蜜罐技术在计算机取证中的应用和研究.docVIP

蜜罐技术在计算机取证中的应用与研究 （兰诗梅，贵阳学院数学与信息科学学院、籍贯重庆，1982.1.15、、、。2011年贵阳市科技局工业振兴计划项目资助，项目编号：筑科合同[2011101]1-15号ABSTRACT：In this paper, the concept of computer forensics and method are analyzed in detail, and effectively will honeypot technology applied to computer forensics, and use of honeypot system data capture test. 关键词：计算机取证；蜜罐技术 Keywords: Computer forensics, Honeypot technology 1引言 随着网络的不断普及，个人信息窃取、网络诈骗、病毒传播、网络攻击等网络犯罪也日益猖獗，例如：一些不法分子建立假冒的网上银行、向用户发送含有诈骗信息的电子邮件等，以窃取用户网上银行的用户名和密码，盗取用户资金；一些黑客为了证明自己的技术而去入侵政府官网，并肆意篡改网页内容，造成了极大的破坏。为了利用法律手段严惩网络犯罪，我们就必须取得入侵者犯罪的证据，于是，计算机取证技术也孕育而生了，蜜罐技术则是计算机取证中的一项关键技术。 2计算机取证概述 计算机取证（Computer Forensics）是网络主动防御技术在打击网络犯罪中的应用，它是应用计算机的辨析方法，对网络犯罪的行为进行捕获和分析，以保留犯罪的电子证据，并以此作为重要证据提起诉讼。对于网络入侵的犯罪行为，对被入侵的计算机、网络设备与系统进行扫描，将入侵的全过程重组，并将其获取、保存、分析、出示，形成具有法律效力的电子证据[1]。计算机取证在计算机和网络犯罪猖獗的今天有着至关重要的作用，它是法学和计算机科学的融合，通过在计算机上提取犯罪证据，以打击计算机和网络犯罪。 2.1电子证据的概念 计算机取证的就是为了获取电子证据。电子证据是判定网络犯罪嫌疑人是否有罪的重要依据。电子证据最早出现在20世纪30年代的美国，而在我国使用电子证据只有十几年的时间。电子证据的定义是在法庭上可能成为证据的以二进制形式存储或传送的信息[2]。电子证据的特性为：准确性、多样性和易修改性。通常以文本、语音、图形、图像、视频等形式存储于硬盘或磁盘中。电子证据不易受主观因素的影响，但很容易被修改。 2.2计算机取证方法 计算机取证的方法分为静态和动态。传统的取证方法是在案发之后才进行现场取证，这种取证方法属于静态取证。静态取证时证据容易被犯罪分子销毁以至于无法起诉。而且由于是案发后才进行取证，即便是犯罪分子受到了法律的制裁，但是已经造成了无法挽回的结果。动态取证是通过实时监控，当入侵者发出攻击时，响应系统便自动启动，并判断其危害程度，作出相应处理。同时，对入侵的全过程进行记录。这样的动态取证系统需要蜜罐技术的帮助才能完成取证工作。 计算机取证过程是通过分析被入侵的计算机中的硬盘、光盘、磁盘、U盘、内存缓冲等储存设备，从中发现入侵者的犯罪证据。在取证过程中运用软件和工具，按照事先定义的程序，全方位的检查计算机系统，以提取相关的犯罪证据。 在计算机取证过程中我们可以对系统日志、操作系统文件、反病毒软件日志、入侵检测系统的工作记录、软件设置参数和文件、系统审计记录、网络监控流量、聊天记录、电子邮件、数据库文件及其操作记录、浏览器数据缓冲、历史记录等信息源进行检查。 3蜜罐取证技术 蜜罐技术是一种新型的主动的网络安全防御技术，美国L．Spizner定义了蜜罐(Honeypot)的概念：蜜罐是一种资源，它的价值攻陷或被攻击。 4蜜罐系统测试 4.1网络环境 该蜜罐系统的核心部件是网桥，通过网桥能够完成信息收集和信息控制，在充当网桥的主机上配备了3块网卡，在Vmware宿主机上虚拟安装了虚拟蜜罐，并且在每个虚拟蜜罐中安装了Sebek客户端。 图1 蜜罐系统的网络环境 4.2硬件环境 CPU 硬盘 内存 网卡 Vmware宿主机 Pentium 4 160G 2G 1块 网桥 Pentium 4 80G 2G 3块 监控平台 Pentium 4 80G 2G 1块 表1 蜜罐系统的硬件配置 4.3软件环境 在Vmware宿主机中安装的HostOS为Windows2003 Server SP2；GuestOS为Redhat9.0；安装了虚拟软件Vmwaerwokrstation4.5.2；在Vmware宿主机上安装了三个服务器版本的虚拟系统，用桥接模式进行连接；配置了三个IP地址：192.168.10.20、192.168.10.21、192.168.1