网络取证系统设计关键技术研究.pdfVIP

网络取证系统设计关键技术研究

计算机取证的主要目的就是要收集电子证据,重构犯罪现场,为诉讼案件提供有效的证据.本文通过研究计

算机取证的相关理论及技术,在电子证据的获取,保存、分析方面进行了探讨和分析,最终给出了一个网络

取证系统的设计方案,对于网络安全发展具有一定能帮助作用。

引言

电子证据是计算机取证技术的核心，计算机取证的过程主要就是围绕电子证据的保

护、获取、传输和存储工作开展的。与传统证据一样，电子证据必须是：可信的、准确

的、完整的、符合法律法规的，即可为法庭所接受的。另外，根据计算机犯罪年度报告显

示，病毒和内部职员成为计算机安全的最大威胁。并且内部职员的威胁正在持续扩大，其

危害程度也在不断加强。内部职员是内部网络的合法使用者，不同的内部职员拥有不同的

权限，很难管理，防火墙对内部职员没有作用，入侵检测也经常发现不了问题。有些计算

机犯罪活动并不需要很高的权限。

鉴于事后取证的缺陷以及内部职员的安全威胁，在可能发生网络安全事故或者需要高

安全保护的环境进行监控将是十分必要的。动态取证是计算机取证技术的一个发展趋势。

在这一背景下，本文设计了一个网络动态取证系统，该系统的基本思路是：确定可能发生

网络安全事故或者需要高安全保护的环境(主机或网络)；为计算机现场环境建模，即为现

场活动的主体(用户、操作系统、设备)设置监控Agent，进行实时监控，最大限度获取真

实地、完整地数据，并建立系统事件日志数据库，把现场获取的数据发送到远程安全数据

服务器加以妥善保存。在计算机犯罪案件发生后，取证调查人员可以通过记录在数据库中

系统事件数据对犯罪现场模拟重现，进行取证分析工作，提交分析结果，保证计算机犯罪

案件诉讼过程顺利进行。

1系统的设计目标与功能分析

系统的设计目标是实现一个网络取证系统，该系统能够自动、动态收集网络和主机的

证据，并对能够证据进行保护、存储、分析。具体来讲，系统的目标包括：动态监控主机

活动，获取事件数据并加以保护，存储到远程服务器；动态监控网络数据，保存网络数据

包数据；提供一个管理平台来配置和管理系统的取证和监控过程提供一个分析平台来辅助

分析获取的证据，提供分析报告。

出系统的设计目标可以直接导出系统主要功能包括四个方面，即主机取证，网络取

证，取证中心管理，取证分析。鉴于这四个方面在功能上相对独立而在网络物理环境下处

在不同的位置，因此每一个方面可以设计成一个独立的子系统。各个子系统具体功能说明

如下：

1．1主机取证子系统

主机取证子系统主要功能：实时监控被取证主机的行为，记录用户、系统，应用程序

的重要状态和行为。系统启动时，具有向取证管理子系统登记注册的职责。在运行过程中

接受取证管理予系统的控制，包括锁定，重启，关闭，更新等操作。

目前系统已经确定的事件监控类别有如下十二种：1)监控CPU和Memory的使用状态；

2)监控操作系统R志文件，包括系统日志、安全审计日志、应用程序日志；3)监控系统的

注册表使用情况，包括注册表的创建、打开、修改，删除操作，可以根据需要进行过滤；

4)监控文件系统的详细使用情况，包括文件及目录的创建、打开、修改、删除操作，也包

括文件及目录属性的修改；5)监控文件系统的一般使用情况，包括文件创建，修改，删

除，但不能确定是哪个进程操作该文件；6)监控系统的端口使用情况，包括TCP和uDP端

口；7)监控系统进程的创建与销毁；8)监控用户的键盘使用记录：9)监控用户的登陆和退

出时问；10)监控用户的打开和关闭的窗口；11)监控用户的命令记录；12)监控用户的访问

同志。

1．2网络取证子系统

网络取证子系统的主要功能：完整地、真实记录网络中数据包，对每个数据包按协议

栈进行解析，目前系统能够对Ethernet，IP，ARP，RARP，ICMP，IGMP，TCP，UDP以及部

分应用层协议的解析。能够按定义过滤规则，实现对数据包的底层过取证管理子系统的控

制，包括锁定，重启，关闭，更新等操作。

1．3取证管理子系统

取证管理子系统主要配置系统信息，管理和控制其他子系统来完成取证任务。具体包

括如下功能：1)管理取证Agent及系统监控事件列表，包括加入，删除豁控操作；2)管理

系统管理员的添加，修改，删除操作；3)管理被取证主机的添加，修改，删除操作；4)实

施对被取证主机的更新，关闭，重启，锁定操作，包括对被取证主机上取证Agent的信息

更新；5)与网络取证Agent