取证安全存储

ISSN1000-9825,CODENRUXUEWE-mail:jos@iscas.
ac.
cnJournalofSoftware,Vol.
18,No.
7,July2007,pp.
17151729http://www.
jos.
org.
cnDOI:10.
1360/jos181715Tel/Fax:+86-10-625625632007byJournalofSoftware.
Allrightsreserved.
基于安全操作系统的电子证据获取与存储丁丽萍1,2,3+,周博文1,3,王永吉1,41(中国科学院软件研究所互联网软件技术实验室,北京100080)2(北京警察学院,北京102202)3(中国科学院研究生院,北京100049)4(中国科学院软件研究所计算机科学重点实验室,北京100080)CaptureandStorageofDigitalEvidenceBasedonSecurityOperatingSystemDINGLi-Ping1,2,3+,ZHOUBo-Wen1,3,WANGYong-Ji1,41(LaboratoryforInternetSoftwareTechnologies,InstituteofSoftware,TheChineseAcademyofSciences,Beijing100080,China)2(BeijingPoliceCollege,Beijing102202,China)3(GraduateUniversity,TheChineseAcademyofSciences,Beijing100049,China)4(StateKeyLaboratoryforComputerScience,InstituteofSoftware,TheChineseAcademyofSciences,Beijing100080,China)+Correspondingauthor:Phn:+86-10-62565272,Fax:+86-10-82620803,E-mail:dingliping@itechs.
iscas.
ac.
cnDingLP,ZhouBW,WangYJ.
Captureandstorageofdigitalevidencebasedonsecurityoperatingsystem.
JournalofSoftware,2007,18(7):17151729.
http://www.
jos.
org.
cn/1000-9825/18/1715.
htmAbstract:Inthispaper,akindofsecurityoperatingsystemwiththemechanismofreal-timeforensics(calledSeFOS)ispresented,thegeneralarchitectureofSeFOSisdescribed,themodelofitsforensicsbehaviorsisanalyzedwithsomeformalmethoddescriptions,andthemethodofcompletelycollectingandsafelystoringforthedigitalevidencesispresented.
TheforensicsmodelofSeFOSisinsidethekernelandtheevidencesareobtaintedfromsystemprocesses,systemcalls,resourcesassigninginsidethekernelandnetworkdata.
Finally,asimulatedexperimentisdesignedtovalidatetheefficiencyofSeFOS.
Keywords:post-mordemforensics;real-timeforensics;operatingsystem;forensicsbehaviormodel;datacollection;securityandprotection摘要:基于实时取证的思想,提出了一种安全可取证操作系统(securityforensicsoperatingsystem,简称SeFOS)的概念和实现思路.
提出了其总体结构,建立了该系统的取证行为模型,对其取证服务和取证机制进行了分析并作了有关形式化描述,阐述了证据数据的采集和安全保护方法,提出把取证机制置于内核,基于进程、系统调用、内核资源分配和网络数据等获取证据的方法,并通过模拟实验验证了SeFOS的可取证性.
可取证操作系统的研究对于进一步SupportedbytheNationalNaturalScienceFoundationofChinaunderGrantNo.
60373053(国家自然科学基金);theStateEducationMinistry'sScientificResearchFoundationfortheReturnedOverseasChineseScholarsunderGrantNo.
[2003]406(国家教育部留学回国人员科研启动基金);theResearchCollaborationBetweentheChineseAcademyofSciencesandtheRoyalSocietyoftheUnitedKingdomunderGrantNos.
20030389,20032006(中国科学院与英国皇家学会联合资助项目);thePlanofHundredsScientistsintheChineseAcademyofSciences(中国科学院百人计划)Received2006-02-24;Accepted2006-06-071716JournalofSoftware软件学报Vol.
18,No.
7,July2007研究可取证数据库管理系统(forensicdatabasemanagementsystem,简称FDBMS)和可取证网络系统(forensicnetwork,简称FNetWork)具有重要意义.
关键词:事后取证;实时取证;操作系统;取证行为模型;数据采集;安全保护中图法分类号:TP309文献标识码:A事后取证是目前普遍采用的取证方式,即在系统被攻击或者犯罪行为发生后,取证调查人员对可疑计算机开展诸如恢复数据、获取数据、分析鉴定等调查工作,收集所有可能获取的数据来进行事件重构,以确认犯罪行为实施的时间、地点和方式[15].
然而,犯罪分子在作案后可能会彻底删除或者混淆证据来隐藏他们的行为;而且系统中的某些事件,如正在进行的文件的修改、进程的中断、内部进程通信和内存的使用情况等,或许不会在被攻击的系统中留下事后证据.
所以,需要一个运行中的监控器来把这些事件实时记录下来[1]以获取全面而充分的证据,支持调查人员得出具有较强的确定性的结论.
研究表明,对于操作系统的进程等实时数据的取证越来越受到重视.
例如,2005年在美国召开的国际电子证据取证研讨会(digitalforensicsresearchworkshop,简称DFRW2005)上提出的挑战(challenge)就要求获取隐藏的进程(hiddenprocesses)作为证据[2],还要求弄清楚进程的隐藏方法.
虽然Linux系统提供了who,w,ps和top等了解进程的运行状态以及存活情况的命令以用来获取可疑进程,但是,这些命令运行在用户态,入侵系统的黑客可以轻松地找到这些进程监控程序的磁盘映像进行删除甚至替换.
依赖于这些命令进行证据的获取是不可靠的.
为此,本文提出了一种内核级取证系统,该系统采用计算机取证的多维过程模型[3],根据不同的取证需求定制取证策略,针对系统调用、进程、文件、内核资源分配和网络数据等数据源进行证据获取,保证了实时证据和事后证据的全面获取.
同时,该系统基于安全操作系统设计,因而称为安全可取证操作系统(securityforensicsoperatingsystem,简称SeFOS).
本文第1节介绍相关研究.
第2节建立SeFOS的取证行为模型,并对其进行分析.
第3节论述SeFOS的数据采集.
第4节说明证据数据的安全保护.
第5节是模拟实验验证.
最后是结论.
1相关研究传统的电子证据数据源是网络日志和磁盘状态[4,5].
例如,Snort可以记录网络传输日志[6],TCT(thecoroner'stoolkit)可以恢复删除的文件并提供和文件产生、修改或者访问的时间有关的信息.
其他事后证据获取工具有Encase,FTK,Ilook,SMART等.
这些取证工具共同的缺陷是没有记录系统运行过程中的潜在证据——日志,仅考虑了事后取证.
Backtracker[7]构造了一个图形界面,通过在操作系统调用级记录运行的事件和系统对象向管理员展示了潜在的会引起系统被攻击的监测点的事件序列.
事件通过对于诸如读、写、执行、fork等系统调用的监测被标识.
系统对象就是进程、文件和文件名.
然而,它不能监测在内存映射对象中的操作.
而且,该模块受管理员控制,如果进攻者取得了管理员身份,则很容易停掉该模块.
网络日志仅仅进行加密是不够的,因为密钥是可以获取的.
磁盘镜像仅仅提供了文件系统的最后状态而不能提供进攻过程的信息.
SNARE(systemintrusionanalysis&reportingenvironment)[8]是一个入侵检测和分析环境,它的目的在于通过一个运行在Linux操作系统的可动态加载的内核守候进程解决这一问题.
它能够提供给取证调查分析人员有关系统事件日志的信息,例如网络连接、文件和目录的读写、用户和组标识的修改以及应用程序进程的改变.
SNARE的功能包括通过系统调用级可加载模块的执行捕获事件、由定义了事件类型和系统可审计对象的守候进程进行审计和位于高层的取证分析GUI(graphicuserinterface)表达层来浏览捕获的系统事件.
它不提供任何对于事件序列重构的自动取证分析.
把分析任务留给对高一层的系统事件进行观察的调查员.
它把文件看作原子实体.
共享内存访问不被审计.
同时,它没有提供取证过程的监督和取证模块的保护机制.
Forensix提供了取证分析的准确性,同时减少了手工操作[9].
Forenix基于SNARE并在3个关键点上对其进行了扩展:在系统调用级监测目标系统的执行;提供了一个对所有行为的可独立应用的观察;当系统调用级的信息通过一个私有界面存储的时候,提供了一个安全的支持系统和一个数据库技术来支持对于获取的日志的高层查询.
Forensix使用了与Backertracker同样的系统调用和丁丽萍等:基于安全操作系统的电子证据获取与存储1717对象日志技术.
它通过调用参数和返回值扩大了潜在证据的收集.
他们的主要不同在于分析的步骤上:Forensix依赖于数据库技术来处理随意的查询和从探测点到攻击源跟踪事件序列,并且它也把一个文件对象作为一个原子实体而不进一步细化,它用一种计时的方法来解决内存访问问题但仍然不能把内存装载和存储操作日志记录下来.
虚拟机技术也被用于取证分析并提供了一个时间重构的框架.
一个虚拟机监控器是一个模拟硬件的软件执行.
运行在虚拟机中的操作系统被称为客户操作系统,以区分运行在裸机上的宿主操作系统.
ReVirt是执行在宿主操作系统中的一个入侵检测和分析系统[10],它可以记录每一个在虚拟机中的指令执行的日志,允许一条指令一条指令地回放虚拟机的操作过程.
它能够在可能被非决策影响的时候重建事件.
尽管ReVirt提供了一个系统运行的全部日志记录,重放虚拟机也不会对那些导致系统问题的时间序列的重构进行任何分析.
日志和重放机制试图提供一个重建潜在进攻的功能,并把分析留给调查者.
Livewire最初是作为一个IDS(intrusiondetectionsystem)来构思的[11],但提供了一个实时事件的日志能力来进行取证分析.
在一个VMM(virtualmachinemonitor)中,它在客户操作系统中监控特别定义的事件.
一个更新的研究工作在Backtracker中加入了对有文件对象参加的事件的细粒度取证.
在文件系统中的读写操作也在系统调用级被监控,使用了偏移量参数来确定一个进程是否读了一个以前曾经被另一个进程修改过的文件的一部分.
结果是减少了搜索空间、搜索时间和错误依赖.
文献[1]基于对上述问题的研究,提出了一种对共享内存映射文件(sharedmemory-mappedfiles)进行监控的系统,试图以内存映射文件为数据源,在系统调用级实时获取证据.
但是,对于取证模块的按需部署、安全保护等问题,文献[1]中并没有提及.
2SeFOS的取证分析2.
1SeFOS的行为表示模型根据文献[12]提出的一般意义上的操作系统行为表示模型,本文给出了SeFOS的取证行为表示模型.
如图1所示.
SatisfyForensics_ServeicesForensics_GoalForensics_ResourcesForensics_SubjectAccessExecuteComposeForensics_BehaviorFig.
1BehaviormodelofSeFOS图1SeFOS的取证行为模型示意图定义1(取证行为模型).
定义如下五元组表示取证行为模型:(Forensics_Goal,Forensics_Subject,Forensics_Behavior,Forensics_Resources,Forensics_Serveices).