基于蜜罐的网络动态取证系统研究.PDFVIP

第２３卷　第５期 山 东 科 学 Ｖｏｌ．２３　Ｎｏ．５ ２０１０年１０月 ＳＨＡＮＤＯＮＧＳＣＩＥＮＣＥ Ｏｃｔ．２０１０ 文章编号：１００２４０２６（２０１０）０５００５９０７ 基于蜜罐的网络动态取证系统研究 杨青 （山东警察学院，山东 济南２５００１４） 摘要：针对计算机静态取证技术和常用的动态取证技术中存在的问题，提出了基于虚拟蜜罐的网络动态取证 系统模型。该模型将在被保护子网上对流经的网络数据进行实时监控，编写程序对检测到的入侵进行报警， 并通过修改ｉｐｔａｂｌｅｓ的ｎａｔ表，利用重定向技术将检测到的入侵数据导入到蜜罐中进行记录，实现了入侵检测 技术、蜜罐技术与防火墙技术的联动，达到实时动态取证的目的。实验结果表明，该系统不仅可以保护网络和 主机不受攻击，还可以长时间的获取证据，并使得证据不受污染，达到了预期效果。 关键词：动态取证；入侵检测；重定向技术；蜜罐 中图分类号：ＴＰ３９３　　　文献标识码：Ａ ＲｅｓｅａｒｃｈｏｎａＨｏｎｅｙｐｏｔＢａｓｅｄＮｅｔｗｏｒｋＤｙｎａｍｉｃＦｏｒｅｎｓｉｃｓＳｙｓｔｅｍ ＹＡＮＧＱｉｎｇ （ＳｈａｎｄｏｎｇＰｏｌｉｃｅＣｏｌｌｅｇｅ，Ｊｉｎａｎ２５００１４，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：Ｔｈｉｓｐａｐｅｒｐｒｅｓｅｎｔｓａｈｏｎｅｙｐｏｔｂａｓｅｄｎｅｔｗｏｒｋｄｙｎａｍｉｃｆｏｒｅｎｓｉｃｓｓｙｓｔｅｍｉｎｖｉｅｗｏｆｔｈｅ ｎｅｇａｔｉｖｅｓｏｆｃｏｍｐｕｔｅｒｓｔａｔｉｃｆｏｒｅｎｓｉｃｓａｎｄｃｏｎｖｅｎｔｉｏｎａｌｄｙｎａｍｉｃｆｏｒｅｎｓｉｃｓ．Ｔｈｉｓｓｙｓｔｅｍｃａｎｍｏｎｉｔｏｒ ｔｈｅｎｅｔｗｏｒｋｄａｔａｆｌｏｗｉｎａｐｒｏｔｅｃｔｅｄｓｕｂｎｅｔ，ｓｅｎｄａｎａｌａｒｍｗｈｅｎａａｎｉｎｔｒｕｓｉｏｎｉｓｄｅｔｅｃｔｅｄ，ａｎｄ ｉｎｐｕｔｔｈｅｉｎｔｒｕｓｉｏｎｄａｔａｉｎｔｏａｈｏｎｅｙｐｏｔａｎｄｒｅｃｏｒｄｔｈｅｍｗｉｔｈｒｅｄｉｒｅｃｔｉｏｎｔｅｃｈｎｏｌｏｇｙ．Ｔｈｅｓｙｓｔｅｍｃａｎ ｈｅｌｐｕｓｄｙｎａｍｉｃａｌｌｙａｃｑｕｉｒｅｔｈｅｉｎｔｒｕｓｉｏｎｅｖｉｄｅｎｃｅｓｂｙｔｈｅｌｉｎｋａｇｅｏｆｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎ，ｆｉｒｅｗａｌｌ ａｎｄｈｏｎｅｙｐｏｔ．Ｅｘｐｅｒｉｍｅｎｔｓｓｈｏｗｔｈａｔｔｈｅｓｙｓｔｅｍｃａｎｎｏｔｏｎｌｙａｖｏｉｄｓｅｒｖｅｒｓａｎｄｎｅｔｗｏｒｋｓｆｒｏｍ ａｔｔａｃｋｉｎｇｂｕｔａｌｓｏｐｅｒｓｉｓｔｅｎｔｌｙｐｒｅｖｅｎｔｉｎｔｒｕｓｉｏｎｅｖｉｄｅｎｃｅｆｒｏｍｂｅｉｎｇｐｏｌｌｕｔｅｄ，ｓｏｗｅｏｂｔａｉｎｔｈｅ ｅｘｐｅｃｔｅｄｒｅｓｕｌｔｓ． Ｋｅｙｗｏｒｄｓ：ｄｙｎａｍｉｃｆｏｒｅｎｓｉｃｓ；ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎ；ｒｅｄｉｒｅｃｔｉｏｎｔｅｃｈｎｏｌｏｇｙ；ｈｏｎｅｙｐｏｔ 　　随着网络入侵和计算机犯罪技术的不断升级，静态的事后取证的方法已不能满足网络取证的需求。由 于静态取证技术获取的证据缺乏实时性与连续性，证据的采集不够及时、全面，经恢复的数据可能已经被篡 改，因而在法庭上缺乏说服力。目前，计算机取证技术正从传统的事后取证模式向与ＩＤＳ、防火墙、蜜罐等网 络安全工具相结合的动态取证模式转变。 计算机动态取证是将取证技术结合到防火墙、入侵检测中，对所有可能的计算机犯罪行为进行实时数据 获取和分析，智能分析入侵者的企图，采取措施切断链接或诱敌深入，在确保系统安全的情况下获取最大量 的证据，并将证据鉴定、保全、提交的过程［１］。因为动态取证是在入侵时实时进行的，其证据具有实时性和 收稿日期：２０１００７０２ 基金项目：山东省教育厅高等学校科技计划项目（Ｊ０７ＹＨ０２２）；山东省软科学项目（２００９ＲＫＡ４７３）。 作者简介：杨青（１９７２），女，硕士，副教授，主要研究方向为网络安全