刍议计算机入侵取证中的入侵事件重构技术

【关键词】计算机 入侵取证 重构技术

当今时期，网络技术越发普及，已经成为人们生活工作中不可缺少的组成部分。由于网络具有开放性特征，导致用户信息的安全性受到一定的威胁。特别是最近几年，计算机犯罪情况逐年提升，严重影响计算机领域的进一步发展。入侵取证技术的出现和发展，能够有力打击计算机犯罪，完善计算机网络安全体系。

1 入侵事件重构的证据来源

1.1 系统应用层对象

1.1.1 日志

日志主要是指，计算机系统中指定对象的程序操作、或者操作结果根据时间而有序排列的文件集合。所有的日志文件，都具有一定的日志记录，每天的日志记录都会形成全新的系统事件。基于日志取证的一种模型，如某次事件被日志提取出来，被标定成树型结构，用代数表达式对事件进行表示。可以利用基于时间的、线性、或者动态的公式对模型的属性进行表示，以此对攻击场景与重构时间序列相互间的关联进行模拟。

1.1.2 注册表

通常情况下，在计算机系统中的注册表，蕴含了丰富的数据信息，主要有用户具体配置信息、用户认证信息、系统配置信息、以及安装应用信息等等。在修改注册表键值时，都会产生相应的时间戳。注册表的结构，类似于文件系统，存储类型信息，或者为处理数据的名字；键值与目录相似，是子健和值的父结点。如果注册表中键、键值、或者其他结构被删除，可以根据键值与值相互间的关系进行恢复。

1.1.3 文件系统

作为操作系统中关键文件的集合，文件系统主要是对文件内容、文件类型、被访问形式、以及文件执行操作过程等对象的研究。

1.2 操作系统层对象

1.2.1 工具

最具有代表性的工具主要包括Forensix和BackTracker等。而BackTracker是一种图形化界面系统，一般情况下是由于用户执行某件事件序列而产生的；其可以调用系统对象和系统层记录文件。但是，BackTracker不具备监控内存映射对象的功能。如果入侵者进入系统，并且获取管理权限，BackTracker功能将会被终止。

1.2.2 内存取证获取

计算机软件和硬件对于内存取证获取具有重要影响。利用硬件可以对内存获取证据直接进行访问；而利用软件可以根据所系统的函数实现证据的获取。一般情况下，很多研究人员认为由于硬件是直接操作获取，所以更加具有可靠性和安全性，但是事实并非如此。利用硬件和软件相结构的机制，能够保证证据获取的安全性。

1.2.3 内存证据分析

内存证据分析主要由三个部分组成，分别是进程分析、文件系统分析、以及系统状态分析。进程分析主要是对系统中已经安装的程序的列表进行列举。系统文件分析指的是利用对进程环境的分析，对文件的列表、以及由程序引用的dll列表进行检查。

2 入侵事件重构的主要方法

2.1 基于时间戳的日志分析

日志能够对计算机系统行为记录进行详细准确的描述，如应用程序、操作系统、以及用户行为等等。利用日志，可以有效实现异常事件的分析、用户行为的检测、以及系统资源流程的监控等等行为。日志文件一般有信息和子系统特有的信息、以及时间戳所构成。时间戳最为关键。通常情况下，日志分析技术，都是由时间戳对事件序列进行重构，但是计算机时钟对时间戳有一定影响，所有时钟如果受到人为因素、或者环境因素所影响，将会引发时间戳的功能。

2.2 基于语义的事件重构

语义分析主要是根据结构中的文本，审查上下文之间的性质关联，以此确定类型是否相符，属于一种逻辑阶段。基于语义的事件重构，针对系统中已经不可逆转的数据对象关系开展分析，以此对语义之间的关系性质进行检测。

2.3 基于操作系统层对象依赖追踪技术的事件重构

此部分的重构系统，主要是监视系统调用层的对象和事件，进而获取证据。如这种在一定事件内获取系统状态实现事件重构的一种方法。操作系统通常会在默认的状态下，对注册表hives文件进行备份，Microsoft Windows Restore Point属于此类文件，在系统信息目录下保存。通过对数据进行对比，可以获取行管信息的系统事件时间表；如果比较系统快照间，能够合理降低事件间的事件跨度。时间间隔越短，那么可以确定的状态变化越多。

2.4 基于有限状态机模型的事件重构

通过将受到怀疑的电脑构想成有限状态机（FSM），当发生入侵事件后，入侵行为过后计算机将处于一种特殊状态，而这一状态下的事件或者场景将可通过逆推回溯方式得到，通过这种方式实现事件的重构。但FSM中因为回溯过去状态数据量庞大，状态转换相对困难。而通过确定性有穷状态自动机（DFA）则可实现系统的状态转换，采取简单的表达方式，将回溯过去状态量大的问题加以解决。DFA中，状态转换可简化为三者关系，如图1所示。

3 入侵事件重构的分析

3.1 数据来源比较

系统应用层事件的重构，有利于证据的获取，同时也蕴含了一些无用数据信息。此外，普通的系统日志只是负责记录与执行有关联的对象和事件，很容易失去记录功能；同时也无法保证证据的可信性。就现阶段来讲，网络日志对于加密通讯意义不大，提供的信息也属于系统应用层方面的。而基于操作系统层对象的重构，利用内存实现系统实时信息、如文件、事件、进程关联、以及系统内存和读写操作等等，进而实现问题的解决，最为重要是是其不易被入侵者删除或者篡改。

3.2 入侵事件重构方法比较

由于系统日志、网络日志、以及应用程序日志的存在，导致时间戳日志分析技术普遍存在。但是存在日志格式繁多、数据量多大等问题，同时容易出现重构事件序列不准确情况的发生。基于操作系统层对象的依赖追踪技术，使系统事件重构依赖于操作系统内部的数据结构，极大提高重构的真实性。不仅保证生成逻辑关系库的真实性和可靠性，同时提升了工作效率。

4 总结

总而言之，计算机入侵取证中的入侵事件重构技术，对于保护用户网络信息安全，修补安全漏洞，追踪入侵具有至关重要的影响。在计算机日益普及的当今社会，计算机犯罪情况越来越猖狂，计算机入侵取证技术也就越发重要。因此，行业研究人员务必积极研究，不断创新技术，与时俱进，以此解决不法分子的犯罪行为。

参考文献

[1]季雨辰，伏晓，石进等.计算机入侵取证中的入侵事件重构技术研究[J].计算机工程，2014（1）：315-320.

[2]钱勤，张{，张坤等.用于入侵检测及取证的冗余数据删减技术研究[J].计算机科学，2014，41（z2）：252-258.

[3]田志宏，余翔湛，张宏莉等.基于证据推理网络的实时网络入侵取证方法[J].计算机学报，2014（5）：1184-1194.