探討分布式計算機取證模型

【摘要】在發(fā)生計算機犯罪后的現(xiàn)場搜集相關(guān)證據(jù)，很難保證搜集到的證據(jù)的真實性、可靠性和完整性。針對這個問題，本文建立了一個分布式計算機取證模型，通過合理設置其內(nèi)部功能，可以有效提高計算機取證效率。經(jīng)過實踐證明，本文建立的取證模型具有良好的應用效果，具有廣泛推廣使用價值。

【關(guān)鍵詞】分布式計算機；取證模型；研究

1、前言

計算機取證通過采用現(xiàn)代計算機技術(shù)提取具有法律效力的計算機犯罪證據(jù)，例如針對計算機磁質(zhì)編碼信息進行提取和分析，確認和存檔等操作。當前，計算機網(wǎng)絡犯罪行為日益猖獗，目前主要有兩種計算機犯罪取證方法：一種是事后提取證據(jù)，就是在案發(fā)現(xiàn)場利用相關(guān)技術(shù)提取證據(jù)材料，針對各種遭受入侵的文件數(shù)據(jù)進行分析和歸檔，同時提取有關(guān)入侵證據(jù)；另一種是實時取證，該方法要求對計算機網(wǎng)絡進行實時監(jiān)測和保護，一旦出現(xiàn)黑客入侵行為，監(jiān)測系統(tǒng)自動啟動證據(jù)收集程序并提取相關(guān)入侵行徑數(shù)據(jù)，為執(zhí)法機關(guān)找出入侵黑客。隨著計算機技術(shù)的不斷發(fā)展和進步，黑客入侵攻擊技術(shù)也在發(fā)生日新月異的變化，黑客入侵得手后會將入侵電腦上的數(shù)據(jù)刪除或者惡意篡改，加大了事后靜態(tài)取證的難度，一般而言，監(jiān)控網(wǎng)絡數(shù)據(jù)包和流量變化是發(fā)現(xiàn)入侵威脅的主要方式，也是取證的重要目標。

本文建立了分布式計算機動態(tài)取證模型，通過采用動態(tài)取證方法來搜集入侵證據(jù)。本模型主要包含以下幾個功能模塊，即網(wǎng)絡數(shù)據(jù)收集、客戶機信息收集、數(shù)據(jù)分析等模塊，同時將客戶機與取證服務器之間的數(shù)據(jù)通道納入到監(jiān)測取證范圍，提高了分布式動態(tài)取證系統(tǒng)的工作效率。同時，還在windows平臺上進行了運行測試，實踐證明本系統(tǒng)相比傳統(tǒng)取證方法具有更高的效率，能夠為計算機網(wǎng)絡提供更加安全的保護措施。

2、系統(tǒng)設計

分布式動態(tài)計算機取證系統(tǒng)包含多個功能模塊，主要有數(shù)據(jù)收集、證據(jù)提取、證據(jù)存儲和分析、證據(jù)驗證等功能，它能夠保證證據(jù)數(shù)據(jù)的完整性和客觀性，具有良好的法律效力?；贑/S結(jié)構(gòu)的分布式動態(tài)取證模型主要由以下幾部分結(jié)構(gòu)組成：（1）信息收集存儲器，將搜集到的數(shù)據(jù)保存起來；（2）證據(jù)存儲處理和分析器，對搜集到的證據(jù)技進行歸類整理并存儲；（3）系統(tǒng)通信系統(tǒng)，負責傳輸各種信息，并保證通信順暢；（4）證據(jù)處理中心，提取相應的證據(jù)數(shù)據(jù)，滿足調(diào)查取證需要；（5）系統(tǒng)接口，以同其他系統(tǒng)建立便捷的聯(lián)系。

信息收集器主要功能是搜集相關(guān)入侵信息數(shù)據(jù)，將其存儲到證據(jù)中心處理。取證服務器的作用是將即時獲取的網(wǎng)絡數(shù)據(jù)信息進行存儲保管，并對其進行必要的分類整理，它工作效率的高低直接影響整個取證工作質(zhì)量水平，其主要包括三個功能模塊：（1）網(wǎng)絡數(shù)據(jù)收集模塊，用于獲取網(wǎng)絡數(shù)據(jù)源，監(jiān)測網(wǎng)絡中的全部活動；（2）客戶機數(shù)據(jù)接收與存儲模塊，用于接收保存來自客戶機信息、收集器的各種信息；（3）數(shù)據(jù)分析模塊，用于根據(jù)記錄分析入侵行為并得出結(jié)論。

2.1信息收集器模塊

證據(jù)信息各具特點，如果不進行適當正確處理就傳給取證服務器，必然會增加其的工作壓力，因此，信息收集器應有一定的信息分析處理功能，能按照取證信息的來源，將證據(jù)分類、簡單處理后再發(fā)送，也可以根據(jù)需要重點收集某些信息，如重要文件的信息、重要進程的信息等。

2.2網(wǎng)絡數(shù)據(jù)收集模塊

網(wǎng)絡數(shù)據(jù)收集模塊主要采用網(wǎng)絡監(jiān)聽技術(shù)，通過有效捕獲網(wǎng)絡數(shù)據(jù)包并對數(shù)據(jù)包進行解析來發(fā)現(xiàn)入侵，是實現(xiàn)動態(tài)取證的基礎。將網(wǎng)卡設置為混雜模式時，主機工作在監(jiān)聽模式下，它將接收所有經(jīng)過的數(shù)據(jù)包，也就是說，無論數(shù)據(jù)包中的目標地址是什么，只要經(jīng)過主機的網(wǎng)絡接口都將被接收，即所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。

2.3客戶機數(shù)據(jù)收集與存儲模塊

客戶機數(shù)據(jù)收集與存儲模塊主要作用是管理各種取證器搜集到的數(shù)據(jù)信息，同時為取證提供查詢輸出服務，為后期開展調(diào)查工作提供數(shù)據(jù)服務。

數(shù)據(jù)分析模塊對搜集到的證據(jù)數(shù)據(jù)進行分析，來確定入侵行為和性質(zhì)，它主要有兩種方法：一種是模式匹配法，主要是分析非正常網(wǎng)絡行為來建立證據(jù)數(shù)據(jù)庫，如果其與犯罪數(shù)據(jù)中的某項數(shù)據(jù)匹配成功，則可確認該行為屬于非法行為。模式匹配法主要長處是利用數(shù)據(jù)匹配來判斷入侵行為的合法性，可以節(jié)省系統(tǒng)運行資源，提高了匹配效率。但是這種方法不能有效檢測出細微供給行為的變化，對于新出現(xiàn)的入侵方法會失效。第二種是統(tǒng)計分析法：首先根據(jù)系統(tǒng)對象的活動情況，產(chǎn)生能刻畫這些活動的行為框架。每一個框架能保存記錄主體的當前行為，并定時地將當前的框架與存儲的框架合并。然后通過比較當前的框架與事先存儲的框架來判斷異常行為，并檢測出網(wǎng)絡的入侵行為。該方法的實際使用效果受制于人工智能技術(shù)的發(fā)展速度。

3、重要技術(shù)介紹

3.1收集器進程狀態(tài)監(jiān)測

如果客戶機上的信息收集器進程發(fā)生意外中斷，或被入侵者惡意中斷，就會失去監(jiān)測能力，收集器進程狀態(tài)監(jiān)測模塊必須及時發(fā)現(xiàn)這種情況并記錄下來。方法是：收集器定時向取證服務器發(fā)送特定信息，如果在一定時間段內(nèi)，取證服務器沒有接收到來自某客戶機的信息，就說明該客戶機上的收集器進程已停止運行或是通訊中斷，取證服務器將立即記錄這種情況，并將通過自動學習，生成網(wǎng)絡中運行收集器進程的客戶機的列表，隨時記錄其變化情況。

3.2客戶機與取證服務器間的數(shù)據(jù)傳輸

收集器必須及時將收集到的數(shù)據(jù)發(fā)回取證服務器，具體操作步驟如下：（1）客戶機為要傳送的數(shù)據(jù)計算校驗信息，采用循環(huán)冗余校驗法；（2）將數(shù)據(jù)和校驗信息用MD5加密算法進行加密；（3）將加密后的數(shù)據(jù)發(fā)送給取證服務器；（4）取證服務器對收到的數(shù)據(jù)進行解密；（5）用與第1步相同的方式為解密后的數(shù)據(jù)計算校驗信息，并與收到的校驗信息進行比較，如果兩者一致，說明數(shù)據(jù)在傳輸?shù)倪^程中沒有發(fā)生錯誤或被惡意篡改，可以將收到的數(shù)據(jù)集中存儲，否則，就要通知客戶機重傳并報告取證工作人員。

3.3系統(tǒng)實現(xiàn)方法

將動態(tài)取證程序及組件安裝在取證服務器上，組件使用系統(tǒng)的組件服務管理器進行安裝，其客戶端代理安裝在客戶機上，在客戶機上配置好重要文件列表文件，將要保護的重要文件寫入其中，另外，將要監(jiān)測的重要進程添加到重要進程列表文件中，便可啟動客戶機上的信息收集程序了。

4、結(jié)束語

分布式動態(tài)取證模型同現(xiàn)有的其他取證模型相比，它從客戶機上搜集相關(guān)入侵行為證據(jù)，避免了取證服務器運行范圍的限制，大大提高了系統(tǒng)的工作效率和準確性。該模型在監(jiān)測網(wǎng)絡入侵行為時，也在即時生成網(wǎng)絡運行記錄數(shù)據(jù)信息，可以避免事后取證造成的被動性，提高了證據(jù)的法律效力。同時本系統(tǒng)采用FCM算法處理證據(jù)數(shù)據(jù)，可以顯著提高證據(jù)的可靠性，為打擊網(wǎng)絡犯罪提供了有力的技術(shù)支持。

參考文獻

[1]殷相文.計算機取證技術(shù)[M].北京科學出版社，2009（4）