计算机网络安全第十章(计算机取证)资料.ppt

* * * * * * * * * * * * */58 证据呈供(Deposition testimony Process) 证据呈供是计算机取证的最后一个阶段，将所有的调查结果与相应的证据上报法庭。 这一阶段应依据政策法规行事，对不同的机构采取不同的方式。例如：在一个企业调查中，听众往往是普通辩护律师、主管人员等，可以根据企业的保密法规和公司政策来进行陈述。而在法律机构中，听众往往是法官和陪审团，因而往往需要律师事先评估证据。 目录取证步骤 * */58 取证方法 目录 取证模型 静态取证模型 动态取证模型 取证方法 利用IDS取证 利用蜜罐取证 * */58 静态取证模型 目录取证方法 攻击进行中 证据收集 证据分析 法律裁决 攻击发生 检测到攻击 原始证据 分析结果 备份证据 2 之 1 * */58 特 点 传统的静态取证是在案发后对现场进行分析取证，所获取的证据缺乏实时性和连续性，因而在法庭上缺乏说服力，有时入侵者会在入侵后清除入侵足迹。而且即使能找到证据让犯罪者受到法律制裁，但系统的损失已经无法挽回。 2 之 2 目录取证方法 * */58 动态取证模型 网络及主机信息 攻击进行中 网络监控 证据收集 响应系统 法律裁决 证据分析 原始证据 分析结果 攻击发生 攻击信息 备份证据 2 之 1 目录取证方法 * */58 特 点 动态取证通过实时监控攻击发生，一方面可以进行实时同步取证，对入侵做详细记录；另一方面激活响应系统，根据不同的攻击，采取不同的措施。这样一方面使取证更具有实时性和连续性，其证据更具有法律效力；另一方面，利用响应系统可以将系统的损失降为最小。同时利用实时证据，可以得知网络攻击的步骤和方法，以便得知系统的弱点和漏洞，并及时采取相应的补救措施。 在动态取证模型中，其实现需要将取证工具与监控工具相结合，例如：IDS系统和蜜罐等。 2 之 2 目录取证方法 * */58 利用IDS取证 利用IDS检测非法的入侵或恶意行为并激活取证系统，进行实时的电子证据的收集，是IDS新的应用方向，也是IDS中的研究的热点之一。 1999年，Yuill等人详细阐述了作为证据和研究工具的IDS的使用。Gross和Monroe也在此领域作出了贡献。2000年，Stephenson创建了入侵管理模型，对于取证和入侵检测的有效结合作出了重要的理论贡献，在整个网络安全领域中有相当大的影响。 目录取证方法 * */58 什么是蜜罐？ 蜜罐（Honeypot）是一种在Internet上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人（例如：电脑黑客）而设计的。 蜜罐技术是一种主动防御技术，采用特有的特征吸引攻击者，同时对攻击的各种攻击行为进行分析并找到有效的对付方法。 4 之 1 目录取证方法 * */58 蜜罐的功能 蜜罐系统是一个包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者一个容易攻击的目标； 蜜罐系统拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间； 蜜罐系统可以为追踪攻击者提供有用的线索，为起诉攻击者搜集有用的证据； 蜜罐系统可以监控和记录系统中所有的操作和行为，通过分析，可以找到入侵者的常用攻击方法和入侵步骤，并找到相应的防御措施。 4 之 2 目录取证方法 * */58 蜜罐的应用 蜜罐技术可以对防火墙和其他入侵检测系统等安全解决方案起到一定补充作用，提供先进诱骗技术和早期检测感应器。 例如：赛门铁克公司将蜜罐技术结合到IDS中，开发出Symantec Decoy Server 。它对主机式和网络式IDS具有互补作用，既能利用诱骗器来分流对关键资源的攻击，又能早期检测内部和外部攻击，可以在发现非法访问和系统误用等情况时，对其进行检测、遏制和监控。 4 之 3 目录取证方法 * */58 蜜罐取证的合法性 对于蜜罐，虽然不会在任何国家违反任何法律，但是，在使用前最好先要得到有关法律部门的批准，未经授权就进行部署“蜜罐”最终会受到限制，例如：有可能违反《反窃听法》。从隐私权等角度来看，使用蜜罐会潜在地毁坏了个人的隐私权，因为他们捕捉的实际上是被欺骗的人的每一个操作。 对于蜜罐法律问题的解决方法在于如何建立和运行“蜜罐”。蜜罐可以也应该显示同其他系统一样的警告标题：“使用该系统的任何人同意自己的行为受到监控，并同意透露给其他人，包括执法人员”。 4 之 4 目录取证方法 * */58 证据分析 目录 证据分析是指取证人员运用专用的证据分析工具从繁杂的原始证据中找出与本案有关