基于多代理的网络入侵取证研究

郭延海

如今科技日益发达，与此同时网络黑客也不断在计算机和网络上大做手脚，在以往的网络入侵案件中根本无法拿出他们的犯罪证据来惩治他们，所以让他们不曾有所畏惧，一味的逍遥法外。然而现在有关研究人员已经结合计算机动态取证的执行原理和多代理特点，发现了一种基于多代理的网络入侵取证的系统，这样一来，在各个代理的互相帮助下，我们能够对网络入侵进行实时取证，从而获取最有利的证据。该文首先对计算机动态取证做了简要的解释，接着对多代理在计算机网络取证中的应用做了分析，最后提出了基于多代理的网络入侵取证系统的总体设计方案。

多代理；网络入侵；动态取证

在计算机发展的推动下，我们的社会逐渐的向信息化以及网络化发展，所以计算机安全、网络安全成为了大家最担心、最重视的问题之一。通过有效地收集电子数据来给予网络犯罪分子一些警告，从而降低网络犯罪率是社会十分重视的问题，今日的基于多代理的网络入侵取证确实能够解决这个问题。

1.计算机动态取证

电子证据，顾名思义是指系统在运行时对所经历的事实进行电磁记录。一旦不法分子入侵计算机网络，系统能够自动记录那一系列的数据，通过这些原始的数据就能对犯罪分子进行控告，这种方法就叫做计算机取证，总结起来就是两个过程：扫描和重建，意思是时刻扫描是否有网络入侵或者破坏行为，然后对扫描到的内容进行重建，从而成为了最原始的犯罪证据。然而最开始的取证只是静态的，或者可以说是事后取证，在很大程度上受到了限制，效率较低，所以大家开始找寻动态取证的方法，也可以说是实时取证。动态取证所获得的证据更加详细，也更准确。最重要的是，通过动态取证，系统可以分析出犯罪分子的目标，从而提前进入防患状态，因此可以构成一个计算机安全体系。

2.多代理在网络入侵取证中的应用

“代理”，在计算机系统中其实就是一个计算机程序或者实体，它在某些特定的环境中可以代表使用者自行运行一些目标。多代理也就是多个代理的联合，各个代理之间互相合作，从而完成一些个体无法实现的目标。因此多代理技术的特点表现为自主的同时互相之间又比较协调，能够实现自我组织、自我推理以及自我学习。正由于这些特点，研究人员才想到将它应用于计算机网络入侵动态取证系统中。

随着计算机网络的广泛应用以及以数字形式存在的信息的急剧增加，以计算机为犯罪目标和以计算机为犯罪手段的网络犯罪呈现出惊人的增长速度电子证据作为一种新的证据形式，逐渐成为新的诉讼证据之一要解决日益猖狂的网络犯罪问题，关键是借助法律手段进行计算机取证只有获取网络犯罪证据并将之告上法庭，才能打击威慑犯罪分子计算机取证一般分为三个阶段证据获取、分析和法庭展示电子证据的获取是计算机取证技术中的核心内容，是计算机取证研究的的热点本文研究网络入侵的计算机取证技术，着重对网络电子证据的获取技术进行了研究文章首先分析了网络犯罪现状及其防控对策，总结了计算机取证研究的基本情况，并分析了当前计算机取证存在的问题在此基础上，结合软件工程的思想，从获取证据的需求出发，提出了一个基于入侵检测的网络证据获取过程模型在该模型的指导下，设计了一个基于多代理的网络证据获取系统系统采用分布式策略，多个代理相互协作共同完成网络证据获取工作。

在计算机网络入侵动态取证系统中，我们定义了几个代理模块，分别有通信代理、检测代理、取证代理以及响应代理等。这些代理坐落于各个网络节点间，通过相互协作、相互通信来完成网络入侵的取证任务。

3.系统总体设计

了提高网络入侵的取证效率，我们将代理系统放到目标系统中，这样一来，电子证据的收集过程、分析过程以及证据的保护过程都将在目标系统中进行，从真正意义上做到了对网络入侵进行实时的取证，同时尽可能多地找到犯罪证据。

系统物理结构。基于多代理的网络入侵动态取证系统主要的系统组成分为取证中心服务器以及取证代理机。由前文介绍，我们已经知道取证代理机就是多个代理组成的结构，用来完成取证通信、检测等一系列的任务。而取证中心服务器可以说是整个系统的调度中心，专门负责各个代理的管理工作和电子证据的显示。

系统体系结构与功能描述。通信代理：通信代理，顾名思义是专门负责各个代理和中心的通信，同时也要通过数据分析制定一些安全机制。具体做的事情主要是对各个代理进行合理的配置、正确的管理和维护，接收各个代理传送来的侦测数据，例如收集数据和检测数据等，并将各个取证任务进行合理的分配，交给其他的取证代理来完成。因此通信代理相当于一个中央控制中心，是整个系统中控制的内容最广泛的环节。

数据收集代理：系统根据特定的环境情况建立相应的数据收集代理，它一般设在监控主机上或其他网段上的安全机上。其工作内容是对收到的数据进行初步的处理，之后将它传送给检测代理。

检测代理：检测代理接收来自数据采集代理传送来的数据，对其进行仔细的分析后得出判断：此数据是否会入侵我们的网络系统、对系统是否有破坏的动机等行为。只要发现有这些行为，检测系统将相关信息立即上报对应的响应代理，让它得到及时的处理。

取证代理：取证代理接收到检测代理传送来的入侵攻击的相关信息，例如它的类别、遭受入侵主机的地址等，开始在对应的机构上完成取证过程。其实，取证代理有一个证据收集部件，专门用来收集不法分子犯罪的原始数据。该部件首先对获得的证据进行备份、整理、签名，使之具有法律效应。最后将它安全传送至中心服务器进行显示。

电子证据，顾名思义是指系统在运行时对所经历的事实进行电磁记录。一旦不法分子入侵计算机网络，系统能够自动记录那一系列的数据，通过这些原始的数据就能对犯罪分子进行控告，这种方法就叫做计算机取证，总结起来就是两个过程：扫描和重建，意思是时刻扫描是否有网络入侵或者破坏行为，然后对扫描到的内容进行重建，从而成为了最原始的犯罪证据。然而最开始的取证只是静态的，或者可以说是事后取证，在很大程度上受到了限制，效率较低，所以大家开始找寻动态取证的方法，也可以说是实时取证。动态取证所获得的证据更加详细，也更准确。最重要的是，通过动态取证，系统可以分析出犯罪分子的目标，从而提前进入防患状态，因此可以构成一个计算机安全体系。

入侵检测可以分为：误用入侵检测技术和异常入侵检测技术。什么叫误用检测？它是出现对计算机网络和数据库的破坏等恶意行为的时候，识别系统对这种行为作出的防护模式。误用入侵检测技术是以探析各种形式的攻击，从而整合成一个数据库，讲这些攻击个例记录找出特征，分析当时的数据情况，与之相互比较评估，然后找出与之相适应的形式，如果有满足条件的，那么这个误用入侵检测系统就会发出警报，并作出相应的措施。他是入侵检测的一部分，但是功能上相对独立。所谓异常入侵检测技术是指将过往的正常的系统运行的数据和情况与现在的电脑的系统运行数据、模式相互比较，得出分析数据，当此时的数据与正常值失去甚远，也就是超出了正常值的时候，就表示此时的电脑系统是不正常的运行，那么就是有不合法的危害出现。入侵检测技术的系统能够检测没有识别的对象，监控对计算机系统企图入侵的行为，监控已识别的对象对系统的非法操作。

综上所述，运用多代理的方法对计算机网络入侵取证确实可行，用这种方法收集到的电子证据不仅信息齐全，而且效率高，对计算机网络体系的安全做出了保障，目前这项技术也还没到很纯熟的地步，我们需要对各个代理的功能实现进行更深层次的了解和研究，将这项技术逐渐加以完善。

[1]朱剑.网络入侵取证重构—网络入侵取证系统的设计与实现[J].江南大学，2008.03

[2]蒋中云,张基温.基于Multi-Agent的网络入侵取证模型的设计[J].江苏无锡江南大学信息工程学院，2005.09

[3]张喜生.计算机网络入侵取证技术的研究[J].深圳职业技术学院电子与信息工程学院，2010.06