浅谈基于网络动态的网络入侵取证系统探析201425685711554.docVIP

浅谈基于网络动态的网络入侵取证系统探析 　　论文关键词：网络动态　网络入侵　网络入侵取证系统 　　论文摘要：网络的入侵取证系统是对网络防火墙合理的补充，是对系统管理员安全管理的能力的扩展，可使网络安全的基础结构得到完整性的提高。通过采集计算机网络系统的相关一系列关键点信息，并系统分析，来检测网络是否存在违反了安全策略行为及遭到袭击的现象。随着计算机的普及，有计算机引发的案件也越发频繁，该文即针对计算机基于网络动态的网络入侵取证作进一步的探讨。 　　计算机网络的入侵检测，是指对计算机的网络及其整体系统的时控监测，以此探查计算机是否存在违反安全原则的策略事件。目前的网络入侵检测系统，主要用于识别计算机系统及相关网络系统，或是扩大意义的识别信息系统的非法攻击，包括检测内部的合法用户非允许越权从事网络非法活动和检测外界的非法系统入侵者的试探行为或恶意攻击行为。其运动的方式也包含两种，为目标主机上的运行来检测其自身通信的信息和在一台单独机器上运行从而能检测所有的网络设备通信的信息，例如路由器、Hub等。 　　1 计算机入侵检测与取证相关的技术 　　1.1 计算机入侵检测 　　入侵取证的技术是在不对网络的性能产生影响的前提下，对网络的攻击威胁进行防止或者减轻。一般来说，入侵检测的系统包含有数据的收集、储存、分析以及攻击响应的功能。主要是通过对计算机的网络或者系统中得到的几个关键点进行信息的收集和分析，以此来提早发现计算机网络或者系统中存在的违反安全策略行为以及被攻击迹象。相较于其他的一些产品，计算机的入侵检测系统需要更加多的智能，需要对测得数据进行分析，从而得到有用的信息。 　　计算机的入侵检测系统主要是对描述计算机的行为特征，并通过行为特征对行为的性质进行准确判定。根据计算机所采取的技术，入侵检测可以分为特征的检测和异常的检测；根据计算机的主机或者网络，不同的检测对象，分为基于主机和网络的入侵检测系统以及分布式的入侵检测系统；根据计算机不同的工作方式，可分为离线和在线检测系统。计算机的入侵检测就是在数以亿记的网络数据中探查到非法入侵或合法越权行为的痕迹。并对检测到的入侵过程进行分析，将该入侵过程对应的可能事件与入侵检测原则规则比较分析，最终发现入侵行为。按照入侵检测不同实现的原来，可将其分为基于特征或者行为的检测。 　　1.2 计算机入侵取证 　　在中国首届计算机的取证技术峰会上指出，计算机的入侵取证学科是计算机科学、刑事侦查学以及法学的交叉学科，但由于计算机取证学科在我国属于新起步阶段，与发达国家在技术研究方面的较量还存在很大差距，其中，计算机的电子数据的取证存在困难的局面已经对部分案件的侦破起到阻碍作用。而我国的计算机的电子数据作为可用证据的立法项目也只是刚刚起步，同样面临着计算机的电子数据取证相关技术不成熟，相关标准和方法等不足的窘境。 　　计算机的入侵取证工作是整个法律诉讼过程中重要的环节，此过程中涉及的不仅是计算机领域，同时还需满足法律要求。因而，取证工作必须按照一定的即成标准展开，以此确保获得电子数据的证据，目前基本需要把握以下几个原则：实时性的原则、合法性的原则、多备份的原则、全面性的原则、环境原则以及严格的管理过程。 　　2 基于网络动态的入侵取证系统的设计和实现 　　信息科技近年来得到迅猛发展，同时带来了日益严重的计算机犯罪问题，静态取证局限着传统计算机的取证技术，使得其证据的真实性、及时性及有效性等实际要求都得不到满足。为此，提出了新的取证设想，即动态取证，来实现网络动态状况下的计算机系统取证。此系统与传统取证工具不同，其在犯罪行为实际进行前和进行中开展取证工作，根本上避免取证不及时可能造成德证据链缺失。基于网络动态的取证系统有效地提高了取证工作效率，增强了数据证据时效性和完整性。 　　2.1 计算机的入侵取证过程 　　计算机取证，主要就是对计算机证据的采集，计算机证据也被称为电子证据。一般来说，电子证据是指电子化的信息数据和资料，用于证明案件的事实，它只是以数字形式在计算机系统中存在，以证明案件相关的事实数据信息，其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据。 　　就目前而言，由于计算机法律、技术等原因限制，国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后，但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中；另外，黑客入侵等非法网络犯罪过程中，入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时，2004年FBI/CSI的年度计算机报告也显示，企业的内部职员是计算机安全的最大威胁，因职员位置是在入侵检测及防火墙防护的系统内的，他们不需要很高的权限更改就可以从事犯罪活动。