协同电子取证模型研究与设计
2021-06-06
来源:乌哈旅游
2013年10月 西北工业大学学报 Journal of Northwestern Polytechnical University Oct. 2013 Vo1.31 No.5 第31卷第5期 协同电子取证模型研究与设计 夏 杰 (西北工业大学计算机学院,陕西西安710072) 摘要:电子取证旨在针对网络入侵行为,将诸如攻击时间、攻击内容、攻击来源等入侵信息进行记 录,以保留入侵证据,使其具有不可否认性。针对目前网络电子取证存在的问题,提出了一种代理第 三方签名的协同电子取证模型,将取证过程分为攻击预防、攻击过程取证、事后分析、结果提交四个阶 段。该模型基于需求分析的思想,从问题出发,瞄准目前电子取证存在的突出问题,较好地解决了网 络电子取证中存在的证据完整性、真实性、抗抵赖性等问题。 关键词:电子取证,网络入侵,第三方签名,取证模型,抗抵赖性 文献标识码:A 文章编号:1000.2758(2013)0549742-04 中图分类号:TP309.2 传统的电子取证系统在可靠性和抗抵赖性等方 面存在一些不足,本文借鉴了PKI中数字签名技术, 设计了代理第三方签名的协同网络电子取证模型。 该模型的目标是针对网络入侵行为,制定一个严格 安 全 通 随机密码生成器 信 模 块 机密钥发布 时间戳发布记 日 志 模 块 的取证过程模型。该模型根据需求分析的思想,从 问题出发,瞄准网络电子取证中突出存在的两个问 题,较好地解决了网络电子取证中存在的证据完整 性、真实性、不可抵赖性等问题。 图1取证服务结构图 时间的可靠性。 2)取证代理:取证代理可以视为一个双端口透 明网桥,在数据链路层提供数据转发的功能。取证 代理部署在受保护网络的网关处,任何与受保护网 络交互的数据,都需要通过取证代理转发。取证代 理是整个取证系统的核心,主要包括以下几个模块: 数据获取、缓存区管理、证据提取、特征提取、加密签 1 代理第三方签名的网络电子取证 模型 代理第三方签名网络电子取证模型由三个子系 统组成:取证服务器子系统、取证代理子系统和证据 分析回放子系统。 1)取证服务器:取证服务器是由第三方取证机 名、时间戳申请、安全通信以及与用户的安全系统联 动等,具体结构如图2所示。为了证明入侵发生的 准确时间,取证代理在对某一攻击取证结束,或者完 成对某一时段的网络会话摘要后,通过安全通信模 构提供的在线服务器,通过互联网向取证代理系统 提供时间戳、签名密钥发放等服务,并具有对取证代 块向取证服务器申请时间戳。根据时间戳及电子证 据中记录的有关时间信息,可以准确地推算出每一 个数据包经过取证代理的时间。最后,所生成的电 理身份认证,以及取证信息维护等功能。具体结构 如图1所示。 对入侵取证时,需要取证服务器向取证代理提 供具有法定效力的时间戳,在交互过程中通过并加 入公钥认证机制,防止黑客欺骗攻击,有效保证标准 收稿日期:2012—12-02 子证据和会话摘要,将分别存入安全的数据库,等待 取证调查人员提取。 3)证据分析回放系统:证据分析回放系统对所 基金项目:西北工业大学基础研究基金(JC2010021)资助 作者简介:夏杰(1976一),西北工业大学博士研究生,主要从事网络安全及图像处理的研究。 第5期 夏杰等:协同电子取证模型研究与设计 图2取证服务器结构图 取得的电子证据进行分析和回放,完成证据的确认 和损失的评估,直接影响到法治部门的处理结果。 该系统主要由两个部分组成,电子证据认证分析模 块和攻击行为重放模块。回放系统通过构造数据包 的方法,将取证系统取得的网络数据包重新发送到 用户网络,通过观察用户系统的反应,直观再现网络 入侵行为及其造成的危害,给法治部门提供确切 证据。 2协同电子取证模型的设计 2.1取证服务器 取证服务器在Windows平台运行,基于微软 MFC类库,采用Visual Studio.Net开发。作为服务 端,为取证代理提供签名密钥发放和时间戳服务。 取证服务器后台运行数据库。用于保存密钥发放和 时间戳签发的13志。取证服务器运行后,通过安全 通信模块在线监听取证的服务请求,并调用相关模 块为取证代理提供服务。在取证服务器的操作界面 上,经过身份认证的取证工作人员可以对日志进行 维护和查询。 1)密钥发布模块设计:密钥发布模块是取证服 务器中的关键模块,该模块的工作流程如图3所示。 2)时间戳发布模块的设计:时间戳发布模块的 主要工作流程如图4所示。 3)安全通信模块:该模块用于实现取证服务器 和取证代理之间的安全信息交换。虽然在每一次具 体的信息交换时,都考虑到安全因素,并采取了相应 的安全措施来保证通信的可靠性,但为了进一步保 证通信的安全性,也为了使整个取证系统的结构更 加清晰、模块化和便于升级,本文将取证代理和取证 图3 密钥发放模块流程图 图4密钥发放模块流程图 服务器的通信部分单独设计成一个模块。该模块的 最主要特点是面向取证代理和取证服务器提供安全 通信接口,将取证代理和取证服务器间交换的信息 包装成统一的格式,采用SSL协议进行传输。 2.2取证代理 取证代理在该取证系统中设计为一个专用的硬 件设备,由取证机构授权,安放在用户的网络上。在 现阶段,取证代理的硬件架构采用了PC的标准架 构,操作系统采用经过精简定制的Linux操作系统, 内核版本为2.4.6。取证代理的软件部分分别工作 在系统内核层和用户层两个不同的层面,其间用共 享内存的方式进行通信。 1)数据获取模块:采用一种双端口网桥的接入 模式,其模型如图5所示。这种方法的好处是不受 网络连接设备类型的限制,不需要设置混杂模式,避 开了流量较大的局域网数据而专注于外界与局域网 间交换数据的获取,减小了捕获的数据量和对网络 的影响。数据捕获模块在操作系统的内核层工作, 主要转发和保存网络数据包。取证代理数据捕获的 基本思想,是采用“零拷贝”技术,即数据包从网络 设备到用户程序空间传递的过程中,减少数据拷贝 次数,减少系统调用,实现CPU的零参与,彻底消除 CPU在这方面的负载。实现零拷贝用到的最主要 技术是DMA数据传输技术和内存区域映射技术。 图5双端口网桥数据捕获模型图 2)缓存区管理模块:缓存区具有对数据包进行 延时检索和缓冲网络数据平滑网络流量曲线的作 用。缓存区管理模块的功能主要是对缓存区进行管 ・744・ 西北工业大学学报 第31卷 理。缓存区的数据结构将按照循环队列的方式组 织,以原始网络数据包为基本单元,并在其上附加控 制字段,形成一个可以循环使用的缓存区。缓存区 ‘1)网络电子证据验证:电子证据的验证过程实 际上是电子证据的获取过程的一个逆过程,也就是 从最终电子证据恢复原始网络数据包的过程。在这 的数据结构如图6所示。 32—r一 32—r一32+T一 …….. 下一个数据包位置l数据包长度}到达时间l网络层数据包 图6缓存区数据记录格式 3)与用户安全系统联动:与用户安全系统联动 模块负责对攻击特征信息进行提取。该模块接受用 户安全系统的报警信息,从中分析归纳出攻击特征。 4)证据提取模块:证据提取模块的主要功能是 从缓存区内提取数据包作为电子证据。根据联动模 块提供的攻击特征信息,该模块动态完成对过滤器 上队列和节点的增加删除和修改。数据过滤模块的 核心功能是使用上述过滤器对缓存区内数据进行 过滤。 5)会话摘要模块:网络会话摘要是使用一种简 洁形式来记录网络会话,用尽量少的数据保存尽量 多会话中的有用信息,为网络数据记录长期存储提 供了解决思路。一个网络会话的摘要是网络原始数 据的简明表示。通过对会话摘要的查询,可以获得 关于会话的绝大部分有用信息。系统中实现了对网 络连接情况的摘要,我们称之为连接记录。网络的 连接记录可以使用很少的存储空间保存网络中所有 的连接的情况,与过滤模块取得完整的网络数据包 配合起来使用,可以有效提高电子证据的完整性。 6)证据签名模块:证据签名模块对证据提取模 块和会话摘要模块的结果进行签名,保证这些数据 不会被篡改,确认这些数据的法律地位。可将该模 块的工作分两个阶段:第1阶段从服务器申请签名 的密钥;第2阶段使用密钥对数据进行签名。对每 一组新证据,取证代理通过安全通信模块与取证服 务器联系,取证服务器的密钥发布模块向取证代理 发布密钥。所谓一组证据,是针对一次攻击行为的 取证;而对于会话摘要来说,则是在一个固定的时间 间隔内的所有会话摘要。 2.3事后分析系统 通过取证代理与取证服务器的协同工作,已经 完成了网络电子证据的获取工作。下一步工作就是 对取得的网络电子证据进行验证分析并运用到诉讼 活动中。 个过程中具有较多人为参与因素,所以在进行电子 证据验证工作的每一个步骤都需要两个以上的取证 工作人员参与,对每一步作详细记录,以保证电子证 据监督链的有效性和可靠性。完成电子证据验证工 作即可得到原始网络数据包。 2)网络数据分析:考虑到收集的网络数据之间 的关联性,这里采用模式匹配、协议分析、状态检测 技术等分析方法,对收集的数据进行处理,以分析出 入侵来源和入侵的方法,并产生报表。其中协议分 析的功能是辨别数据包的协议类型,以便使用相应 的数据分析程序来检测数据包。可以把所有的协议 构成一棵协议树,一个特定的协议是该树结构中的 一个结点,可以用一棵多叉树来表示,协议树如图7 所示。协议分析有效利用了网络协议的层次性和相 关协议的知识快速地判断攻击特征是否存在。它的 高效使得匹配的计算量大幅度减小。根据安全策略 从数据包中提取有用信息,并保存在内存中,然后将 相关信息组合起来,进行一些逻辑或数学运算,再根 据运算的结论进行分析。 根 L—IP ICMP j卜OSPF :{TCP l! I :I ;1 —HTTP 1: —TELNET ;! I :r—FTP lJ I { —SHTTP 0 : 一POP IL-UDP l 一SNMP TPX ARP L—SNMP 图7协议树 3)入侵回放:主要技术是构造网络数据包。从 所取得的证据中读取原始网络数据包的信息,通过 调用Libnet开发库的相关函数,重构这些网络数据 流。在数据恢复系统的配合下可以很好地重现整个 第5期 夏杰等:协同电子取证模型研究与设计 ・745・ 入侵的过程。 子取证模型 提供了一个较为清晰的网络电子取证 过程框架,描绘了网络网络电子取证过程中应遵循 3 结 论 的基本原则和基本步骤,通过在取证过程中形成完 整的证据监督链,有效保证所取得电子证据的真实 本文设计了一个代理第三方签名的协同网络电 性、完整性、可靠性和抗抵赖性。 参考文献 Han Jiawei,Pei Jian,Yin Yiwen,Mao Runying.Mining Frequent Patterns without Candidate Generation:A Frequent-Pattern Tree Approach.Data Mining and Knowledge Discovery,2004,8(1):53-87 [2] http://www.cssis.eom.cn/lab.htm [3] 赵小敏.基于日志的计算机取证技术的研究及系统设计与实现:[硕士学位论文].杭州:浙江工业大学,2003 Zhao Xiaomin.Research on Log-Based Computer Forensics Technology,System Design and Implement.Master Degree Disserta— tion,Hangzhou:Zhejiang University of Technology,2003(in Chinese) 谭安芬.静态计算机取证的过程模型研究.计算机安全,2007,8(009):27-29 Tan Anfen.Study ofthe Process Model ofthe Static Computer Forensics.Network&Computer Security,2007,8(009):27—29 (in Chinese) 王玲,钱华林.计算机取证技术及其发展趋势.软件学报,2003,14(9):1635-1644 Wang Ling,Qian Hualin.Computer Forensics and Its Trend.Journal of Software,2003,14(9):1635-1644(in Chinese) Effectively Designing Collaborative Network Electronic Forensics Model Xia Jie (Department of Computer Science and Engineeming,Northwestern Polytechnical Univesrity,Xi na 710072,China) Abstract:For network instrusion forensics,attacks electronic.forensics.record of intrusion information(attack time.attack content and real locations of attack)should SO reserve instrusion evidence as to guarantee that the re— suhs are non—repudiable.In view of the problems of network electronic forensics,collaborative electronic forensics model comtaining third party’S signature is designed,and the process of forensics is divided into four phases:at— tack prevention,attack process forensics,post analysis and results submitted.Aiming at prominent problems of e- lectronic forensics,such as evidence integrity,authenticity,non-repudiation,the model relatively better resolves these problems. Key words:data acguisition,data reduction,design,efifciency,feature extraction,forensic engineering,group- ware,intrusion detection,mathematical models,reliability,schematic diagrams;electronics foren- sics,forensics model,network intrusion,non—repudiation,third party S signature