芻議計(jì)算機(jī)入侵取證中的入侵事件重構(gòu)技術(shù)

邱成相 蘇有邦

【關(guān)鍵詞】計(jì)算機(jī) 入侵取證 重構(gòu)技術(shù)

當(dāng)今時期，網(wǎng)絡(luò)技術(shù)越發(fā)普及，已經(jīng)成為人們生活工作中不可缺少的組成部分。由于網(wǎng)絡(luò)具有開放性特征，導(dǎo)致用戶信息的安全性受到一定的威脅。特別是最近幾年，計(jì)算機(jī)犯罪情況逐年提升，嚴(yán)重影響計(jì)算機(jī)領(lǐng)域的進(jìn)一步發(fā)展。入侵取證技術(shù)的出現(xiàn)和發(fā)展，能夠有力打擊計(jì)算機(jī)犯罪，完善計(jì)算機(jī)網(wǎng)絡(luò)安全體系。

1 入侵事件重構(gòu)的證據(jù)來源

1.1 系統(tǒng)應(yīng)用層對象

1.1.1 日志

日志主要是指，計(jì)算機(jī)系統(tǒng)中指定對象的程序操作、或者操作結(jié)果根據(jù)時間而有序排列的文件集合。所有的日志文件，都具有一定的日志記錄，每天的日志記錄都會形成全新的系統(tǒng)事件。基于日志取證的一種模型，如某次事件被日志提取出來，被標(biāo)定成樹型結(jié)構(gòu)，用代數(shù)表達(dá)式對事件進(jìn)行表示。可以利用基于時間的、線性、或者動態(tài)的公式對模型的屬性進(jìn)行表示，以此對攻擊場景與重構(gòu)時間序列相互間的關(guān)聯(lián)進(jìn)行模擬。

1.1.2 注冊表

通常情況下，在計(jì)算機(jī)系統(tǒng)中的注冊表，蘊(yùn)含了豐富的數(shù)據(jù)信息，主要有用戶具體配置信息、用戶認(rèn)證信息、系統(tǒng)配置信息、以及安裝應(yīng)用信息等等。在修改注冊表鍵值時，都會產(chǎn)生相應(yīng)的時間戳。注冊表的結(jié)構(gòu)，類似于文件系統(tǒng)，存儲類型信息，或者為處理數(shù)據(jù)的名字；鍵值與目錄相似，是子健和值的父結(jié)點(diǎn)。如果注冊表中鍵、鍵值、或者其他結(jié)構(gòu)被刪除，可以根據(jù)鍵值與值相互間的關(guān)系進(jìn)行恢復(fù)。

1.1.3 文件系統(tǒng)

作為操作系統(tǒng)中關(guān)鍵文件的集合，文件系統(tǒng)主要是對文件內(nèi)容、文件類型、被訪問形式、以及文件執(zhí)行操作過程等對象的研究。

1.2 操作系統(tǒng)層對象

1.2.1 工具

最具有代表性的工具主要包括Forensix和BackTracker等。而BackTracker是一種圖形化界面系統(tǒng)，一般情況下是由于用戶執(zhí)行某件事件序列而產(chǎn)生的；其可以調(diào)用系統(tǒng)對象和系統(tǒng)層記錄文件。但是，BackTracker不具備監(jiān)控內(nèi)存映射對象的功能。如果入侵者進(jìn)入系統(tǒng)，并且獲取管理權(quán)限，BackTracker功能將會被終止。

1.2.2 內(nèi)存取證獲取

計(jì)算機(jī)軟件和硬件對于內(nèi)存取證獲取具有重要影響。利用硬件可以對內(nèi)存獲取證據(jù)直接進(jìn)行訪問；而利用軟件可以根據(jù)所系統(tǒng)的函數(shù)實(shí)現(xiàn)證據(jù)的獲取。一般情況下，很多研究人員認(rèn)為由于硬件是直接操作獲取，所以更加具有可靠性和安全性，但是事實(shí)并非如此。利用硬件和軟件相結(jié)構(gòu)的機(jī)制，能夠保證證據(jù)獲取的安全性。

1.2.3 內(nèi)存證據(jù)分析

內(nèi)存證據(jù)分析主要由三個部分組成，分別是進(jìn)程分析、文件系統(tǒng)分析、以及系統(tǒng)狀態(tài)分析。進(jìn)程分析主要是對系統(tǒng)中已經(jīng)安裝的程序的列表進(jìn)行列舉。系統(tǒng)文件分析指的是利用對進(jìn)程環(huán)境的分析，對文件的列表、以及由程序引用的dll列表進(jìn)行檢查。

2 入侵事件重構(gòu)的主要方法

2.1 基于時間戳的日志分析

日志能夠?qū)τ?jì)算機(jī)系統(tǒng)行為記錄進(jìn)行詳細(xì)準(zhǔn)確的描述，如應(yīng)用程序、操作系統(tǒng)、以及用戶行為等等。利用日志，可以有效實(shí)現(xiàn)異常事件的分析、用戶行為的檢測、以及系統(tǒng)資源流程的監(jiān)控等等行為。日志文件一般有信息和子系統(tǒng)特有的信息、以及時間戳所構(gòu)成。時間戳最為關(guān)鍵。通常情況下，日志分析技術(shù)，都是由時間戳對事件序列進(jìn)行重構(gòu)，但是計(jì)算機(jī)時鐘對時間戳有一定影響，所有時鐘如果受到人為因素、或者環(huán)境因素所影響，將會引發(fā)時間戳的功能。

2.2 基于語義的事件重構(gòu)

語義分析主要是根據(jù)結(jié)構(gòu)中的文本，審查上下文之間的性質(zhì)關(guān)聯(lián)，以此確定類型是否相符，屬于一種邏輯階段。基于語義的事件重構(gòu)，針對系統(tǒng)中已經(jīng)不可逆轉(zhuǎn)的數(shù)據(jù)對象關(guān)系開展分析，以此對語義之間的關(guān)系性質(zhì)進(jìn)行檢測。

2.3 基于操作系統(tǒng)層對象依賴追蹤技術(shù)的事件重構(gòu)

此部分的重構(gòu)系統(tǒng)，主要是監(jiān)視系統(tǒng)調(diào)用層的對象和事件，進(jìn)而獲取證據(jù)。如這種在一定事件內(nèi)獲取系統(tǒng)狀態(tài)實(shí)現(xiàn)事件重構(gòu)的一種方法。操作系統(tǒng)通常會在默認(rèn)的狀態(tài)下，對注冊表hives文件進(jìn)行備份，Microsoft Windows Restore Point屬于此類文件，在系統(tǒng)信息目錄下保存。通過對數(shù)據(jù)進(jìn)行對比，可以獲取行管信息的系統(tǒng)事件時間表；如果比較系統(tǒng)快照間，能夠合理降低事件間的事件跨度。時間間隔越短，那么可以確定的狀態(tài)變化越多。

2.4 基于有限狀態(tài)機(jī)模型的事件重構(gòu)

通過將受到懷疑的電腦構(gòu)想成有限狀態(tài)機(jī)（FSM），當(dāng)發(fā)生入侵事件后，入侵行為過后計(jì)算機(jī)將處于一種特殊狀態(tài)，而這一狀態(tài)下的事件或者場景將可通過逆推回溯方式得到，通過這種方式實(shí)現(xiàn)事件的重構(gòu)。但FSM中因?yàn)榛厮葸^去狀態(tài)數(shù)據(jù)量龐大，狀態(tài)轉(zhuǎn)換相對困難。而通過確定性有窮狀態(tài)自動機(jī)（DFA）則可實(shí)現(xiàn)系統(tǒng)的狀態(tài)轉(zhuǎn)換，采取簡單的表達(dá)方式，將回溯過去狀態(tài)量大的問題加以解決。DFA中，狀態(tài)轉(zhuǎn)換可簡化為三者關(guān)系，如圖1所示。

3 入侵事件重構(gòu)的分析

3.1 數(shù)據(jù)來源比較

系統(tǒng)應(yīng)用層事件的重構(gòu)，有利于證據(jù)的獲取，同時也蘊(yùn)含了一些無用數(shù)據(jù)信息。此外，普通的系統(tǒng)日志只是負(fù)責(zé)記錄與執(zhí)行有關(guān)聯(lián)的對象和事件，很容易失去記錄功能；同時也無法保證證據(jù)的可信性。就現(xiàn)階段來講，網(wǎng)絡(luò)日志對于加密通訊意義不大，提供的信息也屬于系統(tǒng)應(yīng)用層方面的。而基于操作系統(tǒng)層對象的重構(gòu)，利用內(nèi)存實(shí)現(xiàn)系統(tǒng)實(shí)時信息、如文件、事件、進(jìn)程關(guān)聯(lián)、以及系統(tǒng)內(nèi)存和讀寫操作等等，進(jìn)而實(shí)現(xiàn)問題的解決，最為重要是是其不易被入侵者刪除或者篡改。

3.2 入侵事件重構(gòu)方法比較

由于系統(tǒng)日志、網(wǎng)絡(luò)日志、以及應(yīng)用程序日志的存在，導(dǎo)致時間戳日志分析技術(shù)普遍存在。但是存在日志格式繁多、數(shù)據(jù)量多大等問題，同時容易出現(xiàn)重構(gòu)事件序列不準(zhǔn)確情況的發(fā)生。基于操作系統(tǒng)層對象的依賴追蹤技術(shù)，使系統(tǒng)事件重構(gòu)依賴于操作系統(tǒng)內(nèi)部的數(shù)據(jù)結(jié)構(gòu)，極大提高重構(gòu)的真實(shí)性。不僅保證生成邏輯關(guān)系庫的真實(shí)性和可靠性，同時提升了工作效率。

4 總結(jié)

總而言之，計(jì)算機(jī)入侵取證中的入侵事件重構(gòu)技術(shù)，對于保護(hù)用戶網(wǎng)絡(luò)信息安全，修補(bǔ)安全漏洞，追蹤入侵具有至關(guān)重要的影響。在計(jì)算機(jī)日益普及的當(dāng)今社會，計(jì)算機(jī)犯罪情況越來越猖狂，計(jì)算機(jī)入侵取證技術(shù)也就越發(fā)重要。因此，行業(yè)研究人員務(wù)必積極研究，不斷創(chuàng)新技術(shù)，與時俱進(jìn)，以此解決不法分子的犯罪行為。

參考文獻(xiàn)

[1]季雨辰，伏曉，石進(jìn)等.計(jì)算機(jī)入侵取證中的入侵事件重構(gòu)技術(shù)研究[J].計(jì)算機(jī)工程，2014（1）：315-320.

[2]錢勤，張瑊，張坤等.用于入侵檢測及取證的冗余數(shù)據(jù)刪減技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2014，41（z2）：252-258.

[3]田志宏，余翔湛，張宏莉等.基于證據(jù)推理網(wǎng)絡(luò)的實(shí)時網(wǎng)絡(luò)入侵取證方法[J].計(jì)算機(jī)學(xué)報(bào)，2014（5）：1184-1194.