返回
文献综述--网络安全取证技术研究

文献综述--网络安全取证技术研究

ID:46721751

大小:82.00 KB

页数:4页

时间:2019-11-27

文献综述--网络安全取证技术研究_第1页
文献综述--网络安全取证技术研究_第2页
文献综述--网络安全取证技术研究_第3页
文献综述--网络安全取证技术研究_第4页
资源描述:

《文献综述--网络安全取证技术研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、2011届本科毕业设计(论文)文献综述题目网络安全取证技术研究学院计算机科学与二二程学院年级2008专业网络工程班级学号姓名指导教师职称教授网络安全取证技术研究文献综述一、网络安全取证技术研究的定义以及简介1.1网络取证技术的定义网络取证(networkforensics)一词,通常用于描述对网络行为信息的收集,分析,监控,审计。它常用于描述事后调查的手段以及捉供接近实时响应的方法。网络取证是指针对涉及民事、刑事和管理事件而进行的对网络数据流的研究,口的是保护用户和资源,防范由于持续膨胀的网络连接而产生的被非法利用、入侵以及其他犯罪行为。在实现方式上,网

2、络取证通常与网络监控相结合,例如入侵检测技术,利用网络监控激活取证。网络可以显示入侵者突破网络的路径,揭示通过屮间媒介的入侵,提供重要和确凿的证据,但通常不能单独处理某个案例,把嫌疑人和攻击事件直接关联。“网络数据流”指的是在主机之间通过无线或者有线方式进行的计算机网络通信。DigitalForensicResearchWorkshop(DFRWS)2001的会议上讨论并给出了网络取证的定义:使用科学的证明方法来收集、融合、发现、检查、关联、分析以及存档数字证据,这些证据涉及多层次的主动处理过程以及数据源的传递过程,其FI的是发现有预谋的破坏行为或已经成

3、功的非授权的攻击行为,并为应急事件的响应和系统恢复提供有用的信息。网络取证应该包含计算机取证,是广义的计算机取证。随着网络应用的不断深入,网络取证的重要性越来越强,但网络取证的研究还处在起步阶段。1.2网络安全取证技术的特点:(1)周界网络(PerimeterNetwork):指在本地网的防火墙以外,与外部公网连接的所有设备及其连接;(2)端到端(End-to-End):指攻击者的计算机到受害者的计算机的连接;(3)日志相关(LogCorrelation):指各种日志记录在时间、日期、来源、目的甚至协议上满足一致性的匹配元素;(4)环境数据(Ambien

4、tData):指删除后仍然存在,以及存在于交换文件和slack空间的数据;(5)攻击现场(AttackScenario):将攻击再现、重建并按照逻辑顺序组织起来的事件。二、网络安全取证的证据问题:(1)保持数据的原始性:取证分析的数谄是被分析机器上数据的原始逐比特复制。as2.1网络取证的基木原则(1)保持数据的原始性:取证分析的数据是被分析机器上数据的原始逐比特复制。(2)保持数据在分析和传递过程中的完整性:分析软硬件环境不会改变分析的数据,数据传递过程中数据没有改变。(3)保持证据连续性:如果确实需要改变数据,必须保证证据连续性(chainofcus

5、tody),即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化。(4)取证过程的可认证性:也就是说,整个过程是受到监督的,由原告委派的专家所作的所有调查取证工作都应该受到由其他方委派的专家的监督。(5)取证过程和结论的可重现:由于电了证据的特殊性,任何取证分析的结杲或结论可以在另外一名取证人员的操作下重现。2.2证据来源(1)来自于主机的证据:系统事件记录和记录系统应用事件的系统日志文件、文件的电子特征(如MAC时间)、可恢复的数拯、系统时间、加密及隐藏的文件、文件Slack空间、未分配的空间(ErasedFi

6、les)、交换文件(SwapF订e)、系统恢复文件(RecoveryFile)、入侵者残留物一如程序、脚木、进程、内存映像、系统缓冲区、系统内存、Cookies.历史文件、临时文件、系统数据区、硬盘上的坏簇、注册表、打卬机及其它设备的内存等。(2)来白于网络通信数据包的证据:在基于网络的取证中,采集在网络段上传输的网络通信数据包作为证据的来源。这种方式可以发现对主机系统來说不易发现的某种攻击的证据。(3)来自于其他安全产品的证据:防火墙、IDS系统、访问控制系统、路由器、网卡、PDA以及其他安全设备、网络设备、网络取证分析系统产生的日志信息。三、网络取证

7、的关键技术3.1取证技术(1)对存储介质的安全无损备份技术:如果直接在被攻击机器的磁盘上进行操作,可能会对原始数据造成损坏,而一旦这些数据有所损坏,就无法还原了,因此取证操作应尽量避免在原始盘上进行。应使用磁盘镜像复制的办法,将被攻击机器的磁盘原样复制一份,其中包括磁盘的临时文件、交换文件以及磁盘未分配区域等,然后对复制的磁盘进行取证分析。众多的专用工具可用来磁盘备份,以便取证分析和作为法庭证据。(1)对已删除文件的恢复技术:即使是将硬盘数据删除并清空冋收站,数据还仍然保留在硬盘上,只是硬盘FAT表中相应文件的文件名被标记,只要该文件的位置没有被重新写入

8、数据,原来的数据就可以恢复出来。(2)日志分析技术:可分析CUP吋段负荷、用户使

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。