王丹琛，張仕斌，徐 揚(yáng)，許 寧

基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證評(píng)估模型研究

王丹琛1,2，張仕斌3，徐 揚(yáng)1，許 寧2

(1. 西南交通大學(xué)智能控制開發(fā)中心 成都 610031; 2. 四川省信息安全測(cè)評(píng)中心 成都 610017; 3. 成都信息工程大學(xué)信息安全工程學(xué)院 成都 610225)

對(duì)復(fù)雜信息系統(tǒng)的業(yè)務(wù)用戶行為和網(wǎng)絡(luò)取證進(jìn)行了研究，結(jié)合木馬技術(shù)提出了基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證評(píng)估模型，該模型構(gòu)建了基于云模型的業(yè)務(wù)用戶行為定量評(píng)估方法。通過仿真實(shí)驗(yàn)驗(yàn)證了模型評(píng)估的合理性，同時(shí)驗(yàn)證了該模型能實(shí)時(shí)隱蔽地記錄用戶行為，并能確保將獲取的信息反饋給取證控制端，為計(jì)算機(jī)動(dòng)態(tài)取證的研究提供了一種可行的技術(shù)方案。

行為評(píng)估; 業(yè)務(wù)用戶行為; 云模型; 計(jì)算機(jī)動(dòng)態(tài)取證; 信任云

網(wǎng)絡(luò)用戶行為作為網(wǎng)絡(luò)行為學(xué)研究的內(nèi)容之一，其本質(zhì)就是研究網(wǎng)絡(luò)上用戶行為的規(guī)律和特點(diǎn)，最終達(dá)到控制或預(yù)測(cè)用戶行為[1-2]。通過對(duì)網(wǎng)絡(luò)用戶行為以及網(wǎng)絡(luò)取證的研究與分析，發(fā)現(xiàn)在網(wǎng)絡(luò)犯罪領(lǐng)域，對(duì)網(wǎng)絡(luò)中不安全的用戶行為進(jìn)行實(shí)時(shí)取證，對(duì)于打擊網(wǎng)絡(luò)犯罪，推動(dòng)計(jì)算機(jī)動(dòng)態(tài)取證的發(fā)展具有重要的現(xiàn)實(shí)意義。當(dāng)前，計(jì)算機(jī)取證及安全評(píng)估研究吸引了眾多研究者，取得了一些重要研究成果。文獻(xiàn)[3]主要在取證中將不同的隱私級(jí)別賦予不同保護(hù)機(jī)制，能夠有效緩和隱私保護(hù)和計(jì)算機(jī)取證之間的矛盾，使取證得到的證據(jù)能夠更加合法；文獻(xiàn)[4]將哈希算法用于電子證據(jù)的保存中，提出了保證電子證據(jù)的完整性提出一種新的解決方案；文獻(xiàn)[5]引入模糊神經(jīng)網(wǎng)絡(luò)來檢測(cè)正常和異常的網(wǎng)絡(luò)流量，以及時(shí)地阻止不安全的行為，設(shè)計(jì)了一種基于模糊神經(jīng)網(wǎng)絡(luò)的取證模型；文獻(xiàn)[6]使用多代理機(jī)制分層進(jìn)行檢測(cè)與分析，提出一個(gè)協(xié)作的多智能體的取證工具；文獻(xiàn)[7]采用多線程和虛擬技術(shù)對(duì)捕獲的數(shù)據(jù)進(jìn)行審計(jì)與分析，設(shè)計(jì)了一種基于入侵檢測(cè)和防火墻技術(shù)的聯(lián)動(dòng)取證系統(tǒng)；文獻(xiàn)[8]利用Multi-Agent技術(shù)的自主學(xué)習(xí)和推理能力，設(shè)計(jì)一種基于Multi-Agent的取證系統(tǒng)，各Agent相互協(xié)調(diào)與合作，共同完成對(duì)網(wǎng)絡(luò)取證；文獻(xiàn)[9]提出了一種新的磁盤映像模式，將更多的電子證據(jù)和調(diào)查程序共享在虛擬電子證據(jù)圖書館(VEEL)中；文獻(xiàn)[10]借助于云模型理論，設(shè)計(jì)了一種基于云模型的計(jì)算機(jī)取證系統(tǒng)。

通過對(duì)上述取證相關(guān)模型及理論與技術(shù)的分析發(fā)現(xiàn)，上述研究成果尚存在一些不足，如：在網(wǎng)絡(luò)取證中，沒有深入分析網(wǎng)絡(luò)業(yè)務(wù)用戶行為；取證過程中不能保證取證程序的隱蔽性且缺乏保證證據(jù)安全的有效措施；獲取的數(shù)據(jù)針對(duì)性差，大多數(shù)據(jù)是無用的。基于以上原因，本文借鑒已有研究工作，結(jié)合作者在文獻(xiàn)[11-13]中的研究成果，以復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境為研究背景，引入云模型理論對(duì)網(wǎng)絡(luò)業(yè)務(wù)用戶行為進(jìn)行研究并定量描述，研究并提出了基于業(yè)務(wù)用戶行為的動(dòng)態(tài)取證評(píng)估模型。

1 計(jì)算機(jī)取證與網(wǎng)絡(luò)行為的研究

1.1 計(jì)算機(jī)取證的相關(guān)問題

在計(jì)算機(jī)取證發(fā)展的初期一般均為靜態(tài)取證，磁盤鏡像技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、信息過濾技術(shù)等有了很大的進(jìn)展，一些工具也陸續(xù)問世[8](如Quick View Plus和ThumbsPlus)。動(dòng)態(tài)取證通過對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控，實(shí)時(shí)獲取并分析相關(guān)信息；網(wǎng)絡(luò)取證[10]主要針對(duì)的是計(jì)算機(jī)動(dòng)態(tài)取證，它更強(qiáng)調(diào)現(xiàn)場(chǎng)監(jiān)控，實(shí)時(shí)地收集網(wǎng)絡(luò)中的信息和通過誘騙等技術(shù)對(duì)網(wǎng)絡(luò)實(shí)施主動(dòng)防御。

1.2 網(wǎng)絡(luò)行為的相關(guān)問題

以往研究網(wǎng)絡(luò)行為主要側(cè)重于對(duì)網(wǎng)絡(luò)流量進(jìn)行分析；隨著技術(shù)的發(fā)展，人們意識(shí)到雖然網(wǎng)絡(luò)中行為形式各異，但同一用戶的長(zhǎng)期行為呈現(xiàn)一定的趨勢(shì)，分析這些趨勢(shì)能基本得到該用戶在網(wǎng)上的活動(dòng)范圍。

業(yè)務(wù)用戶行為分析的過程如圖1所示。由于建模方法不同，導(dǎo)致分析過程中存在一些差異，用戶行為也表現(xiàn)出不同的形式，因而對(duì)用戶行為實(shí)施后續(xù)操作也將隨之改變。

圖1 業(yè)務(wù)用戶行為分析過程

2 基于業(yè)務(wù)用戶行為的動(dòng)態(tài)取證模型

2.1 基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證的思路

基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證模型包括用戶行為評(píng)估和計(jì)算機(jī)動(dòng)態(tài)取證模型，如圖2所示。模型在用戶行為評(píng)估模型的基礎(chǔ)上結(jié)合木馬技術(shù)來構(gòu)建，該模型能夠?qū)Σ话踩挠脩粜袨檫M(jìn)行實(shí)時(shí)取證，最終能確保網(wǎng)絡(luò)的安全和實(shí)時(shí)取證。

圖2 構(gòu)建基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證模型的思路

2.2 基于云模型的業(yè)務(wù)用戶行為評(píng)估模型

在復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境中，業(yè)務(wù)用戶行為的不確定性與云模型理論的基本特征吻合，故本文擬借助于云模型理論對(duì)業(yè)務(wù)用戶行為進(jìn)行描述(構(gòu)建業(yè)務(wù)用戶行為模型)；為了體現(xiàn)對(duì)不同用戶行為評(píng)估的差異性，本文也借助于云模型理論對(duì)用戶行為進(jìn)行評(píng)估(構(gòu)建行為評(píng)估模型)。

2.2.1 云模型理論的相關(guān)基礎(chǔ)

定義 1 設(shè){}Ux=是定量域，C代表定性概念，()f x(()f x∈[0,1])代表U到C的隨機(jī)映射關(guān)系且具有某種穩(wěn)定傾向，則x在U上的分布就稱為云，每一個(gè)x就是一個(gè)云滴[12]。

為了將定性的概念按定量的方式進(jìn)行描述，云用期望(Ex)、熵(En)、超熵(He)3個(gè)數(shù)字特征來表征一個(gè)定性概念的整體特征[14]。

定義 2 正向云發(fā)生器[11]：將定性概念轉(zhuǎn)換成定量的描述，由云的數(shù)字特征產(chǎn)生云滴。

定義 3 逆向云發(fā)生器[11]：是正向云發(fā)生器的逆過程，是由云滴得到云的數(shù)字特征的過程。

2.2.2 基于云模型理論的業(yè)務(wù)用戶行為評(píng)估模型

本文擬應(yīng)用云模型理論[14]的3個(gè)數(shù)字特征(Ex,En,He)對(duì)復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境中不確定的用戶行為進(jìn)行定量描述和評(píng)估。

1) 基于云模型理論的業(yè)務(wù)用戶行為模型

設(shè)用戶行為屬性集為U={U1, U2,…,Un}，Ui( i=1,2,…,n)為一次用戶整體行為，令Ui={Exi,Eni,Hei}代表一次用戶行為的數(shù)字特征(其中，Exi反映了用戶行為的整體特征；Eni反映了用戶行為的不確定性；Hei反映了Eni的不確定性)?？紤]到各行為屬性對(duì)用戶整體行為的影響不同，因而各行為屬性在整體行為中所占的比重也不相同。如用BWUi表示一次行為的權(quán)重(在不同網(wǎng)絡(luò)環(huán)境中，各網(wǎng)絡(luò)業(yè)務(wù)用戶行為的權(quán)重是不同的，故BWUi的值可根據(jù)實(shí)際情況來設(shè)定)。由于Exi是對(duì)行為最直接的量化，為了與客觀事實(shí)更為接近，在此用式(1)來代表描述用戶行為的期望。

2) 基于云模型理論的業(yè)務(wù)用戶行為評(píng)估模型

設(shè)評(píng)估標(biāo)準(zhǔn)集為C={C1, C2,…,Cn}，其中, Ci=(ExUi,EnUi,HeUi)是對(duì)Ui評(píng)估的標(biāo)準(zhǔn)集的數(shù)字特征，體現(xiàn)了對(duì)不同用戶行為評(píng)估標(biāo)準(zhǔn)的差異性。為了體現(xiàn)評(píng)估主體的影響，評(píng)估主體事先設(shè)置好容忍度[11]；然后以評(píng)估標(biāo)準(zhǔn)集為依據(jù)得到評(píng)估該用戶行為的數(shù)字特征；最后由正向云發(fā)生器轉(zhuǎn)換得到該行為評(píng)估的云模型，完成業(yè)務(wù)用戶行為評(píng)估。

2.2.3 基于云模型理論的業(yè)務(wù)用戶行為評(píng)估過程

1) 計(jì)算單次用戶行為的可信得分

當(dāng)用戶進(jìn)行一次操作時(shí)，可以得到一個(gè)表征其行為的數(shù)值xi，將該值映射到表征用戶一次行為的云模型中，可以得到其行為確定度值u( xi)(u( xi)即是云的定義中的f( x)，xi是用戶本次操作直接獲得的數(shù)值，而xiu( xi)是實(shí)際值乘以云模型的確定度值后的修正值，代表本次行為在云模型中表現(xiàn)出來的行為可能性趨勢(shì))。

由文獻(xiàn)[11]中可信得分的定義，按一定的規(guī)則(根據(jù)用戶行為評(píng)估標(biāo)準(zhǔn)集具體設(shè)定)計(jì)算出xi和xiu( xi)對(duì)應(yīng)的可信得分si和si+1，然后將其映射到云模型中并評(píng)估業(yè)務(wù)用戶行為，可以得到其行為的確定度值fi( x)和fi+1(x)，再由式(2)計(jì)算出該次行為的確定度值ci( xi)，最后由式(3)計(jì)算出該次行為的可信得分。

1) 用戶整體行為可信得分的計(jì)算

由于評(píng)估用戶整體行為各屬性的重要程度不同，可結(jié)合權(quán)重計(jì)算出用戶整體行為確定度值TC和整體行為的可信得分TS，具體計(jì)算公式如下：

考慮到網(wǎng)絡(luò)中其他因素對(duì)用戶行為評(píng)估所帶來的干擾，在此設(shè)置干擾因子θ(0＜θ≤1)。由于在不同網(wǎng)絡(luò)環(huán)境中，各網(wǎng)絡(luò)業(yè)務(wù)用戶行為的干擾是不同的，故θ的值可根據(jù)實(shí)際情況來設(shè)定，令：

當(dāng)θ值越趨近于1時(shí)，意味著本次評(píng)估結(jié)果受外界的干擾程度越高，獲得的結(jié)果也越不準(zhǔn)確。

2.3 基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證評(píng)估模型

以2.2節(jié)提出的業(yè)務(wù)用戶行為評(píng)估模型為基礎(chǔ)，引入木馬技術(shù)來構(gòu)建計(jì)算機(jī)動(dòng)態(tài)取證模型。

2.3.1 基于木馬的計(jì)算機(jī)取證

木馬由于其良好的隱蔽性，使其在計(jì)算機(jī)取證方面取得了一些研究成果：文獻(xiàn)[15]設(shè)計(jì)了一種基于木馬的取證系統(tǒng)；文獻(xiàn)[16]結(jié)合木馬原理，設(shè)計(jì)了一種取證工具。這些成果充分考慮了木馬獲取證據(jù)的主動(dòng)性，但沒有考慮獲取證據(jù)的實(shí)時(shí)性及安全性。

2.3.2 構(gòu)建基于業(yè)務(wù)用戶行為的動(dòng)態(tài)取證評(píng)估模型

以2.2節(jié)中研究的行為評(píng)估模型為基礎(chǔ)，研究基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證模型(如圖2)，主要包括系統(tǒng)監(jiān)控、取證程序植入、行為特征提取、行為評(píng)估、策略選擇和證據(jù)獲取模塊。

1) 各模塊的功能

① 系統(tǒng)監(jiān)控模塊：主要完成對(duì)系統(tǒng)的監(jiān)控，為后續(xù)用戶行為特征點(diǎn)的提取提供基礎(chǔ)。

② 取證程序植入模塊：對(duì)目標(biāo)用戶進(jìn)行安全漏洞檢測(cè)，根據(jù)漏洞的不同植入相應(yīng)的取證程序。

③ 行為特征提取模塊：采集用戶行為，并保存采集信息，為后續(xù)用戶行為評(píng)估提供數(shù)據(jù)支持。

④ 行為評(píng)估模塊：評(píng)估用戶行為是否可信(2.2中已詳細(xì)介紹)，為策略選擇提供依據(jù)。

⑤ 策略選擇模塊：以行為評(píng)估值為基礎(chǔ)，選擇相應(yīng)的策略，根據(jù)策略做出不同的響應(yīng)操作。

⑥ 證據(jù)獲取模塊：實(shí)時(shí)隱蔽地獲取用戶的行為，并對(duì)用戶行為進(jìn)行記錄后發(fā)送給取證控制端。

由于篇幅限制，本文只重點(diǎn)討論策略選擇和證據(jù)獲取模塊(行為評(píng)估在2.2中已做詳細(xì)介紹)。

2) 策略選擇模塊的設(shè)計(jì)

策略選擇模塊的功能是將用戶行為的可信得分以及確定度值對(duì)應(yīng)相應(yīng)響應(yīng)策略。本文將策略選擇分為：不再監(jiān)控、阻止操作和記錄操作3種，對(duì)應(yīng)的策略選擇如表1所示。

表1 策略選擇對(duì)應(yīng)表

3) 證據(jù)獲取模塊的設(shè)計(jì)

以木馬原理為基礎(chǔ)進(jìn)行設(shè)計(jì)，分為取證控制端和被取證端兩個(gè)部分，證據(jù)獲取過程如圖3所示。

圖3 證據(jù)獲取過程

① 取證程序的觸發(fā)：取證程序被植入目標(biāo)主機(jī)以后，并不立即被激活實(shí)施取證，而是在當(dāng)選擇的策略為記錄操作時(shí)，取證控制端才遠(yuǎn)程觸發(fā)取證程序。這樣可以避免取證程序被殺毒軟件提前查殺，有利于保護(hù)取證程序的安全性。

② 發(fā)送指令：取證控制端在取證程序被激活后發(fā)送指令，指示取證程序?qū)崟r(shí)獲取指定的信息。

③ 響應(yīng)指令：取證程序收到指令后對(duì)被取證端中的用戶操作進(jìn)行記錄，再將結(jié)果返回給取證控制端；為了保證獲取證據(jù)時(shí)不被發(fā)現(xiàn)和獲取證據(jù)的安全性，在發(fā)送指令和響應(yīng)指令的過程中，為了實(shí)現(xiàn)隱蔽通信，在仿真設(shè)計(jì)中使用Rootkit技術(shù)來實(shí)現(xiàn)進(jìn)程和通信端口的隱藏，保證了取證控制端能實(shí)時(shí)、安全地收到被控端反饋的信息。

3 仿真實(shí)驗(yàn)和分析

3.1 業(yè)務(wù)用戶行為評(píng)估模型的仿真實(shí)驗(yàn)與分析

3.1.1 實(shí)驗(yàn)環(huán)境與相關(guān)標(biāo)準(zhǔn)的設(shè)定

為了驗(yàn)證用戶行為評(píng)估模型的合理性和可行性，本節(jié)構(gòu)建了一個(gè)圖書借閱仿真系統(tǒng)，主要功能包括資料下載和查詢借閱信息。

假設(shè)用戶登錄該系統(tǒng)后的整體行為包含2個(gè)屬性U={U1, U2}，ExU1是用戶輸入“用戶名和密碼匹配的次數(shù)”(設(shè)為m)，ExU2是用戶“超時(shí)借書的數(shù)目”的數(shù)目(設(shè)為n)；行為評(píng)價(jià)集為C={C1, C2}，其中C1={低,一般,高}，C2={多,少}；同時(shí)假定用戶行為屬性容忍度均為5，且行為權(quán)重都相同。

規(guī)則1：當(dāng)用戶登錄時(shí)，當(dāng)m≤2時(shí)次時(shí)，稱為匹配度高；當(dāng)2＜m≤4時(shí)，稱為匹配度一般；當(dāng)m＞4時(shí)稱為匹配度低；當(dāng)n≥3時(shí)，稱為超時(shí)少，否則稱為超時(shí)多。

在評(píng)估標(biāo)準(zhǔn)設(shè)定后，需對(duì)評(píng)估集打分。用戶行為屬性集與評(píng)估標(biāo)準(zhǔn)集的對(duì)應(yīng)關(guān)系如表2所示。

表2 用戶行為屬性集與評(píng)估集的對(duì)應(yīng)關(guān)系表

規(guī)則2：每個(gè)行為的最高分?jǐn)?shù)不得超過5，打分的標(biāo)準(zhǔn)就等于5減去其相應(yīng)行為確定度值。

3.1.2 實(shí)驗(yàn)的具體步驟與結(jié)果分析

在圖書借閱仿真實(shí)驗(yàn)中，通過調(diào)查某用戶以往2 000次登錄的記錄數(shù)據(jù)進(jìn)行行為屬性分析。

1) 用戶行為的描述

依據(jù)表3中的數(shù)據(jù)，由逆向云發(fā)生器還原得到用戶的兩個(gè)行為屬性特征值分別為(1.2,0.5,0.1)，(2.5,0.2,0.1)。該用戶登錄系統(tǒng)時(shí)輸入“用戶名和密碼匹配的次數(shù)”的云模型如圖4所示。圖4中的多數(shù)云滴集中在橫坐標(biāo)為1的左右，說明該用戶在多數(shù)情況下輸入1次就能匹配成功。

圖4 表征“用戶名和密碼匹配的次數(shù)”的云模型圖

表3 信息數(shù)據(jù)采集表

同理可得“超時(shí)借書的數(shù)目”的云模型圖(略)，反映出用戶“超時(shí)借書的數(shù)目”的分布情況。

2) 計(jì)算用戶行為的可信得分

由表3中的數(shù)據(jù)和事先設(shè)定好的對(duì)應(yīng)行為評(píng)價(jià)集和評(píng)分標(biāo)準(zhǔn)，可以得到可信得分如表4所示。

表4 用戶行為評(píng)價(jià)的可信得分表

由表4中的數(shù)據(jù)可計(jì)算出該用戶兩種行為可信得分的數(shù)字特征值(3.8,0.4,0.1)和(3.5,0.3,0.2)，由此可以生成對(duì)應(yīng)的云圖(由于生成各行為的可信得分云模型的方法與上述生成各行為屬性云模型的方法一致，故在此不再重復(fù))。

3) 計(jì)算用戶行為的可信得分

假定得到某用戶的一組行為數(shù)字(2,3)，其含義是：輸入用戶名和密碼2次成功，有3本圖書超期。按照3.1.1中設(shè)定的規(guī)則，對(duì)該用戶的評(píng)價(jià)為：匹配度高、超時(shí)少。根據(jù)式(2)和式(3)，計(jì)算出該用戶的可信得分別為(3,2)；由式(4)和式(5)計(jì)算出該用戶的最終可信得分為3。

假定該用戶操作時(shí)受外界因素干擾較小(設(shè)干擾因子θ=0.05)。排除干擾因子后，根據(jù)式(6)和式(7)計(jì)算出用戶的最終可信得分為2.88。

4) 仿真實(shí)驗(yàn)與分析

① 首先將第一個(gè)數(shù)字2映射到表征其行為屬性的云模型中，如圖5所示。圖5中的標(biāo)識(shí)“X”指示的位置代表本次行為在“用戶名和密碼匹配的次數(shù)”云模型中的映射坐標(biāo)，其確定度值=0.59。根據(jù)評(píng)價(jià)集和評(píng)分標(biāo)準(zhǔn)，得出可信得分=3.1，映射到云模型并修正后的可信得分=3.9，由式(3)計(jì)算出“用戶名和密碼匹配的次數(shù)”的可信得分s1( x1)=3.51。

圖5 “用戶名和密碼匹配的次數(shù)”在云模型中的映射圖

② 然后將可信得分3和修正后的可信得分3.84均映射到對(duì)“用戶名和密碼匹配的次數(shù)”的評(píng)估云模型中，如圖6所示，圖6中的標(biāo)識(shí)“Y”和“Z”分別代表用戶行為可信得分在評(píng)估云模型中的映射，由兩個(gè)點(diǎn)的坐標(biāo)可以算出“用戶名和密碼匹配的次數(shù)”的行為確定度值c1( x1)=0.63。

圖6 “用戶名和密碼匹配的次數(shù)”的評(píng)估云模型圖

③根據(jù)相同的方法，得到“超時(shí)借書”的可信得分s2(x2)=3.12、確定度值c2(x2)=0.45。根據(jù)式(4)和式(5)可得到用戶本次整體行為可信得分=3.88，確定度值=0.62；排除網(wǎng)絡(luò)干擾因子后，最終的可信得分=3.69，確定度值=0.59。

由圖6可知，用戶的實(shí)際可信得分=2.92，通過模型評(píng)估后的可信得分=3.59。實(shí)驗(yàn)結(jié)果有偏差的原因在于由模型得到的可信得分不僅僅只衡量用戶行為的可信得分，還代表了用戶行為可信的走向趨勢(shì)；而對(duì)該用戶行為確定度值為0.59，說明該用戶繼本次行為發(fā)生后，其后續(xù)行為的可信得分有59%的概率大于2.92。因此，本文模型既能對(duì)用戶行為進(jìn)行評(píng)估，也有預(yù)測(cè)其后續(xù)行為的能力。

3.2 計(jì)算機(jī)動(dòng)態(tài)取證評(píng)估模型的仿真實(shí)現(xiàn)與分析

3.2.1 仿真實(shí)驗(yàn)與分析

本文實(shí)驗(yàn)以3.1節(jié)中的仿真實(shí)驗(yàn)為基礎(chǔ)，實(shí)驗(yàn)的重點(diǎn)在于證據(jù)的獲取。由于3.1節(jié)的實(shí)驗(yàn)中用戶行為最終的可信得分和行為的確定度值分別為：3.59和0.59，均屬于中等。對(duì)照表1可知選擇策略為記錄操作，將該用戶的后繼各種操作行為記錄下來。在記錄操作前需要激活取證程序，本文實(shí)驗(yàn)通過彈出錯(cuò)誤提示框來激活取證程序。

取證程序?qū)τ诒豢囟擞脩羯暇W(wǎng)痕跡及行為文件的掃描，主要包括IE地址欄記錄、IE訪問歷史、Cookies文件和收藏夾記錄。掃描結(jié)束后將信息發(fā)送給取證控制端，取證控制端收到以后將對(duì)這些行為和文件進(jìn)行分析，從中提取有用的信息。為了躲避數(shù)據(jù)監(jiān)控，保證證據(jù)的安全，先對(duì)數(shù)據(jù)進(jìn)行壓縮，然后再傳遞給取證控制端，在傳遞過程中使用Rootkit技術(shù)實(shí)現(xiàn)對(duì)通信端口的隱藏。

上述實(shí)驗(yàn)結(jié)果充分說明了本文模型可以對(duì)用戶的上網(wǎng)行為痕跡進(jìn)行完整的記錄，進(jìn)一步驗(yàn)證了該模型的合理和可行性。

3.2.2 仿真實(shí)現(xiàn)與分析

基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證仿真系統(tǒng)是以在前面研究的基于業(yè)務(wù)用戶行為的動(dòng)態(tài)取證模型的基礎(chǔ)上，結(jié)合圖書借閱系統(tǒng)來實(shí)現(xiàn)的。

1) 系統(tǒng)的框架結(jié)構(gòu)

基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)的主要模塊：系統(tǒng)監(jiān)控、行為評(píng)估和行為證據(jù)獲取。

2) 仿真取證系統(tǒng)運(yùn)行環(huán)境與工作流程

圖7 仿真實(shí)現(xiàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖7 是本文仿真取證系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。實(shí)驗(yàn)中主機(jī)A、B和C都將訪問圖書借閱系統(tǒng)，主機(jī)D作為取證控制端，監(jiān)控A、B和C發(fā)送取證指令和接收證據(jù)。工作流程為：① A、B、C訪問用戶圖書借閱系統(tǒng)，D將主動(dòng)獲取A、B和C的IP地址且在其中植入取證程序，對(duì)操作進(jìn)行監(jiān)控，記錄并提取行為數(shù)據(jù)；② 建立表征用戶行為特征的云模型和與之對(duì)應(yīng)的用戶行為評(píng)估云模型，然后將A、B和C的行為分別映射到反映自身行為特征的云模型上，最終獲得行為可信得分和行為確定度值；③ 根據(jù)行為的評(píng)估結(jié)果值和確定度對(duì)A、B和C選擇不同的策略，然后根據(jù)策略進(jìn)行不同的處理；④ A內(nèi)植入的取證程序被激活，然后對(duì)A的各種操作行為進(jìn)行記錄；⑤ 取證程序?qū)@取的信息發(fā)送給D；⑥ D接收從A秘密發(fā)送過來的信息。

1) 系統(tǒng)主要模塊的實(shí)現(xiàn)

① 系統(tǒng)監(jiān)控模塊：借鑒了文獻(xiàn)[15]中介紹的網(wǎng)頁(yè)木馬的相關(guān)方法，獲取圖書借閱系統(tǒng)的主機(jī)IP并在主機(jī)中植入取證程序。

② 用戶行為評(píng)估模塊：在實(shí)現(xiàn)方式上主要依靠正向云生成器算法，具體的評(píng)估方法已在3.2中詳細(xì)介紹，在此不再重復(fù)。

③ 行為取證模塊：包括取證程序獲取被控端的信息和將獲取的信息傳送給取證控制端兩個(gè)方面，具體方法在2.3節(jié)中已詳細(xì)介紹，不再重復(fù)。

2) 系統(tǒng)運(yùn)行結(jié)果

為體現(xiàn)本文系統(tǒng)對(duì)不同的決策所做出不同的響應(yīng)結(jié)果，實(shí)驗(yàn)使用3個(gè)主機(jī)分別去訪問圖書借閱系統(tǒng)，對(duì)應(yīng)的決策分別是不再監(jiān)控、阻止操作和記錄操作。當(dāng)選擇的決策為阻止操作時(shí)，系統(tǒng)就會(huì)強(qiáng)制其頁(yè)面跳轉(zhuǎn)至出錯(cuò)頁(yè)面，從而退出該系統(tǒng)；當(dāng)選擇的策略為記錄操作時(shí)，取證程序?qū)?huì)記錄用戶的各種操作。

4 結(jié) 語(yǔ)

業(yè)務(wù)用戶行為的多樣性決定了在描述和評(píng)估行為時(shí)存在的誤差性和模糊性，這使得網(wǎng)絡(luò)取證的困難度提升而準(zhǔn)確度卻降低。本文以復(fù)雜信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境為研究背景，借鑒已有的研究成果并引入云模型理論，提出了基于云模型理論的業(yè)務(wù)用戶行為評(píng)估模型；結(jié)合木馬技術(shù)，研究并提出了基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證評(píng)估模型。通過仿真實(shí)驗(yàn)，進(jìn)一步驗(yàn)證了本文研究的業(yè)務(wù)用戶行為評(píng)估模型的合理性，同時(shí)還驗(yàn)證了計(jì)算機(jī)動(dòng)態(tài)取證評(píng)估模型能實(shí)時(shí)隱蔽的記錄用戶的行為，并能確保將獲取的信息反饋給取證控制端。雖然目前取得了一些階段性成果，但是針對(duì)不同業(yè)務(wù)系統(tǒng)的實(shí)際情況還需通過業(yè)務(wù)流進(jìn)一步分析用戶行為，同時(shí)有很多實(shí)際問題需要進(jìn)一步研究解決。

[1] 郭樹凱, 田立勤, 沈?qū)W利． FAHP在用戶行為信任評(píng)價(jià)中的研究[J]. 計(jì)算機(jī)工程與應(yīng)用, 2011, 47(12): 59-61. GUO Shu-kai, TIAN Li-qin, SHEN Xue-li. Research on FAHP method in user behavior trustcomputation[J]. Computer Engineering and Application, 2011, 47(12): 59-61.

[2] 劉慶云, 張冬艷, 譚建龍, 等. 基于多維屬性的網(wǎng)絡(luò)行為控制策略[J]. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2013, 53(12): 1682-1687. LIU Qing-yun, ZHANG Dong-yan, TAN Jian-long, et al. Network behavior control strategy based on multi dimension attribute[J]. Journal of Tsinghua University (Science and Technology), 2013, 53(12): 1682-1687.

[3] HALBOOB W, ABULAISH M, ALGHATHBAR K S. Quaternary privacy-levels preservation in computer forensics investigation process[C]//IEEE International Conference on Communications. [S.l.]: IEEE, 2011: 777-782.

[4] KE Hung-jui, LIU J, WANG Shiuh-jeng, et al. Hash-algorithms output for digital evidence in computer forensics[C]//IEEE International Conference on Communications. [S.l.]: IEEE, 2011: 399-404.

[5] ELEAZAR A A, MARIKO N M, HECTOR M P M. Network forensics with neurofuzzy techniques[C]//IEEE International Conference on Circuits and Systems. [S.l.]: IEEE, 2009: 848-850.

[6] HOELZ B W P, RALHA C G, GEEVERGHESE R, et al. A cooperative multi-agent approach to computer forensics [C]//IEEE International Conference on Communication. [S.l.]: IEEE, 2008: 477- 483.

[7] 戴碩, 杜曄. 一種異構(gòu)分布式防火墻與入侵檢測(cè)聯(lián)動(dòng)構(gòu)架的通信機(jī)制[J]. 微電子學(xué)與計(jì)算機(jī), 2009, 26(8): 94-97. DAI Shuo, DU Ye. Communication mechanism design for heterogeneous distributed interaction framework between firewall and IDS[J]. Microelectronics & Computer, 2009, 26(8): 94-97.

[8] 楊衛(wèi)平, 段丹青. 基于多Agent的分布式計(jì)算機(jī)動(dòng)態(tài)取證模型研究[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2008, 25(3): 81-83. YANG Wei-ping, DUAN Dan-qing. A distributed computer dynamic forensics model based on multi-agent[J]. Computer Applications and Software, 2008, 25(3): 81-83.

[9] ZHOU Gang, MAI Yong-hao, CAO Qiang. Design and implementation of VEEL archive system for computer forensics[C]//IEEE International Conference on Communication. [S.l.]: IEEE, 2010: 138-141.

[10] 王延中. 一種基于云計(jì)算環(huán)境的動(dòng)態(tài)取證模型研究[J].計(jì)算機(jī)測(cè)量與控制, 2012, 20(11): 3066-3069. WANG Yan-zhong. Dynamic forensic model based on cloud computing environment[J]. Computer Measurement & Control, 2012, 20(11): 3066-3069.

[11] 張仕斌, 許春香．基于云模型的信任評(píng)估方法研究[J].計(jì)算機(jī)學(xué)報(bào), 2013, 35(2): 422-431. ZHANG Shi-bin, XU Chun-xiang. Study on the evaluation approach based on cloud model[J]. Chinese Journal of Computers, 2013, 35(2): 422-431.

[12] WANG Dan-chen, XU Yang, PU Wei. An information system security evaluation method of business operation targeting the service composition[C]//Decision Making and Soft Computing Proceedings of the 11th International FLINS Conference. Danvers: world scientific, 2014: 589-594.

[13] ZHANG Shi-bin, XU Chun-xiang, CHANG Yan, et al. Study on trusted access model based on user behavior[J]. International Journal of Advancements in Computing Technology, 2013, 5(1): 486-495.

[14] 苗奪謙, 王國(guó)胤．云模型與粒計(jì)算[M]. 北京: 科學(xué)出版社, 2012. MIAO Duo-qian, WANG Guo-ying. The cloud model and granular computing[M]. Beijing: Science Press, 2012.

[15] 羅文華. 木馬惡意程序電子數(shù)據(jù)取證環(huán)境的構(gòu)建[J]. 警察技術(shù), 2012, 22(2): 39-42. LUO Wen-hua. The construction of the electronic data forensics environment of Trojan horse[J]. Police Technology, 2012, 22(2): 39-42.

[16] 吳坤鴻, 舒輝, 董衛(wèi)宇. 內(nèi)核脫鉤技術(shù)在檢測(cè)rootkit木馬信息隱藏中的應(yīng)用[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2008, 19(14): 3635-3638. WU Kun-hong, SHU Hui, DONG Wei-yu. Application of kernel decoupling technique in detection of rootkit Trojan information hiding[J]. Computer Engineering and Design, 2008, 19(14): 3635-3638.

編 輯 蔣 曉

Study on the Dynamic Computer Forensic Evaluation Model Based on Business User’s Behavior

WANG Dan-chen1,2, ZHANG Shi-bin3, XU Yang1, and XU Ning2

(1. Intelligent Control Development Center, Southwest Jiao tong University Chengdu 610031; 2. Sichuan Information Security Testing Evaluation Center Chengdu 610017; 3. College of Information Engineering, Chengdu University of Information Technology Chengdu 610225)

A dynamic computer forensic model based on business user’s behavior is proposed under the research background of complex network environment of information system. This model, which adopts the Trojans theory, provides a method of quantitative evaluation of business user’s behavior based on cloud model theory. The rationality of the model’s evaluation is verified through simulation tests. At the meantime, it is proved that the model is able to record the business user’s behavior covertly and real-timely, and ensure that the obtained evidence can be fed beck to the control terminal, offering a feasible technical approach to the research of computer forensics.

behavior evaluation; business user behavior; cloud model theory; dynamic computer forensic; trust cloud

TP393.08

A

10.3969/j.issn.1001-0548.2015.06.022

2014 ? 03 ?12；

2014 ? 12? 23

國(guó)家自然科學(xué)基金(61175055)；四川省重點(diǎn)科技研究發(fā)展計(jì)劃(2011FZ0051)；工信部無線電管理局項(xiàng)目([2011]146)作者簡(jiǎn)介：王丹琛(1982 ? )，女，博士，主要從事基于業(yè)務(wù)信息系統(tǒng)安全評(píng)估及智能信息處理方面的研究.