基于移動(dòng)Agent的自適應(yīng)動(dòng)態(tài)取證系統(tǒng)

簡單介紹了動(dòng)態(tài)取證系統(tǒng)(DFS)的基本概念，指出了目前的動(dòng)態(tài)取證系統(tǒng)存在的不足。為了解決傳統(tǒng)動(dòng)態(tài)取證系統(tǒng)中的不足，將移動(dòng)Agent 引入動(dòng)態(tài)取證系統(tǒng)。本文提出建立基于移動(dòng)Agent 的自適應(yīng)動(dòng)態(tài)取證系統(tǒng)(MADFS)，該系統(tǒng)采用基于移動(dòng)Agent 的分布式體系結(jié)構(gòu)，且具有自適應(yīng)性、分布性、自識(shí)別能力和擴(kuò)展性等特點(diǎn)。
關(guān)鍵詞：移動(dòng)Agent；自適應(yīng)；犯罪；證據(jù)；動(dòng)態(tài)取證
隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用及以數(shù)字形式存在的信息的急劇增加，由于 OSI 模型及TCP/IP 協(xié)議的開放性、脆弱性和潛在的威脅，以網(wǎng)絡(luò)為犯罪目標(biāo)和以網(wǎng)絡(luò)為犯罪手段相關(guān)的法庭案例呈現(xiàn)出驚人的增長趨勢。動(dòng)態(tài)取證技術(shù)是近年來出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的動(dòng)態(tài)取證及采取相應(yīng)的防護(hù)手段，它以探測、控制和分析技術(shù)為本質(zhì)，可以提供法庭需要的證據(jù)，它從主動(dòng)防御的角度保護(hù)著網(wǎng)絡(luò)安全。人們在構(gòu)建高效的動(dòng)態(tài)取證系統(tǒng)方面進(jìn)行大量深入研究，并取得了很大的成就，出現(xiàn)了很多動(dòng)態(tài)取證系統(tǒng)的原型系統(tǒng)以及商業(yè)化的產(chǎn)品。但目前的動(dòng)態(tài)取證系統(tǒng)仍然存在如下問題：
（1）自適應(yīng)能力：目前的動(dòng)態(tài)取證都是針對特定的犯罪入侵行為和特定的網(wǎng)絡(luò)環(huán)境，對于新的犯罪入侵方法和復(fù)雜多樣及不斷變化的環(huán)境必須不斷設(shè)計(jì)增加新的智能檢測取證模塊，當(dāng)犯罪入侵者采用新的犯罪入侵方案時(shí)動(dòng)態(tài)取證系統(tǒng)不能及時(shí)做出響應(yīng)并提取證據(jù)。
（2）網(wǎng)絡(luò)瓶頸：目前的動(dòng)態(tài)取證系統(tǒng)中央數(shù)據(jù)分析器是唯一的分析處，在分布式環(huán)境中，需要傳送的信息量巨大，會(huì)導(dǎo)致網(wǎng)絡(luò)阻塞；同時(shí)，所有數(shù)據(jù)都集中到一臺(tái)主機(jī)進(jìn)行處理，分析主機(jī)將成為系統(tǒng)瓶頸。中央管理節(jié)點(diǎn)是一個(gè)單一的失效點(diǎn)，不適用于大型、復(fù)雜的和日益膨脹的網(wǎng)絡(luò)。
（3）伸縮性：目前的動(dòng)態(tài)取證系統(tǒng)中分配的資源是一定的，這些資源不能根據(jù)實(shí)際情況的變化而相應(yīng)的改變，既不能在犯罪攻擊大量發(fā)生時(shí)增加，也不能在系統(tǒng)處于相對安全的時(shí)期減少占用的有效資源。在高速網(wǎng)絡(luò)下，需要處理的審記數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)大量增加，系統(tǒng)應(yīng)具有可靠的伸縮性來收集和分析這些數(shù)據(jù)。
（4）決策機(jī)制：目前的動(dòng)態(tài)取證系統(tǒng)不能根據(jù)對取證系統(tǒng)生成的取證報(bào)告的有效性的可信程度動(dòng)態(tài)調(diào)整響應(yīng)決策機(jī)制，也不能根據(jù)已使用過的各種不同的響應(yīng)機(jī)制實(shí)際的成功率來進(jìn)行調(diào)整，不能根據(jù)出現(xiàn)的誤警和漏報(bào)的歷史取證數(shù)據(jù)的反饋動(dòng)態(tài)調(diào)整動(dòng)態(tài)取證策略。