基于入侵检测系统主动取证方法.docVIP

基于入侵检测系统主动取证方法 　　摘要：为尽量保留有价值的证据，并实现较大的数据缩减，设计了一种主动证据选取存储方法。根据IDS日志对安全事件进行分类，针对不同类型的安全事件选取并存储不同的网络数据作为证据存储，实现证据量与代价的折中。 　　关键词：主动取证； 入侵检测系统； 计算机证据；日志?? 　　中图分类号：TP393．08文献标志码：A 　　文章编号：1001－3695(2007)05－0278－02 　　 　　0引言?? 　　 　　随着计算机因特网的广泛应用，计算机犯罪事件也频繁发生。计算机犯罪已经成为刑事案件的一个新方向。打击犯罪的关键在于获得充分、可靠和强有力的证据。因此计算机取证逐渐成为人们研究与关注的焦点。?? 　　计算机证据是指以计算机形式存在并作为证据使用的一切材料及其派生物。计算机取证[1]是运用计算机及相关科学技术的原理、方法获取与计算机相关的证据，以证明某个客观事实存在的过程。主动取证的目标是要建立适当的系统自动发现收集、过滤可疑数据，并实现高效、安全可靠地存储数据，在必要时供查询或提供自动分析报告。Bradford等人总结了支持在企业内针对内部用户建立这类系统的基本原理[2]。?? 　　入侵检测系统（IDS）由于其内在的优点已经成为网络安全解决方案中的重要组成部分，并获得广泛应用。目前的IDS会产生大量独立的、原始的报警信息。这些报警信息除了具有海量的特点外，误报率和漏报率较高。从法律角度来看，其报警日志作为证据证明力不强。网络数据证据的获取属于事实中取证，即在犯罪事件进行或证据的传输中截获。随着网络带宽的不断增加，网络上传输的数据越来越多，形成了海量数据。本文提出了一种基于入侵检测的计算机证据获取方法，在已有的网络入侵检测的基础上，采取主动取证与IDS紧密结合，实时获取网络数据，有选择地存储网络数据，使之成为日后追踪调查的证据，既能提供比较充分可靠、有说服力的法律证据，又节省了存储空间的开支。?? 　　 　　1主动取证?? 　　 　　由于计算机系统（或网络）中大量的数据、信息都是使用后就完全丢掉了，计算机系统中潜在的证据还可能被黑客删除，也可能随条件改变而消失。一种为司法界接受、无争议的方法[3]是获取全部的网络数据，在出现犯罪活动的情况下将相关数据筛选出来作为证据。基于这种主动取证的方法，通过实时数据捕捉、收集对入侵者的活动进行实时监视和记录就显得十分重要（捕捉、收集、保留是否违法不在本文讨论范围）。但详细记录全部数据对于存储空间的要求是比较高的，一般的服务器至多只能存储几天到一个星期的数据，采用其他介质存储还会产生大量数据垃圾以及物理垃圾(如光盘)。?? 　　另外文献[4]提出对计算机犯罪行为进行检测，从而记录有关证据。该设想比较理想化，以现阶段的技术和法律现状，难以实现；从另一角度来说，如果可以较准确地检测犯罪行为，则可以阻止该犯罪行为。 　　 蜜罐技术[5]也是一种主动应对入侵策略的系统，它可以模拟多种操作系统或者系统漏洞引诱黑客进行攻击。但是它的目标是更多地获取黑客攻击信息，研究黑客攻击技术手段。?? 　　IDS[6]是一种基于主动策略的网络安全系统。但由于现有的IDS本身还在变化中，远未达到成熟，绝大多数的商业IDS工作原理与病毒检测相似，自身带有一定规模和数量的入侵特征模式库，可以定期更新。这种方式仅对已知的攻击手段有效果。现有的IDS错报率偏高，并缺少对检测结果的进一步说明和分析，实际上是一种对可疑入侵的预警。因此本文在存储数据时根据IDS日志报警信息，针对不同类型攻击产生的网络数据的特征选择不同的证据信息进行存储，以实现证据量与代价之比的最大化。?? 　　 　　2IDS日志分类与证据选取?? 　　 　　为了处理海量的IDS报警日志，采用文献[7]提出的一种基于模糊综合评判的入侵检测系统报警处理方法。该方法通过报警是否与其他报警相关来筛选报警，即去掉与其他报警不相关的报警，并且可以通过模糊综合评判的方法调整隶属度阈值来降低报警信息的丢失程度。这个方法使入侵检测系统报警处理后得到有效直观的结果，降低了入侵检测系统的误报率,减少了报警日志信息数量，缩小了存储网络数据目标范围，减轻了日志分类的工作量。?? 　　报警类型分类是根据攻击形式产生的网络数据的特征来划分的。对于不同特征的网络数据采用不同的存储形式，保存作为证据必须的信息，其他信息不保存，从而可以节约大量存储空间。 　　攻击者为了获取活动主机、开放服务、操作系统、安全漏洞等关键信息，通常在攻击之前对系统进行扫描，包括Ping扫描、端口扫描、操作系统辩识和安全漏洞扫描。这类活动会产生大量相似的网络数据，其作用是测试系统，只是变化IP或端口。因此只要保存该类网络数据的报头部分主要信息，