中国电信股份有限公司江苏分公司操作维护中心 魏渊

网络入侵后的痕迹提取分析

中国电信股份有限公司江苏分公司操作维护中心 魏渊

网络攻击和入侵事件造成的影响和危害需要电信运营商引起足够重视和采取应对措施。在被黑客入侵后仅仅进行数据恢复、安全加固尚不足以规避风险，这种做法过于被动。通过对痕迹的提取分析了解入侵的过程和操作行为，能够彻底清除后患，同时获得证据线索和溯源。入侵痕迹提取分析的重要原则包括及时性、准确性、合法性、多备份、环境安全、严格管理过程。主要从网络层面提取入侵痕迹和从主机层面提取入侵痕迹。在进行痕迹提取分析的时候，不推荐在运行系统中直接查看各项痕迹，而应将所有的痕迹数据全部而迅速地提取出来进行备份，辅以截屏保留证据，对备份件进行分析。在工具的选择上，推荐使用命令行工具。

网络入侵；痕迹提取；痕迹分析；系统加固

1 基本概念

网络入侵是指在非授权的情况下，试图登录、处理、控制或破坏网络信息系统的故意行为。在入侵过程中进行的某些操作行为，在入侵结束后会保留在系统中或者保持一段时间，而这些遗留的操作行为即是判定异常行为构成入侵的证据或线索，在本文中称之为入侵痕迹。

在网络被入侵后，通常网络管理员想到的是对网络进行应急响应、数据恢复、漏洞修复以及安全加固等。这些应对措施固然正确，却不足以规避风险，还应对网络系统入侵痕迹进行提取分析。入侵痕迹提取分析通过技术手段尽可能准确、及时地提取入侵痕迹，对其进行深度剖析，以还原入侵的过程和操作行为，逆向操作使系统恢复到正常状态并对薄弱点进行加固，能够彻底清除后患、规避日后风险，同时获得证据线索和溯源，进而保留对入侵者依法追究责任的权利。

2 重要原则

入侵痕迹提取分析的重要原则包括及时性、准确性、合法性、多备份、环境安全、严格管理过程。在入侵过程中或之后，系统中必然存在很多入侵痕迹，但随着时间的流逝，一方面可能由于入侵者自行删除了某些入侵痕迹，如安全日志等，另一方面由于系统的运行需要不断进行数据读写等，导致很多入侵痕迹被覆盖或修改，因此提取入侵痕迹需要遵循的第一原则是及时性。准确性是指通过科学的技术手段进行提取以保证结果的真实可信度。合法性是指需要遵循法律法规。多备份是指在提取出痕迹数据后进行备份，对备份文件执行分析操作，这是由于分析操作很可能改变原始数据，导致证据失效。环境安全是指存放入侵痕迹数据的存储设备应存放在安全的环境中。严格管理过程是指所有的手续和步骤都应在严格的监督管理之下进行。

在上述的6个原则中，及时性直接关系到对入侵行为的重构还原是否顺利，应当被优先确保。此外，及时性不仅体现在入侵痕迹的提取分析具有时效性，还体现在提取分析信息时的顺序性，运行系统中部分易变信息比其他信息变化更频繁，为了尽量提取分析到符合系统被入侵的真实信息，需要将易变信息排序，首先提取分析保留时间最短、变化最频繁的信息，非易变信息则可以稍后提取分析。

3 入侵痕迹提取

为了找到黑客的入侵痕迹，应分析入侵者在系统中实施了哪些操作。不同的入侵者具备不同的技术手段和思维方式，因此，列举出一份入侵操作清单是不现实的，但仍然可以总结出入侵的一般步骤。

3.1 网络入侵的一般步骤

网络入侵的一般步骤包含4个方面：

1）进入系统：通常是通过扫描目标主机或Web网站的信息，例如应用服务、开放端口等，再根据各种漏洞或脆弱账户密码等进行利用，进入系统；

2）提升权限：通常是检查是否存在可提升权限的漏洞、是否存在脆弱账户密码、是否存在权限设置出错等，提升权限，最终获得管理员权限；

3）放置后门：后门是指绕过安全性控制实现对程序或系统访问权的方法，黑客在进入系统后通常都会留有一个后门方便再次进入系统；

4）清理日志：清理自己在系统中的操作痕迹。

3.2 从网络层面提取入侵痕迹

从网络层面可以通过对网络流量监测、网络设备日志和配置文件检查等手段来提取入侵痕迹。

1）通过网络侧部署的异常流量监测系统、入侵检测系统、防火墙或路由设备来确定网络流量有无异常，在确认攻击行为存在时能够对攻击行为进行溯源。

2）通过检查网络设备日志中是否存在未授权访问或非法登录事件，用以配合定位攻击源。例如安全日志中异常登录时间、未知用名登录、非法登录访问以及某账号的频繁登录和恶意操作。

3）通过检查网络设备配置文件有无异常，是否被修改，对比网络层防护的安全控制策略，检查网络设备配置以及安全策略是否存在异常。

3.3 从主机层面提取入侵痕迹

在主机层面可以通过检查被入侵服务器的日志、账号、进程、服务、自启动项、病毒、木马、网络连接、共享目录、定时作业、注册表等来获取入侵痕迹。

1）检查系统日志中未授权访问或非法登录事件或者检查中间件、FTP（文件传输协议）等日志中检测非正常访问行为或攻击行为；

2）检查系统非正常账号和隐藏账号；

3）检查是否存在未被授权的应用程序或服务；

4）检查系统是否存在非法服务；

5）检查系统各用户“启动”目录下是否存在未授权程序；

6）使用防病毒软件检查文件，扫描硬盘上所有的文件检查是否存在病毒、木马、蠕虫；

7）检查非正常网络连接和开放的端口；

8）检查非法共享目录；检查当前定时作业情况，是否存在不明定时执行作业；

9）检查注册表，注册表是Windows操作系统及其所支持的应用程序的中心配置数据库，存储了大量信息，成为获取潜在证据的最好资源。

4 入侵痕迹分析

由于数据的易变性和取证技术的及时性原则，在进行痕迹提取分析的时候，并不推荐在运行系统中直接查看各项痕迹，而应将所有的痕迹数据全部而迅速地提取出来进行备份，辅以截屏保留证据，对备份件进行分析。在工具的选择上，推荐使用命令行工具，命令行工具往往比较简洁，且容易通过批处理或脚本工具自动化执行。

入侵痕迹分析的技术方法涉及到密码破解、数据隐藏分析、数据恢复、关键字挖掘等。密码破解是对已加密数据进行解密的技术，数据隐藏分析是确认是否存在隐藏数据以及隐藏在何处的技术，数据恢复是将已删除的消息进行恢复的技术，关键字挖掘是按敏感词汇搜索汇集各个关联文件的技术。

入侵痕迹分析的目的之一是重构入侵行为，因此常考虑到的方面是时间框架分析和文件关联性分析。时间框架分析通常通过建立文件的最后修改目录来重构入侵时各种操作的发生次序，文件关联性分析是指通过分析散落在各处的文件内在的联系从而对被入侵系统有更深入的了解。

5 总结

通过对入侵痕迹的提取分析，一方面，我们可以通过重构入侵行为，分析入侵行为对网络信息系统产生的直接破坏、潜在隐患和深层次影响，以便能够彻底清除后患、规避日后风险；另一方面，我们可以追溯到入侵者，在入侵行为造成较大损失的情况下，能够对入侵者依法追究责任。

根据诺卡德交换原理“凡接触，必留下痕迹”可以知道，无论是怎样的入侵手段，始终都会留下痕迹线索，作为网络安全管理人员，任务就是找到这些线索，并根据这些线索使自己所维护管理的系统更加安全稳固。◆