一種基于免疫的網(wǎng)絡(luò)入侵動態(tài)取證方法

樊同科

（西安外事學(xué)院 計算機中心，陜西 西安 710077）

隨著計算機技術(shù)日新月異的發(fā)展，計算機應(yīng)用領(lǐng)域的不斷擴大，計算機在給人們的工作和生活帶來便利的同時，計算機犯罪也成幾何上升趨勢，給國家、公司和人民群眾帶來了巨大的損失，且這些黑客的攻擊技術(shù)及手段是越來越高明，他們可以在完成攻擊后全面徹底地銷毀證據(jù)或者篡改證據(jù)，事后即便使用最好的數(shù)據(jù)分析工具也無能為力，從而造成的惡果是：知道入侵者有罪，卻缺乏證據(jù)起訴，無法定罪。在入侵檢測方法和技術(shù)研究中，人們發(fā)現(xiàn)生物免疫系統(tǒng)（Immune System，IS）與入侵檢測系統(tǒng)（Intrusion Detection System，IDS）具有驚人的相似性。本文介紹的基于生物免疫系統(tǒng)（Bio-logical Immune System，BIS）的網(wǎng)絡(luò)入侵動態(tài)取證方法，對于幾種不同網(wǎng)絡(luò)入侵，可以實時進行證據(jù)的提取，有效地得到證據(jù)。

1 生物免疫系統(tǒng)

現(xiàn)代免疫學(xué)認為，人體內(nèi)存在一個負責(zé)免疫功能的完整解剖系統(tǒng)及免疫系統(tǒng)，與神經(jīng)系統(tǒng)和內(nèi)分泌系統(tǒng)等一樣，這個系統(tǒng)有著自身的運行機制，并可與其他系統(tǒng)相互配合、相互制約，共同維持機體在生命過程中總的生理平衡[1]。

免疫系統(tǒng)是抗擊病源入侵的首要防御系統(tǒng)，包括許多補體種類的免疫細胞及制造這些免疫細胞的免疫器官，為數(shù)最多的免疫細胞是淋巴細胞。它主要包括B細胞和T細胞，除了淋巴細胞外，還有其他種類的免疫細胞在免疫系統(tǒng)中發(fā)揮著不可忽視的作用。能被T細胞及B細胞識別并刺激T及B細胞進行特異性應(yīng)答的病原體，稱為抗原。在骨髓中的B細胞和在胸腺中的T細胞從不活躍、未成熟經(jīng)自體耐受發(fā)展為成熟的免疫細胞，一旦人體受到有關(guān)攻擊時，迅速產(chǎn)生免疫應(yīng)答。人體免疫系統(tǒng)是由免疫分子、免疫細胞、免疫組織和免疫器官組成的復(fù)雜系統(tǒng)。免疫防御指機體排斥外源性抗原異物的能力。這是人體籍以自凈、不受外來物質(zhì)干擾和保持物種純潔的生理機制。免疫防御的關(guān)鍵是辨別“自身細胞”（機體內(nèi)的無害分子）和“非自身細胞”（有害的病原體和外源性異物）。由于蛋白質(zhì)是生命物質(zhì)的基本成分，細胞不同，蛋白質(zhì)也不同，因此它具有很好的識別性[2]。

2 計算機取證

“計算機取證”最早是1991年由國際計算機專家協(xié)會（IACIS）在美國舉行的一次年會上提出的。對于這一術(shù)語，目前還沒有一個準確而統(tǒng)一的定義。計算機取證方面的專業(yè)及資深人士Judd Robbins[3]給出定義：計算機取證不過是簡單地將計算機調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取上。New Technologies[4]是一家專業(yè)的計算機緊急事件響應(yīng)和計算機取證咨詢公司，它擴展了Judd的定義：計算機取證包括了對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的保護、確認、提取和歸檔。

從計算機取證的概念中，可以看到，電子證據(jù)是計算機取證的核心。電子證據(jù)，是指以數(shù)字形式保存于計算機主存儲器或外部存儲介質(zhì)中，能夠證明案件真實情況的數(shù)據(jù)或信息。它的外在物質(zhì)形式為存有能夠證明案件真實情況的電子物品或者電子記錄設(shè)備。電子數(shù)據(jù)最終表現(xiàn)為文檔、圖形、圖像、聲音等形式[5]。電子證據(jù)除了必須具備傳統(tǒng)證據(jù)的可信性、準確性、完整性及能被法庭認可外，還具有其自身特點：1）電子證據(jù)是不斷變化的，并且容易受到破壞；2）電子證據(jù)不是直觀的，不能直接被人眼所識別，必須借助一定的取證工具才能獲?。?）電子證據(jù)能夠被反復(fù)使用；4）電子證據(jù)存在的形式具有多樣性。

3 設(shè)計思想

3.1 體系結(jié)構(gòu)

基于人工免疫的網(wǎng)絡(luò)入侵動態(tài)取證系統(tǒng)體系結(jié)構(gòu)如圖1所示。其中MoC為實時監(jiān)控細胞，執(zhí)行入侵檢測、監(jiān)控功能；DFoC為動態(tài)取證細胞，實施網(wǎng)絡(luò)入侵動態(tài)取證。MoC和DFoC分布于內(nèi)部網(wǎng)絡(luò)中的每一臺主機，從而形成一個分布式網(wǎng)絡(luò)入侵監(jiān)控系統(tǒng)。MoC對網(wǎng)絡(luò)消息進行抗原提呈，實施免疫執(zhí)行過程；檢測該抗原是否為網(wǎng)絡(luò)入侵，一旦確定為入侵事件，MoC分泌激素——當(dāng)前主機環(huán)境、攻擊類型、攻擊主機地址和端口號等，刺激DFoC，DFoC開始對攻擊現(xiàn)場進行證據(jù)的提取，完成入侵攻擊的一次監(jiān)控及取證過程[6]。

圖1 基于免疫的動態(tài)取證體系結(jié)構(gòu)

3.2 監(jiān)控細胞模型

MoC是基于動態(tài)克隆選擇原理[7-8]設(shè)計的網(wǎng)絡(luò)入侵監(jiān)控細胞模型，由3個功能模塊構(gòu)成：抗原提呈、免疫執(zhí)行及激素分泌。

1）抗原提呈 將網(wǎng)絡(luò)請求提呈為抗原表達式——96位的二進制串?？乖ㄗ泽w和非自體，初始自體集由系統(tǒng)管理員定義。自體一方面來自隨機產(chǎn)生的未成熟檢測細胞，并且這些未成熟檢測細胞在骨髓模型中耐受成功；另一方面來自經(jīng)過免疫執(zhí)行過程剩余的抗原，這些抗原也在骨髓模型中耐受成功。自體和執(zhí)行免疫功能的檢測細胞等同，不斷新增，又不斷死亡，從而產(chǎn)生動態(tài)性。而網(wǎng)絡(luò)信息中提呈為抗原表達式之后，那些不認為是自體的就構(gòu)成非自體集合。

2）免疫執(zhí)行 整個監(jiān)控細胞的免疫執(zhí)行功能由其中的檢測細胞（包括記憶檢測細胞和成熟檢測細胞）完成，過程如圖2所示，分3步實現(xiàn)：①首先記憶檢測細胞對抗原進行匹配，將檢測出的非自體刪除，并且刪除檢測出自體抗原的記憶檢測細胞，即記憶檢測細胞本身的死亡。②記憶檢測細胞檢測完畢，將處理后的抗原提交給成熟檢測細胞進行檢測，成熟檢測細胞檢測刪除非自體抗原；那些未激活的、年齡過大的成熟檢測細胞將被刪除，即成熟檢測細胞的死亡；匹配次數(shù)達到一定閥值的成熟檢測細胞激活為記憶檢測細胞。③被檢測抗原在經(jīng)過上述兩個過程檢測之后剩下的為自體抗原，這些抗原送入骨髓模型中進行耐受，一旦耐受成功，激活為成熟檢測細胞，耐受不成功則死亡。為了保證檢測細胞的數(shù)量，隨機生成一定數(shù)目的未成熟檢測細胞，在骨髓模型中耐受成功后成為成熟檢測細胞，參與到免疫執(zhí)行的過程中。

圖2 免疫執(zhí)行過程

3）激素分泌 檢測細胞（記憶或成熟檢測細胞）對抗原實施免疫執(zhí)行過程時，一旦檢測 到為非自體，該抗原則為網(wǎng)絡(luò)入侵，立即分泌激素至DFoC，DFoC開始對攻擊現(xiàn)場進行證據(jù)的提取。

3.3 動態(tài)取證細胞模型

動態(tài)取證細胞DFoC如圖3所示，它包括證據(jù)收集、數(shù)字簽名和傳遞3個模塊。

圖3 DFoC結(jié)構(gòu)模型

1）證據(jù)收集 實現(xiàn)對攻擊現(xiàn)場的快照，將得到的信息寫進預(yù)定義好的文件中，形成原始證據(jù)。

2）數(shù)字簽名 對待發(fā)送的數(shù)據(jù)使用國家許可的算法進行數(shù)字簽名并加蓋時間戳，確保證據(jù)的原始性和權(quán)威性。

3）傳遞模塊 將數(shù)字簽名后的證據(jù)經(jīng)安全VPN通過DFoC傳送至證據(jù)服務(wù)器。

證據(jù)服務(wù)器是一臺可信度非常高的機器，并且極少人接觸證據(jù)服務(wù)器。通過VPN與內(nèi)部網(wǎng)絡(luò)相連，確保其獨立性和安全性。證據(jù)服務(wù)器用來存放通過DFoC提取的證據(jù)，以供日后進行證據(jù)分析。當(dāng)證據(jù)服務(wù)器接收到證據(jù)后，也要對證據(jù)進行一次數(shù)據(jù)簽名并加蓋時間戳，完成證據(jù)的移交過程。

網(wǎng)絡(luò)入侵動態(tài)取證系統(tǒng)可對網(wǎng)絡(luò)中發(fā)生的攻擊過程及攻擊行為進行記錄和分析，并確保記錄信息的真實性與完整性，滿足計算機取證的要求，據(jù)此找出入侵者或入侵的機器，并解釋入侵的過程，從而確定責(zé)任人，并在必要時，采取法律手段維護受害者的利益。

4 仿真實驗

圖4為對主機進行smurf攻擊后得到的證據(jù)，大量存在echo請求和icmp回復(fù)。該攻擊向網(wǎng)絡(luò)廣播地址發(fā)送一個欺騙性Ping分組 （echo請求），并將源地址偽裝成目標(biāo)主機地址，子網(wǎng)內(nèi)所有主機都回應(yīng)廣播包請求向目標(biāo)主機發(fā)送echo響應(yīng)信息，使該主機受到攻擊。

圖4 smurf攻擊證據(jù)

5 結(jié) 論

大量存在于系統(tǒng)中的DFoC可在入侵發(fā)生時迅速、準確、全面地提取入侵證據(jù)。由于在提取證據(jù)的過程中可及時地獲取攻擊的特征、類別、發(fā)生層面（用戶層、系統(tǒng)層、進程層和網(wǎng)絡(luò)層）及其狀態(tài)、發(fā)生地點、時間等，這些信息完整地記錄了入侵的時間、地點、過程等，同時DFoC還可及時地從整個網(wǎng)絡(luò)環(huán)境中獲取入侵前后的狀態(tài)，將這些信息有機整合、排序，可再現(xiàn)入侵過程。該方法具有自適應(yīng)性、分布性、實時性和可靠性，是動態(tài)計算機取證的一個較好的解決方案。

[1]馬啟肇.醫(yī)學(xué)免疫學(xué)[M].北京：人民衛(wèi)生出版社，2001.

[2]于善謙，王洪海，朱乃碩，等.免疫學(xué)導(dǎo)論[M].北京：高等教育出版社，1999：5-9.

[3]陳龍，王國胤.計算機取證技術(shù)綜述[J].重慶郵電學(xué)院學(xué)報：自然科學(xué)版，2005，17（6）：736-741.

[4]許榕生，吳海燕，劉寶旭.計算機取證概述[J].計算機工程與運用，2001，21（37）：7-8.

[5]靳慧云，黃步根.計算機犯罪偵查[M].北京：中國人民公安大學(xué)出版社，2003.

[6]李濤.計算機免疫學(xué)[M].北京：電子工業(yè)出版社，2004.

[7]Kim Jungwon，Bentley Peter.Towards an artificial immune system for network intrusion detection：an investigation of clonal selection with a negative selection operator[C]//Proceedings of the Congress on Evolutionary Computation（CEC），Seoul，Korea，2001（5）：215-225.

[8]Kim Jungwon，Bentley Peter.A model of gene library evolution in the dynamic clonal selection algorithm[C]//Proceedings of the first International Conference on Artificial Immune System（ICARIS）Canterbury，2002（9）：158-266.