網絡入侵后的痕跡提取分析

中國電信股份有限公司江蘇分公司操作維護中心 魏淵

網絡入侵后的痕跡提取分析

中國電信股份有限公司江蘇分公司操作維護中心 魏淵

網絡攻擊和入侵事件造成的影響和危害需要電信運營商引起足夠重視和采取應對措施。在被黑客入侵后僅僅進行數據恢復、安全加固尚不足以規避風險，這種做法過于被動。通過對痕跡的提取分析了解入侵的過程和操作行為，能夠徹底清除后患，同時獲得證據線索和溯源。入侵痕跡提取分析的重要原則包括及時性、準確性、合法性、多備份、環境安全、嚴格管理過程。主要從網絡層面提取入侵痕跡和從主機層面提取入侵痕跡。在進行痕跡提取分析的時候，不推薦在運行系統中直接查看各項痕跡，而應將所有的痕跡數據全部而迅速地提取出來進行備份，輔以截屏保留證據，對備份件進行分析。在工具的選擇上，推薦使用命令行工具。

網絡入侵；痕跡提取；痕跡分析；系統加固

1 基本概念

網絡入侵是指在非授權的情況下，試圖登錄、處理、控制或破壞網絡信息系統的故意行為。在入侵過程中進行的某些操作行為，在入侵結束后會保留在系統中或者保持一段時間，而這些遺留的操作行為即是判定異常行為構成入侵的證據或線索，在本文中稱之為入侵痕跡。

在網絡被入侵后，通常網絡管理員想到的是對網絡進行應急響應、數據恢復、漏洞修復以及安全加固等。這些應對措施固然正確，卻不足以規避風險，還應對網絡系統入侵痕跡進行提取分析。入侵痕跡提取分析通過技術手段盡可能準確、及時地提取入侵痕跡，對其進行深度剖析，以還原入侵的過程和操作行為，逆向操作使系統恢復到正常狀態并對薄弱點進行加固，能夠徹底清除后患、規避日后風險，同時獲得證據線索和溯源，進而保留對入侵者依法追究責任的權利。

2 重要原則

入侵痕跡提取分析的重要原則包括及時性、準確性、合法性、多備份、環境安全、嚴格管理過程。在入侵過程中或之后，系統中必然存在很多入侵痕跡，但隨著時間的流逝，一方面可能由于入侵者自行刪除了某些入侵痕跡，如安全日志等，另一方面由于系統的運行需要不斷進行數據讀寫等，導致很多入侵痕跡被覆蓋或修改，因此提取入侵痕跡需要遵循的第一原則是及時性。準確性是指通過科學的技術手段進行提取以保證結果的真實可信度。合法性是指需要遵循法律法規。多備份是指在提取出痕跡數據后進行備份，對備份文件執行分析操作，這是由于分析操作很可能改變原始數據，導致證據失效。環境安全是指存放入侵痕跡數據的存儲設備應存放在安全的環境中。嚴格管理過程是指所有的手續和步驟都應在嚴格的監督管理之下進行。

在上述的6個原則中，及時性直接關系到對入侵行為的重構還原是否順利，應當被優先確保。此外，及時性不僅體現在入侵痕跡的提取分析具有時效性，還體現在提取分析信息時的順序性，運行系統中部分易變信息比其他信息變化更頻繁，為了盡量提取分析到符合系統被入侵的真實信息，需要將易變信息排序，首先提取分析保留時間最短、變化最頻繁的信息，非易變信息則可以稍后提取分析。

3 入侵痕跡提取

為了找到黑客的入侵痕跡，應分析入侵者在系統中實施了哪些操作。不同的入侵者具備不同的技術手段和思維方式，因此，列舉出一份入侵操作清單是不現實的，但仍然可以總結出入侵的一般步驟。

3.1 網絡入侵的一般步驟

網絡入侵的一般步驟包含4個方面：

1）進入系統：通常是通過掃描目標主機或Web網站的信息，例如應用服務、開放端口等，再根據各種漏洞或脆弱賬戶密碼等進行利用，進入系統；

2）提升權限：通常是檢查是否存在可提升權限的漏洞、是否存在脆弱賬戶密碼、是否存在權限設置出錯等，提升權限，最終獲得管理員權限；

3）放置后門：后門是指繞過安全性控制實現對程序或系統訪問權的方法，黑客在進入系統后通常都會留有一個后門方便再次進入系統；

4）清理日志：清理自己在系統中的操作痕跡。

3.2 從網絡層面提取入侵痕跡

從網絡層面可以通過對網絡流量監測、網絡設備日志和配置文件檢查等手段來提取入侵痕跡。

1）通過網絡側部署的異常流量監測系統、入侵檢測系統、防火墻或路由設備來確定網絡流量有無異常，在確認攻擊行為存在時能夠對攻擊行為進行溯源。

2）通過檢查網絡設備日志中是否存在未授權訪問或非法登錄事件，用以配合定位攻擊源。例如安全日志中異常登錄時間、未知用名登錄、非法登錄訪問以及某賬號的頻繁登錄和惡意操作。

3）通過檢查網絡設備配置文件有無異常，是否被修改，對比網絡層防護的安全控制策略，檢查網絡設備配置以及安全策略是否存在異常。

3.3 從主機層面提取入侵痕跡

在主機層面可以通過檢查被入侵服務器的日志、賬號、進程、服務、自啟動項、病毒、木馬、網絡連接、共享目錄、定時作業、注冊表等來獲取入侵痕跡。

1）檢查系統日志中未授權訪問或非法登錄事件或者檢查中間件、FTP（文件傳輸協議）等日志中檢測非正常訪問行為或攻擊行為；

2）檢查系統非正常賬號和隱藏賬號；

3）檢查是否存在未被授權的應用程序或服務；

4）檢查系統是否存在非法服務；

5）檢查系統各用戶“啟動”目錄下是否存在未授權程序；

6）使用防病毒軟件檢查文件，掃描硬盤上所有的文件檢查是否存在病毒、木馬、蠕蟲；

7）檢查非正常網絡連接和開放的端口；

8）檢查非法共享目錄；檢查當前定時作業情況，是否存在不明定時執行作業；

9）檢查注冊表，注冊表是Windows操作系統及其所支持的應用程序的中心配置數據庫，存儲了大量信息，成為獲取潛在證據的最好資源。

4 入侵痕跡分析

由于數據的易變性和取證技術的及時性原則，在進行痕跡提取分析的時候，并不推薦在運行系統中直接查看各項痕跡，而應將所有的痕跡數據全部而迅速地提取出來進行備份，輔以截屏保留證據，對備份件進行分析。在工具的選擇上，推薦使用命令行工具，命令行工具往往比較簡潔，且容易通過批處理或腳本工具自動化執行。

入侵痕跡分析的技術方法涉及到密碼破解、數據隱藏分析、數據恢復、關鍵字挖掘等。密碼破解是對已加密數據進行解密的技術，數據隱藏分析是確認是否存在隱藏數據以及隱藏在何處的技術，數據恢復是將已刪除的消息進行恢復的技術，關鍵字挖掘是按敏感詞匯搜索匯集各個關聯文件的技術。

入侵痕跡分析的目的之一是重構入侵行為，因此常考慮到的方面是時間框架分析和文件關聯性分析。時間框架分析通常通過建立文件的最后修改目錄來重構入侵時各種操作的發生次序，文件關聯性分析是指通過分析散落在各處的文件內在的聯系從而對被入侵系統有更深入的了解。

5 總結

通過對入侵痕跡的提取分析，一方面，我們可以通過重構入侵行為，分析入侵行為對網絡信息系統產生的直接破壞、潛在隱患和深層次影響，以便能夠徹底清除后患、規避日后風險；另一方面，我們可以追溯到入侵者，在入侵行為造成較大損失的情況下，能夠對入侵者依法追究責任。

根據諾卡德交換原理“凡接觸，必留下痕跡”可以知道，無論是怎樣的入侵手段，始終都會留下痕跡線索，作為網絡安全管理人員，任務就是找到這些線索，并根據這些線索使自己所維護管理的系統更加安全穩固。◆