网络取证的防御系统分析.doc

没有封面 网络取证的防御系统分析摘要：计算机网络的高速发展滋生了一种新型的犯罪计算机网络犯罪。本文从网络取证的防御系统出发，介绍了防火墙，入侵检测系统，网络追踪系统，陷阱系统及计算机取证系统的简要构成及工作原理，并对网络动态取证技术提出了合理化构想。关键字：防火墙;入侵检测系统;网络追踪系统;陷阱;计算机取证系统网络取证的防御系统分析Abstract：The rapid development of computer networks to breed a new crime -computer network crime. This paper from the defense system of network forensics, introduces the firewall, intrusion detection system, network tracking system, the structure and working principle of trap system and computer forensics system, and puts forward some rational conception of dynamic network forensics.Key words：Firewall; intrusion detection system; network tracking system; trap; computer forensics system 2目录序言1一、网络取证概述2二、网络取证系统简介2 （一）网络追踪系统3 （二）防火墙和入侵检测系统3 1、基于主机的入侵检测系统3 2、基于网络的入侵检测系统3 3、分布式的入侵检测系统4 4、异常检测4 5、误用检测4 （三）陷阱系统4 （四）取证系统5结语5参考文献5 序 言 在计算机或计算机网络工作中会产生一系列数据，而网络证据即是在计算机网络活动中产生的。网络取证是通过对网络审计线索进行捕获，记录分析，从分析结果中发现安全漏洞，实施有效预防，阻止并固定犯罪的一种方式。 1、 网络取证概述2、当前社会处于一个信息技术迅猛发展的时代，尤其当计算机技术和网络技术结合，促使计算机网络发展，成为世界最为迅速最为激动人心的高科技技术之一但同时，高科技的发展滋生了一种新型的犯罪计算机网络犯罪。所谓网络犯罪，是指行为人运用计算机技术，借助于网络对其系统或信息进行攻击，破坏或利用网络进行其他犯罪的总称。既包括行为人运用其编程，加密，解码技术或工具在网络上实施的犯罪，也包括行为人利用软件指令，网络系统或产品加密等技术及法律规定上的漏洞在网络内外交互实施的犯罪，还包括行为人借助于其居于网络服务提供者特定地位或其他方法在网络系统实施的犯罪。简言之，网络犯罪是针对和利用网络进行的犯罪，网络犯罪的本质特征是危害网络及其信息的安全与秩序。网络取证专门针对网络证据的获取与分析，对计算机静态取证而言是一种强化的补充。网络取证对所有可能的计算机网络犯罪行为进行实时数据获取和分析，在确保系统安全的情况下获取最大量的证据，并将证据保全、分析和提交的过程记录下来。网络取证实时获取数据，在网络入侵发生的同时启动。即使是更改、删除原始数据，改动数据及其操作都会被记录下来。区别于计算机取证，网络取证主要通过对网络数据流、主机系统日志等的实时监控和分析，发现对网络系统的入侵，自动记录犯罪证据并阻止对网络系统的进一步入侵。它需要要借助一些相对成熟的网络安全防御技术，如防火墙，陷阱，网络追踪技术，计算机动态取证技术等，利用这些技术进行综合的应用。我们的网络取证及防御系统就是由防火墙和入侵检测系统，联动系统，陷阱系统，网络追踪系统，取证系统组成。二、网络取证系统简介下面我想就这一大系统中几个典型的系统进行分析。 （一）网络追踪系统黑客在入侵某一计算机系统前，会对该系统发出访问请求。网络追踪系统正是利用这一请求，在返回的数据包中进行特殊的处理添加特殊标记。在将数据包返回的同时激发各网络中的agent，对此数据进行分析。筛选出带特殊标记的数据包，将该些数据包的详细信息发送给数据分析控制台。控制台会就对方发送的数据进行分析处理，寻找IP包头中的源地址，输出黑客的真实地址或黑客最后出现的网络边界地址。在此系统中，要求网络中所有主机都安全可信，收集到的数据是原始未被篡改的，而且网络追踪的反应速度需快而准确及时。 （二）防火墙和入侵检测系统 防火墙由服务访问规则，验证工具，包过滤和应用网关4部分组成。形象的说法就像在内部网和外部网之间，专用网和公共网之间构建以保护的墙壁，主要以提高内网的安全性为主。 所谓防火墙在初期的设计思想中，体现的是一种单向过滤机制，即仅对外部进来的通信进行过滤，对内部网络完全信任。而现在，防火墙有所改进，对内部用户发出的部分连接请求和数据包同样过滤，体现的是一种双向过滤性，但仍对中符合安全策略的通信通过，即单向导通性。 防火墙的基本特性有： （1）内外部网络的所有网络数据流都必须经过防火墙 （2）只有符合安全策略的数据流才能通过防火墙 （3）防火墙自身具有非常强的抗攻击免疫力 入侵检测系统是防火墙的合理补充，是核心之一的动态安全技术。入侵检测系统通过从计算机网络或者计算机系统中若干关键点收集信息并进行分析，找寻网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。其一般流程大致如下：表2-1 入侵检测系统流程响应处理安全策略检测结果检测模型数据预处理信息收集信息源最常见的入侵检测系统分类有两种，按数据来源分类和分析技术分类。1、按数据来源分类 （1）基于主机的入侵检测系统 它是以系统日志，应用程序日志等审计记录文件作为数据源。将攻击签名与审计记录文件的记录进行比较，用一种特定方式发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应行动。每份加密的数据在到达主机前都将会被解密，无获取网络流量的挑战，因此基于主机的IDS可以精确地判断入侵事件，并对入侵事件作出立即反应。有六个明显的优势：（1）能够确定攻击是否成功。（2）非常适合于加密和交换环境。（3）近乎实时的检测和响应。（4）不需要额外的硬件（5）可监视特定的系统行为。（6）基于主机的IDS可以监视关键系统文件和可执行文件的更改。 （2）基于网络的入侵检测系统 以原始的网络数据包作为数据源。网络适配器发挥了重大的作用监视并分析通过网络进行传输的所有通信业务。在检测到有攻击后，IDS的响应模块通过通知、报警以及中断连接等方式对攻击行为作出立即反应。它自身携带着几大优势：（1）攻击者转移证据困难。因为对网络攻击的检测是实时，持续进行的。攻击发生的同时立即就能被检测出。并且被检测系统捕获到的数据信息量大，含攻击方法和识别指控入侵者十分有用的信息，利于及时找寻对策，解决问题，降低对系统的破坏程度。（2）实时监测和应答（3）能够检测到未成功的攻击企图。可进行总结与预防，此类信息对评估和改进系统的安全策略十分重要。（4）操作系统无关性。（5）成本较低。 （3）分布式的入侵检测系统是基于网络与基于主机的入侵检测系统的二者结合，进行了有效的互补。能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。是日趋复杂的网络环境下的安全策略的一种综合最佳对策。 2、按分析技术分类 （1）异常检测是一种基于行为的检测。先建立了系统或关于用户的“行为”正常行为的一系列行为特征，每当有用户发出请求，将当前该用户的行为特征轮廓或系统与正常的行为轮廓特征比较，通过判断其是否偏离来断定是否发生了入侵的行为。但是我认为该系统在创建与完善方面有几大问题：（1）关于怎样是正常用户的行为判断，其标准与界限难以断定，并且这是一项在实际操作中，需根据用户请求的多元化，多样化进行不断补充完善，修补增改的浩大工程，很难达到一个完美停止的界限。（2）特征量的选取，怎样算作特征行为，从共性中找寻个性。（3）特征轮廓的更新。定期的增补更新。因此，在这几个因素的制约下，异常检测的虚警率会较高，当然不是说此种检测效率低或毫无作用，对于未知的入侵行为的检测十分有效。 （2）误用检测 基于知识的检测。给已知的所有的攻击方法都贴上特征信息即攻击签名。我们假设所有的入侵行为都能被识别和表示，那么根据已定义好的攻击签名，若其出现在这些行为中，则认定入侵行为已发生。只需收集相关的数据，减小了系统的负担。当然攻击签名的正确表示是一关键点。要能准确地表示入侵行为及其所有可能的变种，又不会将非入侵行为包含进来。 （3）采用两种技术的混合的入侵检测 顾名思义，是异常检测和误用检测系统两者的优势互补，进一步完善了检测机制。 （三）陷阱系统 其核心的伪装即为诱骗。当网络攻击者通过了防火墙和入侵检测系统后，在其引导下进入陷阱系统，陷阱系统表面上看上去易受到攻击的系统，实际内部不能访问有用数据，管理控制计算机，没有任何合法用户或通信，因此在进入陷阱后入侵者的信息暴露无遗，并且易于监视。有时候，网络安全专家会故意在诱捕系统中留有后门来吸引黑客上钩，或放置一些网络攻击者希望得到的敏感信息，当然都为虚假信息。当入侵者在目标系统中操作时，其输入的字符，执行的操作等所有行为都被诱捕系统监控记录下来，并送给取证系统进行犯罪证据的分析与固定。因此，即保护了实际的正常使用的系统，又为日后犯罪保留了合法有效的证据。 （四）取证系统一个基本的计算机取证模型包括三部分：取证机，分析机和信息证据库。收集电子证据，捕获网络数据包和获取目标主机的日志等是利用取证机；分析机用来对收集到的电子证据进行数据分析，并产生分析结果；信息证据库保存了原始数据，以及根据分析结果建立的犯罪证据库和犯罪知识库。总体来说是对入侵者证据固定的一项重要环节。结语： 最后，作为数字取证的一个重要分支，网络取证技术的发展和应用还不成熟，需加强对网络取证技术的不断深入研究与完善，努力做到从网络犯罪侦破