网络取证系统研究与实现.docVIP

网络取证系统的研究与实现 陈宁波 （福建省晋江市职业中专学校，福建 泉州 362251） 目前在网络应用中黑客攻击现象越来越多，如何在网络被攻击后，取得有效的数字证据来裁定网络犯罪，成为迫在眉睫的问题。本文围绕“计算机网络取证系统的研究与实现”，讨论了计算机取证和网络取证的相关理论和模型，介绍了一种网络主动型取证工具——蜜罐，并以实例说明构建一个中小型蜜罐的过程。 关键词：网络取证；取证分析；蜜罐 1 绪论 1.1问题的提出 目前，全球互联网安全事件的数量每年以惊人的指数级增长。导致网络安全事件层出不穷的原因主要有三方面：一是因为目前的各种操作系统和软件存在很多安全漏洞和缺陷。二是各式各样的木马、蠕虫、攻击软件的数量越来越多，破坏性越来越强，而且越来越容易使用。三是大部分网络使用者安全意识较差，而学习黑客入侵的用户越来越多。 在这种情况下，计算机与网络取证技术应运而生。当一些破坏力很强的网络攻击发生后，通过对攻击现场进行取证分析，可以确认入侵者及其使用的攻击工具、攻击方式，甚至还可以还原整个入侵过程。 1.2计算机与网络取证的概念 计算机与网络取证，又称为数字取证，它结合运用了计算机取证和网络取证两大分支的内容，是指把计算机看作是犯罪现场，使用计算机软件对存储在计算机系统及网络设备中潜在的电子证据的识别、收集、保护、检查和分析，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯以及提取电子犯罪证据以便在法庭上出示的过程。可用于解决诸如电子通信窃听、商业机密窃取、网络敲诈等信息犯罪问题。 2. 计算机与网络取证技术的理论基础与模型 2.1 数字取证的基本知识 整个数字取证知识内容的拓扑框架可以用图1来表示： 图1 数字取证知识内容的拓扑框架 2.1.1 什么是数字证据 在全球信息化的时代已来临，信息在社会生活、生产各方面起着越来越重要的作用，计算机信息犯罪案件与日剧增。于是，证据学家们把以计算机及其网络为依托的、能用于证明案件事实的数字数据列为新型的证据形式，并将其定义为数字证据。 2．2数字取证的基本步骤： 准备阶段：准备取证所必须的工具设备。收集阶段：保护现场，搜索及收集数字证据。 检查阶段：对收集的证据进行技术检查。分析阶段：对结果进行分析评审。 报告阶段：提交取证分析报告。 以上是最基本的步骤，依案情的复杂程度，可以自定一些其它的步骤，例如在准备阶段前，先制定一个方法策略——对案情进行初步分析，先设计好取证的策略，使整个取证过程对系统运行的影响减至最低，获取的证据既多又可靠。 2.3 Honeypot的概念及原理 Honeypot是种主动防护网络入侵的系统，中文名为“蜜罐”，是一个专门应对被攻击或入侵而设置的欺骗系统。它从表面上看似乎很脆弱，易受攻击，但实际上只是个虚拟的系统，不包含任何重要数据，也没有合法用户和通信。 蜜罐的最终目标是捕捉、收集、监视并控制入侵者的活动，因此，蜜罐的所有设计、部署和实施都必须围绕这一目标进行： 首先，攻击诱骗技术至关重要。一个蜜罐如果没有黑客入侵，建的再好，也没价值。因此，蜜罐首先必须在网络攻击诱骗技术上下功夫，以提高黑客发起攻击的机率，诱使黑客们相信蜜罐是个真实的系统。 其次，数据捕获是蜜罐的核心功能。数据捕获是指在不被黑客察觉的情况下尽可能多地捕捉、收集他们的入侵和攻击过程并记录在安全的地方。 第三，蜜罐的数据控制也极为重要。这个数据控制指的是对进出蜜罐的数据流进行控制，这样可以对入侵者的行为进行一定程度上的控制，使他们的活动被限制在一定范围内，避免入侵者利用蜜罐攻击其他网络系统。一般来说，对于进入蜜罐的网络连接和流量可以不作任何限制，但对从蜜罐中外流的数据流量必须要严格限制。 3．Honeypot的构造 3.1 Honeypot的使用拓扑图 不同结构的局域网，蜜罐的使用拓扑图的设计也不同。本文就普通的局域网，设计了一个蜜罐的使用拓扑图，如图4所示： 图4 蜜罐使用拓扑图 图4中之所以将防火墙放在最外围，是因为它不但可以控制网络输入和输出的连接数量，以此来阻挡黑客使用诸如无限连接之类的攻击方式，还可以对流经它的网络通信进行扫描，因而过滤掉一些攻击和病毒，起到保护内部其它系统的作用。 由于入侵检测系统的位置越靠近外围，它所检测到的入侵信息就越早，所以本文直接放在防火墙后。 3.2 Honeypot的构造及主要技术 总的说来，使用蜜罐的主要目的有两个：一是在不被入侵者察觉的情况下监视他们的活动，收集与入侵者有关的所有信息，从而分析入侵者的攻击手段；二是调虎离山，让入侵者将时间和资源都耗费在攻击蜜罐上，使他们远离实际的工作网络。 Honeypot的构造 蜜罐的构造方法很多，不同的蜜罐所能收集的信息也不一样。构造蜜罐一般要使用到网络欺骗、数据控制和数据捕获等等多种技术。蜜罐设计得