基于移動Agent的自適應動態(tài)取證系統(tǒng)

簡單介紹了動態(tài)取證系統(tǒng)(DFS)的基本概念，指出了目前的動態(tài)取證系統(tǒng)存在的不足。為了解決傳統(tǒng)動態(tài)取證系統(tǒng)中的不足，將移動Agent 引入動態(tài)取證系統(tǒng)。本文提出建立基于移動Agent 的自適應動態(tài)取證系統(tǒng)(MADFS)，該系統(tǒng)采用基于移動Agent 的分布式體系結(jié)構(gòu)，且具有自適應性、分布性、自識別能力和擴展性等特點。
關鍵詞：移動Agent；自適應；犯罪；證據(jù)；動態(tài)取證
隨著計算機網(wǎng)絡的廣泛應用及以數(shù)字形式存在的信息的急劇增加，由于 OSI 模型及TCP/IP 協(xié)議的開放性、脆弱性和潛在的威脅，以網(wǎng)絡為犯罪目標和以網(wǎng)絡為犯罪手段相關的法庭案例呈現(xiàn)出驚人的增長趨勢。動態(tài)取證技術是近年來出現(xiàn)的新型網(wǎng)絡安全技術，目的是提供實時的動態(tài)取證及采取相應的防護手段，它以探測、控制和分析技術為本質(zhì)，可以提供法庭需要的證據(jù)，它從主動防御的角度保護著網(wǎng)絡安全。人們在構(gòu)建高效的動態(tài)取證系統(tǒng)方面進行大量深入研究，并取得了很大的成就，出現(xiàn)了很多動態(tài)取證系統(tǒng)的原型系統(tǒng)以及商業(yè)化的產(chǎn)品。但目前的動態(tài)取證系統(tǒng)仍然存在如下問題：
（1）自適應能力：目前的動態(tài)取證都是針對特定的犯罪入侵行為和特定的網(wǎng)絡環(huán)境，對于新的犯罪入侵方法和復雜多樣及不斷變化的環(huán)境必須不斷設計增加新的智能檢測取證模塊，當犯罪入侵者采用新的犯罪入侵方案時動態(tài)取證系統(tǒng)不能及時做出響應并提取證據(jù)。
（2）網(wǎng)絡瓶頸：目前的動態(tài)取證系統(tǒng)中央數(shù)據(jù)分析器是唯一的分析處，在分布式環(huán)境中，需要傳送的信息量巨大，會導致網(wǎng)絡阻塞；同時，所有數(shù)據(jù)都集中到一臺主機進行處理，分析主機將成為系統(tǒng)瓶頸。中央管理節(jié)點是一個單一的失效點，不適用于大型、復雜的和日益膨脹的網(wǎng)絡。
（3）伸縮性：目前的動態(tài)取證系統(tǒng)中分配的資源是一定的，這些資源不能根據(jù)實際情況的變化而相應的改變，既不能在犯罪攻擊大量發(fā)生時增加，也不能在系統(tǒng)處于相對安全的時期減少占用的有效資源。在高速網(wǎng)絡下，需要處理的審記數(shù)據(jù)和網(wǎng)絡數(shù)據(jù)大量增加，系統(tǒng)應具有可靠的伸縮性來收集和分析這些數(shù)據(jù)。
（4）決策機制：目前的動態(tài)取證系統(tǒng)不能根據(jù)對取證系統(tǒng)生成的取證報告的有效性的可信程度動態(tài)調(diào)整響應決策機制，也不能根據(jù)已使用過的各種不同的響應機制實際的成功率來進行調(diào)整，不能根據(jù)出現(xiàn)的誤警和漏報的歷史取證數(shù)據(jù)的反饋動態(tài)調(diào)整動態(tài)取證策略。