一种基于蜜罐技术的主机取证系统研究.pdfVIP

2O10．12 纛 doi：1039691jissn1671—1122201012015 一 种基于 统研究 — — 孙国梓，薛磊，李云 (南京邮电大学计算机学院，江苏南京 210003) 摘 要：在对取证需求进行分析的基础上，将蜜罐技术应用于主机取证，设计实现了一个主机取证系统。 从蜜罐创建、数据传递、行为监视、行为分析等几个方面对系统构建的关键技术进行了详细分析，给出系统 实现和测试的结果，验证了方案的可行性。 关键词：主机取证；蜜罐；计算机犯罪 中图分类号：TP309．2 文献标识码：A 文章编号：1671—1122 【2010)12一OO42—04 BasedonaHoneypotTechnologyHostForensicsSystem Research SUN Guo—zi．XUE Lei．LIYun (CollegeofCompute~NanjingUniversityofPostsandTelecommunications，Nanjing,Jiangsu210003，China) Abstract：Basedontheanalysisofthedemandsoftheforensics，thepaperappliesthehoneypottechnology tOobtainhostevidence，andonehostingforensicssystem isdesigned．Thekeytechnologiesofthesystem construction，from thehoneypotcreation，datatransmission，behaviormonitoring，behavioralanalysisandother aspects，aredetailedanalyzed．Atlast，theimplementationandthetestresultofthesystem isgiven，andthe feasibilityoftheschemeifverified． Keywords：HostingForensics；Honeypot；ComputerCrime 0引言 计算机取证已成为信息安全领域研究的热点，目前的计算机取证大都是静态的Ⅲ，在犯罪事件发生后对 目标系统静态分析 并获取证据，该取证方式效率低，有效性差且难以保证数据安全。 蜜罐技术是一种用于欺骗攻击者的技术，蜜罐是故意让人攻击的目标，可以诱使攻击者前来攻击，由此可以减少对实际系统 所造成的安全威胁。攻击者入侵后，可以观察入侵者在蜜罐中所作的一切行为，并把这些行为记录下来形成Et志，对其进行研究后， 可以分析攻击者所使用的工具、策略及其 目的。目前蜜罐技术已被广泛应用于对网络入侵进行检测 [2,310 在数字取证过程中，按数字证据发生的时问不同，将数字取证分为事后取证和实时取证 】。随着网络犯罪技术的提高，事后 取证已无法适应要求，解决方案是进行实时取证。实时取证，也称动态取证，也即实时获取网络数据并以此分析攻击者的企图 和获得攻击者的行为证据。 基于蜜罐的数字取证系统是用真实的系统、应用程序、服务和虚假的 “敏感”信息来与攻击者进行交互，由此获取入侵者 证据的系统，它具有真实性、可控性、高效性和完整性。 1基于蜜罐技术的主机取证体系 目前，蜜罐技术已被应用于入侵检测和网络取证，主机方面运用的还比较少。通过分析Windows操作系统中文件的读写机制， 对一些针对存储介质上的敏感数据的攻击行为的分析、总结，可以确定基于蜜罐的主机取证体系如图1所示。 ● 收稿 时间：2010—10—20 作者简介：-t,l、国梓 (1972一)，男，博士，副教授，主要研究方向：信息犯罪与数字取证 ；薛磊 (1987一)，男，硕士研究生，主要研究方向：