王軍偉

【摘要】網絡的入侵取證系統是對網絡防火墻合理的補充，是對系統管理員安全管理的能力的擴展，可使網絡安全的基礎結構得到完整性的提高。該文即針對計算機基于網絡動態(tài)的網絡入侵取證作進一步的探討。

【關鍵詞】網絡動態(tài)；網絡入侵；網絡入侵取證系統

計算機網絡的入侵檢測，是指對計算機的網絡及其整體系統的時控監(jiān)測，以此探查計算機是否存在違反安全原則的策略事件。目前的網絡入侵檢測系統，主要用于識別計算機系統及相關網絡系統，或是擴大意義的識別信息系統的非法攻擊，包括檢測內部的合法用戶非允許越權從事網絡非法活動和檢測外界的非法系統入侵者的試探行為或惡意攻擊行為。

1. 計算機入侵檢測與取證相關的技術

1.1計算機入侵檢測。

（1）入侵取證的技術是在不對網絡的性能產生影響的前提下，對網絡的攻擊威脅進行防止或者減輕。一般來說，入侵檢測的系統包含有數據的收集、儲存、分析以及攻擊響應的功能。主要是通過對計算機的網絡或者系統中得到的幾個關鍵點進行信息的收集和分析，以此來提早發(fā)現計算機網絡或者系統中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產品，計算機的入侵檢測系統需要更加多的智能，需要對測得數據進行分析，從而得到有用的信息。

（2）計算機的入侵檢測系統主要是對描述計算機的行為特征，并通過行為特征對行為的性質進行準確判定。根據計算機所采取的技術，入侵檢測可以分為特征的檢測和異常的檢測；根據計算機的主機或者網絡，不同的檢測對象，分為基于主機和網絡的入侵檢測系統以及分布式的入侵檢測系統；根據計算機不同的工作方式，可分為離線和在線檢測系統。計算機的入侵檢測就是在數以億記的網絡數據中探查到非法入侵或合法越權行為的痕跡。并對檢測到的入侵過程進行分析，將該入侵過程對應的可能事件與入侵檢測原則規(guī)則比較分析，最終發(fā)現入侵行為。按照入侵檢測不同實現的原來，可將其分為基于特征或者行為的檢測。

1.2計算機入侵取證。

（1）在中國首屆計算機的取證技術峰會上指出，計算機的入侵取證學科是計算機科學、刑事偵查學以及法學的交叉學科，但由于計算機取證學科在我國屬于新起步階段，與發(fā)達國家在技術研究方面的較量還存在很大差距，其中，計算機的電子數據的取證存在困難的局面已經對部分案件的偵破起到阻礙作用。而我國的計算機的電子數據作為可用證據的立法項目也只是剛剛起步，同樣面臨著計算機的電子數據取證相關技術不成熟，相關標準和方法等不足的窘境。

（2）計算機的入侵取證工作是整個法律訴訟過程中重要的環(huán)節(jié)，此過程中涉及的不僅是計算機領域，同時還需滿足法律要求。因而，取證工作必須按照一定的即成標準展開，以此確保獲得電子數據的證據，目前基本需要把握以下幾個原則：實時性的原則、合法性的原則、多備份的原則、全面性的原則、環(huán)境原則以及嚴格的管理過程。

2. 基于網絡動態(tài)的入侵取證系統的設計和實現

信息科技近年來得到迅猛發(fā)展，同時帶來了日益嚴重的計算機犯罪問題，靜態(tài)取證局限著傳統計算機的取證技術，使得其證據的真實性、及時性及有效性等實際要求都得不到滿足。為此，提出了新的取證設想，即動態(tài)取證，來實現網絡動態(tài)狀況下的計算機系統取證。此系統與傳統取證工具不同，其在犯罪行為實際進行前和進行中開展取證工作，根本上避免取證不及時可能造成德證據鏈缺失?；诰W絡動態(tài)的取證系統有效地提高了取證工作效率，增強了數據證據時效性和完整性。

2.1計算機的入侵取證過程。

（1）計算機取證，主要就是對計算機證據的采集，計算機證據也被稱為電子證據。一般來說，電子證據是指電子化的信息數據和資料，用于證明案件的事實，它只是以數字形式在計算機系統中存在，以證明案件相關的事實數據信息，其中包括計算機數據的產生、存儲、傳輸、記錄、打印等所有反映計算機系統犯罪行為的電子證據。

（2）就目前而言，由于計算機法律、技術等原因限制，國內外關于計算機的取證主要還是采用事后取證方式。即現在的取證工作仍將原始數據的收集過程放在犯罪事件發(fā)生后，但計算機的網絡特性是許多重要數據的存儲可能在數據極易丟失的存儲器中；另外，黑客入侵等非法網絡犯罪過程中，入侵者會將類似系統日志的重要文件修改、刪除或使用反取證技術掩蓋其犯罪行徑。同時，2004年FBI/CSI的年度計算機報告也顯示，企業(yè)的內部職員是計算機安全的最大威脅，因職員位置是在入侵檢測及防火墻防護的系統內的，他們不需要很高的權限更改就可以從事犯罪活動。

2.2基于網絡動態(tài)的計算機入侵取證系統設計。

（1）根據上文所提及的計算機入侵的取證缺陷及無法滿足實際需要的現狀，我們設計出新的網絡動態(tài)狀況下的計算機入侵的取證系統。此系統能夠實現將取證的工作提前至犯罪活動發(fā)生之前或者進行中時，還能夠同時兼顧來自于計算機內、外犯罪的活動，獲得盡可能多的相關犯罪信息?；诰W絡動態(tài)的取證系統和傳統的取證系統存在的根本差別在于取證工作的開展時機不同，基于分布式策略的動態(tài)取證系統，可獲得全面、及時的證據，并且可為證據的安全性提供更加有效的保障。

（2）此外，基于網絡動態(tài)的入侵取證系統在設計初始就涉及了兩個方面的取證工作。其一是攻擊計算機本原系統的犯罪行為，其二是以計算機為工具的犯罪行為（或說是計算機系統越權使用的犯罪行為）。系統采集網絡取證和代理取證兩個方面涉及的這兩個犯罪的電子證據，并通過加密傳輸的模塊將采集到的電子證據傳送至安全的服務器上，進行統一妥善保存，按其關鍵性的級別進行分類，以方便后續(xù)的分析查詢活動。并對已獲電子證據以分析模塊進行分析并生成報告?zhèn)溆?。通過管理控制模塊完成對整個系統的統一管理，來確保系統可穩(wěn)定持久的運行。

2.3網絡動態(tài)狀況下的計算機入侵取證系統實現。

（1）基于網絡動態(tài)計算機的入侵取證系統，主要是通過網絡取證機、取證代理、管理控制臺、安全服務器、取證分析機等部分組成。整個系統的結構取證代理，是以被取證機器上運行的一個長期服務的守護程序的方式來實現的。該程序將對被監(jiān)測取證的機器的系統日志文件長期進行不間斷采集，并配套相應得鍵盤操作和他類現場的證據采集。最終通過安全傳輸的方式將已獲電子數據證據傳輸至遠程的安全服務器，管理控制臺會即刻發(fā)送指令知道操作。

（2）網絡取證機使用混雜模式的網絡接口，監(jiān)聽所有通過的網絡數據報。經協議分析，可捕獲、匯總并存儲潛在證據的數據報。并同時添加“蜜罐”系統，發(fā)現攻擊行為便即可轉移進行持續(xù)的證據獲取。安全服務器是構建了一個開放必要服務器的系統進行取證代理并以網絡取證機將獲取的電子證據進行統一保存。并通過加密及數字簽名等技術保證已獲證據的安全性、一致性和有效性。而取證分析機是使用數據挖掘的技術深入分析安全服務器所保存的各關鍵類別的電子證據，以此獲取犯罪活動的相關信息及直接證據，并同時生成報告提交法庭。管理控制臺為安全服務器及取證代理提供認證，以此來管理系統各個部分的運行。

（3）基于網絡動態(tài)的計算機入侵取證系統，不僅涉及本網絡所涵蓋的計算機的目前犯罪行為及傳統計算機的外部網絡的犯罪行為，同時也獲取網絡內部的、將計算機系統作為犯罪工具或越權濫用等犯罪行為的證據。即取證入侵系統從功能上開始可以兼顧內外部兩方面?；诰W絡動態(tài)的計算機入侵取證系統，分為證據獲取、傳輸、存儲、分析、管理等五大模塊。通過各個模塊間相互緊密協作，真正良好實現網絡動態(tài)的計算機入侵取證系統。

3. 結束語

隨著信息科學技術的迅猛發(fā)展，給人們的生活和工作方式都帶來了巨大的變化，也給犯罪活動提供了更廣闊的空間和各種新手段。而基于網絡動態(tài)的計算機入侵取證系統，則通過解決傳統計算機的入侵取證系統瓶頸技術的完善，在犯罪活動發(fā)生前或進行中便展開電子取證工作，有效彌補了計算機網絡犯罪案件中存在的因事后取證導致的證據鏈不足或缺失。全面捕獲證據，安全傳輸至遠程安全服務器并統一妥善保存，且最終分析獲得結論以報告的形式用于法律訴訟中。但是作為一門新興的學科，關于計算機取證的具體標準及相關流程尚未完善，取證工作因涉及學科多且涵蓋技術項目廣，仍需不斷的深入研究。

參考文獻

[1]魏士靖.計算機網絡取證分析系統[D].無錫：江南大學，2006.

[2]李曉秋.基于特征的高性能網絡入侵檢測系統[D].鄭州：中國人民解放軍信息工程大學，2003.

[3]史光坤.基于網絡的動態(tài)計算機取證系統設計與實現[D].長春：吉林大學，2007.

[4]張俊安.網絡入侵檢測系統研究與實現[D].成都：西南交通大學，2003.

[5]戴江山，肖軍模，張增軍.分布式網絡實時取證系統研究與設計[J].電子科技大學學報，2005（3）.

[文章編號]1619-2737（2014）03-12-589