网络入侵取证分布式系统的设计和实现.docVIP

网络入侵取证分布式系统的设计与实现 蔡 超 李 祥 （贵州大学计算机软件与理论研究所） 摘要：本文研究网络入侵取证，在Win32平台下设计实现了由取证机及客户端信息采集系统构成的分布式网络入侵取证系统，包括链路层以太帧的捕获子系统（从网络传输底层获取追踪、取证所必须的MAC地址，IP地址，通讯内容等详细信息），被取证机的数据采集子系统（检测核心机密文件是否被篡改，重要进程的运行情况等）等；文中对网络数据包捕获，取证系统自身保护，系统间通讯给出了多种设计方案，并做了比较和探讨。 关键词：入侵取证 网监Distributed System of Forensic Discovery On Computer Network Intrusion Design and Implementation Cai Chao Li Xiang Abstract : With the development of information technology ,people are increasing concern on the security and safety of information. According to the theory of Computer Network Intrusion Forensic Discovery System, we designed and implemented some parts about Computer Network Intrusion Forensic Discovery System including the part of Ethernet frame capture (get the information that is important to forensic discovery such as MAC address , IP address and the content), the part collect important information and data from the computers ( the modification of important and secret documents , the state of key process) .In the paper we design several solution about packet capture , forensic discovery system protection and communication also we compare these solutions. keyword : Intrusion Forensic Discovery , Network Monitor , Forensic Discovery System 引 言 计算机网络入侵取证是一门针对计算机网络入侵与犯罪进行证据获取、保存、分析和出示的计算机网络技术。目前，入侵取证的模式大致可分为两种，一种是在案发后，使用技术手段对相关计算机进行取证，主要是对被损坏的文件进行恢复和分析，同时，发现相关入侵信息；另一种，是取证机进行实时监测，对连接在网络中被保护终端的状态数据进行即时监测记录，类似与飞机上使用的黑匣子，一但发生入侵行为，便可通过对记录的数据进行分析，确定攻击源。 本文研究网络入侵取证，在Win32平台下设计实现了由取证机及客户端信息采集系统构成的分布式网络入侵取证系统，包括链路层以太帧的捕获子系统（从网络传输底层获取追踪、取证所必须的MAC地址，IP地址，通讯内容等详细信息），被取证机的数据采集子系统（检测核心机密文件是否被篡改，重要进程的运行情况等）等；文中对网络数据包捕获，取证系统自身保护，系统间通讯给出了多种设计方案，并做了比较和探讨。 一、入侵取证的意义与现状 在无法有效防范网络、计算机犯罪的情况下，有效的打击网络的非法入侵者显得十分重要，计算取证技术为我们提供了手段，通过获取电子证据，寻找罪犯并将其绳之于法。 计算机取证是一门针对计算机入侵与犯罪进行证据获取、保存、分析和出示的计算机网络技术。目前，入侵取证的模式大致可分为两种，一种是在案发后，使用技术手段度对相关计算机进行取证，主要是对损坏的文件进行恢复和分析，同时，发觉相关使用信息；另一种，是实时监测模式的取证机，它连接在网络中随时监测记录被保护终端的状态数据，类似与飞机上使用的黑匣子，一但发生入侵行为，便可通过对记录的数据进行分析，确定攻击源，依法打击入侵者。 网络入侵已成为最主要的攻击手段，网络安全一直以来都是，网络应用进一步发展的核心问题。防火墙是传统入侵防范措施，