下一代網(wǎng)絡(luò)取證系統(tǒng)

陳 華, 許 能

(1.福建交通職業(yè)技術(shù)學(xué)院信息技術(shù)與工程系,福建福州 350007;2.中科院高能物理所計(jì)算中心,北京 100039)

0 引 言

隨著網(wǎng)絡(luò)與信息化的普遍應(yīng)用與快速發(fā)展以及高帶寬在各部門(mén)的應(yīng)用,網(wǎng)絡(luò)安全問(wèn)題變得日益突出。由于互聯(lián)網(wǎng)的發(fā)展,整個(gè)世界正在迅速地融為一體,而整個(gè)國(guó)家猶如一部巨大的網(wǎng)絡(luò)機(jī)器。網(wǎng)絡(luò)已成為社會(huì)和經(jīng)濟(jì)發(fā)展強(qiáng)大動(dòng)力,其地位越來(lái)越重要。網(wǎng)絡(luò)入侵現(xiàn)象越來(lái)越嚴(yán)重,黑客攻擊水平不斷提高,網(wǎng)絡(luò)犯罪呈現(xiàn)多樣化,另外,網(wǎng)絡(luò)犯罪行為也可能是正常的網(wǎng)絡(luò)活動(dòng),計(jì)算機(jī)犯罪取證技術(shù)越來(lái)越成為世界各國(guó)普遍關(guān)注、并亟待解決的學(xué)術(shù)前沿課題之一。網(wǎng)絡(luò)取證用法律的武器來(lái)對(duì)抗計(jì)算機(jī)犯罪,以一種主動(dòng)防御的方法保護(hù)網(wǎng)絡(luò)的安全?，F(xiàn)有的網(wǎng)絡(luò)取證系統(tǒng)在對(duì)高速報(bào)文的捕獲、大量數(shù)據(jù)分析方面和海量數(shù)據(jù)存儲(chǔ)已顯現(xiàn)不足,因此,急需新的高速網(wǎng)絡(luò)取證系統(tǒng)來(lái)保護(hù)高速網(wǎng)絡(luò)的安全,形成對(duì)網(wǎng)絡(luò)攻擊者的強(qiáng)有力的威懾。文中將對(duì)高帶寬網(wǎng)絡(luò)實(shí)時(shí)取證的需求提出下一代網(wǎng)絡(luò)取證系統(tǒng)。

1 網(wǎng)絡(luò)取證系統(tǒng)近期研究工作

1.1 網(wǎng)絡(luò)證據(jù)

網(wǎng)絡(luò)證據(jù)就是正在網(wǎng)絡(luò)上傳輸?shù)碾娮幼C據(jù),其實(shí)質(zhì)是網(wǎng)絡(luò)數(shù)據(jù)流。隨著網(wǎng)絡(luò)應(yīng)用的日益普及,對(duì)網(wǎng)絡(luò)證據(jù)進(jìn)行正確地提取和分析對(duì)于各種案件的偵破具有重要意義。網(wǎng)絡(luò)證據(jù)的獲取屬于事中取證,或稱為實(shí)時(shí)取證,即在犯罪事件進(jìn)行或證據(jù)數(shù)據(jù)的傳輸途中進(jìn)行截獲。網(wǎng)絡(luò)數(shù)據(jù)流的存在形式依賴于網(wǎng)絡(luò)傳輸協(xié)議,采用不同的傳輸協(xié)議,網(wǎng)絡(luò)數(shù)據(jù)流的格式不同。但無(wú)論采用什么樣的傳輸協(xié)議,根據(jù)其表現(xiàn)形式的不同,都可以把網(wǎng)絡(luò)數(shù)據(jù)流分為文本、視頻、音頻、圖片等。

網(wǎng)絡(luò)證據(jù)[1]具有以下特點(diǎn):

1)動(dòng)態(tài)性。網(wǎng)絡(luò)證據(jù)是網(wǎng)絡(luò)數(shù)據(jù)流,即正在網(wǎng)絡(luò)上傳輸著的數(shù)據(jù),因而具有動(dòng)態(tài)性。

2)時(shí)效性。網(wǎng)絡(luò)數(shù)據(jù)流的數(shù)據(jù)包傳輸過(guò)程是有時(shí)間限制的,從源地址傳送到目的地址后就不再屬于網(wǎng)絡(luò)數(shù)據(jù)流了。所以網(wǎng)絡(luò)數(shù)據(jù)流具有時(shí)效性。

3)海量性。隨著網(wǎng)絡(luò)帶寬的增加和網(wǎng)絡(luò)應(yīng)用的普及,網(wǎng)絡(luò)上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)流也越來(lái)越多,可能的網(wǎng)絡(luò)證據(jù)也越來(lái)越多,所以具有海量性。

4)異構(gòu)性。網(wǎng)絡(luò)結(jié)構(gòu)及相應(yīng)協(xié)議的差異導(dǎo)致了網(wǎng)絡(luò)數(shù)據(jù)流的異構(gòu)性。

5)多態(tài)性。網(wǎng)絡(luò)數(shù)據(jù)流有文本、圖像、視頻、動(dòng)畫(huà)和音頻等多種形式,其表現(xiàn)形式具有多態(tài)性。

1.2 近期研究工作

近年來(lái)國(guó)內(nèi)外在網(wǎng)絡(luò)取證方面做了許多工作,Case.A[2]等提出了電子證據(jù)的自動(dòng)發(fā)現(xiàn)和關(guān)聯(lián)分析框架FACE;Cohen.M[3]提出了網(wǎng)絡(luò)取證框架PyFlag,并分析如何H TML,DNS等類型數(shù)據(jù)取證;Yongping.T[4]等提出了一個(gè)基于代理的分布證據(jù)模型;國(guó)內(nèi)如中科院軟件所的孫波[5]等人則從取證機(jī)制本身的安全性出發(fā),研究了取證收集系統(tǒng)的保護(hù)機(jī)制。

網(wǎng)絡(luò)取證系統(tǒng)采用的證據(jù)是作為呈堂證供的,必須是原始的、不可更改的,然而網(wǎng)絡(luò)數(shù)據(jù)是易逝的,轉(zhuǎn)儲(chǔ)過(guò)程中可能被修改,同時(shí)網(wǎng)絡(luò)數(shù)據(jù)是基于會(huì)話的,任何網(wǎng)絡(luò)數(shù)據(jù)包的丟失都可能導(dǎo)致會(huì)話無(wú)法還原,有可能造成證據(jù)的丟失。因此,面對(duì)高速網(wǎng)絡(luò)給網(wǎng)絡(luò)取證提出的挑戰(zhàn),文中將應(yīng)高帶寬網(wǎng)絡(luò)實(shí)時(shí)取證的需求提出下一代可擴(kuò)展網(wǎng)絡(luò)取證系統(tǒng)。

2 網(wǎng)絡(luò)取證系統(tǒng)的挑戰(zhàn)

目前大多數(shù)網(wǎng)絡(luò)取證系統(tǒng)是基于100 M或1 Gbps的網(wǎng)絡(luò)環(huán)境,它們的能力和存儲(chǔ)容量只能支持100 M或1 Gbps的網(wǎng)絡(luò)。2006年普遍采用10 Gbps網(wǎng)絡(luò)技術(shù),越來(lái)越多的公司和單位將升級(jí)網(wǎng)絡(luò)骨干至10 Gbps?；仡櫧?0年計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,不得不承認(rèn)Moore定律在互聯(lián)網(wǎng)已經(jīng)被打破——處理器的速度每18個(gè)月翻一番,但互聯(lián)網(wǎng)骨干連接的帶寬每12個(gè)月就要翻一番。Eric Weigle等人研究表明,盡管處理器的處理速度仍然以摩爾定律增長(zhǎng),但相對(duì)于通信鏈路速度的增長(zhǎng)仍顯得微不足道。

隨著鏈路帶寬的增加(當(dāng)前互聯(lián)網(wǎng)的主干鏈路帶寬已經(jīng)達(dá)到10 G以上),網(wǎng)絡(luò)取證面臨著高帶寬、大規(guī)模、大數(shù)據(jù)分析的嚴(yán)峻挑戰(zhàn)。原有的取證技術(shù)和方法已經(jīng)不能適應(yīng)這種高帶寬環(huán)境的要求,尤其在數(shù)據(jù)包的捕獲過(guò)程中,主要表現(xiàn)在以下幾個(gè)方面。

2.1 PCI總線速度的限制

數(shù)據(jù)包的捕獲與存儲(chǔ)過(guò)程都經(jīng)過(guò)PCI總線傳輸兩次,首先是從采集卡上復(fù)制到主存中,最后將主存中的信息存儲(chǔ)到存儲(chǔ)陣列。對(duì)當(dāng)前PCI總線技術(shù)指標(biāo)下,還難以滿足高速環(huán)境的要求。

2.2 存儲(chǔ)設(shè)備容量的限制

在對(duì)高速鏈路采用基于數(shù)據(jù)包的捕獲時(shí),每天的數(shù)據(jù)量將以TBbytes計(jì),大量的數(shù)據(jù)存儲(chǔ)、傳輸、有效管理與分析都是所必須面對(duì)的問(wèn)題。

2.3 內(nèi)存和外存設(shè)備的訪問(wèn)速度與鏈路速度的矛盾

近年來(lái),內(nèi)存訪問(wèn)速度增長(zhǎng)緩慢,大大落后于通信鏈路速度的增長(zhǎng)。同時(shí),外存儲(chǔ)設(shè)備如磁盤(pán)陣列的速度也不能跟上鏈路速度的增加。

3 下一代可擴(kuò)展網(wǎng)絡(luò)取證系統(tǒng)

考慮網(wǎng)絡(luò)取證系統(tǒng)采用分布式結(jié)構(gòu),實(shí)現(xiàn)時(shí)給整個(gè)網(wǎng)絡(luò)增加負(fù)荷,降低整個(gè)網(wǎng)絡(luò)性能,同時(shí)在分析方面存在著不足。文中提出了一個(gè)新的Gbps以上高速網(wǎng)絡(luò)的網(wǎng)絡(luò)取證模型[6],該模型的目標(biāo)是針對(duì)網(wǎng)絡(luò)入侵行為制定一個(gè)嚴(yán)格的取證模型,能夠較好地解決網(wǎng)絡(luò)入侵取證中存在的證據(jù)完整性、真實(shí)性的問(wèn)題。盡管可能不能完全取代其它的模型,但它能夠提供一個(gè)有利于發(fā)展的更寬松的環(huán)境。

新系統(tǒng)首先有以下優(yōu)點(diǎn):

1)與普通硬件和軟件的高兼容性;

2)易于軟件和硬件更新,又不影響運(yùn)行的系統(tǒng);

3)易于管理,更新和維護(hù)無(wú)須專家完成。

本系統(tǒng)更為詳細(xì)的定義是:在Gbps或更高速的網(wǎng)絡(luò)環(huán)境下能夠不斷地提供可信證據(jù)的可擴(kuò)展、高吞吐量的網(wǎng)絡(luò)取證系統(tǒng)。整個(gè)系統(tǒng)的設(shè)計(jì)都基于常用的硬件和軟件環(huán)境。

3.1 基本系統(tǒng)結(jié)構(gòu)

依照每個(gè)機(jī)器的主要功能,本系統(tǒng)劃分成3個(gè)池:數(shù)據(jù)采集池、數(shù)據(jù)分析池和存儲(chǔ)池。根據(jù)不同的功能和需求,每個(gè)池都設(shè)計(jì)有自己相應(yīng)的結(jié)構(gòu)和負(fù)載均衡系統(tǒng)。系統(tǒng)模型如圖1所示。

圖1 下一代可擴(kuò)展網(wǎng)絡(luò)取證系統(tǒng)

3.2 采集池

數(shù)據(jù)采集池的主要功能是從網(wǎng)絡(luò)上抓取數(shù)據(jù)。這個(gè)池的機(jī)器稱為數(shù)據(jù)采集器(DC),每個(gè)DC動(dòng)態(tài)地分派去抓取網(wǎng)絡(luò)流。DC抓取網(wǎng)絡(luò)流并存儲(chǔ)成小文件,這些小文件直接發(fā)送到數(shù)據(jù)分析池中。

取證系統(tǒng)位于網(wǎng)絡(luò)主干上,以TAP方式捕獲網(wǎng)絡(luò)數(shù)據(jù),對(duì)整個(gè)網(wǎng)絡(luò)無(wú)影響。高速網(wǎng)絡(luò)流量超過(guò)單機(jī)的處理能力,采用NP進(jìn)行分流,根據(jù)收集器的處理能力將當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流均衡到收集器,實(shí)現(xiàn)本系統(tǒng)的第一級(jí)負(fù)載均衡技術(shù)。這樣,普通的CPU和內(nèi)存就能處理數(shù)據(jù)流。

3.3 分析池

分析池對(duì)收集池發(fā)送過(guò)來(lái)的數(shù)據(jù),利用入侵檢測(cè)技術(shù)判斷是否是入侵犯罪行為。若是,則記錄其入侵行為、危害程度,同時(shí)產(chǎn)生新文件來(lái)存放這些判斷結(jié)果,并用MD5信息摘要、加密壓縮提交到證據(jù)存儲(chǔ)池;如果不能確定,則加密壓縮提交給證據(jù)存儲(chǔ)池以作進(jìn)一步分析。即DA分析數(shù)據(jù)、壓縮數(shù)據(jù)、發(fā)送結(jié)果到存儲(chǔ)模塊中。

為提高網(wǎng)絡(luò)數(shù)據(jù)分析速度,系統(tǒng)使用Private Condor系統(tǒng)[7-8]來(lái)分析數(shù)據(jù)文件。收集器每產(chǎn)生一個(gè)數(shù)據(jù)文件,都將定義一個(gè)Condor作業(yè),并將數(shù)據(jù)文件傳輸過(guò)去,這些都由Condor系統(tǒng)主動(dòng)完成。入侵分析程序無(wú)需自己查找輸入文件,大大提高了處理速度。

此外,由Condor處理的作業(yè)都是無(wú)人運(yùn)行,我們將其設(shè)置為不允許寫(xiě)到本地硬盤(pán),保證證據(jù)的安全性。

Condor系統(tǒng)能夠自動(dòng)地將分析作業(yè)調(diào)度到空閑的分析器上,實(shí)現(xiàn)了取證系統(tǒng)的第二級(jí)負(fù)載均衡。

3.4 存儲(chǔ)池

存儲(chǔ)池是由多個(gè)高交換RAID系統(tǒng)組成。RAID系統(tǒng)天生就是個(gè)可擴(kuò)展的存儲(chǔ)系統(tǒng)。然而,對(duì)一個(gè)存儲(chǔ)池來(lái)說(shuō)只是可擴(kuò)展是不夠的。從以下幾個(gè)方面來(lái)保證存儲(chǔ)池的特點(diǎn)滿足網(wǎng)絡(luò)取證證據(jù)存儲(chǔ)的要求:

1)I/O帶寬。使用高吞吐的RAID接口卡,使得數(shù)據(jù)可以快速地寫(xiě)到磁盤(pán),提高網(wǎng)絡(luò)取證處理速度。存儲(chǔ)池由若干RAID系統(tǒng)組成,這樣可以為寫(xiě)和讀操作提供充足的帶寬,保證本系統(tǒng)在高速網(wǎng)絡(luò)環(huán)境下快速存儲(chǔ)。

2)存儲(chǔ)文件的格式。分析池對(duì)網(wǎng)絡(luò)數(shù)據(jù)分析后,數(shù)據(jù)分析器將生成一個(gè)分析結(jié)果文件。原始文件仍需要保留,這樣可以做更深層的再處理或做為證據(jù)呈交給法庭。為節(jié)省磁盤(pán)空間,數(shù)據(jù)分析器會(huì)壓縮原始文件。壓縮文件的同時(shí)進(jìn)行加密,避免泄密。存儲(chǔ)文件使用MD5檢驗(yàn)來(lái)保證數(shù)據(jù)的完整性。

3)存儲(chǔ)空間的管理。存儲(chǔ)池的容量是有限的,不可能沒(méi)有刪除舊文件而不斷地往池中寫(xiě)入。這個(gè)存儲(chǔ)時(shí)間很大程度上取決于存儲(chǔ)池的大小和所選的數(shù)據(jù)。我們?cè)O(shè)計(jì)不同類型的數(shù)據(jù),它們的存儲(chǔ)時(shí)間長(zhǎng)短不一。每個(gè)文件服務(wù)器上都運(yùn)行著deamon自動(dòng)管理存儲(chǔ)空間,自動(dòng)釋放空間。

4 結(jié) 語(yǔ)

提出的下一代可擴(kuò)展網(wǎng)絡(luò)取證系統(tǒng)的優(yōu)點(diǎn)是可擴(kuò)展性。系統(tǒng)從技術(shù)上保證網(wǎng)絡(luò)取證過(guò)程的高度合法性,同時(shí)又滿足5個(gè)特點(diǎn):

1)與普通硬件和軟件的高度兼容性;

2)易于更新且不影響系統(tǒng)的正常運(yùn)行;

3)易于管理;

4)高速數(shù)據(jù)處理能力;

5)高度安全性。

舊機(jī)器可以繼續(xù)使用或被更新,系統(tǒng)的升級(jí)不影響整個(gè)系統(tǒng)的運(yùn)行。本系統(tǒng)模型滿足Gbps網(wǎng)絡(luò)取證的需求。

[1] 王峰.網(wǎng)絡(luò)證據(jù)基本問(wèn)題研究[D]:[碩士學(xué)位論文].南京:南京師范大學(xué),2004.

[2] Case A,Cristina A,M arziale L,et al.FACE:Automated digital evidence discovery and correlation[J].Digital Investigation,2008,5:65-75.

[3] Cohen M.Pyflag-An advanced network forensic framework[J].Digital Investigation,2008,5:112-120.

[4] Yongping T,Thomas E Daniels.A simple framework for distributed forensics[A].Second International Workshop on Security in Distributed Computing Systems(SDCS)[C].Columbus:IEEE Press,2005:163-169.

[5] 孫波,孫玉芳,張相鋒,等.電子數(shù)據(jù)證據(jù)收集系統(tǒng)保護(hù)機(jī)制的研究與實(shí)現(xiàn)[J].電子學(xué)報(bào),2004:32(8):1374-1380.

[6] 陳華.高速網(wǎng)絡(luò)取證系統(tǒng)的研究與設(shè)計(jì)[D]:[碩士學(xué)位論文].福州:福州大學(xué),2008.

[7] 都志輝.網(wǎng)格計(jì)算[M].北京:清華大學(xué)出版社,2002.

[8] 楊澤明,許榕生,曹愛(ài)娟.網(wǎng)絡(luò)取證與分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2004(13):72-74.