網絡監控與動態取證系統及方法

2023-10-19 19:38:07

專利名稱：網絡監控與動態取證系統及方法
技術領域：
本發明涉及信息安全技術領域。具體涉及信息安全技術中的網絡監控、入侵檢測、計算機取證技術、數字籤名技術、虛擬專用網絡(VPN)技術以及安全日誌技術。
背景技術：
傳統的計算機取證手段是一種靜態方法，在事件發生後對數據進行提取、分析、抽取有效證據，這種方法費時且對取證人員有很高要求，並且不能對付高明的黑客攻擊，這些黑客在完成攻擊後會全面徹底銷毀證據或者竄改證據，事後即便使用最好的數據分析工具也無能為力，因此，缺乏對證據的及時處理和有效保護。
另外，中國專利公開號為CN1310526的申請案，該發明原理為利用現有網絡安防產品收集網絡安全相關信息，並生成標準格式信息，通過專用通道向網絡監控中心傳輸採集的信息，監控中心向下傳給客戶端反控指令。不足之處在於該方法不能對大規模的網絡活動實施有效的實時監控，嚴重依賴市場上現有安全產品和防火牆、IDS系統的能力，且搜集到的信息由於缺乏不可抵賴性等嚴格的安全措施，因此導致其不具備權威性，因而無法作為呈堂證據。

發明內容
本發明提供一種網絡監控與動態取證系統及方法，可以對整個內部網絡中每臺主機進行實時監控，收集監控時產生的信息，記錄外來非法入侵，並實時提取攻擊證據，同時將收集到的證據進行安全處理，妥善存放。
本發明利用了生物免疫學基本原理，通過模擬人體免疫細胞對病原體的識別和分類作用，從而達到對外來網絡入侵的識別並進行在線實時取證的功能。
本發明所述的網絡監控與動態取證系統由免疫細胞、動態取證細胞以及證據伺服器等組成。系統中執行實時監控功能的模塊為免疫細胞，執行證據提取工作的模塊為動態取證細胞。這兩種細胞分布於內部網絡裡每一臺主機，形成一個分布式網絡監控與動態取證系統。系統中定義抗原為網絡請求，自體為正常網絡請求，非自體為異常網絡活動(網絡攻擊)。自體和非自體構成了抗原集合，且自體與非自體中不可能存在相同的網絡活動。系統中還定義了抗體，抗體存在於免疫細胞中，用於檢測和匹配抗原。系統首先對網絡活動信息進行抗原提呈(特徵提取)，得到抗原決定基(特徵)。當實施免疫執行過程(抗體對抗原進行匹配)時，一旦匹配成功，則發現網絡入侵，立即分泌激素刺激動態取證細胞，這些激素包括當前主機環境，攻擊類型、攻擊主機地址和埠號等。動態取證細胞執行證據提取功能，所取得的證據包括截獲的抗原信息和攻擊時的周圍環境信息。之後對獲得的證據進行數字籤名處理，籤名過程中加蓋了時間戳；籤名後的證據經安全VPN傳輸至證據伺服器中，並以數字水印日誌(本人申請的另一項專利數字水印日誌構造方法，申請號為03117842.1)的形式存放於證據伺服器中。免疫細胞和動態取證細胞完成網絡入侵的一次監控以及取證過程，取證的同時完成入侵檢測功能。
在詳細說明之前，首先定義系統中使用的一些名詞、符號以及一些公式1)定義字符串集合為 IP包的集合為ψ，並且ψΩ；定義集合R＝{a，b|a∈D∧|a|＝l，b∈ψ}，其中D＝{0，1}l，l為常自然數，|a|表示字符串a的長度。
2)抗原集合AgAgR，為二進位串集合。對任意的抗原x∈Ag，x.b為原始的IP包，x.a為對原始IP包經過類似抗原提呈細胞(antigen presenting cells，APCs)後得到的特徵(抗原決定基，antigenic determinant)，有x.a＝APCs(x.b)，x.a主要由源、目的IP位址、埠號、協議類型、協議狀態等網絡事務特徵的二進位串組成。
3)自體、非自體集合自體集合SelfAg，非自體集合NonselfAg。並且有Self∪Nonself＝Ag，Self∩Nonself＝φ。Self為正常網絡服務，Nonself為來自網絡的攻擊。
4)定義sAgAg，且|sAg|＝η*|Ag|，(0＜η＜1)。
5)定義自體的屬於運算∈APCs，如下 其中x∈Ag，x.a為抗原決定基。
6)定義免疫細胞集合B，且B＝{d，age，count|d∈D，age，count∈N}，其中d為抗體，它與抗原決定基具有同樣的表達形式，age為抗體年齡，count為匹配數，N為自然數集合。免疫細胞包括成熟免疫細胞Tb和記憶免疫細胞Mb，即B＝Mb∪Tb，且Mb∩Tb＝φ，這兩種免疫細胞參與免疫執行過程。
7)親和力(affinity)計算函數fr_con(x，y)這裡採用r連續位(r-contiguous bits)匹配函數，計算公式見公式(2) 另外，親和力計算函數也可採用其他函數，例如海明距離、歐拉距離等計算函數。
8)抗原與抗體的匹配當抗原決定基與抗體的二進位串從某一位開始，有連續r位相同，則稱抗原與抗體是匹配的，得到的值是1；反之，不匹配，得到的值是0。
9)定義未成熟免疫細胞IbIb＝{d，age|d∈D，age∈N}，其中d，age的意義同免疫細胞中d，age的定義。
10)定義證據集合Γ{t，x，y，s|t∈N，x∈Ag，y∈Ω，s∈Ω}。其中t為提取證據的時刻(發生網絡入侵的時刻)；x為捕獲的侵入網絡的IP包，x.b為原始證據(原始的IP包)，x.a相當於對原始證據進行初步分析提取(抗原提呈)的證據；y為t時刻網絡環境現狀，類似免疫系統中被捕獲抗原周圍的細胞狀態，可以是當時CPU的利用率、系統進程狀況、網絡帶寬的使用情況、內存狀態等等；s為對t，x，y的數字籤名。
為了進一步說明本發明的原理及特徵，以下結合附圖進行詳細說明。


圖1是系統體系結構圖。
圖1顯示了整個系統在網絡中的分布內部網絡通過網關與Internet相連，免疫細胞和動態取證細胞分布於內部網絡裡的每一臺主機中，從而形成一個分布式網絡入侵監控取證系統；證據伺服器則通過VPN與內部網相連，確保其安全性和獨立性。
圖2是系統的工作流程圖。
免疫細胞為系統定義的執行實時監控功能的模塊，動態取證細胞為執行動態取證功能的模塊，證據伺服器為系統的硬體設備部分，用於存放取得的證據。系統的任務是對一個輸入的抗原集合(IP包)Ag，分δ代(δ為常數)，每代選出一定數量的抗原組成sAg抗原集合，通過B集合的檢測把它分類為自體和非自體。整個過程分為三個階段第一階段為0時刻到一個耐受期α結束的時刻，需要定義初始的自體集合Self(0)和未成熟細胞集合Ib(0)，後者經前者耐受後成為成熟細胞。第二階段從α+1時刻到記憶細胞產生的時刻，為自學習階段，成熟細胞通過克隆選擇產生能識別大量不同非自體抗原的記憶細胞，而通過檢測被分類為自體的抗原最後送給未成熟細胞進行耐受。第三階段從記憶細胞產生到系統終止，免疫系統各部件產生完畢，進行實際環境中的檢測首先由記憶細胞檢測，然後成熟細胞對剩下的抗原進行檢測，最後未成熟細胞以剩餘抗原為自體進行耐受訓練。在第二、三階段中，當其免疫細胞識別非自體抗原時，亦即發現一個網絡入侵時，立刻提取證據τ，同時將τ利用安全的傳輸方式(VPN)，送達證據伺服器，完成證據的存檔工作。
其中，系統中自體的產生過程是初始自體集由系統管理員定義，也可以通過離線學習黑客攻擊模式得到。以後則來自經過免疫執行過程存活的抗原。自體的動態演化用方程描述為 Selfnew(t)＝{y|y為t時刻新增加的自體串} (5) B(t)＝Mb(t)∪Tb(t)，t≥0 (8)方程(3)模擬了自體的動態演化情況，其中xi∈R(i≥1，i∈N)為初始自體集合，Selfnew為t時刻系統新增的自體串。Selfvariationf為t時刻發生變異的自體，即刪除自體集合中不再是自體的元素。fcheck(y，x)(y∈B，x∈Ag)模擬免疫細胞對抗原的分類作用若免疫細胞匹配了抗原，且抗原屬於Self(t-1)，即檢測到一個曾經是自體的抗原則返回2；若匹配但不屬於Self(t-1)，即檢測到一個非自體抗原則返回1；若未匹配，則該抗原為已知的自體抗原，返回0。fcostimulation模擬免疫系統的協同刺激，指示當前抗原是否為自體抗原，外部信號可以是系統管理員的應答等。
自體的動態演化主要關鍵有兩點①自身的免疫監視，隨時清除發生變異的自體(Selfvariation)，從而消除錯誤否定(false negative)將非自體認為是自體。錯誤否定率的增加將導致漏報率的增加，自身免疫監視能很好地解決自體隨時間變異的問題。②自身的動態生長，例如隨著時間的推移，網絡將提供新的服務，開放新的埠等，即原來不允許的網絡訪問，現在開放了。通過及時地增加自體元素(Selfnew)，擴大自體的描述範圍，可以有效地降低錯誤肯定(false positive)率將自體認為是非自體，產生誤報。自身的動態再生機制可以較好地解決目前IDS誤報率較高這一嚴重問題。
系統中抗原的收集過程為將網絡活動表示為抗原表達式——二進位串。網絡請求中包含的信息有源地址、目的地址、埠號、服務類型、協議類型等。抗原動態演化過程用方程描述為
sAg(t)Ag(t)，|sAg(t)|＝η*|Ag(t)|，t≥0 (10) 其中sAg為系統每次進行處理的抗原，其元素按比例η(0＜η＜1)隨機從Ag(由自體和非自體元素組成)中抽取，η為檢測係數。Agnonself為t時刻被檢測出來的非自體抗原。初始時刻抗原集合為初始自體集合(此時B為空)。δ為抗原更新周期，表示每δ代，就把Ag換為全新的抗原集合(Agnew)。更新周期內抗原集合的變化只是刪除掉被檢測出來的非自體抗原，以完成把剩下的自體抗原送給未成熟免疫細胞Ib進行耐受的工作。
圖3是記憶免疫細胞檢測抗原流程圖。
記憶免疫細胞對抗原進行匹配。將記憶免疫細胞的抗體與待處理抗原之決定基進行匹配，匹配時採用r連續位匹配規則。
(1)匹配成功，判斷檢測到的抗原為上一時刻自體，則刪除該免疫細胞；判斷檢測到的抗原為非自體，刪除被檢測抗原，並分泌激素。
(2)匹配不成功，將待處理抗原交與成熟免疫細胞檢測。
用方程來刻畫記憶免疫細胞的記憶過程為 圖4是成熟免疫細胞檢測抗原流程圖。
經記憶免疫細胞檢測後的抗原交給成熟免疫細胞檢測，過程為(1)判斷成熟免疫細胞匹配數是否大於閾值；(2)大於閾值，升級為記憶免疫細胞；(3)小於閾值，判斷其是否年齡大於年齡閾值；(4)年齡大於年齡閾值，則刪除該成熟免疫細胞；(5)年齡小於大於年齡閾值，則開始與抗原匹配；(6)匹配成功，若檢測到的抗原是上一時刻自體，則刪除該免疫細胞，若檢測到的抗原是非自體，則刪除該抗原，並分泌激素；(7)匹配不成功，將這些剩餘的抗原送到骨髓模型中參加耐受過程。
成熟免疫細胞的生命周期用方程刻畫為 Tb′(t)＝Tb″(t)-P(t)∪Tclone(t) (15)Tb″(t)＝{y|y.d＝x.d，y.age＝x.age+1，y.count＝x.count，x∈Tb(t-1)}(16)P(t)={x|xTb(t),ysAg(t-1)(fcheck(x,y)=1]]> Tclone(t)＝{y|y.d＝x.d，y.age＝x.age，y.count＝x.count+1，x∈P(t)} (18)Tnew(t)＝{y|y.d＝x.d，y.age＝0，y.count＝0，x∈Imaturation(t)} (19)Tmemory(t)＝{x|x∈Tb′(t)(x.count≥β)} (20)Tdead(t)＝{x|x∈Tb′(t)(x.age＞λ∧x.count＜β)} (21)圖5是未成熟免疫細胞自體耐受流程圖(骨髓模型)。
被檢測抗原在經過記憶免疫細胞和成熟免疫細胞兩個階段的檢測之後剩下的均認為是自體抗原，未成熟免疫細胞與這些自體抗原進行耐受訓練。
(1)新的自體抗原添加進骨髓模型中，同時隨機生成一定數目的未成熟免疫細胞；(2)未成熟免疫細胞與骨髓模型中的自體抗原匹配；(3)匹配成功，刪除該未成熟免疫細胞，即耐受失敗；(4)匹配不成功，返回到(1)，進行下一次耐受，整個過程循環α次(α為耐受期)。
(5)循環結束，存活的未成熟免疫細胞(即未成熟免疫細胞年齡大於α)升級為成熟免疫細胞，參與到免疫執行過程中。
用方程來刻畫該過程為 Itolerance(t)＝{y|y.d＝x.d，y.age＝x.age+1，x(Ib(t-1)-{x|xIb(t-1),ysAg(t-1)(fr_con(x,y)=1)})---(23)]]>Imaturatiio n(t)＝{x|x∈Itolerance(t)，x.age＞α}(24)Inew(t)＝{y1，y2，…，yk}(25)圖6是證據封裝圖。
●提取證據包括(1)截獲匹配的抗原，其上包含原始IP包和經抗原提呈出的決定基(特徵值)，抗原決定基可視為對原始IP包的初步分析。
(2)快照攻擊現場。得到的證據包括系統日誌文件、內外存狀況、swap狀況、進程類型、進程狀態、攻擊方源地址、目的地址、埠，使用協議、網絡連接數量、連接時間、連接類型以及平均發送包數等。
用方程來刻畫該過程為 Γnew(t)＝{τ|τ∈Γ，τ.t＝t，τ.x＝x，τ.y＝y′，τ.s＝s′，s=Ekpv(H(.t+.x+.y)),xAgnonself(t)}]]>(27)其中Γnew(t)為t時刻面臨網絡入侵實時收集的證據；x為被截獲的攻擊數據，包含兩個部分①x.b為原始的IP包，作為原始證據。②x.a相當於對原始證據進行抗原提呈後得到的原始證據的基本特徵，作為直接證據呈供；y′為收集證據時網絡環境的一個快照，如CPU的使用情況、系統日誌文件、內外存狀況、swap狀況、文件系統的變化情況、進程狀態、網絡連接數量、連接時間、連接類型以及平均發送包數等，作為間接證據呈供；s′如前所述為證據的數字籤名，用以確保證據的權威性。
●數字籤名對所獲取的證據進行數字籤名。用方程來刻畫為s=Ek private(H(t+x+y))---(28)]]>其中E為籤名算法，可採用RSA、DSS籤名算法等；kprivate為系統對證據籤名時的私鑰，H為單向散列函數例如SHA-1等，+為字符串的連接運算。首先將字符串t，x，y合併成一個字符串，求取該字符串的散列值h，利用系統的私鑰kprivate採用公鑰算法E對h進行加密得到數字籤名。根據密碼學理論，如果kprivate足夠長，則s是安全的，能抵禦任何攻擊。
對任意的證據τ∈Γ，通過驗證τ的數字籤名，可提供證據的完整性、原始性(權威性、不可抵賴性)等，驗證方法如(29)式所示 其中Dkpublic(τ.s)為利用系統的公鑰kpublic採取相應的公鑰算法對τ.s作解密運算得到原經加密存儲的散列值，H(τ.t+τ.x+τ.y)為利用相應算法重新計算其散列值，若兩者相等，則驗證成功，證據τ完整有效；否則，則證據τ已被破壞，不可信。
●封裝證據。
將截取抗原的時間、抗原、周圍環境以及對這三者的組合進行的數字籤名一起封裝成證據記錄形式。
圖7是證據組織形式結構圖。
在證據伺服器中，證據的組織形式是生成的數字水印證據文件。
根據數字水印日誌構造方法將證據以數字水印日誌形式存放在證據伺服器中，即在證據中加入水印，水印為二進位串形式，可以是一段文字、標識、序列號以及圖象等。
創建數字水印證據文件時，首先填寫文件頭的有關信息，如文件標識符、摘要算法標識符、非對稱加密算法標識符、水印等。其中，文件標識符標識數字水印證據文件；摘要算法標識符表示數字水印證據文件使用的摘要算法，可採用目前國內外常用的摘要算法，如MD2、MD5及SHA-1等；非對稱加密算法標識符表示數字水印證據文件使用的非對稱加密算法，可採用國內外常用的非對稱加密算法，如RSA、DSA、ECC及DH等；文件籤名數據欄位主要包含水印、所有證據記錄摘要信息等，這些信息由非對稱加密算法標識符指定的算法加密後存儲。初始時，文件籤名數據欄位為空，以後每增加一個證據記錄，該欄位均相應發生變化；文件籤名數據實質上是證據文件中所有證據的摘要信息的數字籤名，任何證據記錄的細微改變，均將導致摘要信息的巨大差異，因此，驗證此欄位的籤名信息，可驗證整個證據文件的完整性。
數字水印證據文件建立後，每一條證據記錄均寫入文件末尾，每添加一條新的證據記錄，重新對證據文件進行數字籤名，並且寫回至證據文件。
當需要驗證整個文件的完整性時，取出文件頭的文件籤名數據，驗證其籤名的正確性，若通過籤名驗證，則說明所有證據記錄沒有遭到破壞，證據完整；否則，則說明證據文件已被破壞。
當需要驗證某條證據記錄的權威性和不可否認性時，取出該條記錄的數字籤名，驗證其正確性，若通過籤名驗證，則說明該條證據記錄沒有遭到破壞，可信；否則，則說明該條證據已被破壞或是偽造的，不可信。
注意文件籤名驗證成功，則意味著所有的證據記錄均是可信的；若驗證不成功，則說明證據文件中部分或全部證據記錄已被破壞，此時，可利用證據記錄數字籤名來驗證每一條證據的合法性。若某條證據記錄驗證通過，即使整個證據文件驗證失敗，該條證據也是可信的。
另外，證據伺服器是一臺可信度非常高的機器，並且極少人接觸證據伺服器。通過VPN與內部網絡相連，確保其獨立性和安全性。證據伺服器用來存放通過取證細胞提取的證據，以供日後進行證據分析。當證據伺服器接收到證據後也要對證據進行一次數據籤名，完成證據的移交過程。
權利要求
1.網絡監控與動態取證系統及方法，其特徵在於基於免疫的網絡監控的步驟；實時證據提取的步驟；證據存儲的步驟，證據完整性驗證的步驟。
2.權利要求1所述的網絡監控與動態取證系統及方法，其特徵在於基於免疫的網絡監控的步驟包括以下步驟對網絡活動進行抗原提呈(特徵提取)的步驟；自體集合動態演化的步驟；抗原集合動態演化的步驟；記憶免疫細胞檢測抗原的步驟；成熟免疫細胞檢測抗原的步驟；未成熟免疫細胞自體耐受的步驟。
3.權利要求1所述的網絡監控與動態取證系統及方法，其特徵在於實時證據提取的步驟包括以下特徵證據記錄的結構；提取證據的時刻，即檢測到有網絡入侵的時刻；對證據的封裝步驟。
4.權利要求3所述的實時證據提取的步驟，其特徵在於證據記錄的結構包括以下內容證據內容提取證據的時刻；原始IP包；原始IP包的基本特徵；攻擊現場周圍環境的快照(如CPU的使用情況、系統日誌文件、內外存狀況、swap狀況、文件系統的變化情況、進程狀態、網絡連接數量、連接時間、連接類型以及平均發送包數等)；數字籤名。
5.權利要求3所述的實時證據提取的步驟，其特徵在於對證據的封裝步驟包括以下步驟記錄提取證據的時刻的步驟；提取原始IP包的基本特徵的步驟；提取對攻擊現場周圍環境的快照的步驟；對證據的提取時刻、原始IP包及其基本特徵、攻擊現場周圍環境的快照等信息進行數字籤名的步驟；以證據記錄的形式封裝證據的步驟。
6.權利要求1所述的網絡入侵動態取證系統和方法，其特徵在於證據存儲的步驟包括以下特徵將證據記錄採用VPN通道傳送至證據伺服器的步驟；證據伺服器中證據文件的結構；證據在證據伺服器中存儲的步驟；
7.權利要求6所述的證據存儲的步驟，其特徵在於證據文件的結構包括以下內容文件頭由文件標識符、摘要算法標識符、非對稱加密算法標識符、水印、文件籤名數據組成；證據記錄由證據內容和數字籤名組成。
8.權利要求6所述的證據存儲的步驟，其特徵在於證據在證據伺服器中存儲的步驟包括以下步驟生成證據文件之文件頭的步驟；創建證據文件的步驟；將證據記錄插入到證據伺服器中的步驟；對證據文件數字籤名的步驟。
9.權利要求1所述的網絡監控與動態取證系統及方法，其特徵在於證據完整性驗證的步驟包括以下步驟對證據記錄完整性驗證的步驟；對證據文件完整性驗證的步驟。
全文摘要
本發明提出了一種網絡監控與動態取證系統及方法，屬於信息安全領域。其特徵在於對大規模網絡活動實時監控，及時提取攻擊現場證據，並且對證據進行妥善、安全處理及保管，確保證據的可靠性、安全性、完整性。本發明可應對黑客攻擊技術的變化，滿足司法機關取證工作需要，並且能滿足一些公司、企業、個人等取證的需求，具有廣闊的應用前景。
文檔編號H04L12/26GK1567852SQ20041002215
公開日2005年1月19日 申請日期2004年3月29日 優先權日2004年3月29日
發明者李濤 申請人:四川大學