基于系统日志的计算机取证技术的分析研究
《计算机与网络》2012年第08期
Computer &Network
网络技术
计算机与网络创新生活
1引言
随着计算机技术的发展,计算机和计算机网络在政治、经济、文化、军事等领域得到了广泛的应用,人们也越来越依赖计算机和计算机网络技术。由于计算机技术的普及和互联网络的虚拟性、开放性,以及与计算机使用相关的立法工作的滞后性,出现了利用计算机和互联网为工具的犯罪活动,计算机网络安全越来越受到人们的关注和重视。计算机取证技术正是在这种应用背景下发展起来的,它的目标就是对计算机系统和计算机网络中发生的犯罪行为进行取证分析,获取入侵事件的电子证据。
2计算机取证技术的相关概念
2.1计算机取证的概念
“计算机取证”是一门新兴的学科,是计算机科学和法学
的交叉科学。自从这个名词提出以来,不少专家学者和研究机构尝试着给出“计算机取证”的定义。尽管各种定义的形式和侧重点不同,但本质上是一样的。计算机取证就是对存在于计算机及其相关的设备中的电子证据进行获取、保全、鉴别、分析和递交的过程,并且这一过程要能够被法律认可,所获取的证据必须是真实的、准确的、完整的,符合法律规定的,可为法庭所接受的[1]。
2.2计算机取证的过程
与传统的取证相比,计算机取证一般按照以下过程[2]:(1)获取证据:对计算机存储设备中的文件系统进行按比特位拷贝镜像,恢复已经删除的文件和系统的Swap 文件,获取进程信息和内存中的动态数据,对计算机网络进行侦听,抓
取网络中的报文流,读取web 服务器、邮件服务器、防火墙、
IDS 等设备和服务的日志信息和报警信息等。
(2)保全证据:对获取的证据进行完整性验证,采取加密、数字签名、加时间戳等方式保护证据不被篡改。
(3)分析证据:对获取的电子数据进行分析、比较和关联,
基于系统日志的计算机取证技术的分析研究
马玉龙
赵太祥周雨
(空军第一航空学院基础部计算机教研室
河南信阳
464000)
[摘要]随着计算机网络技术的发展,计算机网络安全越来越受到人们的关注和重视。计算机取证技术正是在这种背景下发展起来的,它的目标就是对计算机系统和计算机网络中发生的犯罪行为进行取证分析,获取入侵事件的电子证据。本文主要介绍了计算机取证技术,重点研究了基于系统日志的计算机取证技术。
[关键词]计算机犯罪计算机取证系统日志
中图分类号:TP311
文献标识码:A
文章编号:1008-1739(2012)08-66-3
Research about Computer Forensics Technology ′based
on System Log
MA Yu-long,ZHAO Tai-xiang,ZHOU Yu
(Foundation department,The First Aeronautic Institute of Air Force,Xinyang He /nan 464000,China)
Abstract :With the development of computer network technology,people pay more and more attention on computer network
https://www.docsj.com/doc/e010054534.html,puter forensics technology develops in this context.It ′s goal is the forensic analysis of criminal acts that occurred in the computer systems and computer networks,and access to the invasion of electronic evidence.This paper describes the computer forensics technology,focusing on computer forensics technology that is based on the system log.
Key words :computer crimes ;computer forensics ;system log
定稿日期:2012-03-26
66
2012年第08期《计算机与网络》
Computer &Network
网络技术
计算机与网络创新生活
抽取出和犯罪事件相关的信息,分析过程尽量在证据的备份件上进行,注意不改变分析对象的原始属性,对分析的过程要进行记录,能够经受对方检查。
(4)递交结果:打印对目标计算机和网络的全面分析结果,然后给出分析结论,以证据的形式按照合法的程序递交给司法机关。
3计算机系统日志取证的实现模型
3.1计算机系统日志的定义
所谓日志(Log)是指系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件[3]。日志是关于计算机系统活动的历史记录,是由监视系统活动的审计系统产生,一条日志记录可以由用户级、应用程序级、系统级活动组成。目前,主流操作系统都提供了较为完善的日志审计功能。
3.2基于系统日志的计算机网络取证的实现模型
基于系统日志的计算机网络用户行为取证分析系统模型如图1所示,系统由两大部分组成:日志采集agent 和取证服务器。日志采集负责对目标机器上的系统日志信息进行完整性验证、采集和发送,配置文件定义了采集代理的各种参数。取证服务器负责对Agent 端发送来的日志数据接收和保存;对原始日志数据进行完整性保护和验证;负责日志数据的预处理和管理;对日志数据进行取证分析,根据取证人员的指令对数据库中的日志数据进行统计分析、关联分析等;生成和递交分析结果,根据取证分析结果,从原始日志文件中抽取出与计算机犯罪相关的日志记录,生成符合法律要求的书面取
证结果。
图
1基于系统日志的计算机网络用户行为取证分析系统模型
4日志取证的关键技术
4.1日志的采集
日志采集代理部署在局域网内的重点服务器以及局域网边界处的proxy 服务器和IDS 服务器上,负责采集目标服务器的系统日志、代理服务器上的访问日志和IDS 的报警信息。日志采集代理应该具备以下功能:
(1)根据配置文件的要求配置采集参数,按照设定的频率
采集指定的系统日志和服务器日志并发送到远端的取证服务器;
(2)负责安全通道的建立和维护,并对取证服务器端进行身
份认证,通过安全通道传输数据,并记录数据采集、传输的过程。
4.2日志数据的保存与管理
日志数据保存的主要问题是文件的目录管理。取证服务器接收来自不同服务器的不同系统日志和应用程序日志,采取分类分层储存的方案:将接收来的各种日志按照接收时间、源IP 地址、日志类型进行分层存储,目录层次如图2所示。
图2原始日志文件层次目录
4.3日志的取证分析
计算机取证分析与传统的犯罪调查取证分析不同,传统的取证分析从已得的证据样本中获取尽可能多的信息,而计算机取证分析面临的是海量数据,无法人工逐条分析,需要借助计算机系统,从中筛选出与计算机犯罪相关的证据材料。日志的取证分析主要包含统计分析、关联分析、查询与抽取、分析结果生成等[4]。
4.3.1日志的统计分析
面对海量的日志数据,无法通过人工逐条判读日志记录来发现异常的记录项以及与事件相关的记录项。可以利用数据库提供的强大的扫描和统计功能来进行取证分析。统计分析可以帮助建立网络和用户的正常行为规律,还可以实现日志记录的聚类,缩小分析的范围,检测出异常的日志记录,判断攻击的来源和方法,为后续的人工详细分析判断日志记录做准备。
4.3.2日志数据的查询与抽取
对日志的统计分析和关联分析是通过对日志数据库的扫描分析的结果,这些日志数据是经过预处理的,还应该找出对应的原始日志记录,可以根据统计分析和关联分析中给出的记录号以及时间戳、IP 地址等关键值信息在原始日志文件中
找出对应的日志记录,在抽取出日志记录后利用CES 算法中的签名抽取算法重新计算抽取签名,从而锁定日志数据。
4.3.3分析结果的生成与递交
日志记录的格式多种多样,有的日志长度过长,含有冗余信息,在最终递交取证结果之前要对其进行整理,消除其中的
67
《计算机与网络》2012年第08期
Computer &Network
网络技术
计算机与网络创新生活
垃圾信息、冗余信息和无关信息,建立事件的时间顺序,给出攻击可能发生的时间、时间跨度、入侵的工具、入侵的技术、源宿地址端口、入侵的源头、造成的潜在的破坏、入侵的特征描述和入侵者身份特征等信息,形成规范的、便于理解的取证分析报告。
5结束语
计算机取证是一门新兴的计算机科学与法学的交叉学科,是伴随着计算机技术的发展和计算机犯罪这一新的犯罪形式出现而出现的。到目前为止,还没有关于计算机取证的统一的、科学的标准,计算机取证技术还处于发展初期,计算机
取证应用还受计算机取证工具不足、没有标准的流程、缺少相关立法的制约,需要人们继续不断研究。
参考文献
[1]udd R obbins.An Explanation of Computer Forensics,1998.
[2]网威博士.计算机取证的原则和步骤[J].中国计算机报,2001-11-08.
[3]R.R ivest.The MD5Message-Digest Algorithm.R FC1321,1992,April.
[4]王玲、钱华林.计算机取证技术及其发展趋势[J],软件学报,2003,14(9):1635-1644.
近日,博科公司宣布推出新的入门级光纤通道SAN 交换机—Brocade 6505交换机,以扩大其全套下一代SAN 交换机和骨干网产品。这款产品进一步增加了客户选择,并为数据中心整合、扩展和更新项目提高了灵活性。此外,博科还在博科适配器与交换机之间新增了行业首创的虚拟化功能,以期简化服务器部署和管理。
博科还宣布IBM 成为首个提供全套博科16Gbps 解决方案的OEM 合作伙伴,其中包括交换机以及用于IBM 服务器的网络适配器。具体来说,IBM 即日将推出的FlexSystem?刀片服务器嵌入新的博科16Gbps SAN 交换机和Mezz 主机总线适配器(HBA )。此外,博科立式16Gbps HBA 卡现已推出,可以与机架和塔式IBM System x 相集成。
全球领先灾难恢复、托管服务、IT 咨询和业务连贯性管理软件解决方案提供商之一SunGard Availability Services 东南区业务区域副总裁Haim Glickman 表示:“对于我们这样高度虚拟化的环境来说,网络非常关键。在多个地点构建数据中心环境的过程中,我们部署了博科SAN 交换机,以便为我们的企业级灾难恢复服务提供更高的带宽和弹性。”
光纤网络是支持高度虚拟化数据中心和私有云环境的根本需求,也是Brocade One?战略“提供低延迟、一站式、易于运行的网络”的关键因素。现在,光纤通道是数据中心存储网络的事实标准,博科正在引导行业过渡到基于16Gbps 光纤通道标准的存储架构。
博科推出具有优异的性价比和企业级功能的入门级博科
6505交换机,进一步在产品上市时间上扩大了与竞争对手之
间的优势。在高效的1U 规格中,它可配置12或24个端口并支持2、4、8或16Gbps 速度。博科6505是博科SAN 系列产品的新成员,该系列还包括可配置24到48个端口的Brocade
6510交换机,以及包括4-和8-插槽配置的Brocade DCX?8510骨干网。
鉴于前所未有的存储需求,更多企业目前在数据中心内部署云和虚拟化。因此,光纤通道存储技术的市场需求不断增加,而且企业也在加速采用基于16Gbps 的SAN 产品。借助博科SAN 解决方案的独特特性,客户可以立即体验其价值,包括第二代机箱间链路,它可以在减少线缆数量的情况下实现更加扁平化、更加快速、更加简单的结构,从而提高整合率并降低网络复杂性和成本。此外,新型诊断端口(D_Ports )让管理员可以快速地发现并隔离光学元器件和线缆问题,大幅缩短网络部署与诊断时间。
Dell ’Oro Group1的调查显示:“光纤通道的交换机销售
额和端口出货量均在2011年第四季度创历史新高。光纤通道交换机的销售额环比增长13%,达到5.09亿美元,而端口出货量则达到180万端口。仔细审视光纤通道交换机的销售额,我们看到这种增长涉及的面很广,既包括模块化交换机,也包括固定端口交换机。由于推出了16Gbps 交换机,博科的光纤通道交换机销售额环比增长了15%。”
博科还将其光纤通道骨干网和交换机产品的优势延伸至其适配器系列,这将为部署全套博科SAN 结构的企业提供独一无二的优势。博科适配器的功能改进包括动态结构配置,它可以虚拟化博科适配器与交换机之间的连接,从而简化服务器部署和配置。
简化的部署是通过自动化时间密集型流程,以及在安装新的或替代设备,或者在交换机内部移动设备时自动化存储与服务器管理员之间的依赖关系而实现的。博科适配器现在还采用之前仅在交换机上提供的Brocade Diagnostic Ports 功能,以便管理员能够快速识别并阻隔光学元件和电缆问题。
博科嵌入式交换机和Mezz HBA 卡通过降低所需的外部端口、光学元件、电缆和电源的数量来消除过度购买并降低成本,从而提高了性能。它们还通过支持更高的虚拟机密度和固态存储阵列等下一代技术而提供投资保护。
博科凭借全套光纤通道网络解决方案扩大在云优化SAN 领域的领先地位
68