面向云环境的网络动态取证系统.docVIP

面向云环境的网络动态取证系统 一、测试目的 通过对本取证系统各个模块和整体的测试，验证系统在网络环境下的取证功能和算法的性能，说明本系统的可行性和实用性。 二、测试环境 由于设备及网络条件的限制，本文在搭建如下所示的测试环境。整个测试使用五台电脑，利用交叉线直连，主要网络配置参数如图4.1所示： 图4.1 测试环境搭建 各个测试机器的配置参数如下表4-1： 名称 业务子网 CPU：Intel Core i3 RAM：2G 操作系统：Win7旗舰版 操作系统： 操作系统： 取证区蜜罐群 CPU：Intel Core i5 RAM：4G 操作系统：Win7旗舰版 操作系统：Windows 操作系统：Windows 2000 Professional IP地址：192.168.249.151 安全网关（重定向器） 操作系统：CentOS release 5 eth0 IP地址：192.168.151.1 eth1 IP地址：192.168.249.1 eth2 IP地址：192.168.248.1 控制中心、可视化管理端 可视化管理端： CPU：Intel Core i5 RAM：4G 操作系统：Win7旗舰版 IP地址：192.168.1.104 控制中心： 操作系统：CentOS release 5 eth2 IP地址：192.168.1.3 攻击者 CPU：Intel Core i3 RAM：2G 操作系统：Windows XP Professional IP地址：192.168.248.150 表4-1 测试机器配置 三、测试方案 据上述测试目的，我们将测试方案分为两个部分，分别是软件功能测试和算法性能测试。 3.1 软件功能测试方案 为了测试软件是否具备检测并重定向、攻击过程分析、取证等功能，特设置如下测试： 表4-2 重定向功能测试方案 测试项目 测试 测试目的 预期结果 功能测试 测试重定向器能否检测并重定向恶意流量，同时限制外出连接 重定向器实现了所需的功能 测试一级重定向功能 测试两级重定向功能 表4-3 系统攻击过程分析取证测试 测试项目 测试 测试目的 预期结果 测试网络监控功能 测试软件能否对整个网络进行监控并获取攻击信息，分析攻击过程，最后导出电子证据 软件能够监控取证网络并分析攻击过程，导出电 子证据 测试分析攻击过程功能 测试证据导出功能 表4-4 控制中心密文证据解密查询测试测试项目 测试 测试目的 预期结果 测试 测试可视化管理端取证软件能否对控制中心加密的证据进行解密查看 合法用户能够解密查询电子证据 测试在可视化管理端解密查询功能 3.2 算法性能测试方案 基于动态反馈的恶意流量分配算法性能测试方案如下： 表4-5 算法性能测试测试项目 测试 测试目的 预期结果 测试 验证网络采用此算法比不采用此算法的优势 算法能很好的根据从蜜罐反馈回来的信息动态均衡整个网络，分配流量 测试采用此算法情况下取证区蜜罐负载情况 四、 测试过程与分析 4.1 软件功能测试与分析 4.1.1 测试项目1 本项测试为验证重定向器的功能，入侵检测系统选用Snort-inline，蜜罐192.168.249.150上留有MS05-039即插即用服务漏洞以实现渗透，实现测试过程具体如下： 在攻击机192.168.248.150上用XScan漏洞扫描工具对取证网络进行漏洞扫描，如图4.2所示： 图4.2 XScan扫描网络 此时登录“面向云环境的网络动态取证”软件，Snort产生报警，如图4.3： 图4.3 系统检测并产生报警 此时查看重定向网关的iptables表，发现了如图4.4所示规则，可见所有来自192.168.248.150连接业务主机192.168.251.150的流量都会被重定向到蜜罐192.168.249.150。 图4.4 iptables规则表 在攻击机192.168.248.150上安装MetasPloit渗透攻击工具并运行MSFConsole，如图4.5所示，输入针对业务子网主机192.168.251.150上的MS05-039即插即用服务漏洞的渗透攻击命令，此时获得反向的shell，而19