ＨｏｎｅｙＰｏｔ在计算机取证中的应用探讨.docVIP

ＨｏｎｅｙＰｏｔ在计算机取证中的应用探讨 　　摘要：随着计算机网络的发展，计算机犯罪现象呈现越来越严重化的趋势，为了获取犯罪证据，计算机取证问题近年也成为计算机领域的热门话题。针对目前对网络攻击取证多采用案发后再采集证据的不足，重点讨论了主动取证的工作模式，即在网络攻击的过程中完成预警和取证工作，HoneyPot就是解决此问题的一种技术。 　　关键词：计算机犯罪；计算机取证；网络安全；蜜罐 　　中图分类号：TP3 文献标识码：A文章编号：1009-3044(2008)30-0736-02 　　 　　Application of HoneyPot in the Computer Forensics 　　LU Jian-wei,WANG De-guang 　　(Department of Computer Science and Technology, Da Lian Jiao Tong University, Dalian16028, China) 　　Abstract: With the development of computer networks, computer crime phenomenon of more and more serious trend, in order to obtain evidence of a crime, computer forensics problem in recent yearshas also become a hot topic in the computer field. In light of the attacks at the use of evidence collected after the lack of evidence, the paper focused on the evidence of the active mode, that is, network attacks in the course of the work completed early warning and Evidence, HoneyPot is to solve the problem of a technology. 　　Key words: computer crime; computer forensics; network security; honeypot 　　 　　1 计算机取证的相关问题 　　 　　1.1 什么是计算机取证 　　对于计算机取证概念的认识, 主要有以下几种观点: 　　1) Lee Garber 在IEEE Security 发表的文章中认为:“计算机取证是分析硬盘驱动、光盘、软盘、Zip 和Jazz 磁盘、内存缓冲以及其它形式的储存介质以发现犯罪证据的过程。” 　　2)计算机取证资深专家Judd Robbins 对计算机取证给出的定义如下:“计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。” 　　3)计算机紧急事件响应小组和取证咨询公司New Technologies 的定义如下:“计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。” 　　4) SANS公司对计算机取证技术归结为:“计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。” 　　综上,我们认为:计算机取证就是利用计算机技术,依法对计算机证据进行发现、固定、提取、分析,从而提供具有说服力并能被司法机关用作呈堂证供的电子证据的过程。 　　1.2 计算机取证面临的问题 　　由于计算机证据和传统证据之间有很大的差别,造成了计算机取证的特殊性和复杂性。首先随着计算机黑客技术的发展, 犯罪嫌疑人会利用各种技术手段清除证据或掩盖痕迹, 而且犯罪的证据是很容易被更改; 其次, 根据具体产生日志的计算机的不同, 通常日志数据被覆盖重写的时间间隔短则几分钟, 长则数月, 在获取证据阶段, 取证人员必须尽快采取行动, 否则这些日志可能永远消失了。因此在计算机系统已遭入侵的情况下, 对计算机犯罪的电子证据进行事后静态取证, 很难保证获得的证据是真实的和有效的, HoneyPot就是一种行之有效的解决方法。 　　 　　2 HoneyPot的概念 　　 　　2.1 HoneyPot的定义 　　HoneyPot，又称为蜜罐技术，是一种可被黑客探测、攻击甚至可被攻破而泄密的安全资源，即:不管一个HoneyPot是如何设计的，其目的就是被探测、攻击甚至被利用。HoneyPot上的资源可以是仿效的操作系统或应用程序，也可以是真实的系统或程序，总之是