网络取证创新.pptVIP

网络攻击行为处理机制 第一步，IDS系统发现可疑攻击行为。 第二步，利用Infinistream分析是否为真正的网络攻击。 第三步，利用防火墙阻断攻击。 第四步，利用Infinistream分析是否有其他的攻击行为，分析对网络系统的危害。 第五步，提供有效的证据（网络流量）和分析报告，对攻击行为进行处理。 取证工具 eTrust Network Forensics CA公司最新推出的eTrust Network Forensics产品，是一项整合式的安全与网络监控解决方案。 它首先记录目标网络的原始数据，然后进行识别、保存、分析和提交数字证据，重现网络活动过程 进而对被怀疑的信息加以判断，量化安全风险 并运用先进的审计分析技术来找出网络使用、内部资料窃取、企业政策违规等状况 最后提供事件的形象化描述和业务资产相关性的全面视图 取证工具 eTrust Network Forensics eTrust Network Forensics着眼点就是将那些犯罪分子留下的看似无意义的数据，变成与网络犯罪分子斗争的利器。 它会监控并记录网络活动在一个易于查询的知识库，管理人员可以全方位的了解企业的网络通讯，并利用它进行识别分析检查。 通过先进的数据发现与审核、数据恢复与分析等技术，eTrust Network Forensics能够监控流经网络的全部信息流，同时还可对所有流经取证网段的数据日志进行实时转移和加密封存，通过多种技术手段保证记录的原始性、完整性、不可更改性，以符合法律对证据的要求。 取证工具 eTrust Network Forensics 针对网络上的数据流，eTrust Network Forensics还提供了强大的过滤功能和完整的智能流量分析 让IT与安全人员真正得到想要的数据和证据，以便于法律分析和调查。 eTrust Network Forensics同时支持集中式与分布式数据库技术，以发掘同一事件的不同证据间的联系。 它用各种各样的智能算法来暴露复杂网络环境中潜在的不规则活动，通过排列清晰的描述节点原始信息以及数据如何通过网络传输，让管理员能以最有效率的方法来分析使用者、主机、网络、应用程序、协议与地址，使其针对从单一或多重收集点所取得的传输数据，预先定义标准分析作业，并让其检视其中信息以得知其关联性，从而进行证据挖掘和证据留存。 取证工具 NetDetector NetDetector是美国Niksun公司的一个重要的产品，它的数据来源是Niksun核心部分所抓取的网络流量信息 NetDetector的主要功能是它能够实时地发现网络流量中的一些异常状况，比如说黑客攻击 同时，它还可以在应用层上重组网络中的各个进程（Email，FTP，Telnet，HTTP），在发生网络被入侵的情况时 利用它的这个功能，网络管理者就能够掌握网络犯罪分子的犯罪证据，并了解其攻击方法，从而修补安全漏洞，以免以后遭到类似的攻击。 取证工具 NetDetector NetDetector倡导的是一种网络安全第二级防护的概念，也就是指入侵监测系统（Intrusion Detection System）的概念。 NetDetector还依靠它所存储的流量数据具有了分析的功能。 NetDetector所保存的数据还可以为追踪、调查、控告网络犯罪分子提供详细的原始数据和证据。 NetDetector的核心技术是比特级的网络流量记录和分析。 取证工具 NetMoniter NetMoniter网络信息监控与取证系统是针对Internet开发的网络内容监控系统 它能够记录网络上的全部底层报文，监控流经网络的全部信息流 提供WWW、TELNET、FTP、SMTP、POP3和UDP等应用的报文重组 可根据用户特定需求实现对其他应用的分析和重组 是网络管理员和安全员监测“黑客”攻击、维护网络安全运行的有力助手 是保证金融系统网络、ISP网络和企业内部网络等不可缺少的安全工具 取证工具 NetMoniter NetMoniter网络监控与取证系统采用系统前台监测数据、后台数据分析等技术手段。 前台系统负责监测IP协议数据包，可以根据特定配置截取网上流通数据，并以文件的形式记载下来。 后台系统则以指定形式和设定的过滤规则来分析、组合前台系统所记载的数据包，形成可直接查看的原始数据流和取证文件。两者独立分开，实时处理。 NetMoniter网络监控与取证系统可以监控基于TCP协议的五种主要应用服务FTP、HTTP、SMTP、POP3、TELNET应用服务和UDP协议。 取证工具 利用IDS取证 将计算机取证结合到入侵检测等网络安全工具和网络体系结构中进行动态取证，可使整个取证过程更加系统并具有智能性和实时性，也更加灵活多样，并且还能迅速做出响应。