基于蜜罐技術的網絡取證研究.pdf

1、網絡安全問題越來越受到人們的關注，為了解決網絡攻擊的簡單化和網絡防御的復雜化之間的矛盾，網絡安全研究開始由單純的被動防御向主動防御轉變，將網絡犯罪行為訴諸法律就是主動防御的一種。對網絡犯罪行為取證問題的研究是網絡犯罪訴訟的核心，只有取證問題得到解決，網絡法規(guī)才能得以健全和執(zhí)行，才能打擊和震懾網絡犯罪分子，從根本上保障網絡的安全。 本文對網絡取證技術進行了深入的研究和探討。從技術的角度解決網絡取證中存在的問題，為網絡安全在法律上提

2、供技術上的幫助。主要工作與成果有: 1、分析了當前網絡安全的概況及存在的問題，提出只有借助法律手段才能解決日益嚴重的計算機網絡犯罪；指出了網絡取證的現(xiàn)實意義與價值。 2、分析了網絡取證基本原理和蜜罐技術特點。在將蜜罐技術應用到網絡取證基礎上，提出了基于蜜罐技術的網絡取證；并給出了系統(tǒng)模型和網絡拓撲結構。該系統(tǒng)在蜜罐的協(xié)同工作下能實時、準確和全面地收集入侵證據，再現(xiàn)入侵過程。 3、針對攻擊過程復雜化的特點，提出一種

3、基于時序因果關聯(lián)的取證分析方法。利用蜜罐系統(tǒng)中收集的取證數據源，建立多源時間序列數據集，利用時序分析技術提取輸出變量的攻擊事件序列和輸入變量的異常點(攻擊征兆)序列，建立兩者之間的時態(tài)關聯(lián)的傳遞函數，采用因果關系檢驗，分析網絡入侵證據。 4、在網絡取證系統(tǒng)模型的指導下，實現(xiàn)了系統(tǒng)各個模塊。用虛擬蜜罐技術構建了取證中的蜜罐系統(tǒng)；利用Winpcap開發(fā)包編寫包捕獲程序以獲取網絡數據包作為原始的數據；采用SSL協(xié)議實現(xiàn)數據的安全認證傳