一种基于蜜罐技术的主机取证系统研究.docxVIP

??

?

??

一种基于蜜罐技术的主机取证系统研究

?

?

?

?

?

??

?

?

?

孙国梓，薛磊，李云(南京邮电大学计算机学院，江苏南京210003)

摘要：在对取证需求进行分析的基础上，将蜜罐技术应用于主机取证，设计实现了一个主机取证系统从蜜罐创建、数据传递、行为监视、行为分析等几个方面对系统构建的关键技术进行了详细分析，给出系统实现和测试的结果，验证了方案的可行性。

关键词：主机取证；蜜罐；计算机犯罪

TP309.2：A：1671-1122(2010)12-0042-04

O引言

计算机取证已成为信息安全领域研究的热点，目前的计算机取证大都是静态的，在犯罪事件发生后对目标系统静态分析并获取证据，该取证方式效率低，有效性差且难以保证数据安全。

蜜罐技术是一种用于欺骗攻击者的技术，蜜罐是故意让人攻击的目标，可以诱使攻击者前来攻击，由此可以减少对实际系统所造成的安全威胁。攻击者入侵后，可以观察入侵者在蜜罐中所作的一切行为，并把这些行为记录下来形成日志，对其进行研究后，可以分析攻击者所使用的工具、策略及其目的。目前蜜罐技术已被广泛应用于对网络入侵进行检测。

在数字取证过程中，按数字证据发生的时间不同，将数字取证分为事后取证和实时取证。随着网络犯罪技术的提高，事后取证已无法适应要求，解决方案是进行实时取证。实时取证，也称动态取证，也即实时获取网络数据并以此分析攻击者的企图和获得攻击者的行为证据。

基于蜜罐的数字取证系统是用真实的系统、应用程序、服务和虚假的“敏感”信息来与攻击者进行交互，由此获取入侵者证据的系统，它具有真实性、可控性、高效性和完整性。

1基于蜜罐技术的主机取证体系

目前，蜜罐技术已被应用于入侵检测和网络取证，主机方面运用的还比较少。通过分析Windows操作系统中文件的读写机制，对一些针对存储介质上的敏感数据的攻击行为的分析、总结，可以确定基于蜜罐的主机取证体系如图1所示。

该体系中，主机系统由真实设备和虚拟设备组成，其中虚拟设备是采用蜜罐技术构建的取证蜜罐。对于入侵者而言，其所能见到的是具有若干“敏感信息”的“事实存在”的系统。

当入侵者对上述系统发起攻击或破坏时，事先部署的取证蜜罐可以获取入侵者对系统的相关操作行为。通过对这些行为进行分析、比对、筛选，最终形成一个全面、有效的取证报告。同时，由于该取证蜜罐已经将入侵行为发生后的痕迹进行了有效保存，使得取证报告更具法律效力。蜜罐技术的使用，能构建出具有敏感信息的虚拟设备，该取证蜜罐可以避免入侵行为对真实的设备和信息造成的恶意破坏的同时，可以更好地监视入侵者的行为。

2关键需求分析

基于蜜罐技术的主机取证系统是核心层程序与应用层程序相结合的系统，在核心层，要利用设备驱动技术构建虚拟设备形成蜜罐，而在应用层要开发应用程序，简单明了显示所取得的证据。

2.1蜜罐选择

由于现在大量病毒和木马通过U盘的可移动存储介质进行传播和感染，所以本主机取证系统设计时主要针对可移动磁盘病毒进行取证，也即本文所选择的蜜罐就是通过设备驱动创建的存储有敏感信息的虚拟磁盘。

2.2取证技术

限于本文的取证环境和取证条件，需要获取的电子证据是病毒、木马等的非法操作行为。为了获取非法行为，必须截获病毒、木马等的非法操作，因此，在取证过程中拟利用全局钩子，对目标进程的创建进程、结束[来自W]进程、拷贝文件、读写文件、删除文件等操作进行了监控和取证。

2.3平台选择

WindowsXP系统是目前使用最多的操作系统，针对该操作系统的病毒、木马也最多，而且这些病毒、木马等其中很大程度是通过可移动存储介质进行传播的，这类病毒、木马的破坏行为也最为典型，因此，本文选择对WindowsXP系统的可移动磁盘进行蜜罐取证。

3主机取证系统构建的关键技术

3.1蜜罐创建

本系统首先要解决虚拟磁盘的问题，目前很多软件都可以虚拟出磁盘，多采用基于内存的方式将内存中的一段空间虚拟为磁盘。由于内存中的数据断电后会自动清除，可疑程序对虚拟磁盘中敏感文件操作后的痕迹也将消失，无法得到有效证据。除此之外，效率问题也是一个不容忽视的问题。图2给出了一种基于虚拟设备的蜜罐构建方案。

在虚拟磁盘创建时，首先创建磁盘镜像文件，然后再将磁盘镜像文件虚拟成磁盘，并添加虚拟的敏感信息。该方案在提高效率的同时，可以保证入侵痕迹被正常保存。

3.2数据传递

主机取证系统最终由四个模块构成，设备驱动模块、全局HOOK(文件过滤)模块、磁盘初始化模块和界面图形化模块，这些模块处于不同的状态，不同的进程中，因此需要设计到用户态与内核态之间的数据传递、不同进程间的数据传递，确保不同模块间的数据准确无误的传递对于系统的高效运行将起到至关重要的作用。

1)核态与用户态之间的数据传递。在创建虚拟驱动时，创建虚拟