网络入侵检测取证模型的构建与实现.docVIP

网络入侵检测取证模型的构建与实现 　　【摘 要】现代信息社会环境中，网络犯罪现象日益猖獗，网络犯罪不但会侵犯社会公众的个人隐私，还会给社会带来巨大经济损失，甚至威胁国家信息安全。本文基于以上背景，提出了网络入侵检测取证模型的构建方案，以弥补网络防御软件应用程序的不足，提高网络取证的应用价值。 　　【关键词】入侵检测；取证模型；网络技术 　　网络是现代人们获取数据信息的重要途径，随着人们对网络依赖程度越来越高，网络非法入侵的行为活动也日益增多，不但侵犯了人们的个人隐私信息，甚至威胁到社会的安全和稳定。传统的网络安全防御机制已经远远不能适应现代信息技术的飞速发展，网络黑客采用创新型的入侵方法进行攻击。网络取证技术的应用主要是获取网络黑客的入侵攻击痕迹，进行分析后得到网络电子证据，以此对网络黑客发起控诉。 　　1.网络取证技术 　　网络取证技术指的是利用计算机技术、通信技术和网络数据信息取得网络犯罪分子的犯罪证据，包括网络监听技术、数据鉴定技术、数字过滤技术、身份认证技术和漏洞扫描技术等。网络取证技术主要具有两种特性，一是多样性，二是复杂性，由此可见，网络取证技术设计的信息技术面非常广泛，综合利用方面也十分复杂。 　　1.1网络证据分析技术 　　网络证据分析技术主要是将获得的数据信息流利用关键词、关键字匹配的方法查询相关数据信息，网络证据分析技术包括网络IP数据信息重组、网络传输协议数据重组、网络日志分析还原，以及数据挖掘技术、数据统计技术、摘要分析技术、关键字和关键词查找技术、数据加密解密技术和密码破解技术等。 　　1.2网络证据保真传输技术 　　网络证据保真技术主要是对网络取证过程和数据信息证据进行有效保护，网络证据保真技术设计多种信息技术，包括数字签名技术、证书认证技术、数据加密技术、数据恢复技术等。网络证据传输技术的使用流程是将目标终端作为收集源，将网络中某种数据信息作为目标，将定向收集的网络数据信息安全传输给网络取证载体，使载体可以将其有效保存。 　　1.3网络证据搜集存储技术 　　网络证据收集技术和网络证据保存技术是网络取证过程的基础保障，以上两种技术的应用目的是有效保证网络证据的完整性。网络证据收集存储技术将数据信息作为载体，将其进行适当有序的整理之后，对其完整性和可用性进行有效保护，使数字信息在目标终端与数据信息载体之间保持传输一致。 　　2.网络入侵检测取证方法 　　网络入侵事件指的是非法入侵者意图对网络进行攻击，破坏网络信息资源的可用性、完整性和保密性。网络入侵检测指的是对以上非法行为活动的检测，通过对网络入侵事件中的关键字、关键词和现场数字信息进行收集整理后，利用网络软件系统对其内在的安全隐患问题进行检查，网络入侵检测系统指的是将软件应用程序与硬件设备有机结合，对网络非法攻击行为进行实时检测。 　　网络取证技术与网络入侵检测技术相同，都需要对获得的数据信息进行分析统计，以此获取违反安全规定的数据信息。因此，这两种技术在研究对象、分析方法和最终目标等方面具有相近之处。网络入侵检测是利用关键字、关键词匹配技术、神经网络技术和专家分析技术等获取网络犯罪证据。被网络入侵检测系统截获的网络日志、应用程序和数据信息包等，都可以作为网络取证的依据。 　　因此，将网络入侵检测作为网络取证过程中的关键内容，一直受到了信息安全领域专家学者们的广泛关注。但是，目前市场上网络入侵检测产品缺乏统一标准，其获取的数据信息当作为证据时缺乏法律效力。由此，网络入侵检测产品还不能作为网络取证的主要依据，但网络入侵检测产品非常适合收集和保存攻击数据信息，虽然网络入侵检测产品不能精准定位网络非法攻击者的位置，但作为网络取证的重要工具，可以实时收集和存储大量网络攻击数据信息。 　　3.网络入侵检测取证模型构建 　　本文在研究网络入侵检测取证方法的基础之上，提出了网络入侵检测取证模型构建方案。 　　3.1数据信息采集模块 　　数据信息采集模块主要作用是将原始数据信息进行有效收集和备份整理，在为网络入侵检测提供数据信息对网络用户行为活动进行检测的同时，还能为网络规则的构建提供数据依据。数据信息采集模块由网络传感器等设备构成，其收集备份的数据信息大部分都来源于主机终端的数据信息。 　　3.2数据预处理模块 　　数据预处理模块的主要任务是对数据信息采集模块收集到的原始数据信息进行处理和加工，使其成为能够适应数据挖掘算法的格式，由于收集的网络数据信息和日志信息内容较多，为了真正提高数据挖掘算法的利用效率，必须将原始数据信息进行预处理，按照预先设定的类型和格式进行统一简化，以此提高网络传输速度。 　　3.3网络入侵检测模块 　　网络入侵检测模块的任务是对简化后的数据信息进行检测： 　　（1）如果没有发现异常