基于蜜罐技術(shù)的網(wǎng)絡(luò)取證研究.pdf

1、網(wǎng)絡(luò)安全問題越來越受到人們的關(guān)注，為了解決網(wǎng)絡(luò)攻擊的簡單化和網(wǎng)絡(luò)防御的復(fù)雜化之間的矛盾，網(wǎng)絡(luò)安全研究開始由單純的被動防御向主動防御轉(zhuǎn)變，將網(wǎng)絡(luò)犯罪行為訴諸法律就是主動防御的一種。對網(wǎng)絡(luò)犯罪行為取證問題的研究是網(wǎng)絡(luò)犯罪訴訟的核心，只有取證問題得到解決，網(wǎng)絡(luò)法規(guī)才能得以健全和執(zhí)行，才能打擊和震懾網(wǎng)絡(luò)犯罪分子，從根本上保障網(wǎng)絡(luò)的安全。 本文對網(wǎng)絡(luò)取證技術(shù)進行了深入的研究和探討。從技術(shù)的角度解決網(wǎng)絡(luò)取證中存在的問題，為網(wǎng)絡(luò)安全在法律上提

2、供技術(shù)上的幫助。主要工作與成果有: 1、分析了當(dāng)前網(wǎng)絡(luò)安全的概況及存在的問題，提出只有借助法律手段才能解決日益嚴(yán)重的計算機網(wǎng)絡(luò)犯罪；指出了網(wǎng)絡(luò)取證的現(xiàn)實意義與價值。 2、分析了網(wǎng)絡(luò)取證基本原理和蜜罐技術(shù)特點。在將蜜罐技術(shù)應(yīng)用到網(wǎng)絡(luò)取證基礎(chǔ)上，提出了基于蜜罐技術(shù)的網(wǎng)絡(luò)取證；并給出了系統(tǒng)模型和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。該系統(tǒng)在蜜罐的協(xié)同工作下能實時、準(zhǔn)確和全面地收集入侵證據(jù)，再現(xiàn)入侵過程。 3、針對攻擊過程復(fù)雜化的特點，提出一種

3、基于時序因果關(guān)聯(lián)的取證分析方法。利用蜜罐系統(tǒng)中收集的取證數(shù)據(jù)源，建立多源時間序列數(shù)據(jù)集，利用時序分析技術(shù)提取輸出變量的攻擊事件序列和輸入變量的異常點(攻擊征兆)序列，建立兩者之間的時態(tài)關(guān)聯(lián)的傳遞函數(shù)，采用因果關(guān)系檢驗，分析網(wǎng)絡(luò)入侵證據(jù)。 4、在網(wǎng)絡(luò)取證系統(tǒng)模型的指導(dǎo)下，實現(xiàn)了系統(tǒng)各個模塊。用虛擬蜜罐技術(shù)構(gòu)建了取證中的蜜罐系統(tǒng)；利用Winpcap開發(fā)包編寫包捕獲程序以獲取網(wǎng)絡(luò)數(shù)據(jù)包作為原始的數(shù)據(jù)；采用SSL協(xié)議實現(xiàn)數(shù)據(jù)的安全認(rèn)證傳