 　　（4）分析：对证据进行科学和系统的分析，达到犯罪的事实。 　　（5）提交：将分析事实和陈述提交相应机构。 　　计算机取证系统包括了安全日志生成模块、网络数据收集模块、证据分析模块。各模块与计算机取证步骤之间的关系如图1所示。 　　3、安全日志生成的实现 　　电子证据要确保真实性和完整性。日志文件对于安全来说非常重要，利用日志可以进行故障排除，或者查到攻击者留下的痕迹。为了获得日志信息，通常在被攻击的目标机器上启用代理程序，代理收集目标主机上的所有日志记录，例如telnet、ftp和http等登录日志，然后应用安全的协议协议实时地将这些原始的日志信息写入到取证机上保存起来，原始日志信息数据写入到取证机是采用数字签名，确保这些信息的不可否认性。安全日志模型如图2所示。 　　3.1 日志文件生成程序的安全性 　　通常情况下对主机和网络设备的访问以及对文件的删除、修改、复制和传送等行为，都会被记录到网络设备和操作系统的日志文件中，但是现在的入侵者非常聪明，为了避免留下痕迹，他们利用相应的工具在开始真正的攻击目标前首先会关闭系统或者设备的日志记录功能，或者在攻击之后轻松的删除掉这些日志，这给取证带来很大的麻烦。我们可以使用第三方日志工具来解决，第三方日志软件能够单独的获取访问系统和网络设备的日志信息。 　　3.2 日志文件存储的安全性 　　我们要采取切实可行的技术和手段保证取证机上日志信息的安全性，确保数据的真实性和完整性，防止日志信息丢失、被篡改、未经授权访问行为的发生。目前造成网络存储安全数据破坏的原因分为客观因素和主观因素。客观因素包括自然灾害，如地震等对系统的破坏，导致存储数据被破坏或丢失以及设备故障，包括存储介质的老化、失效等。客观因素有时我们无能为力，但是却可以有效的预防。主观因素包括系统管理员及维护人员的误操作以及病毒感染造成的数据破坏和网络存储安全上的“黑客”攻击，这些因素我们是可以做好预防的，而且还有可能完全避免。可以通过在线备份和介质加密等多种手段确保日志信息存储的安全。 　　3.3 日志文件传输的安全性 　　我们可以使用SSL协议实现日志文件的安全传输。SSL利用RSA的公用密钥密码技术来实现的。公用密钥加密技术使用不对称的密钥来加密和解密，每对密钥包含一个公钥和一个私钥，公钥是公开广泛分布，而私钥是隐密的，只有自己知道。用公钥加密的数据只有私钥才能解密，相反的，用私钥加密的数据只有公钥才能解密。 SSL安全协