基于移动Agent的自适应动态取证系统

简单介绍了动态取证系统(DFS)的基本概念，指出了目前的动态取证系统存在的不足。为了解决传统动态取证系统中的不足，将移动Agent 引入动态取证系统。本文提出建立基于移动Agent 的自适应动态取证系统(MADFS)，该系统采用基于移动Agent 的分布式体系结构，且具有自适应性、分布性、自识别能力和扩展性等特点。
关键词：移动Agent；自适应；犯罪；证据；动态取证
随着计算机网络的广泛应用及以数字形式存在的信息的急剧增加，由于 OSI 模型及TCP/IP 协议的开放性、脆弱性和潜在的威胁，以网络为犯罪目标和以网络为犯罪手段相关的法庭案例呈现出惊人的增长趋势。动态取证技术是近年来出现的新型网络安全技术，目的是提供实时的动态取证及采取相应的防护手段，它以探测、控制和分析技术为本质，可以提供法庭需要的证据，它从主动防御的角度保护着网络安全。人们在构建高效的动态取证系统方面进行大量深入研究，并取得了很大的成就，出现了很多动态取证系统的原型系统以及商业化的产品。但目前的动态取证系统仍然存在如下问题：
（1）自适应能力：目前的动态取证都是针对特定的犯罪入侵行为和特定的网络环境，对于新的犯罪入侵方法和复杂多样及不断变化的环境必须不断设计增加新的智能检测取证模块，当犯罪入侵者采用新的犯罪入侵方案时动态取证系统不能及时做出响应并提取证据。
（2）网络瓶颈：目前的动态取证系统中央数据分析器是唯一的分析处，在分布式环境中，需要传送的信息量巨大，会导致网络阻塞；同时，所有数据都集中到一台主机进行处理，分析主机将成为系统瓶颈。中央管理节点是一个单一的失效点，不适用于大型、复杂的和日益膨胀的网络。
（3）伸缩性：目前的动态取证系统中分配的资源是一定的，这些资源不能根据实际情况的变化而相应的改变，既不能在犯罪攻击大量发生时增加，也不能在系统处于相对安全的时期减少占用的有效资源。在高速网络下，需要处理的审记数据和网络数据大量增加，系统应具有可靠的伸缩性来收集和分析这些数据。
（4）决策机制：目前的动态取证系统不能根据对取证系统生成的取证报告的有效性的可信程度动态调整响应决策机制，也不能根据已使用过的各种不同的响应机制实际的成功率来进行调整，不能根据出现的误警和漏报的历史取证数据的反馈动态调整动态取证策略。