本站原创摘 要:Inter的普及和新技术的层出不穷给网络攻击者以更多的便利,因此网络的安全以成为日益突出问题.对于破坏网络的安全并由此产生的危害极大的影响了人们生产生活和国民经济以及国家安全.但如果要追究入侵者的法律责任,就必须对入侵者的行为进行取证和调查.入侵者最容易在日志留下痕迹,本文研究的是通过访问日志可以建立对入侵者的访问日志进行取证.
关 键 词:入侵取证日志网络安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9416(2012)10-0178-02
1.前言
计算机网络无疑是当今世界最为激动人心的高新技术之一.它的出现和快速的发展,尤其是Inter的日益推进和迅猛发展,为全人类建构起一个快捷、便利的虚拟世界.Inter的普及和新技术的层出不穷给网络攻击者以更多的便利,因此网络的安全以成为日益突出问题.对于破坏网络的安全并由此产生的危害极大的影响了人们生产生活和国民经济以及国家安全,计算机网络犯罪正是其中一个典型的例子.同传统的犯罪相比,网络犯罪具有一些独特的特点:
(1)成本低、传播迅速,传播范围广;
(2)互动性和隐蔽性高,取证难度相对较大;
(3)严重的社会危害性.
操作系统的漏洞和通信线路和设备的安全缺陷构成了网络信息系统的潜在安全隐患.而这些漏洞恰好可以被利用,进行入侵,因此利用法律手段对行入侵行为予以制裁是解决入侵的问题的根本,而入侵取证是最关键的问题之一.入侵取证系统可对网络或系统中发生的攻击过程及攻击行为进行记录和分析,并确保记录信息的真实与完整性.由于电子证据与普通证据有差异较大,特别是易损毁性,导致网络入侵取证有很多特殊的要求.本文研究的目的是从入侵者访问的日志来为网络入侵提供证据.
2.计算机取证系统
计算机取证是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式,进行识别、保存、分析和提交数字证据的过程.计算机取证通常包含五个步骤:
(1)甄别:通过适当的方法获得能够识别信息的类型.
(2)传输:将获取的有效的证据信息安全地传送到怎么写作器上.
(3)存储:确保原始的一致性和完整性,不被篡改.
(4)分析:对证据进行科学和系统的分析,达到犯罪的事实.
(5)提交:将分析事实和陈述提交相应机构.
计算机取证系统包括了安全日志生成模块、网络数据收集模块、证据分析模块.各模块与计算机取证步骤之间的关系如图1所示.
3.安全日志生成的实现
电子证据要确保真实性和完整性.日志文件对于安全来说非常重要,利用日志可以进行故障排除,或者查到攻击者留下的痕迹.为了获得日志信息,通常在被攻击的目标机器上启用写作技巧程序,写作技巧收集目标主机上的所有日志记录,例如tel、ftp和http等登录日志,然后应用安全的协议协议实时地将这些原始的日志信息写入到取证机上保存起来,原始日志信息数据写入到取证机是采用数字签名,确保这些信息的不可否认性.安全日志模型如图2所示.
3.1日志文件生成程序的安全性
通常情况下对主机和网络设备的访问以及对文件的删除、修改、复制和传送等行为,都会被记录到网络设备和操作系统的日志文件中,但是现在的入侵者非常聪明,为了避免留下痕迹,他们利用相应的工具在开始真正的攻击目标前首先会关闭系统或者设备的日志记录功能,或者在攻击之后轻松的删除掉这些日志,这给取证带来很大的麻烦.我们可以使用第三方日志工具来解决,第三方日志软件能够单独的获取访问系统和网络设备的日志信息.
3.2日志文件存储的安全性
我们要采取切实可行的技术和手段保证取证机上日志信息的安全性,确保数据的真实性和完整性,防止日志信息丢失、被篡改、未经授权访问行为的发生.目前造成网络存储安全数据破坏的原因分为客观因素和主观因素.客观因素包括自然灾害,如地震等对系统的破坏,导致存储数据被破坏或丢失以及设备故障,包括存储介质的老化、失效等.客观因素有时我们无能为力,但是却可以有效的预防.主观因素包括系统管理员及维护人员的误操作以及病毒感染造成的数据破坏和网络存储安全上的“”攻击,这些因素我们是可以做好预防的,而且还有可能完全避免.可以通过在线备份和介质加密等多种手段确保日志信息存储的安全.
3.3日志文件传输的安全性
我们可以使用SSL协议实现日志文件的安全传输.SSL利用RSA的公用密钥技术来实现的.公用密钥加密技术使用不对称的密钥来加密和解密,每对密钥包含一个公钥和一个私钥,公钥是公开广泛分布,而私钥是隐密的,只有自己知道.用公钥加密的数据只有私钥才能解密,相反的,用私钥加密的数据只有公钥才能解密.SSL安全协议基于C/S模式工作,主要提供三方面的怎么写作:(1)认证用户和怎么写作器,使得它们能够确信数据将被发送到正确的客户机和怎么写作器上;(2)加密数据以隐藏被传送的数据;(3)维护数据的完整性,确保数据在传输过程中不被改变.SSL安全传输日志的过程如图3所示.
3.4日志文件完整性校验
在SSL协议中,采用MD5算法确保数据的完整性.MD5算法输出固定128bit长度,具有不可逆性和雪崩效应.
4.结语
本文从安全日志方面来说明入侵取证的过程.但还是有网络数据的收集和数据分析两方面没有做深入的研究和探讨.网络安全问题不仅要从防御的角度来考虑,而且更应该从法律的角度来考虑问题,而取证正是法律诉讼的核心.因此更加系统、灵活和有智能性的取证过程将是以后发展的重点.