返回
网络取证系统的研究与实现

网络取证系统的研究与实现

ID:45618529

大小:82.86 KB

页数:7页

时间:2019-11-15

网络取证系统的研究与实现_第1页
网络取证系统的研究与实现_第2页
网络取证系统的研究与实现_第3页
网络取证系统的研究与实现_第4页
网络取证系统的研究与实现_第5页
资源描述:

《网络取证系统的研究与实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络取证系统的研究与实现陈宁波(福建省晋江市职业中专学校,福建泉州362251)目前在网络应用屮黑客攻击现象越来越多,如何在网络被攻击后,取得有效的数字证据來裁定网络犯罪,成为迫在眉睫的问题。木文围绕“计算机网络取证系统的研究与实现”,讨论了计算机取证和网络取证的相关理论和模型,介绍了一种网络主动型取证工具一一蜜罐,并以实例说明构建一个中小型蜜罐的过程。关键词:网络取证;取证分析;蜜罐1绪论1.1问题的提出冃前,全球互联网安全事件的数虽每年以惊人的指数级增长。导致网络安全事件层出不穷的原因主要有三方面:一是因为日前的各种操作系统

2、和软件存在很多安全漏洞和缺陷。二是各式各样的木马、蠕虫、攻击软件的数量越來越多,破坏性越來越强,而口越來越容易使用。三是大部分网络使用者安全意识较差,而学习黑客入侵的用户越来越多。在这种情况下,计算机与网络取证技术应运而生。当一些破坏力很强的网络攻击发生示,通过对攻击现场进行取证分析,可以确认入侵者及其使用的攻击工具、攻击方式,其至还可以还原整个入侵过程。1.2计算机与网络取证的概念计算机与网络取证,乂称为数字取证,它结合运川了计算机取证和网络取证两人分支的内容,是指把计算机看作是犯罪现场,使用计算机软件对存储在计算机系统及网络

3、设备中潜在的电了证据的识别、收集、保护、检查和分析,对电脑犯罪行为进行法医式的解剖,捜寻确认罪犯以及提取电子犯罪证据以便在法庭上出示的过程。可用于解决诸如电子通信窃听、商业机密窃収、网络敲诈等信息犯罪问题。2.计算机与网络取证技术的理论基础与模型2.1数字取证的基本知识整个数字取证知识内容的拓扑框架可以用图1来表示:图1数字取证知识内容的拓扑框架2.1.1什么是数字证据在全球信息化的时代己來临,信息在社会住活、住产各方面起着越来越重要的作用,计算机信息犯罪案件与口剧增。于是,证据学家们把以计算机及其网络为依托的、能用于证明案件事

4、实的数字数据列为新型的证据形式,并将其定义为数字证据。2.2数字取证的基本步骤:准备阶段:准备取证所必须的工具设备。收集阶段:保护现场,搜索及收集数字证据。检查阶段:对收集的证据进行技术检査。分析阶段:对结果进行分析评市。报告阶段:提交取证分析报告。以上是最基木的步骤,依案情的复杂程度,可以白定一些其它的步骤,例如在准备阶段前,先制定一个方法策略——对案情进行初步分析,先设计好収证的策略,使整个取证过程对系统运行的影响减至最低,获取的证据既多又可靠。2.3Honeypot的概念及原理Honeypot是种主动防护网络入侵的系统,中

5、文名为“蜜罐”,是一个专门应对被攻击或入侵而设置的欺骗系统。它从表面上看似乎很脆弱,易受攻击,但实际上只是个虚拟的系统,不包含任何重要数据,也没有合法用八和通信。蜜罐的最终冃标是捕捉、收集、监视并控制入侵者的活动,因此蜜罐的所有设计、部署和实施都必须围绕这一目标进行:首先,攻击诱骗技术至关重要。一个蜜罐如果没有黑客入侵,建的再好,也没价值。因此,蜜罐首先必须在网络攻击诱骗技术上下功夫,以提高黑客发起攻击的机率,诱使黑客们相信蜜罐是个真实的系统。具次,数据捕获是蜜罐的核心功能。数据捕获是指在不被黑客察觉的情况卜•尽可能多地捕捉、收

6、集他们的入侵和攻击过程并记录在安全的地方。第三,蜜罐的数据控制也极为重要。这个数据控制指的是对进出蜜罐的数据流进行控制,这样可以对入侵者的行为进行一定程度上的控制,使他们的活动被限制在一定范围内,避免入侵者利川蜜罐攻击其他网络系统。一般來说,对于进入蜜罐的网络连接和流量可以不作任何限制,但对从蜜罐中外流的数据流量必须要严格限制。1.Honeypot的构造3.1Honeypot的使用拓扑图不同结构的局域网,蜜罐的使用拓扑图的设计也不同。本文就普通的局域网,设计了一个蜜罐的使用拓扑图,图4蜜罐使用拓扑图图4中Z所以将防火墙放在最外围

7、,是因为它不但可以控制网络输入和输出的连接数量,以此來阻挡黑客使川诸如无限连接Z类的攻击方式,还可以对流经它的网络通信进行扫描,因而过滤掉一些攻击和病毒,起到保护内部具它系统的作用。由于入侵检测系统的位置越靠近外围,它所检测到的入侵信息就越早,所以木文直接放在防火墙后。3.2Honeypot的构造及主要技术总的说来,使用蜜罐的主要目的有两个:一是在不被入侵者察觉的情况下监视他们的活动,收集与入侵者有关的所有信息,从而分析入侵者的攻击手段;二是调虎离山,让入侵者将吋间和资源都耗费在攻击蜜罐上,使他们远离实际的工作网络。Honeyp

8、ot的构造蜜罐的构造方法很多,不同的蜜罐所能收集的信息也不一样。构造蜜罐一般要使用到网络欺骗、数据控制和数据捕获等等多种技术。蜜罐设计得越复杂,能获得的信息就越多,风险也就越大。例如,一个简单的蜜罐,易于安装并且只模拟了一些服务,攻击者仅能扫描并连接到冇限的几个

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。