基于蜜场的计算机电子取证研究报告-课程设计报告毕业设计.docVIP

xxxxxxxx课程设计报告课程名称：计算机病毒防治题目：基于蜜场的计算机电子取证研究报告学院：信息工程学院班级：12信息安全1班姓名：学号：指导老师：2015年12月14日-2015年12月25日目录第一章：选题概述1.1研究背景： 11.2研究意义： 1第二章：蜜罐技术 22.1蜜罐的概念和发展历程： 22.2蜜罐的定义： 22.3蜜罐的类型： 22.4蜜罐的工作原理： 32.4.1网络欺骗 32.4.2控制数据，加固服务器 42.4.3诱捕网络罪犯 42.5常见的蜜罐诱骗工具： 42.6蜜罐的优缺点 5第三章：基于蜜罐的计算机动态取证系统 63.1设计目的 63.2系统拓扑结构 63.3证据检测 73.4利用蜜罐取证步骤 73.5证据提取和传送 8第四章：系统功能分析 9第五章：心得体会 10第一章：选题简述1.1研究背景：随着网络的不断普及，个人信息窃取、网络诈骗、病毒传播、网络攻击等网络犯罪也日益猖獗，例如：一些不法分子建立假冒的网上银行、向用户发送含有诈骗信息的电子邮件等，以窃取用户网上银行的用户名和密码，盗取用户资金；一些黑客为了证明自己的技术而去入侵政府官网，并肆意篡改网页内容，造成了极大的破坏。为了利用法律手段严惩网络犯罪，我们就必须取得入侵者犯罪的证据，于是，计算机取证技术也孕育而生了。计算机取证（Computer Forensics）是网络主动防御技术在打击网络犯罪中的应用，它是应用计算机的辨析方法，对网络犯罪的行为进行捕获和分析，以保留犯罪的电子证据，并以此作为重要证据提起诉讼。对于网络入侵的犯罪行为，对被入侵的计算机、网络设备与系统进行扫描，将入侵的全过程重组，并将其获取、保存、分析、出示，形成具有法律效力的电子证据。计算机取证在计算机和网络犯罪猖獗的今天有着至关重要的作用，它是法学和计算机科学的融合，通过在计算机上提取犯罪证据，以打击计算机和网络犯罪。1.2研究意义：蜜罐技术是计算机取证中的一项关键技术，其采取主动的方式，用特有的特征吸引攻击者，同时对攻击者的各种入侵行为进行分析并找到有效的应对方案。蜜罐表面看起来满是漏洞，其实入侵者的一举一动都在蜜罐的掌握之中，就好比网络管理员在网络上上精心部署的陷阱，专门收集入侵者入侵产生的数据，因为其针对性很强，所以收集的数据有很高的价值。和没有任何防护措施的计算机相比，蜜罐可以在入侵后很好的收集入侵数据，而普通的计算机即使被入侵也很难查到任何痕迹。蜜罐最初设计目的就是为了吸引入侵者攻击，在攻击的同时收集入侵的证据，这一切都以真实服务器的安全为前提。通常我们认为具有隐藏真实服务器、发现入侵、产生日志、发出警告等功能的蜜罐是一台合格的蜜罐机。除了蜜罐的相关功能外，最重要的就是在需要的时候网络管理员可以将蜜罐收集的证据作为呈堂证供提交给法律部门。第二章：蜜罐技术2.1蜜罐的概念和发展历程：“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoos Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流人/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 2.2蜜罐的定义：蜜罐(Honeypot)是一种专门设计成被扫描、攻击和入侵的网络资源。具体来说，蜜罐就是一个包含漏洞的系统，它可以模拟一个或多个易受攻击的主机，可以包含一些不威胁系统安全的数据以引诱攻击者。由于它没被授权任何行为，没有任何产品价值，因此，所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐作为一种安全资源，其价值就在于被探测、被攻击或攻陷，尔后对这些攻击活动进行监视、检测和分析。 设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2.3蜜罐的类型：世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置来无聊的，因此，就产生了多种多样的蜜罐。实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的，没有任何SP补丁，或者打了低版本SP补丁，根据管理员需要，也可能补上了一些漏洞，只要值得研究的漏洞还存在即可