一種網(wǎng)絡(luò)取證分析系統(tǒng)的設(shè)計(jì)

1、信息技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議一種網(wǎng)絡(luò)取證分析系統(tǒng)的設(shè)計(jì)史曉敏張琦周丹平（江南計(jì)算技術(shù)研究所無錫）摘要：隨著網(wǎng)絡(luò)攻擊監(jiān)測(cè)技術(shù)的發(fā)展，迫切需要加強(qiáng)網(wǎng)絡(luò)取證分析系統(tǒng)的研究。本文介紹了網(wǎng)絡(luò)取證的基本概念和研究現(xiàn)狀，提出了一種網(wǎng)絡(luò)取證分析系統(tǒng)的設(shè)計(jì)方案。該方案具有良好的實(shí)踐性。關(guān)鍵詞：網(wǎng)絡(luò)攻擊監(jiān)測(cè)：網(wǎng)絡(luò)取證分析；報(bào)文采集存儲(chǔ)；流量統(tǒng)計(jì)；應(yīng)用還原，（，）：，：引言網(wǎng)絡(luò)取證分析作為網(wǎng)絡(luò)攻擊監(jiān)測(cè)的重要組成，是發(fā)現(xiàn)、分析、驗(yàn)證和評(píng)估網(wǎng)絡(luò)攻擊的必要手段，能夠?qū)崟r(shí)、持續(xù)地捕獲出入被監(jiān)測(cè)網(wǎng)絡(luò)的所有數(shù)據(jù)包并實(shí)時(shí)竽儲(chǔ)劍內(nèi)部或外部存儲(chǔ)器上。它仿佛一個(gè)攝像機(jī)，監(jiān)視著網(wǎng)絡(luò)資源被使州的安全狀況，記錄著所有的網(wǎng)絡(luò)攻；竹過科，提供了控告和

2、懲治非法攻擊者的有力證據(jù)。同時(shí)網(wǎng)絡(luò)取證分析系統(tǒng)還通過多維分析視圖為分析員提供豐富的分析素材、線索和依據(jù)，用于對(duì)網(wǎng)絡(luò)攻擊事件的發(fā)現(xiàn)、確認(rèn)和評(píng)估。、網(wǎng)絡(luò)取證分析概述網(wǎng)絡(luò)取證是指捕獲、記錄和分析網(wǎng)絡(luò)事件以發(fā)現(xiàn)安全攻擊或其他的問題事件的來源。年首次提出，網(wǎng)絡(luò)取證（）的概念，并介紹了個(gè)稱為輕最網(wǎng)絡(luò)記錄器（）的網(wǎng)絡(luò)取證系統(tǒng)。年根據(jù)報(bào)文存儲(chǔ)方式將網(wǎng)絡(luò)取證系統(tǒng)分為兩種。種是“盡最獲取系統(tǒng)”（“”），即將捕獲的報(bào)文全部存儲(chǔ)來，形成一個(gè)完整的網(wǎng)絡(luò)流莆記錄，這種方式能保證系統(tǒng)不丟失任何潛在的信息，能最大限度地恢復(fù)黑客攻時(shí)的現(xiàn)場(chǎng)。另一種是“停來，觀察并監(jiān)聽”系統(tǒng)（“，”），采用某種過濾機(jī)制排除不相關(guān)的網(wǎng)絡(luò)報(bào)文，只存儲(chǔ)

3、和網(wǎng)絡(luò)安全事件分析相關(guān)的網(wǎng)絡(luò)報(bào)文。這種方式可以減少系統(tǒng)的存儲(chǔ)容量需求，但有可能丟火一些潛在的信息。這兩種方式都需要引入淘汰機(jī)制米控制存儲(chǔ)空間的增長。網(wǎng)絡(luò)取證系統(tǒng)通常由數(shù)據(jù)捕獲、數(shù)據(jù)分析和深度攻擊監(jiān)測(cè)等部分組成。通常也被稱為（）。信息技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議目前網(wǎng)絡(luò)取證已成為數(shù)寧取證的鶯要分支，是網(wǎng)絡(luò)攻擊事件分析的重要環(huán)節(jié)。網(wǎng)絡(luò)取證設(shè)備通常通過交換機(jī)的鏡像透明接入被監(jiān)測(cè)網(wǎng)絡(luò)。攻擊者在完成網(wǎng)絡(luò)攻擊后可以成功擦除受害者豐機(jī)上的所有門志信息，卻無法刪除存儲(chǔ)在網(wǎng)絡(luò)取證設(shè)備上的網(wǎng)絡(luò)證據(jù)。這種情況下，作為取證分析唯一的網(wǎng)絡(luò)證據(jù)就顯得尤為重要了。闌外網(wǎng)絡(luò)取證技術(shù)已經(jīng)比較成熟，已形成通用商業(yè)化產(chǎn)品，如公司的、公司的、

4、公司的、公司的、公司的。近幾年來，同內(nèi)也開展了對(duì)網(wǎng)絡(luò)取證與分析技術(shù)的研究，一些公開的期刊和會(huì)議資料上發(fā)表了相關(guān)的論文，但到目前為止還沒有出現(xiàn)成熟的產(chǎn)品。、一種網(wǎng)絡(luò)取證分析系統(tǒng)的設(shè)計(jì)系統(tǒng)組成結(jié)構(gòu)網(wǎng)絡(luò)取證分析系統(tǒng)流量統(tǒng)計(jì)、應(yīng)用還原、原始報(bào)文處理、輔助功能和用戶界面等功能模塊組成。其組成結(jié)構(gòu)示意圖如圖所示。輔助功能一一昌翟圖系統(tǒng)組成結(jié)構(gòu)示意圖系統(tǒng)功能描述原始報(bào)文處理模塊：實(shí)現(xiàn)報(bào)文的采集存儲(chǔ)、攻擊數(shù)據(jù)過濾和為配合原始報(bào)文杏詢界面而實(shí)現(xiàn)的報(bào)文過濾功能。這里的攻擊數(shù)據(jù)過濾功能是指系統(tǒng)能夠自動(dòng)從原始報(bào)文過濾出和攻擊告警干關(guān)的報(bào)文存儲(chǔ)到攻擊數(shù)據(jù)目錄。流星統(tǒng)計(jì)模塊：實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)流量的統(tǒng)計(jì)分析功能，是分析和發(fā)現(xiàn)

5、未知攻擊的秉要于段。系統(tǒng)對(duì)采集的報(bào)文進(jìn)行分析處理，生成流量統(tǒng)計(jì)信息，并對(duì)其進(jìn)行分類統(tǒng)計(jì)分析，為用戶交互界面提供流量趨勢(shì)、流量組成、等信息，以及豐富的流量統(tǒng)計(jì)視圖。應(yīng)用還原模塊：支持對(duì)、等標(biāo)準(zhǔn)協(xié)議的應(yīng)用還原。能夠根據(jù)用戶輸入的過濾條件從原始報(bào)義數(shù)據(jù)庫中檢索出牛應(yīng)的報(bào)文，對(duì)報(bào)義進(jìn)行基于會(huì)話的重組和基于內(nèi)容的協(xié)議識(shí)別，同時(shí)對(duì)應(yīng)用協(xié)議的重要元素進(jìn)行分析提取。輔助功能模塊：主要包括告警接收處理功能和攻擊豁測(cè)功能。告警分析處理功能實(shí)現(xiàn)與第三方設(shè)備的聯(lián)動(dòng)接口，接收并分析來自設(shè)備的攻擊告警，存入本地攻擊告警數(shù)據(jù)庫：另方面，接收并分析來自用界面的告警查詢命令，在攻擊告警數(shù)據(jù)庫巾檢索出匹配的信息技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議

6、告警數(shù)據(jù)。用戶界面模塊：通過友善的多維視圖為分析員提供了豐富的分析素材、線索和依據(jù)，包括宏觀的流量數(shù)據(jù)展示視圖，微觀的原始報(bào)文、應(yīng)用還原視圖以及告警信息視圖。通過向分析員提供所有安全事件的靈活的組合查詢，將大量零亂的安全事件根據(jù)時(shí)問、源、目的、協(xié)議等信息梢互關(guān)聯(lián)，更深層次的挖掘安全事件之問的關(guān)系，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行多角度的分析判斷，從而實(shí)現(xiàn)攻擊行為的確認(rèn)和風(fēng)險(xiǎn)評(píng)估，以及新型攻擊行為的發(fā)現(xiàn)和驗(yàn)證。原始報(bào)文處理模塊原始報(bào)文處理模塊主要包括報(bào)文采集與記錄、數(shù)據(jù)轉(zhuǎn)儲(chǔ)與空問維護(hù)、攻擊數(shù)據(jù)過濾和原始報(bào)文過濾處理了模塊。該模塊首先實(shí)現(xiàn)報(bào)文采集和存儲(chǔ)功能。通過報(bào)文采集與記錄了模塊將原始報(bào)文以文件的方式存入內(nèi)存

7、，當(dāng)文件長度或持續(xù)記錄時(shí)日達(dá)到限額值時(shí)關(guān)閉文件，將文件復(fù)制到磁盤上原始數(shù)據(jù)存儲(chǔ)目錄，同時(shí)通知攻擊數(shù)據(jù)過濾予模塊從磁盤匕的原始報(bào)文目錄下檢索出和該攻擊告警相關(guān)的數(shù)據(jù)，存入攻擊數(shù)據(jù)存儲(chǔ)目錄。數(shù)據(jù)轉(zhuǎn)儲(chǔ)與卒問維護(hù)予模塊對(duì)磁盤上原始報(bào)文存儲(chǔ)窄問進(jìn)行檢查和維護(hù)，確保存足夠的存儲(chǔ)窄問，并將內(nèi)存巾的數(shù)據(jù)義件拷貝到磁盤上。在原始報(bào)文處理模塊中需要重點(diǎn)考慮報(bào)文的存儲(chǔ)策略。報(bào)文的存儲(chǔ)策略需要滿足兩方面的需求，一足為了最大限度地恢復(fù)網(wǎng)絡(luò)攻擊的現(xiàn)場(chǎng)，為網(wǎng)絡(luò)攻擊的取證分析提供完整的取證素材，需要將源源斷的數(shù)據(jù)流按照特定格式傘部存入文件系統(tǒng)。另一方面，要滿足有限存儲(chǔ)窄問的限制，需要及時(shí)刪除與取證分析無關(guān)的正常數(shù)據(jù)，保證有足

8、夠的存儲(chǔ)窄問實(shí)現(xiàn)對(duì)數(shù)據(jù)流的持續(xù)記錄。同時(shí)系統(tǒng)要確保攻擊數(shù)據(jù)存儲(chǔ)的可靠阽和完整。陀。為此，系統(tǒng)將原始報(bào)文和攻擊數(shù)據(jù)分開存儲(chǔ)，將海量原始報(bào)文存儲(chǔ)存動(dòng)態(tài)存儲(chǔ)區(qū)域，將攻擊數(shù)據(jù)存儲(chǔ)在靜態(tài)存儲(chǔ)區(qū)域。與靜念存儲(chǔ)區(qū)域的攻擊數(shù)據(jù)相比，動(dòng)態(tài)存儲(chǔ)區(qū)域中的原始報(bào)義的存儲(chǔ)時(shí)問是短暫的，當(dāng)動(dòng)念存儲(chǔ)區(qū)域達(dá)到最大限額時(shí)，將自動(dòng)刪除最早的文件，保證后續(xù)的原始報(bào)文能夠持續(xù)記錄。靜態(tài)存儲(chǔ)區(qū)域的窄問要足夠大，保證較長時(shí)問內(nèi)的攻擊數(shù)據(jù)能夠完整、可靠的存儲(chǔ)。流量統(tǒng)計(jì)模塊流量統(tǒng)計(jì)模塊豐要包括流量數(shù)據(jù)牛成和實(shí)時(shí)流量統(tǒng)計(jì)分析和定期流量統(tǒng)計(jì)分析了模塊。流量統(tǒng)計(jì)模塊的工作豐要包括兩方面：一是流量數(shù)據(jù)牛成，二是流量統(tǒng)計(jì)分析。后者主要包括定期流量統(tǒng)計(jì)

9、分析和實(shí)時(shí)流量統(tǒng)計(jì)分析。在流量數(shù)據(jù)牛成過程巾，系統(tǒng)維護(hù)一個(gè)連接狀態(tài)表，其巾的表項(xiàng)包括通信的源地址、目的地址、源端、目的端、協(xié)議、標(biāo)志、寧節(jié)數(shù)、報(bào)文數(shù)、通信時(shí)間等信息。當(dāng)系統(tǒng)接收到一個(gè)原始包時(shí)，對(duì)包頭信息進(jìn)行解碼，并根據(jù)地址、端信息查詢狀態(tài)表中梢應(yīng)表項(xiàng)。若存在則創(chuàng)建并填充新的狀態(tài)表項(xiàng)，行則虹新表項(xiàng)巾的通信狀態(tài)和流量信息。當(dāng)系統(tǒng)檢測(cè)到狀態(tài)表項(xiàng)到期時(shí)，則生成豐應(yīng)的流量統(tǒng)計(jì)記錄并存入流量數(shù)據(jù)庫。定期流量統(tǒng)計(jì)分析予模塊要為用戶界面和攻擊監(jiān)測(cè)模塊提供統(tǒng)計(jì)數(shù)據(jù)。根據(jù)用戶界嘶的流量數(shù)據(jù)展示子模塊的統(tǒng)計(jì)元素定期（每小時(shí)每每月）對(duì)流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，生成相應(yīng)的定期流量統(tǒng)計(jì)報(bào)表文件。同時(shí)，根據(jù)攻擊豁測(cè)模塊巾異常臨

10、測(cè)子模塊的需求，定期根據(jù)異常檢測(cè)規(guī)則對(duì)匹配條件的流量數(shù)據(jù)進(jìn)行統(tǒng)汁。實(shí)時(shí)流量統(tǒng)計(jì)分析，對(duì)指定范幽內(nèi)的流量數(shù)據(jù)和定期流量統(tǒng)計(jì)報(bào)農(nóng)進(jìn)行統(tǒng)計(jì)分析，包括應(yīng)用、會(huì)話（主機(jī)）、（源地址）、（的地址），生成相應(yīng)的流量統(tǒng)計(jì)報(bào)表文件，供用，、界嘶模塊終流量數(shù)據(jù)展示子模塊使用。應(yīng)用還原模塊應(yīng)用還原模塊豐要包括會(huì)話重組、協(xié)議識(shí)別和協(xié)議分析了模塊。首先調(diào)用會(huì)話重組予模塊從指定的數(shù)據(jù)文件一讀入數(shù)據(jù)包并進(jìn)行存儲(chǔ)、排序、重組后，對(duì)以會(huì)話為單位對(duì)數(shù)據(jù)進(jìn)行分析統(tǒng)計(jì)，接著調(diào)用協(xié)議識(shí)別模塊根據(jù)數(shù)據(jù)內(nèi)容進(jìn)行挑議識(shí)別。和傳統(tǒng)的依據(jù)端號(hào)進(jìn)行盼議識(shí)別的方法比，根據(jù)報(bào)文內(nèi)容進(jìn)行識(shí)別的方法更為準(zhǔn)確，不儀能夠識(shí)別在標(biāo)準(zhǔn)端上進(jìn)行信息技術(shù)與應(yīng)用學(xué)術(shù)會(huì)

11、議的非標(biāo)準(zhǔn)協(xié)議通信，還能夠識(shí)別使用非標(biāo)準(zhǔn)端進(jìn)行的標(biāo)準(zhǔn)協(xié)議通信。接下來協(xié)議分析了模塊對(duì)、協(xié)議的重要防議冗素進(jìn)行細(xì)致的分析和審計(jì)，生成相應(yīng)的應(yīng)用會(huì)話摘要文件和數(shù)據(jù)文件。輔助功能模塊輔助功能模塊豐要包括攻擊監(jiān)測(cè)、告警接收處理予模塊。攻擊監(jiān)測(cè)了模塊采取攻擊特征識(shí)別技術(shù)和異常行為檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行攻擊行為識(shí)別，是輔助分析員發(fā)現(xiàn)攻擊及異常線索的自動(dòng)化工具。攻擊監(jiān)測(cè)予模塊有兩種工作模式，一是實(shí)時(shí)監(jiān)測(cè)模式，即實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)其逐一檢查；二是離線監(jiān)測(cè)模式，即當(dāng)分析員通過流量分析等其它于段發(fā)現(xiàn)異常時(shí)，可以將異常時(shí)段的數(shù)據(jù)提交攻擊監(jiān)測(cè)模塊進(jìn)行離線攻擊檢測(cè)。告警接收處理了模塊主要包括告警接收、告警分析和告

12、警查詢功能。告警接收和告警分析子模塊實(shí)現(xiàn)與第三方網(wǎng)絡(luò)入侵檢測(cè)設(shè)備（）的聯(lián)動(dòng)接。接收來自第三方設(shè)備的攻擊告警，并對(duì)告警信息進(jìn)行處理。告警分析子模塊根據(jù)告警信息巾的設(shè)備信息，識(shí)別設(shè)備類型，再依據(jù)與小同設(shè)備之日的通信規(guī)范對(duì)告警信息進(jìn)行解析，提取告警產(chǎn)生時(shí)間、源地址、源端口、目的地址、目的端口、協(xié)議、告警摘述等信息存入本地攻擊告警數(shù)據(jù)庫。告警查詢子模塊接收并分析來自用戶界面的告警查詢命令，根據(jù)用，、輸入的查詢條件，在攻擊告警數(shù)據(jù)庫巾檢索出匹配的告警數(shù)據(jù)。用戶界面模塊用戶界面模塊包括告警展示、流量數(shù)據(jù)展示、應(yīng)用還原展示、原始報(bào)文展示和配置管理了模塊，分別提供了告警查詢操作、流量數(shù)據(jù)統(tǒng)計(jì)查詢、應(yīng)用還原、原

13、始報(bào)文查詢的人機(jī)交互接。在界面巾，用戶可以輸入查詢條件，包括起止時(shí)間、地址、過濾策略等，各了模塊調(diào)用相關(guān)處躑模塊進(jìn)行處理，并負(fù)責(zé)向用戶展示返回結(jié)果。配置管理子模塊負(fù)責(zé)對(duì)系統(tǒng)的配煢管理工作，包括系統(tǒng)的地址、用戶帳號(hào)、攻擊監(jiān)測(cè)規(guī)則和參數(shù)、數(shù)據(jù)庫維護(hù)等。、結(jié)束語本文介紹的網(wǎng)絡(luò)取證與分析系統(tǒng)在報(bào)文存儲(chǔ)策略方面別具特色，既能夠保證短期內(nèi)全部原始報(bào)文的完整存儲(chǔ)，又能夠確保長期內(nèi)攻擊數(shù)據(jù)的可靠存儲(chǔ)。實(shí)際中可根據(jù)被監(jiān)測(cè)網(wǎng)絡(luò)的規(guī)模設(shè)定動(dòng)態(tài)存儲(chǔ)區(qū)域和靜態(tài)存儲(chǔ)區(qū)域的空問大小。另外，系統(tǒng)還提供了攻擊監(jiān)測(cè)功能，攻擊監(jiān)測(cè)予模塊可以工作在實(shí)時(shí)監(jiān)測(cè)模式和離線監(jiān)測(cè)模式下。其巾，在數(shù)據(jù)量大的情況下實(shí)時(shí)監(jiān)測(cè)模式下的攻擊監(jiān)測(cè)功能對(duì)系統(tǒng)的性能影響較大，建議在被監(jiān)測(cè)網(wǎng)絡(luò)沒有布署獨(dú)屯的入侵檢測(cè)設(shè)備（）時(shí)再啟用。參考文獻(xiàn)：【】段玲，王鋒嘲絡(luò)取證技術(shù)研究信息網(wǎng)絡(luò)安全【】：【】：【】，作者簡介：史曉敏，江南計(jì)算技術(shù)研究所高級(jí)上樣師，長期從事嘲絡(luò)安全產(chǎn)品研發(fā)和網(wǎng)絡(luò)攻山監(jiān)測(cè)預(yù)警系統(tǒng)的研究上作，在網(wǎng)絡(luò)攻擊監(jiān)測(cè)、惡意代碼分析方面積累了豐富的實(shí)踐經(jīng)驗(yàn)。 一種網(wǎng)絡(luò)取證分析系統(tǒng)的設(shè)計(jì)作者：史曉敏， 張琦， 周丹平， SHI Xiao Min， ZHANG Qi， ZHOU Dan Ping作者單位：江南計(jì)算技術(shù)研究所,無錫,214083刊名：中國電子商情·通信市場(chǎng)英文刊名：TELECOM MARKE