下一代網絡取證系統

陳 華, 許 能

(1.福建交通職業技術學院信息技術與工程系,福建福州 350007;2.中科院高能物理所計算中心,北京 100039)

0 引 言

隨著網絡與信息化的普遍應用與快速發展以及高帶寬在各部門的應用,網絡安全問題變得日益突出。由于互聯網的發展,整個世界正在迅速地融為一體,而整個國家猶如一部巨大的網絡機器。網絡已成為社會和經濟發展強大動力,其地位越來越重要。網絡入侵現象越來越嚴重,黑客攻擊水平不斷提高,網絡犯罪呈現多樣化,另外,網絡犯罪行為也可能是正常的網絡活動,計算機犯罪取證技術越來越成為世界各國普遍關注、并亟待解決的學術前沿課題之一。網絡取證用法律的武器來對抗計算機犯罪,以一種主動防御的方法保護網絡的安全。現有的網絡取證系統在對高速報文的捕獲、大量數據分析方面和海量數據存儲已顯現不足,因此,急需新的高速網絡取證系統來保護高速網絡的安全,形成對網絡攻擊者的強有力的威懾。文中將對高帶寬網絡實時取證的需求提出下一代網絡取證系統。

1 網絡取證系統近期研究工作

1.1 網絡證據

網絡證據就是正在網絡上傳輸的電子證據,其實質是網絡數據流。隨著網絡應用的日益普及,對網絡證據進行正確地提取和分析對于各種案件的偵破具有重要意義。網絡證據的獲取屬于事中取證,或稱為實時取證,即在犯罪事件進行或證據數據的傳輸途中進行截獲。網絡數據流的存在形式依賴于網絡傳輸協議,采用不同的傳輸協議,網絡數據流的格式不同。但無論采用什么樣的傳輸協議,根據其表現形式的不同,都可以把網絡數據流分為文本、視頻、音頻、圖片等。

網絡證據[1]具有以下特點:

1)動態性。網絡證據是網絡數據流,即正在網絡上傳輸著的數據,因而具有動態性。

2)時效性。網絡數據流的數據包傳輸過程是有時間限制的,從源地址傳送到目的地址后就不再屬于網絡數據流了。所以網絡數據流具有時效性。

3)海量性。隨著網絡帶寬的增加和網絡應用的普及,網絡上傳輸的網絡數據流也越來越多,可能的網絡證據也越來越多,所以具有海量性。

4)異構性。網絡結構及相應協議的差異導致了網絡數據流的異構性。

5)多態性。網絡數據流有文本、圖像、視頻、動畫和音頻等多種形式,其表現形式具有多態性。

1.2 近期研究工作

近年來國內外在網絡取證方面做了許多工作,Case.A[2]等提出了電子證據的自動發現和關聯分析框架FACE;Cohen.M[3]提出了網絡取證框架PyFlag,并分析如何H TML,DNS等類型數據取證;Yongping.T[4]等提出了一個基于代理的分布證據模型;國內如中科院軟件所的孫波[5]等人則從取證機制本身的安全性出發,研究了取證收集系統的保護機制。

網絡取證系統采用的證據是作為呈堂證供的,必須是原始的、不可更改的,然而網絡數據是易逝的,轉儲過程中可能被修改,同時網絡數據是基于會話的,任何網絡數據包的丟失都可能導致會話無法還原,有可能造成證據的丟失。因此,面對高速網絡給網絡取證提出的挑戰,文中將應高帶寬網絡實時取證的需求提出下一代可擴展網絡取證系統。

2 網絡取證系統的挑戰

目前大多數網絡取證系統是基于100 M或1 Gbps的網絡環境,它們的能力和存儲容量只能支持100 M或1 Gbps的網絡。2006年普遍采用10 Gbps網絡技術,越來越多的公司和單位將升級網絡骨干至10 Gbps。回顧近10年計算機網絡的發展,不得不承認Moore定律在互聯網已經被打破——處理器的速度每18個月翻一番,但互聯網骨干連接的帶寬每12個月就要翻一番。Eric Weigle等人研究表明,盡管處理器的處理速度仍然以摩爾定律增長,但相對于通信鏈路速度的增長仍顯得微不足道。

隨著鏈路帶寬的增加(當前互聯網的主干鏈路帶寬已經達到10 G以上),網絡取證面臨著高帶寬、大規模、大數據分析的嚴峻挑戰。原有的取證技術和方法已經不能適應這種高帶寬環境的要求,尤其在數據包的捕獲過程中,主要表現在以下幾個方面。

2.1 PCI總線速度的限制

數據包的捕獲與存儲過程都經過PCI總線傳輸兩次,首先是從采集卡上復制到主存中,最后將主存中的信息存儲到存儲陣列。對當前PCI總線技術指標下,還難以滿足高速環境的要求。

2.2 存儲設備容量的限制

在對高速鏈路采用基于數據包的捕獲時,每天的數據量將以TBbytes計,大量的數據存儲、傳輸、有效管理與分析都是所必須面對的問題。

2.3 內存和外存設備的訪問速度與鏈路速度的矛盾

近年來,內存訪問速度增長緩慢,大大落后于通信鏈路速度的增長。同時,外存儲設備如磁盤陣列的速度也不能跟上鏈路速度的增加。

3 下一代可擴展網絡取證系統

考慮網絡取證系統采用分布式結構,實現時給整個網絡增加負荷,降低整個網絡性能,同時在分析方面存在著不足。文中提出了一個新的Gbps以上高速網絡的網絡取證模型[6],該模型的目標是針對網絡入侵行為制定一個嚴格的取證模型,能夠較好地解決網絡入侵取證中存在的證據完整性、真實性的問題。盡管可能不能完全取代其它的模型,但它能夠提供一個有利于發展的更寬松的環境。

新系統首先有以下優點:

1)與普通硬件和軟件的高兼容性;

2)易于軟件和硬件更新,又不影響運行的系統;

3)易于管理,更新和維護無須專家完成。

本系統更為詳細的定義是:在Gbps或更高速的網絡環境下能夠不斷地提供可信證據的可擴展、高吞吐量的網絡取證系統。整個系統的設計都基于常用的硬件和軟件環境。

3.1 基本系統結構

依照每個機器的主要功能,本系統劃分成3個池:數據采集池、數據分析池和存儲池。根據不同的功能和需求,每個池都設計有自己相應的結構和負載均衡系統。系統模型如圖1所示。

圖1 下一代可擴展網絡取證系統

3.2 采集池

數據采集池的主要功能是從網絡上抓取數據。這個池的機器稱為數據采集器(DC),每個DC動態地分派去抓取網絡流。DC抓取網絡流并存儲成小文件,這些小文件直接發送到數據分析池中。

取證系統位于網絡主干上,以TAP方式捕獲網絡數據,對整個網絡無影響。高速網絡流量超過單機的處理能力,采用NP進行分流,根據收集器的處理能力將當前網絡數據流均衡到收集器,實現本系統的第一級負載均衡技術。這樣,普通的CPU和內存就能處理數據流。

3.3 分析池

分析池對收集池發送過來的數據,利用入侵檢測技術判斷是否是入侵犯罪行為。若是,則記錄其入侵行為、危害程度,同時產生新文件來存放這些判斷結果,并用MD5信息摘要、加密壓縮提交到證據存儲池;如果不能確定,則加密壓縮提交給證據存儲池以作進一步分析。即DA分析數據、壓縮數據、發送結果到存儲模塊中。

為提高網絡數據分析速度,系統使用Private Condor系統[7-8]來分析數據文件。收集器每產生一個數據文件,都將定義一個Condor作業,并將數據文件傳輸過去,這些都由Condor系統主動完成。入侵分析程序無需自己查找輸入文件,大大提高了處理速度。

此外,由Condor處理的作業都是無人運行,我們將其設置為不允許寫到本地硬盤,保證證據的安全性。

Condor系統能夠自動地將分析作業調度到空閑的分析器上,實現了取證系統的第二級負載均衡。

3.4 存儲池

存儲池是由多個高交換RAID系統組成。RAID系統天生就是個可擴展的存儲系統。然而,對一個存儲池來說只是可擴展是不夠的。從以下幾個方面來保證存儲池的特點滿足網絡取證證據存儲的要求:

1)I/O帶寬。使用高吞吐的RAID接口卡,使得數據可以快速地寫到磁盤,提高網絡取證處理速度。存儲池由若干RAID系統組成,這樣可以為寫和讀操作提供充足的帶寬,保證本系統在高速網絡環境下快速存儲。

2)存儲文件的格式。分析池對網絡數據分析后,數據分析器將生成一個分析結果文件。原始文件仍需要保留,這樣可以做更深層的再處理或做為證據呈交給法庭。為節省磁盤空間,數據分析器會壓縮原始文件。壓縮文件的同時進行加密,避免泄密。存儲文件使用MD5檢驗來保證數據的完整性。

3)存儲空間的管理。存儲池的容量是有限的,不可能沒有刪除舊文件而不斷地往池中寫入。這個存儲時間很大程度上取決于存儲池的大小和所選的數據。我們設計不同類型的數據,它們的存儲時間長短不一。每個文件服務器上都運行著deamon自動管理存儲空間,自動釋放空間。

4 結 語

提出的下一代可擴展網絡取證系統的優點是可擴展性。系統從技術上保證網絡取證過程的高度合法性,同時又滿足5個特點:

1)與普通硬件和軟件的高度兼容性;

2)易于更新且不影響系統的正常運行;

3)易于管理;

4)高速數據處理能力;

5)高度安全性。

舊機器可以繼續使用或被更新,系統的升級不影響整個系統的運行。本系統模型滿足Gbps網絡取證的需求。

[1] 王峰.網絡證據基本問題研究[D]:[碩士學位論文].南京:南京師范大學,2004.

[2] Case A,Cristina A,M arziale L,et al.FACE:Automated digital evidence discovery and correlation[J].Digital Investigation,2008,5:65-75.

[3] Cohen M.Pyflag-An advanced network forensic framework[J].Digital Investigation,2008,5:112-120.

[4] Yongping T,Thomas E Daniels.A simple framework for distributed forensics[A].Second International Workshop on Security in Distributed Computing Systems(SDCS)[C].Columbus:IEEE Press,2005:163-169.

[5] 孫波,孫玉芳,張相鋒,等.電子數據證據收集系統保護機制的研究與實現[J].電子學報,2004:32(8):1374-1380.

[6] 陳華.高速網絡取證系統的研究與設計[D]:[碩士學位論文].福州:福州大學,2008.

[7] 都志輝.網格計算[M].北京:清華大學出版社,2002.

[8] 楊澤明,許榕生,曹愛娟.網絡取證與分析系統的設計與實現[J].計算機工程,2004(13):72-74.