基于Linux系統的網絡入侵取證方法與實踐

◆劉曉麗 徐博赫

（中國刑事警察學院 遼寧 110854）

基于Linux系統的網絡入侵取證方法與實踐

◆劉曉麗 徐博赫

（中國刑事警察學院 遼寧 110854）

在已有的網絡安全研究中，多著眼于防范入侵，而對入侵后的取證問題研究相對較少。基于大部分公司如百度、騰訊和谷歌等都使用Linux系統的服務器，所以本文對基于Linux系統的網絡入侵取證技術進行總結和實踐。從基于Linux系統搭建的網站日志和Linux系統自身日志這兩方面探討取證的實現方法，前者的取證可以告訴我們攻擊者是從哪里攻入Linux系統的，后者的取證告訴我們攻擊者進入Linux系統后做了什么操作。

Linux系統；網絡入侵；取證方法

0 引言

網絡入侵取證主要通過對網絡數據流、審計痕跡、主機系統日志等信息的實時監控和分析，發現對網站或系統的入侵行為，自動記錄犯罪證據，并阻止對網站或系統的進一步入侵。網絡取證同樣要求對潛在的、有法律效力的證據的確定與獲取，但從當前的研究和應用來看，更強調對網絡的動態信息收集和網絡安全的主動防御。同時，網絡取證也要應用計算機取證的一些方法和技術。例如，如果我們能夠對主機的刪除操作進行動態跟蹤，就能盡早發現一些試圖抹除攻擊痕跡的攻擊行為并動態恢復、取證。

（1）Linux系統簡述

Linux是一種免費和開放源代碼的操作系統。由于Linux系統架構穩定、安全、簡單易用、可定制，使其成為目前最受互聯網公司喜愛的服務器系統。目前前沿技術領域如：大數據分析、機器學習、分布式系統、云計算、Android等都是應用的Linux系統。

（2）Linux系統日志文件記錄的信息

基于Linux系統搭建的網站日志會記錄一些常用的信息，還可以根據需求進一步設置記錄更多更全的信息，從這些信息中能夠發現攻擊者的行為，從而達到取證目的。

①時間戳：典型情況下包括日期以及以秒或一秒的若干分之一為單位的時間，它表示事件發生的時間或者將事件記錄到日志中的時間。

②基本的IP特征：每個請求的源地址、目標地址等。?訪問的URL（攻擊者的訪問URL帶有攻擊語句）。④訪問的瀏覽器標識、使用的操作系統。

⑤網站服務器返回的狀態碼和返回字符長度。（3）基于Linux系統搭建的網站日志文件作用

基于Linux系統搭建的網站日志文件最明顯的用處是提供可用于取證的數據。例如：當網站服務器被入侵后，可以使用日志文件來判斷哪個主機或哪些主機應當對該攻擊負責，以及攻擊者可能使用了哪些攻擊方法。通過網站的日志可以提供與此攻擊和攻擊者有關的其它信息。此外，在攻擊事件的處理過程中，正確保存和分析的網絡日志文件可以為法庭辯論提供證據。

1 基于Linux系統的網絡入侵取證方法與實踐

基于Linux系統搭建的網站具有默認開啟日志記錄的功能。網站日志是記錄網站接收請求以及網站運行時產生的錯誤等各種原始信息的文件。網站日志可以清楚地記錄著每個訪問者訪問網站時的一切信息。不同日志文件包含不同信息，如何理解這些信息、如何從邊界防御的角度來分析這些信息，將對網絡入侵取證起著十分重要的作用。

從網站日志中取證主要有人工分析取證和利用自動化日志取證系統取證兩種方法。其中人工分析取證要求取證人員具有耐心和認真、持之以恒的工作態度，適用于日志量較小的情況。在此種情況下，可以在Linux系統中使用grep這樣的Linux系統自帶工具處理日志，進行取證。而自動化日志取證系統適用于對大型網站產生的海量日志進行分析，其思想來源于大數據分析，在這種情況下，人工基本上無法對攻擊者進行身份識別，只能采用自動化形式。

1.1 針對網站日志人工分析取證方法與實踐

grep是一個Linux系統下特有的命令行工具。在給出文件列表或標準輸入后，grep會對匹配一個或多個正則表達式的文本進行搜索，并只輸出匹配（或者不匹配）的行或文本。除此之外包括顯示出不匹配的文本行、查找或排除搜索的文件以及用不同的方式在輸出中進行注釋。

grep用法示例：

示例1：“grep apple fruitlist.txt”。這里，grep會返回“fruitlist.txt”中所有包含“apple”的文本行。grep不會返回匹配“Apple”（A字母大寫）的文本行，因為grep默認情況下是大小寫敏感的。像大多數Unix命令行一樣，grep接受參數來改變或增加一些特別的功能。

示例2：“grep -i apple fruitlist.txt”，這個命令會返回所有匹配“apple”、“Apple”、“apPLE”或其它混合大小寫的拼寫。

由于攻擊者對網站發起攻擊必然會在訪問網站的URL中帶有攻擊語句特征，所以基于以上特點，我們只要在日志文件中利用grep工具進行篩選就能找出攻擊者的攻擊行為。

表1 常見的web應用攻擊語句表

在Linux系統的終端界面中對于網站日志可采用如下命令進行取證：

$cat access.log | grep../../../../etc/passwd

#命令釋義：

1.“cat access.log”代表打開網站日志文件access.log；

2.“|”代表并且的意思；

3.“grep../../../../etc/passwd”代表查找日志中包含任意命令執行漏洞類型的文本行。

如圖1所示，即為利用上述 grep工具對某被入侵網站的取證結果。

從圖1中可以看到，多個攻擊者利用任意命令執行漏洞對網站進行了攻擊。例如，以第一行內容來看，空格作為每部分的分割，第一部分顯示的是攻擊者的IP地址為192.168.114.52，第二部分內容顯示的是攻擊發起時間為2015年1月6日15點28分54秒，第三部分內容顯示的是攻擊者執行攻擊的語句，第四段內容顯示的是攻擊者使用什么瀏覽器進行訪問的。從中可以鎖定攻擊者身份信息，達到取證的目的。

圖1 grep工具對某被入侵網站的取證結果截圖

1.2 利用網站日志取證系統自動取證方法

現在是大數據時代，數據最根本的體現就是海量數據、多樣化的信息。隨著互聯網的興起，每天網站產生的日志量上億或者十幾億基本成為了主流，如果還是依賴之前的簡單腳本或者grep工具根本無法完成既定的分析取證。

Linux系統在大數據處理中有著天然的優勢，目前最主流對大數據處理方案都是應用于Linux系統并開源的，比如hive（離線分析）、storm（實時分析框架）、impala（實時計算引擎）、haddop（分布式計算）以及hbase、spark等等。

基于大數據的技術如此多，通過技術調研和分析研究，筆者選擇的Linux日志取證系統架構如圖2所示：

圖2 筆者選擇的Linux日志取證系統架構圖

Logstash、Elasticsearch、Kibana是在Linux系統下的輕量級的大數據分析方案。這三個軟件都是開源的，具有處理方式靈活、配置簡單易上手、檢索性能高效、上億數據秒級響應和集群線性擴展等特性，非常適合用來進行自動化日志取證。

Logstash：負責網站日志的收集、處理和存儲。

Elasticsearch：負責日志的檢索和分析。

Kibana：負責日志的可視化，通過自帶的網站對數據進行展示。

我們只需要將網站的日志接入Logstash軟件中，每天產生的幾億或者幾十億條網站日志信息就會自動化處理后展示到Kibana的網頁中，如圖3、圖4、圖5所示。

從圖3中，可以看到利用Linux系統的高性能加上正確的取證系統方案我們收集并展示了1億多條日志信息，通過對攻擊者攻擊規則的整理和篩選，我們從圖4、圖5中可以提煉出攻擊時間、攻擊ip、攻擊次數、攻擊類型以及一天有哪些時間段攻擊最多等信息，由此可以判斷攻擊者的技術能力、攻擊者個人信息及作案動機等相關信息。

圖3 Kibana展示的數據總量結果截圖

圖4 Kibana展示的攻擊取證結果截圖

圖5 Kibana展示的攻擊時間段和攻擊頻率結果截圖

1.3 針對Linux系統日志的取證方法

1.2中討論的是基于Linux系統搭建的網站被攻擊后的取證方法，目前Linux操作系統自身的安全事件也非常多。攻擊方式主要是弱口令攻擊、遠程溢出攻擊及其他系統漏洞攻擊等。

Linux系統自身擁有一套完整的日志記錄體系，這些日志提供了對系統活動的詳細審計，其中包括用戶的登錄時間、登錄地點、登錄后進行了哪些操作。從這些記錄中可以發現系統入侵行為并進行取證。

Linux系統主要日志有：message、secure、cron、mail、auth、kern、ftp、wtmp等系統日志。secure日志可以通過查看Accept關鍵字進行取證；last命令可以查看wtmp日志中的登錄信息，從中發現攻擊者的登錄IP，如圖6所示；history命令可以查看在Linux系統中攻擊者執行了哪些命令，確定攻擊者的意圖，如圖7 所示。

圖6 last命令查看登錄IP結果

圖7 history查看執行命令結果

通過分析我們發現，圖6通過last命令可以發現攻擊者使用192.170.129.40這個IP地址頻繁登錄系統。圖7顯示攻擊者登錄后進行了一系列操作，如遠程下載、修改登錄密碼、安裝軟件等，由此可以進行取證分析。

2 結語

作為電子數據取證技術的一個重要分支，網絡入侵取證技術已經成為一個熱點。本文探討了網絡入侵取證的部分方法，對于基于Linux系統的網站日志和Linux系統自身日志的取證實現方法進行了實踐。目前，網絡取證技術還沒有統一、比較完備的網絡取證流程，這造成了沒有統一的取證工具以及缺乏相應的評價指標等現狀。但是我們相信，網絡取證將來會得到越來越多的重視，并將成為應對網絡犯罪的重要手段。