2 网络取证体系结构及相关技术的研究
网络取证是计算机取证的一个重要分支,国内外在该领域的研究尚都处于起步阶段。本章首先介绍静态取证和动态取证的概念,并对文献中提到的几种的网络取证体系结构进行描述和分析,然后对证据分析技术、证据保全技术以及其他取证相关技术的研究进行详细介绍。
2.1 静态取证和动态取证
传统的计算机取证方法通常都是在收到关于计算机犯罪的报告之后,才开始调查现场,从遭受计算机犯罪的计算机磁盘、内存临时文件等处查找证据,查找的证据包括系统现存的正常文件、已被删除但尚未被覆盖的文件、未被分配的磁盘空间和已分配但未被覆盖的空间中可能存留的信息,以及系统有关的日志信息等。DIBS、F1ightserver等工具都是按照这种方式进行磁盘镜像和数据恢复。由于这种方法是在入侵发生之后才开始取证工作,而且是针对目标系统的静态信息进行恢复、收集和分析,因此这种取证方法通常被称为静态取证或者事后取证。文献给出了静态取证的状态转移图,如图2一1所示。
就目前的研究进展来看,静态取证在事后证据的恢复、数据搜索、提取、提交等方面已有不少成熟的方法和工具。但随着网络入侵技术的不断发展,静态取证方法暴露出越来越多的不足。首先,入侵者在入侵成功之后,完全可以把留在系统中的有关痕迹擦除或篡改,这样静态取证方法就无法获得关于入侵完整、准确的信息;其次,静态取证方法没有对入侵行为进行实时监视和记录,不能从主动防御的角度对入侵提供有效的响应;另外,未实施成功的攻击通常不会引起用户的注意,也就不会去收集与之有关的证据,或者无从收集与之有关的证据。随着对取证的实时性、有效性、可适应性等问题的要求的增强,动态取证技术逐渐引起了重视。动态取证也称为实时取证,通常是指利用相关技术,实时获取网络数据,并加以分析,获得关于入侵者和入侵行为的证据。实时性、有效性是动态取证的特点,即能够从实时动态的海量数据中提取有效数据,进行智能化分析,对入侵的行为具有高度判别力。文献同样给出了动态取证的状态转移图,如图2一2所示。
从图中可以看出,取证的过程贯穿于始终,从攻击发生之前就收集证据,这样可以弥补事后取证遗漏证据的问题。但该模型存在一个不容忽视的问题:从一开始就收集证据,此时根本无法判别哪些是信息是取证分析所需要的,只能将所有信息全部收集,导致数据量巨大,且其中无关数据会占很大比重,给后续的取证分析造成很大的困难。
黑客入侵的通常步骤如图2一3所示。
由图2一3可见,入侵者对计算机系统的入侵过程,通常可以划分为三个阶段。
1.入侵前的准备阶段
入侵者在入侵目标系统之前,通常会通过踩点、扫描等方法收集与目标系统有关的信息,了解目标系统存在哪些漏洞可以进行利用,为下一步真正实施攻击做准备。此时,入侵者还没有获得目标系统的权限,目标系统此时相对而言还是处于安全状态。
2.入侵中的实施阶段
入侵者根据第一阶段获取的关于目标系统的漏洞信息,利用对应的攻击技术及工具来对目标系统实施入侵。入侵者可能会获得系统的管理员权限,实施破坏数据、窃取数据、控制系统进程等活动,或者以该系统为跳板实施对网络中其他主机的入侵活动。如果入侵者无法进入系统,也许会利用拒绝服务攻击来使得系统无法继续提供服务。
3.入侵后的善后阶段
入侵者对目标系统入侵成功之后,为了防止被管理员发现,会采用清除日志、删除临时文件等方法隐藏自己的踪迹,还会设置后门及木马程序,方便以后能再次顺利进入系统。从入侵的全局过程来看,我们的取证技术应该考虑这些阶段的特点,采取相应的取证技术及方法,避免盲目性。同时也应该充分结合和利用其他类型的信息安全技术,对整个取证过程进行保护和辅助。
近年来,随着手机、相机、摄像机这些低廉、便携、操作简单的设备以及影像编辑软件的普及,获...
3自适应的动态取证系统自适应系统是指系统并不设定固定的工作模式或配置参数,而是根据自身状态或运行环境的异常变化动态调整运行行为,获得最佳工作状态或服务性能的特性。这里的异常是指系统组件故障、运行模式变化、用户需求改变等情况.对于...
目录摘要Abstract绪论1.1研究背景1.2国内外研究现状1.3网络取证存在的问题1.4论文的研究目标!创新及组织结构2网络取证体系结构及相关技术的研究2.1静态取证和动态取证2.2网络取证的体系结构2.3证据分析技术2.4证据保全技术2...
1.2.5取证技术和工具的研究美国等网络技术发达国家开展计算机取证相关的研究已有多年的历史,积累了许多经验,成立了许多专门的计算机取证部门和实验室。1984年美国FBI和其它法律执行部门开始建立检查计算机证据的实验室。目前,至少70%的法律部...
摘要网络取证就是获取网上犯罪行为之潜在证据的过程。它主要通过实时监测、捕获或搜寻网络数据流、网络设备及主机日志等中的可疑信息,来分析和发现反映网络入侵活动及所造成损失的有效法律证据,以支持对网络犯罪人的指控。网络取证问题交叉着复...
随着通信技术、网络技术、电子技术以及计算机技术的迅猛发展,与计算机有关的各类犯罪案件也在悄悄地涌现。因此,电子取证技术应运而生,并且迅速成为司法部门打击犯罪活动的一把利器。电子取证技术借助于专门的硬件、软件设备,来收集以及分析一些存储在各...
当今互联网技术的飞速发展加快了传统犯罪手段更新换代的速度,网络诈骗案件数量呈现“井喷”式增长,给社会造成的危害逐年加大,已成为我国社会经济发展的一颗“毒瘤”。...
2.2网络取证的体系结构目前对网络取证中关于证据收集、分析的相关技术研究较多,体系结构研究方面主要是结合入侵检测、入侵诱骗技术来进行实时取证,以及利用代理技术实现分布式取证系统。2.2.1结合入侵检测技术的网络取证系统首先提出将入侵...
计算机取证技术对于证据收集与分析等环节均有着十分重要的应用意义。在实际的取证过程中,我们的取证人员为了提高取证效率以及提高数据信息的准确性,应多多利用计算机取证技术以从根本上规范取证流程,实现计算机取证技术标准化的最终效果。...
3.3框架的FSM模型自适应动态取证系统在工作过程中随着攻击行为的进行以及自动响应措施的进行,会有安全状态的变化,因此我们可以对系统建立有限状态机(FSM)模型,对系统状态的转换进行描述。截图1截图2系统初始处于qo状态,如果入侵检测系...