基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證評估模型研究

王丹琛，張仕斌，徐 揚，許 寧

基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證評估模型研究

王丹琛1,2，張仕斌3，徐 揚1，許 寧2

(1. 西南交通大學(xué)智能控制開發(fā)中心 成都 610031; 2. 四川省信息安全測評中心 成都 610017; 3. 成都信息工程大學(xué)信息安全工程學(xué)院 成都 610225)

對復(fù)雜信息系統(tǒng)的業(yè)務(wù)用戶行為和網(wǎng)絡(luò)取證進(jìn)行了研究，結(jié)合木馬技術(shù)提出了基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證評估模型，該模型構(gòu)建了基于云模型的業(yè)務(wù)用戶行為定量評估方法。通過仿真實驗驗證了模型評估的合理性，同時驗證了該模型能實時隱蔽地記錄用戶行為，并能確保將獲取的信息反饋給取證控制端，為計算機(jī)動態(tài)取證的研究提供了一種可行的技術(shù)方案。

行為評估; 業(yè)務(wù)用戶行為; 云模型; 計算機(jī)動態(tài)取證; 信任云

網(wǎng)絡(luò)用戶行為作為網(wǎng)絡(luò)行為學(xué)研究的內(nèi)容之一，其本質(zhì)就是研究網(wǎng)絡(luò)上用戶行為的規(guī)律和特點，最終達(dá)到控制或預(yù)測用戶行為[1-2]。通過對網(wǎng)絡(luò)用戶行為以及網(wǎng)絡(luò)取證的研究與分析，發(fā)現(xiàn)在網(wǎng)絡(luò)犯罪領(lǐng)域，對網(wǎng)絡(luò)中不安全的用戶行為進(jìn)行實時取證，對于打擊網(wǎng)絡(luò)犯罪，推動計算機(jī)動態(tài)取證的發(fā)展具有重要的現(xiàn)實意義。當(dāng)前，計算機(jī)取證及安全評估研究吸引了眾多研究者，取得了一些重要研究成果。文獻(xiàn)[3]主要在取證中將不同的隱私級別賦予不同保護(hù)機(jī)制，能夠有效緩和隱私保護(hù)和計算機(jī)取證之間的矛盾，使取證得到的證據(jù)能夠更加合法；文獻(xiàn)[4]將哈希算法用于電子證據(jù)的保存中，提出了保證電子證據(jù)的完整性提出一種新的解決方案；文獻(xiàn)[5]引入模糊神經(jīng)網(wǎng)絡(luò)來檢測正常和異常的網(wǎng)絡(luò)流量，以及時地阻止不安全的行為，設(shè)計了一種基于模糊神經(jīng)網(wǎng)絡(luò)的取證模型；文獻(xiàn)[6]使用多代理機(jī)制分層進(jìn)行檢測與分析，提出一個協(xié)作的多智能體的取證工具；文獻(xiàn)[7]采用多線程和虛擬技術(shù)對捕獲的數(shù)據(jù)進(jìn)行審計與分析，設(shè)計了一種基于入侵檢測和防火墻技術(shù)的聯(lián)動取證系統(tǒng)；文獻(xiàn)[8]利用Multi-Agent技術(shù)的自主學(xué)習(xí)和推理能力，設(shè)計一種基于Multi-Agent的取證系統(tǒng)，各Agent相互協(xié)調(diào)與合作，共同完成對網(wǎng)絡(luò)取證；文獻(xiàn)[9]提出了一種新的磁盤映像模式，將更多的電子證據(jù)和調(diào)查程序共享在虛擬電子證據(jù)圖書館(VEEL)中；文獻(xiàn)[10]借助于云模型理論，設(shè)計了一種基于云模型的計算機(jī)取證系統(tǒng)。

通過對上述取證相關(guān)模型及理論與技術(shù)的分析發(fā)現(xiàn)，上述研究成果尚存在一些不足，如：在網(wǎng)絡(luò)取證中，沒有深入分析網(wǎng)絡(luò)業(yè)務(wù)用戶行為；取證過程中不能保證取證程序的隱蔽性且缺乏保證證據(jù)安全的有效措施；獲取的數(shù)據(jù)針對性差，大多數(shù)據(jù)是無用的。基于以上原因，本文借鑒已有研究工作，結(jié)合作者在文獻(xiàn)[11-13]中的研究成果，以復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境為研究背景，引入云模型理論對網(wǎng)絡(luò)業(yè)務(wù)用戶行為進(jìn)行研究并定量描述，研究并提出了基于業(yè)務(wù)用戶行為的動態(tài)取證評估模型。

1 計算機(jī)取證與網(wǎng)絡(luò)行為的研究

1.1 計算機(jī)取證的相關(guān)問題

在計算機(jī)取證發(fā)展的初期一般均為靜態(tài)取證，磁盤鏡像技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、信息過濾技術(shù)等有了很大的進(jìn)展，一些工具也陸續(xù)問世[8](如Quick View Plus和ThumbsPlus)。動態(tài)取證通過對計算機(jī)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控，實時獲取并分析相關(guān)信息；網(wǎng)絡(luò)取證[10]主要針對的是計算機(jī)動態(tài)取證，它更強(qiáng)調(diào)現(xiàn)場監(jiān)控，實時地收集網(wǎng)絡(luò)中的信息和通過誘騙等技術(shù)對網(wǎng)絡(luò)實施主動防御。

1.2 網(wǎng)絡(luò)行為的相關(guān)問題

以往研究網(wǎng)絡(luò)行為主要側(cè)重于對網(wǎng)絡(luò)流量進(jìn)行分析；隨著技術(shù)的發(fā)展，人們意識到雖然網(wǎng)絡(luò)中行為形式各異，但同一用戶的長期行為呈現(xiàn)一定的趨勢，分析這些趨勢能基本得到該用戶在網(wǎng)上的活動范圍。

業(yè)務(wù)用戶行為分析的過程如圖1所示。由于建模方法不同，導(dǎo)致分析過程中存在一些差異，用戶行為也表現(xiàn)出不同的形式，因而對用戶行為實施后續(xù)操作也將隨之改變。

圖1 業(yè)務(wù)用戶行為分析過程

2 基于業(yè)務(wù)用戶行為的動態(tài)取證模型

2.1 基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證的思路

基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證模型包括用戶行為評估和計算機(jī)動態(tài)取證模型，如圖2所示。模型在用戶行為評估模型的基礎(chǔ)上結(jié)合木馬技術(shù)來構(gòu)建，該模型能夠?qū)Σ话踩挠脩粜袨檫M(jìn)行實時取證，最終能確保網(wǎng)絡(luò)的安全和實時取證。

圖2 構(gòu)建基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證模型的思路

2.2 基于云模型的業(yè)務(wù)用戶行為評估模型

在復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境中，業(yè)務(wù)用戶行為的不確定性與云模型理論的基本特征吻合，故本文擬借助于云模型理論對業(yè)務(wù)用戶行為進(jìn)行描述(構(gòu)建業(yè)務(wù)用戶行為模型)；為了體現(xiàn)對不同用戶行為評估的差異性，本文也借助于云模型理論對用戶行為進(jìn)行評估(構(gòu)建行為評估模型)。

2.2.1 云模型理論的相關(guān)基礎(chǔ)

定義 1 設(shè){}Ux=是定量域，C代表定性概念，()f x(()f x∈[0,1])代表U到C的隨機(jī)映射關(guān)系且具有某種穩(wěn)定傾向，則x在U上的分布就稱為云，每一個x就是一個云滴[12]。

為了將定性的概念按定量的方式進(jìn)行描述，云用期望(Ex)、熵(En)、超熵(He)3個數(shù)字特征來表征一個定性概念的整體特征[14]。

定義 2 正向云發(fā)生器[11]：將定性概念轉(zhuǎn)換成定量的描述，由云的數(shù)字特征產(chǎn)生云滴。

定義 3 逆向云發(fā)生器[11]：是正向云發(fā)生器的逆過程，是由云滴得到云的數(shù)字特征的過程。

2.2.2 基于云模型理論的業(yè)務(wù)用戶行為評估模型

本文擬應(yīng)用云模型理論[14]的3個數(shù)字特征(Ex,En,He)對復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境中不確定的用戶行為進(jìn)行定量描述和評估。

1) 基于云模型理論的業(yè)務(wù)用戶行為模型

設(shè)用戶行為屬性集為U={U1, U2,…,Un}，Ui( i=1,2,…,n)為一次用戶整體行為，令Ui={Exi,Eni,Hei}代表一次用戶行為的數(shù)字特征(其中，Exi反映了用戶行為的整體特征；Eni反映了用戶行為的不確定性；Hei反映了Eni的不確定性)。考慮到各行為屬性對用戶整體行為的影響不同，因而各行為屬性在整體行為中所占的比重也不相同。如用BWUi表示一次行為的權(quán)重(在不同網(wǎng)絡(luò)環(huán)境中，各網(wǎng)絡(luò)業(yè)務(wù)用戶行為的權(quán)重是不同的，故BWUi的值可根據(jù)實際情況來設(shè)定)。由于Exi是對行為最直接的量化，為了與客觀事實更為接近，在此用式(1)來代表描述用戶行為的期望。

2) 基于云模型理論的業(yè)務(wù)用戶行為評估模型

設(shè)評估標(biāo)準(zhǔn)集為C={C1, C2,…,Cn}，其中, Ci=(ExUi,EnUi,HeUi)是對Ui評估的標(biāo)準(zhǔn)集的數(shù)字特征，體現(xiàn)了對不同用戶行為評估標(biāo)準(zhǔn)的差異性。為了體現(xiàn)評估主體的影響，評估主體事先設(shè)置好容忍度[11]；然后以評估標(biāo)準(zhǔn)集為依據(jù)得到評估該用戶行為的數(shù)字特征；最后由正向云發(fā)生器轉(zhuǎn)換得到該行為評估的云模型，完成業(yè)務(wù)用戶行為評估。

2.2.3 基于云模型理論的業(yè)務(wù)用戶行為評估過程

1) 計算單次用戶行為的可信得分

當(dāng)用戶進(jìn)行一次操作時，可以得到一個表征其行為的數(shù)值xi，將該值映射到表征用戶一次行為的云模型中，可以得到其行為確定度值u( xi)(u( xi)即是云的定義中的f( x)，xi是用戶本次操作直接獲得的數(shù)值，而xiu( xi)是實際值乘以云模型的確定度值后的修正值，代表本次行為在云模型中表現(xiàn)出來的行為可能性趨勢)。

由文獻(xiàn)[11]中可信得分的定義，按一定的規(guī)則(根據(jù)用戶行為評估標(biāo)準(zhǔn)集具體設(shè)定)計算出xi和xiu( xi)對應(yīng)的可信得分si和si+1，然后將其映射到云模型中并評估業(yè)務(wù)用戶行為，可以得到其行為的確定度值fi( x)和fi+1(x)，再由式(2)計算出該次行為的確定度值ci( xi)，最后由式(3)計算出該次行為的可信得分。

1) 用戶整體行為可信得分的計算

由于評估用戶整體行為各屬性的重要程度不同，可結(jié)合權(quán)重計算出用戶整體行為確定度值TC和整體行為的可信得分TS，具體計算公式如下：

考慮到網(wǎng)絡(luò)中其他因素對用戶行為評估所帶來的干擾，在此設(shè)置干擾因子θ(0＜θ≤1)。由于在不同網(wǎng)絡(luò)環(huán)境中，各網(wǎng)絡(luò)業(yè)務(wù)用戶行為的干擾是不同的，故θ的值可根據(jù)實際情況來設(shè)定，令：

當(dāng)θ值越趨近于1時，意味著本次評估結(jié)果受外界的干擾程度越高，獲得的結(jié)果也越不準(zhǔn)確。

2.3 基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證評估模型

以2.2節(jié)提出的業(yè)務(wù)用戶行為評估模型為基礎(chǔ)，引入木馬技術(shù)來構(gòu)建計算機(jī)動態(tài)取證模型。

2.3.1 基于木馬的計算機(jī)取證

木馬由于其良好的隱蔽性，使其在計算機(jī)取證方面取得了一些研究成果：文獻(xiàn)[15]設(shè)計了一種基于木馬的取證系統(tǒng)；文獻(xiàn)[16]結(jié)合木馬原理，設(shè)計了一種取證工具。這些成果充分考慮了木馬獲取證據(jù)的主動性，但沒有考慮獲取證據(jù)的實時性及安全性。

2.3.2 構(gòu)建基于業(yè)務(wù)用戶行為的動態(tài)取證評估模型

以2.2節(jié)中研究的行為評估模型為基礎(chǔ)，研究基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證模型(如圖2)，主要包括系統(tǒng)監(jiān)控、取證程序植入、行為特征提取、行為評估、策略選擇和證據(jù)獲取模塊。

1) 各模塊的功能

① 系統(tǒng)監(jiān)控模塊：主要完成對系統(tǒng)的監(jiān)控，為后續(xù)用戶行為特征點的提取提供基礎(chǔ)。

② 取證程序植入模塊：對目標(biāo)用戶進(jìn)行安全漏洞檢測，根據(jù)漏洞的不同植入相應(yīng)的取證程序。

③ 行為特征提取模塊：采集用戶行為，并保存采集信息，為后續(xù)用戶行為評估提供數(shù)據(jù)支持。

④ 行為評估模塊：評估用戶行為是否可信(2.2中已詳細(xì)介紹)，為策略選擇提供依據(jù)。

⑤ 策略選擇模塊：以行為評估值為基礎(chǔ)，選擇相應(yīng)的策略，根據(jù)策略做出不同的響應(yīng)操作。

⑥ 證據(jù)獲取模塊：實時隱蔽地獲取用戶的行為，并對用戶行為進(jìn)行記錄后發(fā)送給取證控制端。

由于篇幅限制，本文只重點討論策略選擇和證據(jù)獲取模塊(行為評估在2.2中已做詳細(xì)介紹)。

2) 策略選擇模塊的設(shè)計

策略選擇模塊的功能是將用戶行為的可信得分以及確定度值對應(yīng)相應(yīng)響應(yīng)策略。本文將策略選擇分為：不再監(jiān)控、阻止操作和記錄操作3種，對應(yīng)的策略選擇如表1所示。

表1 策略選擇對應(yīng)表

3) 證據(jù)獲取模塊的設(shè)計

以木馬原理為基礎(chǔ)進(jìn)行設(shè)計，分為取證控制端和被取證端兩個部分，證據(jù)獲取過程如圖3所示。

圖3 證據(jù)獲取過程

① 取證程序的觸發(fā)：取證程序被植入目標(biāo)主機(jī)以后，并不立即被激活實施取證，而是在當(dāng)選擇的策略為記錄操作時，取證控制端才遠(yuǎn)程觸發(fā)取證程序。這樣可以避免取證程序被殺毒軟件提前查殺，有利于保護(hù)取證程序的安全性。

② 發(fā)送指令：取證控制端在取證程序被激活后發(fā)送指令，指示取證程序?qū)崟r獲取指定的信息。

③ 響應(yīng)指令：取證程序收到指令后對被取證端中的用戶操作進(jìn)行記錄，再將結(jié)果返回給取證控制端；為了保證獲取證據(jù)時不被發(fā)現(xiàn)和獲取證據(jù)的安全性，在發(fā)送指令和響應(yīng)指令的過程中，為了實現(xiàn)隱蔽通信，在仿真設(shè)計中使用Rootkit技術(shù)來實現(xiàn)進(jìn)程和通信端口的隱藏，保證了取證控制端能實時、安全地收到被控端反饋的信息。

3 仿真實驗和分析

3.1 業(yè)務(wù)用戶行為評估模型的仿真實驗與分析

3.1.1 實驗環(huán)境與相關(guān)標(biāo)準(zhǔn)的設(shè)定

為了驗證用戶行為評估模型的合理性和可行性，本節(jié)構(gòu)建了一個圖書借閱仿真系統(tǒng)，主要功能包括資料下載和查詢借閱信息。

假設(shè)用戶登錄該系統(tǒng)后的整體行為包含2個屬性U={U1, U2}，ExU1是用戶輸入“用戶名和密碼匹配的次數(shù)”(設(shè)為m)，ExU2是用戶“超時借書的數(shù)目”的數(shù)目(設(shè)為n)；行為評價集為C={C1, C2}，其中C1={低,一般,高}，C2={多,少}；同時假定用戶行為屬性容忍度均為5，且行為權(quán)重都相同。

規(guī)則1：當(dāng)用戶登錄時，當(dāng)m≤2時次時，稱為匹配度高；當(dāng)2＜m≤4時，稱為匹配度一般；當(dāng)m＞4時稱為匹配度低；當(dāng)n≥3時，稱為超時少，否則稱為超時多。

在評估標(biāo)準(zhǔn)設(shè)定后，需對評估集打分。用戶行為屬性集與評估標(biāo)準(zhǔn)集的對應(yīng)關(guān)系如表2所示。

表2 用戶行為屬性集與評估集的對應(yīng)關(guān)系表

規(guī)則2：每個行為的最高分?jǐn)?shù)不得超過5，打分的標(biāo)準(zhǔn)就等于5減去其相應(yīng)行為確定度值。

3.1.2 實驗的具體步驟與結(jié)果分析

在圖書借閱仿真實驗中，通過調(diào)查某用戶以往2 000次登錄的記錄數(shù)據(jù)進(jìn)行行為屬性分析。

1) 用戶行為的描述

依據(jù)表3中的數(shù)據(jù)，由逆向云發(fā)生器還原得到用戶的兩個行為屬性特征值分別為(1.2,0.5,0.1)，(2.5,0.2,0.1)。該用戶登錄系統(tǒng)時輸入“用戶名和密碼匹配的次數(shù)”的云模型如圖4所示。圖4中的多數(shù)云滴集中在橫坐標(biāo)為1的左右，說明該用戶在多數(shù)情況下輸入1次就能匹配成功。

圖4 表征“用戶名和密碼匹配的次數(shù)”的云模型圖

表3 信息數(shù)據(jù)采集表

同理可得“超時借書的數(shù)目”的云模型圖(略)，反映出用戶“超時借書的數(shù)目”的分布情況。

2) 計算用戶行為的可信得分

由表3中的數(shù)據(jù)和事先設(shè)定好的對應(yīng)行為評價集和評分標(biāo)準(zhǔn)，可以得到可信得分如表4所示。

表4 用戶行為評價的可信得分表

由表4中的數(shù)據(jù)可計算出該用戶兩種行為可信得分的數(shù)字特征值(3.8,0.4,0.1)和(3.5,0.3,0.2)，由此可以生成對應(yīng)的云圖(由于生成各行為的可信得分云模型的方法與上述生成各行為屬性云模型的方法一致，故在此不再重復(fù))。

3) 計算用戶行為的可信得分

假定得到某用戶的一組行為數(shù)字(2,3)，其含義是：輸入用戶名和密碼2次成功，有3本圖書超期。按照3.1.1中設(shè)定的規(guī)則，對該用戶的評價為：匹配度高、超時少。根據(jù)式(2)和式(3)，計算出該用戶的可信得分別為(3,2)；由式(4)和式(5)計算出該用戶的最終可信得分為3。

假定該用戶操作時受外界因素干擾較小(設(shè)干擾因子θ=0.05)。排除干擾因子后，根據(jù)式(6)和式(7)計算出用戶的最終可信得分為2.88。

4) 仿真實驗與分析

① 首先將第一個數(shù)字2映射到表征其行為屬性的云模型中，如圖5所示。圖5中的標(biāo)識“X”指示的位置代表本次行為在“用戶名和密碼匹配的次數(shù)”云模型中的映射坐標(biāo)，其確定度值=0.59。根據(jù)評價集和評分標(biāo)準(zhǔn)，得出可信得分=3.1，映射到云模型并修正后的可信得分=3.9，由式(3)計算出“用戶名和密碼匹配的次數(shù)”的可信得分s1( x1)=3.51。

圖5 “用戶名和密碼匹配的次數(shù)”在云模型中的映射圖

② 然后將可信得分3和修正后的可信得分3.84均映射到對“用戶名和密碼匹配的次數(shù)”的評估云模型中，如圖6所示，圖6中的標(biāo)識“Y”和“Z”分別代表用戶行為可信得分在評估云模型中的映射，由兩個點的坐標(biāo)可以算出“用戶名和密碼匹配的次數(shù)”的行為確定度值c1( x1)=0.63。

圖6 “用戶名和密碼匹配的次數(shù)”的評估云模型圖

③根據(jù)相同的方法，得到“超時借書”的可信得分s2(x2)=3.12、確定度值c2(x2)=0.45。根據(jù)式(4)和式(5)可得到用戶本次整體行為可信得分=3.88，確定度值=0.62；排除網(wǎng)絡(luò)干擾因子后，最終的可信得分=3.69，確定度值=0.59。

由圖6可知，用戶的實際可信得分=2.92，通過模型評估后的可信得分=3.59。實驗結(jié)果有偏差的原因在于由模型得到的可信得分不僅僅只衡量用戶行為的可信得分，還代表了用戶行為可信的走向趨勢；而對該用戶行為確定度值為0.59，說明該用戶繼本次行為發(fā)生后，其后續(xù)行為的可信得分有59%的概率大于2.92。因此，本文模型既能對用戶行為進(jìn)行評估，也有預(yù)測其后續(xù)行為的能力。

3.2 計算機(jī)動態(tài)取證評估模型的仿真實現(xiàn)與分析

3.2.1 仿真實驗與分析

本文實驗以3.1節(jié)中的仿真實驗為基礎(chǔ)，實驗的重點在于證據(jù)的獲取。由于3.1節(jié)的實驗中用戶行為最終的可信得分和行為的確定度值分別為：3.59和0.59，均屬于中等。對照表1可知選擇策略為記錄操作，將該用戶的后繼各種操作行為記錄下來。在記錄操作前需要激活取證程序，本文實驗通過彈出錯誤提示框來激活取證程序。

取證程序?qū)τ诒豢囟擞脩羯暇W(wǎng)痕跡及行為文件的掃描，主要包括IE地址欄記錄、IE訪問歷史、Cookies文件和收藏夾記錄。掃描結(jié)束后將信息發(fā)送給取證控制端，取證控制端收到以后將對這些行為和文件進(jìn)行分析，從中提取有用的信息。為了躲避數(shù)據(jù)監(jiān)控，保證證據(jù)的安全，先對數(shù)據(jù)進(jìn)行壓縮，然后再傳遞給取證控制端，在傳遞過程中使用Rootkit技術(shù)實現(xiàn)對通信端口的隱藏。

上述實驗結(jié)果充分說明了本文模型可以對用戶的上網(wǎng)行為痕跡進(jìn)行完整的記錄，進(jìn)一步驗證了該模型的合理和可行性。

3.2.2 仿真實現(xiàn)與分析

基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證仿真系統(tǒng)是以在前面研究的基于業(yè)務(wù)用戶行為的動態(tài)取證模型的基礎(chǔ)上，結(jié)合圖書借閱系統(tǒng)來實現(xiàn)的。

1) 系統(tǒng)的框架結(jié)構(gòu)

基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證系統(tǒng)的主要模塊：系統(tǒng)監(jiān)控、行為評估和行為證據(jù)獲取。

2) 仿真取證系統(tǒng)運行環(huán)境與工作流程

圖7 仿真實現(xiàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖7 是本文仿真取證系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。實驗中主機(jī)A、B和C都將訪問圖書借閱系統(tǒng)，主機(jī)D作為取證控制端，監(jiān)控A、B和C發(fā)送取證指令和接收證據(jù)。工作流程為：① A、B、C訪問用戶圖書借閱系統(tǒng)，D將主動獲取A、B和C的IP地址且在其中植入取證程序，對操作進(jìn)行監(jiān)控，記錄并提取行為數(shù)據(jù)；② 建立表征用戶行為特征的云模型和與之對應(yīng)的用戶行為評估云模型，然后將A、B和C的行為分別映射到反映自身行為特征的云模型上，最終獲得行為可信得分和行為確定度值；③ 根據(jù)行為的評估結(jié)果值和確定度對A、B和C選擇不同的策略，然后根據(jù)策略進(jìn)行不同的處理；④ A內(nèi)植入的取證程序被激活，然后對A的各種操作行為進(jìn)行記錄；⑤ 取證程序?qū)@取的信息發(fā)送給D；⑥ D接收從A秘密發(fā)送過來的信息。

1) 系統(tǒng)主要模塊的實現(xiàn)

① 系統(tǒng)監(jiān)控模塊：借鑒了文獻(xiàn)[15]中介紹的網(wǎng)頁木馬的相關(guān)方法，獲取圖書借閱系統(tǒng)的主機(jī)IP并在主機(jī)中植入取證程序。

② 用戶行為評估模塊：在實現(xiàn)方式上主要依靠正向云生成器算法，具體的評估方法已在3.2中詳細(xì)介紹，在此不再重復(fù)。

③ 行為取證模塊：包括取證程序獲取被控端的信息和將獲取的信息傳送給取證控制端兩個方面，具體方法在2.3節(jié)中已詳細(xì)介紹，不再重復(fù)。

2) 系統(tǒng)運行結(jié)果

為體現(xiàn)本文系統(tǒng)對不同的決策所做出不同的響應(yīng)結(jié)果，實驗使用3個主機(jī)分別去訪問圖書借閱系統(tǒng)，對應(yīng)的決策分別是不再監(jiān)控、阻止操作和記錄操作。當(dāng)選擇的決策為阻止操作時，系統(tǒng)就會強(qiáng)制其頁面跳轉(zhuǎn)至出錯頁面，從而退出該系統(tǒng)；當(dāng)選擇的策略為記錄操作時，取證程序?qū)涗浻脩舻母鞣N操作。

4 結(jié) 語

業(yè)務(wù)用戶行為的多樣性決定了在描述和評估行為時存在的誤差性和模糊性，這使得網(wǎng)絡(luò)取證的困難度提升而準(zhǔn)確度卻降低。本文以復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境為研究背景，借鑒已有的研究成果并引入云模型理論，提出了基于云模型理論的業(yè)務(wù)用戶行為評估模型；結(jié)合木馬技術(shù)，研究并提出了基于業(yè)務(wù)用戶行為的計算機(jī)動態(tài)取證評估模型。通過仿真實驗，進(jìn)一步驗證了本文研究的業(yè)務(wù)用戶行為評估模型的合理性，同時還驗證了計算機(jī)動態(tài)取證評估模型能實時隱蔽的記錄用戶的行為，并能確保將獲取的信息反饋給取證控制端。雖然目前取得了一些階段性成果，但是針對不同業(yè)務(wù)系統(tǒng)的實際情況還需通過業(yè)務(wù)流進(jìn)一步分析用戶行為，同時有很多實際問題需要進(jìn)一步研究解決。

[1] 郭樹凱, 田立勤, 沈?qū)W利． FAHP在用戶行為信任評價中的研究[J]. 計算機(jī)工程與應(yīng)用, 2011, 47(12): 59-61. GUO Shu-kai, TIAN Li-qin, SHEN Xue-li. Research on FAHP method in user behavior trustcomputation[J]. Computer Engineering and Application, 2011, 47(12): 59-61.

[2] 劉慶云, 張冬艷, 譚建龍, 等. 基于多維屬性的網(wǎng)絡(luò)行為控制策略[J]. 清華大學(xué)學(xué)報(自然科學(xué)版), 2013, 53(12): 1682-1687. LIU Qing-yun, ZHANG Dong-yan, TAN Jian-long, et al. Network behavior control strategy based on multi dimension attribute[J]. Journal of Tsinghua University (Science and Technology), 2013, 53(12): 1682-1687.

[3] HALBOOB W, ABULAISH M, ALGHATHBAR K S. Quaternary privacy-levels preservation in computer forensics investigation process[C]//IEEE International Conference on Communications. [S.l.]: IEEE, 2011: 777-782.

[4] KE Hung-jui, LIU J, WANG Shiuh-jeng, et al. Hash-algorithms output for digital evidence in computer forensics[C]//IEEE International Conference on Communications. [S.l.]: IEEE, 2011: 399-404.

[5] ELEAZAR A A, MARIKO N M, HECTOR M P M. Network forensics with neurofuzzy techniques[C]//IEEE International Conference on Circuits and Systems. [S.l.]: IEEE, 2009: 848-850.

[6] HOELZ B W P, RALHA C G, GEEVERGHESE R, et al. A cooperative multi-agent approach to computer forensics [C]//IEEE International Conference on Communication. [S.l.]: IEEE, 2008: 477- 483.

[7] 戴碩, 杜曄. 一種異構(gòu)分布式防火墻與入侵檢測聯(lián)動構(gòu)架的通信機(jī)制[J]. 微電子學(xué)與計算機(jī), 2009, 26(8): 94-97. DAI Shuo, DU Ye. Communication mechanism design for heterogeneous distributed interaction framework between firewall and IDS[J]. Microelectronics & Computer, 2009, 26(8): 94-97.

[8] 楊衛(wèi)平, 段丹青. 基于多Agent的分布式計算機(jī)動態(tài)取證模型研究[J]. 計算機(jī)應(yīng)用與軟件, 2008, 25(3): 81-83. YANG Wei-ping, DUAN Dan-qing. A distributed computer dynamic forensics model based on multi-agent[J]. Computer Applications and Software, 2008, 25(3): 81-83.

[9] ZHOU Gang, MAI Yong-hao, CAO Qiang. Design and implementation of VEEL archive system for computer forensics[C]//IEEE International Conference on Communication. [S.l.]: IEEE, 2010: 138-141.

[10] 王延中. 一種基于云計算環(huán)境的動態(tài)取證模型研究[J].計算機(jī)測量與控制, 2012, 20(11): 3066-3069. WANG Yan-zhong. Dynamic forensic model based on cloud computing environment[J]. Computer Measurement & Control, 2012, 20(11): 3066-3069.

[11] 張仕斌, 許春香．基于云模型的信任評估方法研究[J].計算機(jī)學(xué)報, 2013, 35(2): 422-431. ZHANG Shi-bin, XU Chun-xiang. Study on the evaluation approach based on cloud model[J]. Chinese Journal of Computers, 2013, 35(2): 422-431.

[12] WANG Dan-chen, XU Yang, PU Wei. An information system security evaluation method of business operation targeting the service composition[C]//Decision Making and Soft Computing Proceedings of the 11th International FLINS Conference. Danvers: world scientific, 2014: 589-594.

[13] ZHANG Shi-bin, XU Chun-xiang, CHANG Yan, et al. Study on trusted access model based on user behavior[J]. International Journal of Advancements in Computing Technology, 2013, 5(1): 486-495.

[14] 苗奪謙, 王國胤．云模型與粒計算[M]. 北京: 科學(xué)出版社, 2012. MIAO Duo-qian, WANG Guo-ying. The cloud model and granular computing[M]. Beijing: Science Press, 2012.

[15] 羅文華. 木馬惡意程序電子數(shù)據(jù)取證環(huán)境的構(gòu)建[J]. 警察技術(shù), 2012, 22(2): 39-42. LUO Wen-hua. The construction of the electronic data forensics environment of Trojan horse[J]. Police Technology, 2012, 22(2): 39-42.

[16] 吳坤鴻, 舒輝, 董衛(wèi)宇. 內(nèi)核脫鉤技術(shù)在檢測rootkit木馬信息隱藏中的應(yīng)用[J]. 計算機(jī)工程與設(shè)計, 2008, 19(14): 3635-3638. WU Kun-hong, SHU Hui, DONG Wei-yu. Application of kernel decoupling technique in detection of rootkit Trojan information hiding[J]. Computer Engineering and Design, 2008, 19(14): 3635-3638.

編 輯 蔣 曉

Study on the Dynamic Computer Forensic Evaluation Model Based on Business User’s Behavior

WANG Dan-chen1,2, ZHANG Shi-bin3, XU Yang1, and XU Ning2

(1. Intelligent Control Development Center, Southwest Jiao tong University Chengdu 610031; 2. Sichuan Information Security Testing Evaluation Center Chengdu 610017; 3. College of Information Engineering, Chengdu University of Information Technology Chengdu 610225)

A dynamic computer forensic model based on business user’s behavior is proposed under the research background of complex network environment of information system. This model, which adopts the Trojans theory, provides a method of quantitative evaluation of business user’s behavior based on cloud model theory. The rationality of the model’s evaluation is verified through simulation tests. At the meantime, it is proved that the model is able to record the business user’s behavior covertly and real-timely, and ensure that the obtained evidence can be fed beck to the control terminal, offering a feasible technical approach to the research of computer forensics.

behavior evaluation; business user behavior; cloud model theory; dynamic computer forensic; trust cloud

TP393.08

A

10.3969/j.issn.1001-0548.2015.06.022

2014 ? 03 ?12；

2014 ? 12? 23

國家自然科學(xué)基金(61175055)；四川省重點科技研究發(fā)展計劃(2011FZ0051)；工信部無線電管理局項目([2011]146)作者簡介：王丹琛(1982 ? )，女，博士，主要從事基于業(yè)務(wù)信息系統(tǒng)安全評估及智能信息處理方面的研究.