网络取证系统设计关键技术研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数 据 服 务器 加 以妥 善 保 存 。在 计 算 机 犯 罪 案 件 发 生 后 ,取 证 调 查 人 员 可 以通 过 记录 在 数 据 库 中 系
统 事 件数 据 对 犯 罪 现 场 模 拟 重 现 , 进 行 取 证 分 析 ‘
工 作 ,提 交 分 析 结 果 ,保 证 计 算 机 犯 罪 案 件 诉 讼
层 协 议 的 解 析 。 能 够 按 定义 过 滤 规 则 , 实现 对 数 据 包的 底 层过 取 证 管理 子 系统 的控 制 ,包 括 锁定 , 重 启 ,关 闭 ,更 新等操 作 。
了保 证 系统 的 正 常 运 行 ,操 作 系统 本 身 也会 做 出
一
些 例 行 工 作 。应 用 程 序 为 了响 应 用 户 或 者操 作
来配 置和 管理 系统 的取证和 监控 过程提 供一 个分 析
平 台来辅助 分析获 取 的证 据 ,提供分 析报 告 p 】 。 出系 统 的 设 计 目标 可 以 直 接 导 出 系 统 主 要 功 能 包 括 四 个 方 面 , 即主 机 取 证 , 网络 取 证 ,取 证
是 内 部 网络 的合 法 使 用 者 ,不 同 的 内部 职 员 拥 有
1 网络取证子系统 . 2 网 络 取 证 子 系 统 的 主 要 功 能 : 完 整 地 、 真 实 记 录 网 络 中数 据 包 , 对 每 个 数 据 包 按 协 议 栈 进 行 解 析 , 目前 系统 能 够 对 Ehre,I ,AR tent P P, R P C AR ,I MP,I GMP,T P c ,UD P以 及 部 分 应 用
1 取证管理子系统 . 3
取 证 管 理 子 系统 主 要 配 置 系统 信 息 ,管 理 和 控 制 其 他 子 系 统 来 完 成 取 证 任 务 。具 体 包括 如 下 功 能 : )管理取 证 A et 系统 监控 事件 列 表 ,包 1 gn 及
括 加 入 ,删 除 豁控 操 作 ; )管理 系 统 管 理 员 的添 2 加 ,修 改 ,删 除操 作 ; )管 理被 取 证 主 机 的添 加 , 3
1) 2 监控 用户 的 W WW访 问 同志 。
为 多个 对 象 及其 相 互 之 间 的 交互 行 为 。如 下 图 3 .
1 示 ,原始 的计 算机 现场 环境 模 型可 以描述 为用 所 户 、操 作 系 统 、 系统 设 备 和 应 用 程 序 等 多 个 对 象
之 间 的交 互 场 景 。 在计 算机 犯 罪现 场 ,用 户通 过
来 实现 计算机 犯罪 环境的 动态获 取 。
对 过 滤 规 则 列 表 的添 加 ,删 除 ,修 改 管 理 ; ) 6 查 询 管 理 员 登 陆 ,主 机 登 陆 ,系统 目志 记 录 ; )管 7
理 取证 分析 员 的添加 、修 改和删 除操 作 。
22 基 于Gaa 法 的面 向Ag n系统 分析 . i方 et
相 对 独 立 而 在 网络 物 理 环 境 下 处 在 不 同 的 位 置 , 因 此 每 一 个 方 面 可 以 设 计 成 一 个 独 立 的 子 系统 。 各个 子 系统具 体功 能说 明如 下 :
胁 ,在 可 能 发 生 网 络 安全 事 故 或 者 需 要 高 安 全 保
护 的 环 境 进 行监 控 将 是 十 分 必 要 的 。动 态 取 证 是 计算 机 取证 技 术 的一个 发 展 趋势 。在 这 一背 景 下 , 本 文 设 计 了 一个 网络 动 态 取 证 系 统 ,该 系统 的基 本 思 路 是 :确 定 可 能 发 生 网络 安全 事 故 或 者 需 要 高安 全 保 护 的环 境 ( 机或 网络 ) 主 ;为 计 算机 现 场 环 境 建 模 ,即 为 现 场 活 动 的主 体 ( 户 、 操 作 系 用 统 、设 备 ) 置监 控 A e t 设 g n ,进 行 实 时监 控 ,最 大 限 度 获 取 真 实地 、完 整 地 数 据 ,并 建 立 系统 事 件
1 系统的设计 目标 与功 能分析
系 统 的设 计 目标 是 实 现 一 个 网 络 取 证 系统 ,
该 系统 能 够 自动 、动 态 收 集 网 络 和 主 机 的 证 据 ,
并 对能 够 证据 进 行保 护 、存 储 、分 析 。具 体 来讲 ,
系 统 的 目标 包 括 :动 态 监 控 主 机 活 动 ,获 取 事 件 数据并 加 以保护 ,存储 到远 程服 务器 ;动 态监控 网 络数 据 ,保 存 网络数据 包数 据 ;提 供一 个管理 平 台
系统 的控 制 、 请 求 ,也 会 执 行 一 些 动 作 。这 些 动
作 的 发 生 ,采 用事 件 来 表 示 。 一个 对 象 的活 动 日 志 记 录 ,就 是 由事 件 发生 的 时 间 、地 点 和 内容 来
表 示 。通 过 记录 这 些 对 象 的事 件 来达 到 实现 对 计 算机 现场 环境 进行 监控 取证 的 目的。 Ag n 技 术的一 个 重要 应 用场 合就 是 用于 在分 et 布式 网络 环境下 的信 息收 集和信 息监控 。本文 的 系 统 正 是 实现 在 分布 式 网络 环 境 下 的 信 息监 控 与 收 集 ,并 且 用 Ag n 来 分析 和设 计 系统 ,能 够使 问题 et 得到 简化 ,因为 这种方 式 的建模 比面 向对 象 的分 析 和设计 更直 接 的反映现 实世 界的实 体及其 它们 的关 系 ,它不 但 抽 象 出实 体 的特 性 、动 作 ,还 有感 觉 、
从 对 系 统 环 境 的 分 析 , 采 用 A e t 构 建 系 gn 来 统 能 够 更 真 实 的反 映 系 统 环 境 , 系统 的 构 架也 更 清 晰 。G i K.Kin y等 人于 2 0 提 出 的基于 aa ne 0 0年 Agn 的 系统分 析 与设 计方 法 。该方 法提 供 了一条 et 系统 化 的 道 路 让 用 户 能 够 从 需 求 开始 分 析 ,最 终 得 出足够 具 体 的设 计 方 案 。 因此 本 文选 择 G i 方 aa 法 来进 行 系统 分 析 ,其 步骤 如下 :
过 程 顺利进 行 。
收稿 日期:2 1- 2 0 02 0- 6 作者简介:朱亚东 (9 6 17 一),男,江苏阜宁人 ,讲师 ,本科 ,研究方向为计算机网络。
[ 2 ] 第3 卷 16 4
第3 期
21— ( ) 02 3下
I 匐 似 违
除操 作 ,也 包括文 件及 目录 属性 的修 改 ; ) 5 监控 文 件 系统 的一般 使用 情况 ,包 括文件 创 建 ,修 改 ,删 除 ,但 不能确 定 是哪个 进程 操作 该文 件 ; ) 6 监控 系 统 的端 口使 用 情 况 ,包括 T P和 u C DP端 口 ; )监 7 控 系统进 程 的创建 与销 毁 ; ) 8 监控 用 户的键 盘使 用 记 录 : )监控 用 户 的 登 陆和 退 出时 间 ; O 监 控 用 9 1) 户 的打 开和关 闭的窗 口;1)监控 用户 的命 令记 录 ; 1
不 同 的 权 限 ,很 难 管 理 ,防火 墙 对 内部 职 员 没 有
作 用 ,入 侵 检 测 也 经 常 发现 不 了 问题 。有 些 计 算 机犯 罪活 动并 不需要 很高 的权 限 I2 t] ,。
鉴 于事 后取 证 的缺 陷 以及 内部 职 员 的 安 全 威
中 心 管理 ,取 证 分 析 。鉴 于 这 四 个 方面 在 功 能 上
操 作 系统 来 使 用 计 算 机 资 源 ,比 如操 作 设 备 ,运
行 特 定 的应 用程 序 ,与外界 进 行通 讯 和资 源 共享 。
用 户 在 使 用 操 作 系统 时 ,会 以各 种 方 式 计 算机 发
出请 求 处 理 的 动 作 。操 作 系统 在 运 行 的 过 程 ,会 做 出 响应 用 户 、设 备 、应 用 请 求 的动 作 ,同 时为
修 改 ,删 除操作 ; )实施 对被取 证 主机 的更 新 ,关 4
闭 ,重 启 ,锁 定 操 作 , 包括 对 被 取 证 主 机 上 取 证 A e t 信 息 更 新 ; )与 网络 取 证 A e t 配 合 , gn 的 5 gn 的
心智 、承诺 等 。这 样从现 实 出发 ,更加容 易将 系统 分解 成 以 A et gn 为单 位 的灵活 、强 交互 的系统 。通 过 为 计算 机现 场 环境 中的每 类对 象设 置取 证 A et gn
分析 , 最终给出了一个 网络取证系统的设计方案 , 网络安全发展 具有 一定能帮助作用。 对于 关键词 : 算机 取证 ;电子证据 ;网络监控 ;系统设计 中图分类号 :T 9 P3 3 文献标识码 :B 文章编号 :1 0—0 ( 0 2 3 下) 1 6 0 9 1 4 21 ) ( 一0 2 — 3 0 3
控制 ,包括 锁定 ,重启 ,关 闭 ,更新 等操 作 。 目前 系统 已经确 定 的事 件 监控类 别有 如下 十二
种 :1 控 C U和 Me r 使 用 状 态 ; )监 )监 P moy的 2 控 操 作 系 统 R志 文 件 ,包括 系统 日志 、安 全 审 计 日志 、应 用程序 日志 ; ) 控 系统的 注册表 使用 情 3监 况 ,包 括注 册 表 的创 建 、打 开 、修 改 ,删 除 操作 , 可 以根据 需要 进行过 滤 ; ) 4 监控 文件 系统 的详 细使 用情 况 ,包括文 件及 目录 的创建 、打 开 、修 改 、删
D i1 .9 9 ji n 10 -0 3 .0 23 下 ) 4 o : 3 6 / . s .0 9 1 4 2 1 .( .O O s
பைடு நூலகம்
0 引言
电 子 证据 是 计 算机 取 证 技 术 的核 心 ,计 算 机
取证 的过程 主 要就 是 围绕 电子证 据 的保 护 、获取 、 传输 和 存 储 工作 开 展 的。 与 传 统 证 据一 样 , 电子 证 据 必 须 是 :可 信 的 、准 确 的 、完 整 的、 符 合 法 律 法 规 的 , 即可 为 法 庭 所 接 受 的 。 另外 ,根 据 计 算机 犯 罪年 度 报 告 显 示 ,病 毒 和 内部 职 员 成 为 计 算机 安 全 的最 大 威 胁 。并 且 内部 职 员 的威 胁 正 在 持 续 扩 大 ,其 危 害 程 度 也 在 不 断加 强 。 内部 职 员
I l 化 I 3
网络取证 系统设计关键技术研究
St dy on d i fne w or or si s s st u es gn o t k f en c y em
朱亚 东
ZHU 、a d n r— o g
摘
( 江苏联合职 业技术 学院 南京工程分院 ,南京 2 0 3 ) 10 5 要 : 计算机取证的主要 目的就是要收集 电子证据 ,重构犯罪现场 , 诉讼案件提供有效的证据。本 为 文通过研究计算机取证的相 关理论及技术 ,在 电子证据的获取 ,保存 、分析方 面进行 了探讨和
1 取证分析子系统 . 4 取 证 分 析 子 系统 在 获 取 证 据 后 ,对 证 掘 进 行 分析 ,最终 提交 分析 结果 。它的主 要 功能 有 :
日志 数 据 库 ,把 现 场 获取 的数 据 发 送 到 远 程 安 全
11 主机取 证 子系统 。
主机 取证 子系统 主要功 能 :实时 监控被 取证 主 机 的行为 ,记录 用户 、 系统 ,应 用程 序的重 要状 态 和行 为 。系统 启动时 ,具有 向取证 管理 子 系统登 记
注册 的职 责 。在 运行 过程 中接 受取证 管理予 系统 的