黑客追踪系统的设计

摘要:针对日渐猖狂黑客攻击活动,该文设计了一套专用的黑客追踪系统,讨论了系统的主要功能、体系结构、主要模块,以及关键的技术点,解决了黑客攻击案件侦查困难,取证困难,追踪困难等问题。

关键词:黑客;黑客追踪;攻击特征

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)11-2596-02

Design of Hacker Hunting System

JIANG Ming-liang1, HUANG Guo-hua2

(1.Department of Computer Science and Engineering, Zhongkai University of Agriculture and Engineering, Guangzhou 510225, China; 2.Yamen Middle School of Xinhui District of Jiangmen, Jiangmen 529152, China)

Abstract: The paper designs a hacker hunting system which main functions,system architecture,main modules and key technololgy points are discussed.The paper solves some existing problems in hacker actack case such as difficultities of investigating,obtaining evidence and tracking down the hacker etc.

Key words: hacker; hacker hunting; attack signature

随着我国信息化程度的不断提高,涉及计算机信息领域的犯罪现象也越来越多,给国家造成的经济损失也越来越大、政治影响也越来越大。黑客高手能在遥远的地方通过“肉机”不知不觉地入侵你的系统,盗取你的资料、成果和秘密,甚至摧毁你的计算机系统,但可以不留下任何证据。计算机犯罪的这种快速性、隐蔽性、随机性、不可恢复性使得难以进行有效的侦查和证据收集,甚至不能案件立案和。为此,在有限的警力下,面对目前日愈猖獗的信息犯罪,怎样利用先进的计算机信息安全技术提高信息领域犯罪的破案率,已经成为了当前急需解决的技侦课题。本文设计的黑客追踪系统能作为公安网监部门侦查破案的必备工具,较好地辅助打击各种信息犯罪,以及快速追击犯罪源头。

1 系统主要功能

本系统主要提供自动侦查分析、实时监控报警、远程快速追踪和设定网络陷阱等功能,具体包括:1)自动侦查分析功能,通过对被攻击主机的日志、进程、注册表、邮件、账号、共享、连接、cookies及现场网络通讯等自动分析,确定攻击来源IP地源和采用的攻击手法,提供的分析方法有主机基本入侵痕迹分析、应用服务日志分析、进程深层分析、电子邮件分析和通信实时监控;2)实时监控报警功能,对现场进行守候式监控,当黑客再次来访或攻击时,即时报警,并记下其攻击者的IP和攻击方式;3)远程快速追踪功能,通过植入远程追踪探头分析攻击发起计算机的类型(肉机/控制机),逐级跟踪直到找到发起攻击的入侵者的真实IP地址,并尽可能地获取入侵者的计算机中的信息,如获取目标主机静态信息、获取目标主机动态信息、监听目标主机网络通信、监听目标主机网络通信、进行主机类型分析和入侵痕迹提取等等;4)设定网络陷阱功能,在攻击发生时模拟被攻击的网络服务(如HTTP、FTP、SMTP等),并对访问进行记录和安全性审查,提取攻击者的地址和采用的手法。

2 系统组成

本系统主要由攻击分析探头、侦查分析器、实时监控、远程追踪和控制中心组成,如图1所示。攻击分析探头负责获取和整理的日志、进程、网络连接等多种信息;侦查分析器负责获整理和分析攻击信息,找出攻击行为留下的痕迹,提取攻击行为采用的手法和攻击源地址;实时监控负责监控目标网络服务的运行,对网络服务的访问进行实时安全性审核,根据警报规则发送入侵警报信息,进行入侵痕迹的安全性分析;远程追踪由一组专用远程追踪探头组成,负责入侵到被追踪的主机,潜伏、监听、收集目标主机的信息;控制中心实现了整套系统的管理和控制的功能,以及接收、分析远程追踪探头发回的数据。

公安人员办案时,首先启动实时监控功能,监控整个网络的服务,控制网络服务的访问,截止和防范黑客的进一步攻击。然后,将攻击分析探头安装到被攻击主机中,收集和整理攻击信息,将信息传送到主系统。接着,使用侦查分析器对这些信息进行深度整理和分析,提取攻击特征和规则,确定黑客的攻击行为和方式。掌握了黑客的攻击信息后,可以对其投放远程追踪探头,入侵黑客的主机系统,潜伏、监听、收集黑客主机的信息和电子证据,并关键信息和证据返回给控制中心。

3 主要模块说明

1)攻击信息收集和提取模块

本模块通过扫描系统的注册表、系统进程、系统文件、日志文件,收集、抽取和整理出攻击相关的信息。系统中的文件会备份起来,经过初步抽取和整的信息保存数据库,供系统其它模块使用,以及进行深度的整理、抽取和分析。

2)攻击特征的分析解码模块

本模块利用网络安全、入侵检测、数据分析等方面的技术,对收集到的攻击信息进行深度的抽取和分析,获得入侵痕迹、攻击源IP地址、攻击源类型(肉机或控制机)、攻击发起时间、攻击效果、攻击类型、危害程度等攻击特征信息,作为追踪黑客的依据,同时,产生部分数据证据。本模块的分析技术采用插件的方式根据情况的需求能动态地加入到系统中,具有较好的扩展性和灵活性。

3)信息监听模块

本模块监视目标服务的日志系统,监听目标服务的网络通信,获取对目标服务的访问请求,包括访问请求的方法、URL资源、URL查询等,捕获系统消息和网络服务访问请求,截获、拆开、分析和重组数据包。

4)远程追踪模块

本模块运行在控制中心,用于控制远程主机中的追踪探头,接收追踪探头发送的各种数据。在需要时可对数据进行分析,提取非法的信息,依据分析结果进一步控制远程主机的网络访问。

4 系统实现的关键技术点

1)设计模式的应用

本系统采用面向对象的分析和分析方法,并融入了多种设计模式[1],如外观模式(Facade)、工厂模式(Factory Method)、生成器模式(Builder)、单例模式(Singleton)、适配器模式(Adapter)、策略模式(Strategy)、模板方法模式(Template Method)和组合模式(Composite)等等,使得系统具有较好的稳定性、可扩展性和可维护性。对于复杂的对象,利用生成器模式进行构建,屏蔽复杂的对象的创建过程。对于分析策略的组织,利用模板方法模式抽取出分析过程的模板,子类完成具体分析策略的实现,在实现具体策略时,可以部分使用策略模式来优化结构。利用外观模式定义了多套高层的接口,它们代表了系统功能若干子集,提高系统服务的使用效率、简单性和便利性。

2)多种分析方法的应用

本系统综合多种分析统计的方法,如单项分析、集中分析、关联分析、层次分析和跟踪分析等。单项分析从单一的各种来源的各种存留信息、动态信息中发现危害行为痕迹,并对其进行定位、分离、溯源和追踪,并提取危害行为过程及其采用的技术手段;集中分析负责对各种来源、各种类型的数据源进行用统一数据结构描述的集中分析,从中找出有侦查价值的痕迹信息和线索信息,并对其进行定位、溯源和追踪;关联分析[2]负责对包含同一设备不同信息、不同设备之间的信息在内的各种来源、各种类型的数据源进行集中分析,从中找出有侦查价值的痕迹信息和线索信息,以及各信息之间的关联性,并对其进行定位、溯源和追踪;层次分析[3]是从全局到局部地逐步深入的方法,能对收集的痕迹信息和线索信息进行深层次的分析和挖掘,黑客跟踪提供更准确更丰富的数据;跟踪分析负责对来自现场侦查程序、日志监控程序的进程变化、网络连接变化、日志信息变化等信息进行跟踪,从中找出有侦查价值的痕迹信息和线索信息,并对其进行定位、溯源和追踪。

3)远程追踪探头的投放和隐藏

本系统利用目标主机中的各种系统漏洞,采用邮件诱骗、进程注入和二次载入等多种方法,将专用远程追踪探头自动投放到目标主机,隐藏于正常系统程序的二进制代码中。为了逃避防火墙对连入本机的连接会进行非常严格的检测和过滤,远程追踪探头利用端口反弹技术[4-5],通过主动端口连接有固定IP的第三方FTP服务器或个人主页,将目标主机的信息存于此服务器,控制台通过访问此服务器获取目标主机的信息,然后主动连接客户端。为了更好地穿透防火墙,本系统结合了HTTP隧道技术[6],将要传输的数据利用 HTTP协议进行封装,以伪装成 HTTP数据包,同时把请求的目的端口设置成80,这样防火墙检测时就认为是安全的数据包,从而在信息探头和分析控制器之间利用 HTTP协议封装建立起一条安全传输隧道。

4 结束语

信息化的犯罪现象不断增多,黑客攻击活动更是日渐猖狂。本文设计的黑客追踪系统能有效地进行犯罪行为的勘察、犯罪证据的收集、涉案黑客的追踪和远程“肉机”的潜伏,能作为可移动的软硬一体化的黑客追踪专用设备。该系统的使用和推广,对于维持信息社会的稳定和谐具有重要的意义。

参考文献:

[1] Metsker S J,Wake W C.Java设计模式[M].龚波,译.北京:人民邮电出版社,2007.

[2] 夏颖,王哲,王胜和,等.刑事案件信息数据库中的关联规则分析[J].电脑知识与技术,2009(35):33-35.

[3] 王俊良,白慧芳,宋斌.基于层次分析的变压器故障诊断决策支持系统[J].武汉大学学报:工学版,2008(6):93-96.

[4] 阮宁君.端口反弹型木马通信技术研究及防范措施[J].信息安全与通信保密,2007(12):99-101.

[5] 罗红,慕德俊,戴冠中,等. 端口反弹型木马的通信技术研究(英文)[J].微电子学与计算机,2006,23(2):192-197.

[6] 刘静,裘国永.基于反向连接、HTTP隧道和共享DNS的防火墙穿透技术[J].郑州轻工业学院学报:自然科学版,2007,22(5):57-59.