中國電信股份有限公司江蘇分公司操作維護中心 魏淵

網(wǎng)絡入侵后的痕跡提取分析

中國電信股份有限公司江蘇分公司操作維護中心 魏淵

網(wǎng)絡攻擊和入侵事件造成的影響和危害需要電信運營商引起足夠重視和采取應對措施。在被黑客入侵后僅僅進行數(shù)據(jù)恢復、安全加固尚不足以規(guī)避風險，這種做法過于被動。通過對痕跡的提取分析了解入侵的過程和操作行為，能夠徹底清除后患，同時獲得證據(jù)線索和溯源。入侵痕跡提取分析的重要原則包括及時性、準確性、合法性、多備份、環(huán)境安全、嚴格管理過程。主要從網(wǎng)絡層面提取入侵痕跡和從主機層面提取入侵痕跡。在進行痕跡提取分析的時候，不推薦在運行系統(tǒng)中直接查看各項痕跡，而應將所有的痕跡數(shù)據(jù)全部而迅速地提取出來進行備份，輔以截屏保留證據(jù)，對備份件進行分析。在工具的選擇上，推薦使用命令行工具。

網(wǎng)絡入侵；痕跡提??；痕跡分析；系統(tǒng)加固

1 基本概念

網(wǎng)絡入侵是指在非授權的情況下，試圖登錄、處理、控制或破壞網(wǎng)絡信息系統(tǒng)的故意行為。在入侵過程中進行的某些操作行為，在入侵結束后會保留在系統(tǒng)中或者保持一段時間，而這些遺留的操作行為即是判定異常行為構成入侵的證據(jù)或線索，在本文中稱之為入侵痕跡。

在網(wǎng)絡被入侵后，通常網(wǎng)絡管理員想到的是對網(wǎng)絡進行應急響應、數(shù)據(jù)恢復、漏洞修復以及安全加固等。這些應對措施固然正確，卻不足以規(guī)避風險，還應對網(wǎng)絡系統(tǒng)入侵痕跡進行提取分析。入侵痕跡提取分析通過技術手段盡可能準確、及時地提取入侵痕跡，對其進行深度剖析，以還原入侵的過程和操作行為，逆向操作使系統(tǒng)恢復到正常狀態(tài)并對薄弱點進行加固，能夠徹底清除后患、規(guī)避日后風險，同時獲得證據(jù)線索和溯源，進而保留對入侵者依法追究責任的權利。

2 重要原則

入侵痕跡提取分析的重要原則包括及時性、準確性、合法性、多備份、環(huán)境安全、嚴格管理過程。在入侵過程中或之后，系統(tǒng)中必然存在很多入侵痕跡，但隨著時間的流逝，一方面可能由于入侵者自行刪除了某些入侵痕跡，如安全日志等，另一方面由于系統(tǒng)的運行需要不斷進行數(shù)據(jù)讀寫等，導致很多入侵痕跡被覆蓋或修改，因此提取入侵痕跡需要遵循的第一原則是及時性。準確性是指通過科學的技術手段進行提取以保證結果的真實可信度。合法性是指需要遵循法律法規(guī)。多備份是指在提取出痕跡數(shù)據(jù)后進行備份，對備份文件執(zhí)行分析操作，這是由于分析操作很可能改變原始數(shù)據(jù)，導致證據(jù)失效。環(huán)境安全是指存放入侵痕跡數(shù)據(jù)的存儲設備應存放在安全的環(huán)境中。嚴格管理過程是指所有的手續(xù)和步驟都應在嚴格的監(jiān)督管理之下進行。

在上述的6個原則中，及時性直接關系到對入侵行為的重構還原是否順利，應當被優(yōu)先確保。此外，及時性不僅體現(xiàn)在入侵痕跡的提取分析具有時效性，還體現(xiàn)在提取分析信息時的順序性，運行系統(tǒng)中部分易變信息比其他信息變化更頻繁，為了盡量提取分析到符合系統(tǒng)被入侵的真實信息，需要將易變信息排序，首先提取分析保留時間最短、變化最頻繁的信息，非易變信息則可以稍后提取分析。

3 入侵痕跡提取

為了找到黑客的入侵痕跡，應分析入侵者在系統(tǒng)中實施了哪些操作。不同的入侵者具備不同的技術手段和思維方式，因此，列舉出一份入侵操作清單是不現(xiàn)實的，但仍然可以總結出入侵的一般步驟。

3.1 網(wǎng)絡入侵的一般步驟

網(wǎng)絡入侵的一般步驟包含4個方面：

1）進入系統(tǒng)：通常是通過掃描目標主機或Web網(wǎng)站的信息，例如應用服務、開放端口等，再根據(jù)各種漏洞或脆弱賬戶密碼等進行利用，進入系統(tǒng)；

2）提升權限：通常是檢查是否存在可提升權限的漏洞、是否存在脆弱賬戶密碼、是否存在權限設置出錯等，提升權限，最終獲得管理員權限；

3）放置后門：后門是指繞過安全性控制實現(xiàn)對程序或系統(tǒng)訪問權的方法，黑客在進入系統(tǒng)后通常都會留有一個后門方便再次進入系統(tǒng)；

4）清理日志：清理自己在系統(tǒng)中的操作痕跡。

3.2 從網(wǎng)絡層面提取入侵痕跡

從網(wǎng)絡層面可以通過對網(wǎng)絡流量監(jiān)測、網(wǎng)絡設備日志和配置文件檢查等手段來提取入侵痕跡。

1）通過網(wǎng)絡側部署的異常流量監(jiān)測系統(tǒng)、入侵檢測系統(tǒng)、防火墻或路由設備來確定網(wǎng)絡流量有無異常，在確認攻擊行為存在時能夠對攻擊行為進行溯源。

2）通過檢查網(wǎng)絡設備日志中是否存在未授權訪問或非法登錄事件，用以配合定位攻擊源。例如安全日志中異常登錄時間、未知用名登錄、非法登錄訪問以及某賬號的頻繁登錄和惡意操作。

3）通過檢查網(wǎng)絡設備配置文件有無異常，是否被修改，對比網(wǎng)絡層防護的安全控制策略，檢查網(wǎng)絡設備配置以及安全策略是否存在異常。

3.3 從主機層面提取入侵痕跡

在主機層面可以通過檢查被入侵服務器的日志、賬號、進程、服務、自啟動項、病毒、木馬、網(wǎng)絡連接、共享目錄、定時作業(yè)、注冊表等來獲取入侵痕跡。

1）檢查系統(tǒng)日志中未授權訪問或非法登錄事件或者檢查中間件、FTP（文件傳輸協(xié)議）等日志中檢測非正常訪問行為或攻擊行為；

2）檢查系統(tǒng)非正常賬號和隱藏賬號；

3）檢查是否存在未被授權的應用程序或服務；

4）檢查系統(tǒng)是否存在非法服務；

5）檢查系統(tǒng)各用戶“啟動”目錄下是否存在未授權程序；

6）使用防病毒軟件檢查文件，掃描硬盤上所有的文件檢查是否存在病毒、木馬、蠕蟲；

7）檢查非正常網(wǎng)絡連接和開放的端口；

8）檢查非法共享目錄；檢查當前定時作業(yè)情況，是否存在不明定時執(zhí)行作業(yè)；

9）檢查注冊表，注冊表是Windows操作系統(tǒng)及其所支持的應用程序的中心配置數(shù)據(jù)庫，存儲了大量信息，成為獲取潛在證據(jù)的最好資源。

4 入侵痕跡分析

由于數(shù)據(jù)的易變性和取證技術的及時性原則，在進行痕跡提取分析的時候，并不推薦在運行系統(tǒng)中直接查看各項痕跡，而應將所有的痕跡數(shù)據(jù)全部而迅速地提取出來進行備份，輔以截屏保留證據(jù)，對備份件進行分析。在工具的選擇上，推薦使用命令行工具，命令行工具往往比較簡潔，且容易通過批處理或腳本工具自動化執(zhí)行。

入侵痕跡分析的技術方法涉及到密碼破解、數(shù)據(jù)隱藏分析、數(shù)據(jù)恢復、關鍵字挖掘等。密碼破解是對已加密數(shù)據(jù)進行解密的技術，數(shù)據(jù)隱藏分析是確認是否存在隱藏數(shù)據(jù)以及隱藏在何處的技術，數(shù)據(jù)恢復是將已刪除的消息進行恢復的技術，關鍵字挖掘是按敏感詞匯搜索匯集各個關聯(lián)文件的技術。

入侵痕跡分析的目的之一是重構入侵行為，因此?？紤]到的方面是時間框架分析和文件關聯(lián)性分析。時間框架分析通常通過建立文件的最后修改目錄來重構入侵時各種操作的發(fā)生次序，文件關聯(lián)性分析是指通過分析散落在各處的文件內在的聯(lián)系從而對被入侵系統(tǒng)有更深入的了解。

5 總結

通過對入侵痕跡的提取分析，一方面，我們可以通過重構入侵行為，分析入侵行為對網(wǎng)絡信息系統(tǒng)產生的直接破壞、潛在隱患和深層次影響，以便能夠徹底清除后患、規(guī)避日后風險；另一方面，我們可以追溯到入侵者，在入侵行為造成較大損失的情況下，能夠對入侵者依法追究責任。

根據(jù)諾卡德交換原理“凡接觸，必留下痕跡”可以知道，無論是怎樣的入侵手段，始終都會留下痕跡線索，作為網(wǎng)絡安全管理人員，任務就是找到這些線索，并根據(jù)這些線索使自己所維護管理的系統(tǒng)更加安全穩(wěn)固?！?/p>