基于多代理的網絡入侵取證研究

郭延海

如今科技日益發達，與此同時網絡黑客也不斷在計算機和網絡上大做手腳，在以往的網絡入侵案件中根本無法拿出他們的犯罪證據來懲治他們，所以讓他們不曾有所畏懼，一味的逍遙法外。然而現在有關研究人員已經結合計算機動態取證的執行原理和多代理特點，發現了一種基于多代理的網絡入侵取證的系統，這樣一來，在各個代理的互相幫助下，我們能夠對網絡入侵進行實時取證，從而獲取最有利的證據。該文首先對計算機動態取證做了簡要的解釋，接著對多代理在計算機網絡取證中的應用做了分析，最后提出了基于多代理的網絡入侵取證系統的總體設計方案。

多代理；網絡入侵；動態取證

在計算機發展的推動下，我們的社會逐漸的向信息化以及網絡化發展，所以計算機安全、網絡安全成為了大家最擔心、最重視的問題之一。通過有效地收集電子數據來給予網絡犯罪分子一些警告，從而降低網絡犯罪率是社會十分重視的問題，今日的基于多代理的網絡入侵取證確實能夠解決這個問題。

1.計算機動態取證

電子證據，顧名思義是指系統在運行時對所經歷的事實進行電磁記錄。一旦不法分子入侵計算機網絡，系統能夠自動記錄那一系列的數據，通過這些原始的數據就能對犯罪分子進行控告，這種方法就叫做計算機取證，總結起來就是兩個過程：掃描和重建，意思是時刻掃描是否有網絡入侵或者破壞行為，然后對掃描到的內容進行重建，從而成為了最原始的犯罪證據。然而最開始的取證只是靜態的，或者可以說是事后取證，在很大程度上受到了限制，效率較低，所以大家開始找尋動態取證的方法，也可以說是實時取證。動態取證所獲得的證據更加詳細，也更準確。最重要的是，通過動態取證，系統可以分析出犯罪分子的目標，從而提前進入防患狀態，因此可以構成一個計算機安全體系。

2.多代理在網絡入侵取證中的應用

“代理”，在計算機系統中其實就是一個計算機程序或者實體，它在某些特定的環境中可以代表使用者自行運行一些目標。多代理也就是多個代理的聯合，各個代理之間互相合作，從而完成一些個體無法實現的目標。因此多代理技術的特點表現為自主的同時互相之間又比較協調，能夠實現自我組織、自我推理以及自我學習。正由于這些特點，研究人員才想到將它應用于計算機網絡入侵動態取證系統中。

隨著計算機網絡的廣泛應用以及以數字形式存在的信息的急劇增加，以計算機為犯罪目標和以計算機為犯罪手段的網絡犯罪呈現出驚人的增長速度電子證據作為一種新的證據形式，逐漸成為新的訴訟證據之一要解決日益猖狂的網絡犯罪問題，關鍵是借助法律手段進行計算機取證只有獲取網絡犯罪證據并將之告上法庭，才能打擊威懾犯罪分子計算機取證一般分為三個階段證據獲取、分析和法庭展示電子證據的獲取是計算機取證技術中的核心內容，是計算機取證研究的的熱點本文研究網絡入侵的計算機取證技術，著重對網絡電子證據的獲取技術進行了研究文章首先分析了網絡犯罪現狀及其防控對策，總結了計算機取證研究的基本情況，并分析了當前計算機取證存在的問題在此基礎上，結合軟件工程的思想，從獲取證據的需求出發，提出了一個基于入侵檢測的網絡證據獲取過程模型在該模型的指導下，設計了一個基于多代理的網絡證據獲取系統系統采用分布式策略，多個代理相互協作共同完成網絡證據獲取工作。

在計算機網絡入侵動態取證系統中，我們定義了幾個代理模塊，分別有通信代理、檢測代理、取證代理以及響應代理等。這些代理坐落于各個網絡節點間，通過相互協作、相互通信來完成網絡入侵的取證任務。

3.系統總體設計

了提高網絡入侵的取證效率，我們將代理系統放到目標系統中，這樣一來，電子證據的收集過程、分析過程以及證據的保護過程都將在目標系統中進行，從真正意義上做到了對網絡入侵進行實時的取證，同時盡可能多地找到犯罪證據。

系統物理結構。基于多代理的網絡入侵動態取證系統主要的系統組成分為取證中心服務器以及取證代理機。由前文介紹，我們已經知道取證代理機就是多個代理組成的結構，用來完成取證通信、檢測等一系列的任務。而取證中心服務器可以說是整個系統的調度中心，專門負責各個代理的管理工作和電子證據的顯示。

系統體系結構與功能描述。通信代理：通信代理，顧名思義是專門負責各個代理和中心的通信，同時也要通過數據分析制定一些安全機制。具體做的事情主要是對各個代理進行合理的配置、正確的管理和維護，接收各個代理傳送來的偵測數據，例如收集數據和檢測數據等，并將各個取證任務進行合理的分配，交給其他的取證代理來完成。因此通信代理相當于一個中央控制中心，是整個系統中控制的內容最廣泛的環節。

數據收集代理：系統根據特定的環境情況建立相應的數據收集代理，它一般設在監控主機上或其他網段上的安全機上。其工作內容是對收到的數據進行初步的處理，之后將它傳送給檢測代理。

檢測代理：檢測代理接收來自數據采集代理傳送來的數據，對其進行仔細的分析后得出判斷：此數據是否會入侵我們的網絡系統、對系統是否有破壞的動機等行為。只要發現有這些行為，檢測系統將相關信息立即上報對應的響應代理，讓它得到及時的處理。

取證代理：取證代理接收到檢測代理傳送來的入侵攻擊的相關信息，例如它的類別、遭受入侵主機的地址等，開始在對應的機構上完成取證過程。其實，取證代理有一個證據收集部件，專門用來收集不法分子犯罪的原始數據。該部件首先對獲得的證據進行備份、整理、簽名，使之具有法律效應。最后將它安全傳送至中心服務器進行顯示。

電子證據，顧名思義是指系統在運行時對所經歷的事實進行電磁記錄。一旦不法分子入侵計算機網絡，系統能夠自動記錄那一系列的數據，通過這些原始的數據就能對犯罪分子進行控告，這種方法就叫做計算機取證，總結起來就是兩個過程：掃描和重建，意思是時刻掃描是否有網絡入侵或者破壞行為，然后對掃描到的內容進行重建，從而成為了最原始的犯罪證據。然而最開始的取證只是靜態的，或者可以說是事后取證，在很大程度上受到了限制，效率較低，所以大家開始找尋動態取證的方法，也可以說是實時取證。動態取證所獲得的證據更加詳細，也更準確。最重要的是，通過動態取證，系統可以分析出犯罪分子的目標，從而提前進入防患狀態，因此可以構成一個計算機安全體系。

入侵檢測可以分為：誤用入侵檢測技術和異常入侵檢測技術。什么叫誤用檢測？它是出現對計算機網絡和數據庫的破壞等惡意行為的時候，識別系統對這種行為作出的防護模式。誤用入侵檢測技術是以探析各種形式的攻擊，從而整合成一個數據庫，講這些攻擊個例記錄找出特征，分析當時的數據情況，與之相互比較評估，然后找出與之相適應的形式，如果有滿足條件的，那么這個誤用入侵檢測系統就會發出警報，并作出相應的措施。他是入侵檢測的一部分，但是功能上相對獨立。所謂異常入侵檢測技術是指將過往的正常的系統運行的數據和情況與現在的電腦的系統運行數據、模式相互比較，得出分析數據，當此時的數據與正常值失去甚遠，也就是超出了正常值的時候，就表示此時的電腦系統是不正常的運行，那么就是有不合法的危害出現。入侵檢測技術的系統能夠檢測沒有識別的對象，監控對計算機系統企圖入侵的行為，監控已識別的對象對系統的非法操作。

綜上所述，運用多代理的方法對計算機網絡入侵取證確實可行，用這種方法收集到的電子證據不僅信息齊全，而且效率高，對計算機網絡體系的安全做出了保障，目前這項技術也還沒到很純熟的地步，我們需要對各個代理的功能實現進行更深層次的了解和研究，將這項技術逐漸加以完善。

[1]朱劍.網絡入侵取證重構—網絡入侵取證系統的設計與實現[J].江南大學，2008.03

[2]蔣中云,張基溫.基于Multi-Agent的網絡入侵取證模型的設計[J].江蘇無錫江南大學信息工程學院，2005.09

[3]張喜生.計算機網絡入侵取證技術的研究[J].深圳職業技術學院電子與信息工程學院，2010.06