蜜罐技术在计算机取证中的应用与研究

蜜罐技术在计算机取证中的应用与研究（兰诗梅，贵阳学院数学与信息科学学院、籍贯重庆，1982.1.15、女、汉族、讲师，硕士。）（2011年贵阳市科技局工业振兴计划项目资助，项目编号：筑科合同[2011101]1-15号）摘要：本文对计算机取证的概念、方法进行了详细分析，有效地将蜜罐技术应用于计算机取证中，并且利用蜜罐系统进行了数据捕获的测试。ABSTRACT：Inthispaper,theconceptofcomputerforensicsandmethodareanalyzedindetail,andeffectivelywillhoneypottechnologyappliedtocomputerforensics,anduseofhoneypotsystemdatacapturetest.关键词：计算机取证；蜜罐技术Keywords:Computerforensics,Honeypottechnology1引言随着网络的不断普及，个人信息窃取、网络诈骗、病毒传播、网络攻击等网络犯罪也日益猖獗，例如：一些不法分子建立假冒的网上银行、向用户发送含有诈骗信息的电子邮件等，以窃取用户网上银行的用户名和密码，盗取用户资金；一些黑客为了证明自己的技术而去入侵政府官网，并肆意篡改网页内容，造成了极大的破坏。为了利用法律手段严惩网络犯罪，我们就必须取得入侵者犯罪的证据，于是，计算机取证技术也孕育而生了，蜜罐技术则是计算机取证中的一项关键技术。2计算机取证概述计算机取证（ComputerForensics）是网络主动防御技术在打击网络犯罪中的应用，它是应用计算机的辨析方法，对网络犯罪的行为进行捕获和分析，以保留犯罪的电子证据，并以此作为重要证据提起诉讼。对于网络入侵的犯罪行为，对被入侵的计算机、网络设备与系统进行扫描，将入侵的全过程重组，并将其获取、保存、分析、出示，形成具有法律效力的电子证据[1]。计算机取证在计算机和网络犯罪猖獗的今天有着至关重要的作用，它是法学和计算机科学的融合，通过在计算机上提取犯罪证据，以打击计算机和网络犯罪。2.1电子证据的概念计算机取证的就是为了获取电子证据。电子证据是判定网络犯罪嫌疑人是否有罪的重要依据。电子证据最早出现在20世纪30年代的美国，而在我国使用电子证据只有十几年的时间。电子证据的定义是在法庭上可能成为证据的以二进制形式存储或传送的信息[2]。电子证据的特性为：准确性、多样性和易修改性。通常以文本、语音、图形、图像、视频等形式存储于硬盘或磁盘中。电子证据不易受主观因素的影响，但很容易被修改。2.2计算机取证方法计算机取证的方法分为静态和动态。传统的取证方法是在案发之后才进行现场取证，这种取证方法属于静态取证。静态取证时证据容易被犯罪分子销毁以至于无法起诉。而且由于是案发后才进行取证，即便是犯罪分子受到了法律的制裁，但是已经造成了无法挽回的结果。动态取证是通过实时监控，当入侵者发出攻击时，响应系统便自动启动，并判断其危害程度，作出相应处理。同时，对入侵的全过程进行记录。这样的动态取证系统需要蜜罐技术的帮助才能完成取证工作。计算机取证过程是通过分析被入侵的计算机中的硬盘、光盘、磁盘、U盘、内存缓冲等储存设备，从中发现入侵者的犯罪证据。在取证过程中运用软件和工具，按照事先定义的程序，全方位的检查计算机系统，以提取相关的犯罪证据。在计算机取证过程中我们可以对系统日志、操作系统文件、反病毒软件日志、入侵检测系统的工作记录、软件设置参数和文件、系统审计记录、网络监控流量、聊天记录、电子邮件、数据库文件及其操作记录、浏览器数据缓冲、历史记录等信息源进行检查。3蜜罐取证技术蜜罐技术是一种新型的主动的网络安全防御技术，美国L．Spizner定义了蜜罐(Honeypot)的概念：蜜罐是一种资源，它的价值在于被攻陷或被攻击[3]。蜜罐是一个引诱入侵者攻击的诱骗系统，将入侵者感兴趣的信息放置在模拟的主机或服务器中来诱骗入侵者进行攻击，当入侵者对其进行攻击时蜜罐系统便可以实时监控和记录所有攻击行为，而且入侵者在攻击系统时并不知道自己正在被监视。通过对这些攻击行为的分析，可以获取到入侵者的攻击目的、攻击方法等信息，保留这些信息便可以对入侵者的犯罪行为进行起诉，在计算机取证中使用蜜罐技术已成为计算机取证技术的一个重要发展方向。3.1蜜罐的实现蜜罐可以放置在任何一个服务器中，在互联网和局域网中都可以进行运用，在互联网的应用中，只需要有一台计算机运行没有打上补丁的常用操作系统便可实现蜜罐系统的配置，蜜罐系统在收集到攻击数据后便要进行数据分析，现有的蜜罐数据分析主要有摘要分析、统计分析、数据可视化方法等技术。常用的蜜罐系统数据分析工具如HoneySnap采用摘要分析方法，可以对捕获到的网络数据流生成摘要报告，可以捕获到安全攻击行为的的内容。欧洲电信分布式蜜罐系统和巴西分布式蜜罐系统等采用的是统计分析方法，根据目的端口的分布、攻击源国家的分布等特性生成统计表，通过这些统计表，安全管理人员便可监测到网络遭受到安全威胁的大致情况。数据可视化方法可以将网络安全威胁通过2D或3D的动画演示出来，为安全管理人员提供入侵者攻击行为的动态画面。3.2常用的网络诱骗工具(1)DTK。DTK是一项针对互联网普通用户的源代码开放的蜜罐技术软件，由C语言和Perl脚本语言编写而成，该工具软件可以从网上免费下载。(2)Honeyd。Honeyd是由Google公司研发的源代码开放的蜜罐技术软件，Honeyd是运行在UNIX下的软件，可以在网络上模拟主机的后台程序。该工具软件也可以从网上免费下载。3.3．利用蜜罐取证的步骤(1)利用蜜罐获取入侵者的基本信息。(2)利用蜜罐获取入侵者攻击目的主机相关的攻击信息：如攻击的时间和日期、攻击的方法；入侵者在目的主机中添加的文件；判断是否安装了嗅探器，并分析它的位置；是否植入了病毒；是否安装了木马程序等等。(3)建立一个事件的时间序列。(4)计算处理该事故的费用。(5)向管理层以及法庭提交相关报告。4蜜罐系统测试4.1网络环境该蜜罐系统的核心部件是网桥，通过网桥能够完成信息收集和信息控制，在充当网桥的主机上配备了3块网卡，在Vmware宿主机上虚拟安装了虚拟蜜罐，并且在每个虚拟蜜罐中安装了Sebek客户端。图1蜜罐系统的网络环境4.2硬件环境CPU硬盘内存网卡Vmware宿主机Pentium4160G2G1块网桥Pentium480G2G3块监控平台Pentium480G2G1块配置设备表1蜜罐系统的硬件配置4.3软件环境在Vmware宿主机中安装的HostOS为Windows2003ServerSP2；GuestOS为Redhat9.0；安装了虚拟软件Vmwaerwokrstation4.5.2；在Vmware宿主机上安装了三个服务器版本的虚拟系统，用桥接模式进行连接；配置了三个IP地址：192.168.10.20、192.168.10.21、192.168.10.22；并且安装了虚拟蜜罐软件Honeyd；最后在每个虚拟蜜罐中都安装上Sebek客户端的应用程序。4.4数据捕获能力测试使用系统172.31.0.45连接到网桥外部接口eth1上进行测试。（1）测试内容主要测试该系统的数据捕获能力，该系统是否能够捕获到所有进出网桥的数据包。要求不仅要捕获到网络上的数据信息，而且还要捕获蜜罐上的键击信息。（2）测试过程第一步：在//var/log/snort/$DAY中查看Snort日志文件。可以查看到已捕获的二进制日志数据，文件名为snort.1og，日志文件还应包含基于IP的各类目录，分析该二进制日志文件便可得知Snort记录下的所有数据包：Honey#snort-Vdrsnort.log第二步：在Sebek的服务器端的网桥上运行以下命令：sbk_extract-Ieth0101︱sbk_ks_log．pl第三步：在一台蜜罐主机上任意的输入一些命令，便可以在网桥上看到以下输出信息：[2013-01-3020:13:34172.31.0.306673bash500]c[2013-01-3020:13:37172.31.0.306673bash500]#[2013-01-3020:13:40172.31.0.306673bash500]2013-1[2013-01-3020:13:42172.31.0.306673bash500]dir[2013-01-3020:13:44172.31.0.306673bash500]c:\[2013-01-3020:13:50172.31.0.306673bash500]test（3）测试结果该系统模型能捕获并记录虚拟蜜罐上的数据和键击信息，这对我们记录和掌握入侵者的犯罪证据提供了极大的帮助。参考文献[1]张建忠，张健，董大凡编著.网络安全高级软件编程技术.清华大学出版社,2010.04.[2]刘化君编著.网络安全技术.机械工业出版社,2010.06.[3]张基温编著.信息系统安全教程.清华大学出版社,2007.7.联系地址：贵州省贵阳市山水黔城九组团7栋1单元702室电话：13984151215