计算机取证与分析鉴定ppt课件

.,1,计算机取证与分析鉴定网络取证,主讲：孙国梓2020年5月16日,.,2,主要内容,网络取证之概述网络环境下的网络证据获取网络环境下的计算机取证处理工具概述证据获取/工具使用实例,.,3,网络取证,一种通过网络进行的犯罪行为网络犯罪应运而生网络犯罪是伴随着计算机网络技术的飞速发展而出现的一种新类型犯罪。目前越来越多的政府机关、公司、企业都接入了互联网，互联网为人类社会带来了极大的便利与此同时，网络犯罪却如同侵入人类社会这台巨型计算机上的病毒一样，不断蔓延和增多，严重的危及网络的生存和安全运行，同时也给国家安全、公共安全和人们的生命、财产造成重大影响。,概述,.,4,网络取证,加大打击网络犯罪力度是形势所需。为了更好的打击网络犯罪，我们必须了解网络环境中证据提取的相关知识本章主要从技术的角度介绍网络环境下计算机取证与分析鉴定的相关内容。,概述,.,5,网络取证的定义,“网络取证”一词在20世纪90年代由计算机安全专家MarcusRanum最早提出的，但由于当时网络的应用范围还很有限，早期用的更多的术语则是数字取证或电子取证。区别于计算机取证，网络取证(networkforensics)是指针对涉及民事、刑事和管理事件而进行的对网络流量的研究目的是保护用户和资源，防范由于持续膨胀的网络连接而产生的被非法利用、入侵以及其他犯罪行为。,证据获取,.,6,网络取证的定义,网络取证同样要求对潜在的、有法律效力的证据的确定与获取，但从当前的研究和应用来看，更强调对网络的动态信息收集和网络安全的主动防御。同时，网络取证也要应用计算机取证的一些方法和技术。目前，网络取证的相关技术包括IP地址和MAC地址的获取和识别技术、身份认证技术、电子邮件的取证和鉴定技术、网络监视技术、数据挖掘和过滤技术、漏洞扫描技术、人工智能、机器学习、IDS技术、蜜阱技术、SVM和专家系统等。网络取证技术在计算机取证技术中占有举足轻重的地位。,证据获取,.,7,网络取证的定义,在实现方式上，网络取证通常与网络监控相结合例如入侵检测技术(IDS)和蜜网(honeynet)技术，利用网络监控激活取证。网络可以显示入侵者突破网络的路径，揭示通过中间媒介的入侵，提供重要和确凿的证据，但通常不能单独处理某个案例，把嫌疑人和攻击事件直接关联。,证据获取,.,8,网络取证的特点,与计算机取证(computerforensics)、数字取证(digitalforensics)、互联网取证(cyberforensics)等概念比较，网络取证(networkforensics)突出了以下特征：1）主要研究对象与数据报(packets)或网络数据流(networktraffic)有关，而不仅仅局限于计算机；2）为满足证据的实时性和连续性，网络取证是动态的，并且结合入侵前后的网络环境变量，可以重建入侵过程；3）为保证证据的完整性，网络取证有时是分布式的，需要部署多个取证点或取证代理(Agent)，而且这些取证点是相关和联动的；4）为实现网络取证，通常需要与网络监控(networkmonitoring)相结合。,证据获取,.,9,黑客的攻击步骤,1）信息收集(Informationgathering)：攻击者事先汇集目标的信息，进行知识和情报准备以及策划，此时尚未触及受害者；2）踩点(Footprinting)：扫描目标系统，对其网络结构、网络组成、接入方式等进行探测；3）查点(Enumerating)：搜索目标系统上的用户和用户组名、路由表、共享资源、SNMP信息等；4）探测弱点(Probingforweaknesses)：尝试目标主机的弱点、漏洞；,证据获取,.,10,黑客的攻击步骤,5）突破(Penetration)：针对弱点、漏洞发送精心构造的数据，完成对目标主机的访问权由普通用户到root权限的提升，达到对受害者系统的窃取、破坏等目的；6）创建后门、种植木马(Backdooring，trojans，etc)等：方便攻击者下次重新侵入主机；7）清除(Cleanup)、掩盖入侵踪迹：包括禁止系统审计、清空事件日志、隐藏作案工具以及用Rootkit替换操作系统文件等。,证据获取,.,11,网络取证的重点,1）周界网络(PerimeterNetwork)：指在本地网的防火墙以外，与外部公网连接的所有设备及其连接；2）端到端(End-to-End)：指攻击者的计算机到受害者的计算机的连接；3）日志相关(Logcorrelation)：指各种日志记录在时间、日期、来源、目的甚至协议上满足一致性的匹配元素；4）环境数据(Ambientdata)：删除后仍然存在，以及存在于交换文件和slack空间的数据；5）攻击现场(Attackscenario)：将攻击再现、重建并按照逻辑顺序组织起来的事件。,.,12,网络证据的来源,对于网络取证，其证据来源主要有网络数据流连网设备（包括各类调制解调器、网卡、路由器、集线器、交换机、网线与接口等）网络安全设备或软件（包括IDS、防火墙、网闸、反病毒软件日志、网络系统审计记录、网络流量监控记录等）,证据获取,.,13,网络证据的来源,网络证据的整个过程，除了获取、保存、分析静态文件数据外，还要特别注意对日志文件数据的处理。日志信息是证据的重要组成部分，包含许多系统被攻击过程的历史记录，通过对主机日志系统的分析，可以发现许多证据信息。因为入侵者的行为都是与计算机的各种操作紧密相关，会在系统日志中留下相应的记录。通过分析，可以了解哪些远程主机访问了本地主机，在入侵过程中执行了哪些操作等信息，重点是分析以下的日志信息。,证据获取,.,14,需重点分析的日志文件,1）主机日志文件2）防火墙日志3）网络监测日志（入侵检测日志、蜜罐日志、认证系统、DHCP等）4）其他日志，比如路由器、交换机等网络设备的日志,证据获取,.,15,网络取证之数据类型,网络取证的数据来源广泛，数据量巨大，不恰当的取证策略会导致效率低下、没有重点甚至遗漏主要证据细节因此，网络取证通常从报警数据入手，借助统计数据，依靠会话数据指引，达到在全文数据中定位、确定关键证据的目的。下面是这几种数据类型的描述：1）报警数据2）全文数据3）会话数据4）统计数据,证据获取,.,16,网络证据的收集,计算机证据的取证规则、取证方式都有别于传统证据，因此传统的证据收集手段、认证都不能完全照搬使用，所以，网络犯罪中证据的提取、固定有一定难度。尽管如此，还是可以针对案件的具体情况，利用电子证据自身的特点进行取证，为案件的侦破提供帮助。根据技术难易程度，可以将网络证据分为一般的取证方式和复杂的取证方式，其证据收集手段也会略有差别。,证据获取,.,17,网络证据的一般取证方式,一般取证，是指证据在未经伪饰、修改、破坏等情形下进行的取证，主要的方式有：打印拷贝拍照、摄像制作司法文书查封、扣押公证,证据获取,.,18,网络证据的复杂取证方式,复杂取证，是指需要专业技术人员协助进行的计算机证据的收集和固定活动。如相关信息被加密、删改、破坏、计算机病毒、黑客的袭扰等情况。这种情况下常用的取证方式包括：解密恢复测试,证据获取,.,19,网络证据的保护和保存,对于已经获取的网络证据，妥善的保护和保存是极其重要的，这将直接关系到证据的可用性和法律效力，为此，必须做到：形成监护链(ChainofCustody)理解证据的形式和组成拷贝原始证据到只读的媒介成为原始证据文件的副本，取证不应该直接在原始证据上进行；创建衍生的证据跟踪证据链(chainsofevidence),证据获取,.,20,网络证据的分析和关联,网络证据处理的主要环节，除了人工的方法外，现在大量研究的是基于神经网络、遗传算法、数据挖掘、数据融合、可视化等技术的智能引擎，以提高证据分析的效率。在证据的分析和关联过程中，取证技术的普遍接受性、取证结果的可重复性等都是重要的原则。,证据获取,.,21,网络证据的分析和关联,1）规范化2）消除冲突3）排除假象4）创建证据链和事件时间线5）分析过程中不仅要记录发现了什么，更要记录是如何发现的。6）用证据证明每一个假设,证据获取,.,22,网络取证应用技术,IP地址获取技术电子邮件的取证技术网络输入输出系统取证技术网络入侵跟踪技术人工智能和数据挖掘技术IDS取证技术蜜阱取证技术,恶意代码技术入侵容忍技术网络监控和传感器技术网络透视技术Agent技术SVM取证技术,证据获取,.,23,网络取证技术的发展趋势,1）网络电子证据数量巨大，而且是动态的，需要大容量的存储介质，在取证过程中如何有效地保存、保护和分析证据是急需解决的问题。2）互联网联系世界各国，所以取证过程中可能容易涉及不同国家或地区的管辖区，取证系统设计必须充分考虑各辖区的政策法规以及时区等问题。3）取证过程、技术、工具、语言和对取证工具的测试必须标准化。,证据获取,.,24,网络取证技术的发展趋势,4）实现远程访问犯罪现场，并对受害者提供帮助。这就要求取证工具是网络化的、安全的（指证据保存）、全面的和及时的。随着计算机犯罪的不确定性和普遍性，对金融、保密等重要部门的监管和取证将越来越重要。5）协同环境下的自动取证技术研究。在大型计算机欺诈案中，成千上万的人和计算机卷入其中，使得跟踪各对象之间的关系、寻找犯罪证据非常困难，需要经过相关分析，才能跟踪入侵者的入侵过程，获得其犯罪证据，问题是如何使得分析的过程自动化、智能化。,证据获取,.,25,概述,网络犯罪都是以二进制编码表示、以高度精密和隐蔽的数字信号方式存在，而数字信号的易受损性和非连续特征，使任何人为因素或外力造成的对数据的修改、剪接、合成、删除、覆盖等操作，从技术上是很难分辨的面对繁杂、海量的数字信号，如何审查判断出与案件关联大的、反映案件客观事实的证据，如何将证据资源依照科学、规范的程序进行收集证据并出示，都提出了严格的程序要求。,取证工具,.,26,概述,由于网络犯罪行为人多是熟悉网络技术的专业人员，他们会想方设法制造假象、隐匿或销毁罪证，从而使情况更加呈现错综复杂。另外，由于安全和隐私的要求往往超出传统的安全边界，企业除了要阻止未授权的访问，还需要有效追踪授权用户的使用情况。因此，必须采用可视化视图分析手段，集中物理安全和IT安全，建立关于网络使用状况的重要情报，进而在安全规划、部署与复原等所有阶段，达到节省时间与金钱的目标。,取证工具,.,27,SnifferInfinistream,是NetworkGeneral公司Sniffer企业网络管理系统的重要组成部分SnifferInfinistream集成Sniffer业界领先的网络流量监控和解码分析能力以及专家系统同时具备大容量的存储能力，提供了业界领先的网络故障隔离和性能管理解决方案。,取证工具,.,28,Infinistream的技术特点,1）千兆位网络流量数据捕获和存储2）大容量存储3）方便快速的数据检索4）历史统计分析Infinistream将给用户提供强大的网络流量数据存档分析能力，提供给用户事后分析的能力，大大地提高用户进行故障分析的能力和安全分析的能力。Infinistream具备长时间的网络流量存贮能力，同时具备业界最强大的流量分析能力，利用Infinistream和用户现有的安全系统集成，能有效地形成完整的安全分析体系，提高网络系统的安全性。,取证工具,.,29,网络攻击行为处理机制,第一步，IDS系统发现可疑攻击行为。第二步，利用Infinistream分析是否为真正的网络攻击。第三步，利用防火墙阻断攻击。第四步，利用Infinistream分析是否有其他的攻击行为，分析对网络系统的危害。第五步，提供有效的证据（网络流量）和分析报告，对攻击行为进行处理。,取证工具,.,30,eTrustNetworkForensics,CA公司最新推出的eTrustNetworkForensics产品，是一项整合式的安全与网络监控解决方案。它首先记录目标网络的原始数据，然后进行识别、保存、分析和提交数字证据，重现网络活动过程进而对被怀疑的信息加以判断，量化安全风险并运用先进的审计分析技术来找出网络使用、内部资料窃取、企业政策违规等状况最后提供事件的形象化描述和业务资产相关性的全面视图,取证工具,.,31,eTrustNetworkForensics,eTrustNetworkForensics着眼点就是将那些犯罪分子留下的看似无意义的数据，变成与网络犯罪分子斗争的利器。它会监控并记录网络活动在一个易于查询的知识库，管理人员可以全方位的了解企业的网络通讯，并利用它进行识别分析检查。通过先进的数据发现与审核、数据恢复与分析等技术，eTrustNetworkForensics能够监控流经网络的全部信息流，同时还可对所有流经取证网段的数据日志进行实时转移和加密封存，通过多种技术手段保证记录的原始性、完整性、不可更改性，以符合法律对证据的要求。,取证工具,.,32,eTrustNetworkForensics,针对网络上的数据流，eTrustNetworkForensics还提供了强大的过滤功能和完整的智能流量分析让IT与安全人员真正得到想要的数据和证据，以便于法律分析和调查。eTrustNetworkForensics同时支持集中式与分布式数据库技术，以发掘同一事件的不同证据间的联系。它用各种各样的智能算法来暴露复杂网络环境中潜在的不规则活动，通过排列清晰的描述节点原始信息以及数据如何通过网络传输，让管理员能以最有效率的方法来分析使用者、主机、网络、应用程序、协议与地址，使其针对从单一或多重收集点所取得的传输数据，预先定义标准分析作业，并让其检视其中信息以得知其关联性，从而进行证据挖掘和证据留存。,取证工具,.,33,NetDetector,NetDetector是美国Niksun公司的一个重要的产品，它的数据来源是Niksun核心部分所抓取的网络流量信息NetDetector的主要功能是它能够实时地发现网络流量中的一些异常状况，比如说黑客攻击同时，它还可以在应用层上重组网络中的各个进程（Email，FTP，Telnet，HTTP），在发生网络被入侵的情况时利用它的这个功能，网络管理者就能够掌握网络犯罪分子的犯罪证据，并了解其攻击方法，从而修补安全漏洞，以免以后遭到类似的攻击。,取证工具,.,34,NetDetector,NetDetector倡导的是一种网络安全第二级防护的概念，也就是指入侵监测系统（IntrusionDetectionSystem）的概念。NetDetector还依靠它所存储的流量数据具有了分析的功能。NetDetector所保存的数据还可以为追踪、调查、控告网络犯罪分子提供详细的原始数据和证据。NetDetector的核心技术是比特级的网络流量记录和分析。,取证工具,.,35,NetMoniter,NetMoniter网络信息监控与取证系统是针对Internet开发的网络内容监控系统它能够记录网络上的全部底层报文，监控流经网络的全部信息流提供WWW、TELNET、FTP、SMTP、POP3和UDP等应用的报文重组可根据用户特定需求实现对其他应用的分析和重组是网络管理员和安全员监测“黑客”攻击、维护网络安全运行的有力助手是保证金融系统网络、ISP网络和企业内部网络等不可缺少的安全工具,取证工具,.,36,NetMoniter,NetMoniter网络监控与取证系统采用系统前台监测数据、后台数据分析等技术手段。前台系统负责监测IP协议数据包，可以根据特定配置截取网上流通数据，并以文件的形式记载下来。后台系统则以指定形式和设定的过滤规则来分析、组合前台系统所记载的数据包，形成可直接查看的原始数据流和取证文件。两者独立分开，实时处理。NetMoniter网络监控与取证系统可以监控基于TCP协议的五种主要应用服务FTP、HTTP、SMTP、POP3、TELNET应用服务和