网络安全16-取证技术

格式：ppt
大小：169.00 KB
文档页数：37

下载文档原格式

/ 37

网络安全事件溯源与取证方法

网络安全事件溯源与取证方法网络安全问题已成为当今社会面临的重要挑战之一。

随着网络威胁的不断增加，对于网络安全事件的溯源与取证方法显得尤为重要。

本文将探讨网络安全事件的溯源与取证方法，以提高网络安全的水平。

一、网络安全事件的溯源方法1. 数据流追踪法数据流追踪法是一种常用的网络安全事件溯源方法，其基本原理是通过对网络流量进行记录和分析，以确定网络攻击事件的源头和路径。

该方法通过监控网络流量，并采集和分析数据包的源地址、目的地址、协议类型等信息，从而追踪和分析攻击者的行为。

2. 日志分析法日志分析法是指通过对系统和网络设备生成的各种日志文件进行收集、整理和分析，以了解网络攻击事件的发生过程和攻击者的行为特征。

通过对日志数据进行分析，可以从中发现异常行为和痕迹，进而通过溯源方法找到网络攻击事件的源头。

3. 威胁情报分析法威胁情报分析法是一种综合应用多种信息源，通过对网络攻击事件进行分析和挖掘，以预测和识别潜在的威胁。

该方法通过收集和分析来自各个安全情报源的信息，包括恶意软件样本、攻击事件日志、黑客论坛等，利用相关数据分析技术和挖掘算法，提取关键信息，辅助实现网络安全事件的溯源。

二、网络安全事件的取证方法1. 数字取证数字取证是指通过对计算机、网络设备等电子设备进行搜索、收集、分析和保全，以发现、保留和呈现与网络安全事件相关的证据。

该方法主要包括取证计划制定、取证现场准备、取证数据采集和取证数据分析等多个阶段。

在进行数字取证时，需要遵循一系列的法律和法规，确保取证过程的合法性和可靠性。

2. 内存取证内存取证是指通过对计算机或网络设备的内存进行收集、提取和分析，以获取和分析与网络安全事件相关的信息。

内存中存储着大量的运行进程、系统状态等关键信息，通过对内存进行取证可以获得更多的证据。

内存取证需要使用专门的取证工具和技术，确保数据的完整性和准确性。

3. 文件取证文件取证是指通过对计算机系统中的各种文件进行搜索、分析和提取，以获取与网络安全事件相关的证据。

网络安全事件的溯源与取证技术

网络安全事件的溯源与取证技术随着互联网的快速发展，网络安全问题日益突出。

各类网络攻击事件频频发生，给个人隐私和企业信息安全带来严重威胁。

为了有效应对网络安全威胁，溯源和取证技术成为保障网络安全的重要手段。

一、网络安全事件的溯源技术网络安全事件的溯源技术能够追踪入侵者的行为和来源，从而帮助相关部门了解攻击的真实情况，并采取相应的应对措施。

网络安全事件的溯源技术主要包括以下几个方面：1. IP溯源技术IP溯源技术基于网络数据包中的IP地址信息，通过网络日志、防火墙等设备获取攻击者的IP地址，并利用网络追踪工具进行追踪和识别。

通过IP溯源技术，可以大致确定攻击者的位置和身份信息，为后续的取证工作提供重要线索。

2. 数据流和流量分析技术数据流和流量分析技术通过对网络数据包的深度分析，识别出异常的数据流和流量特征。

这些特征可以包括异常的访问行为、大量的请求数据等。

通过对这些异常流量进行分析，可以找到可能的攻击源，并进一步追踪和溯源。

3. 异常行为识别技术异常行为识别技术通过对系统和网络中的异常行为进行监测和识别。

这些异常行为包括未经授权的访问、非法的操作等。

通过对异常行为进行分析和比对，可以找到潜在的攻击目标和攻击者。

二、网络安全事件的取证技术网络安全事件的取证技术能够获取相关数据和证据，为调查和追究责任提供有力支持。

网络安全事件的取证技术主要包括以下几个方面：1. 磁盘取证技术磁盘取证技术通过对硬盘、闪存等存储介质进行数据采集和分析，获取相关的证据信息。

这些证据信息可以包括攻击者使用的工具、攻击过程中的日志记录、入侵相关的文件等。

磁盘取证技术需要借助专业的取证工具和方法，确保获取的证据完整可靠。

2. 内存取证技术内存取证技术主要用于获取操作系统运行过程中的数据和状态信息。

网络攻击过程中，攻击者可能会在内存中留下痕迹，如恶意程序的运行信息、网络连接记录等。

内存取证技术可以有效提取这些信息，为溯源和取证提供重要依据。

网络安全事件的调查与取证方法与流程

网络安全事件的调查与取证方法与流程1. 引言随着互联网的迅猛发展，网络安全事件已成为一个普遍存在的问题。

面对日益增多的网络攻击和黑客入侵，保障网络安全的重要性日益凸显。

在网络安全事故发生后，对网络安全事件进行调查和取证是非常重要的，它能够帮助相关单位确认攻击来源、了解攻击方法和手段，以及为后续的网络安全改进提供依据。

本文将介绍网络安全事件的调查与取证方法与流程，帮助读者了解和掌握相关知识。

2. 调查方法网络安全事件的调查是一个复杂而细致的过程，需要使用一系列有效的调查方法。

以下是几种常用的调查方法：2.1. 日志分析日志分析是网络安全调查的重要方法之一。

通过分析网络设备、服务器、应用系统等的日志记录，可以了解到安全事件的发生时间、攻击方式、攻击路径等关键信息。

同时，日志分析还可以帮助确定攻击者的IP地址、目标以及攻击手段，为调查和取证提供重要线索。

2.2. 口供收集口供收集是指通过与受害者、目击者、网络管理员等相关人员的交流与询问，获取有关网络安全事件的信息和线索。

在收集口供过程中，调查人员需要注意采取正确的询问技巧，确保信息的真实性和可靠性。

2.3. 网络流量分析网络流量分析是指通过对网络通信数据的抓包和分析，了解网络安全事件发生时的网络流量状况。

通过分析网络流量，可以确定攻击者的入侵路径、攻击方式、攻击目标等重要信息，并为后续的取证工作提供依据。

2.4. 计算机取证计算机取证是网络安全调查中的核心环节。

它主要通过获取、保护和分析数字证据，为确定安全事件的事实及相关责任提供依据。

计算机取证过程中需要采用专业的取证工具和方法，确保数字证据的完整性和可靠性。

3. 取证流程网络安全事件的取证流程是指在进行网络安全调查时，遵循的一系列操作步骤和流程。

以下是一般的取证流程：3.1. 确定取证目标在网络安全事件调查过程中，首先需要明确取证目标。

根据事件的性质和要求，确定取证的范围和重点。

3.2. 收集证据收集证据是取证的关键步骤之一。

网络安全事件调查与取证技术

网络安全事件调查与取证技术在当今数字化时代，网络安全问题变得尤为重要。

随着互联网的普及和信息技术的迅猛发展，网络安全事件如黑客攻击、数据泄露和网络诈骗层出不穷。

针对这些问题，网络安全事件的调查与取证技术变得至关重要。

本文将介绍网络安全事件调查与取证技术的基本原理和常用技术手段，并探讨其在保护网络安全和打击网络犯罪中的重要作用。

一、网络安全事件调查的基本原理网络安全事件调查是指对涉及网络安全的违法犯罪行为进行分析和调查的过程。

其基本原理包括以下几个方面：1. 行为的追溯性：网络安全事件调查的首要目标是追溯并确定嫌疑人的身份。

网络上的各种行为都留下了痕迹，如IP地址、操作记录等，调查人员通过分析这些痕迹可以找到犯罪者的身份线索。

2. 数据的完整性：调查中获取到的关键数据应当保持其完整性。

为了避免数据被篡改或丢失，调查人员需要使用专业的工具和技术手段对数据进行提取、保存和备份。

3. 隐私保护：在进行网络安全事件调查时，调查人员需要保护涉及到的个人隐私和商业机密。

只有在法律允许的范围内收集和使用信息，才能确保调查的合法性和公正性。

二、常用的网络安全事件调查和取证技术为了有效开展网络安全事件的调查和取证工作，调查人员使用各种技术手段来获取关键证据。

以下是常用的网络安全事件调查和取证技术：1. 日志分析技术：网络设备和系统都会生成大量的操作日志，这些日志记录了用户的操作行为、系统的运行状态等信息。

通过对这些日志进行分析，调查人员可以还原事件发生的过程，找到犯罪行为的蛛丝马迹。

2. 数据恢复技术：在网络安全事件调查中，犯罪分子可能会尝试删除或隐藏其痕迹。

数据恢复技术可以帮助调查人员从硬盘、存储设备等介质中恢复已删除或被隐藏的数据，为调查工作提供重要线索。

3. 数字取证技术：数字取证是一种通过科学的方法收集、分析和保存网络攻击事件相关的数字证据的技术。

主要包括数据提取、恢复、分析和鉴定等过程。

数字取证技术可以确保调查结果的可信度和可靠性，为后续的法律追诉提供有力支持。

网络安全管理制度中的追踪与取证

网络安全管理制度中的追踪与取证随着互联网的迅速发展，网络安全问题日益突出，各行各业都面临着信息泄露、黑客攻击、病毒传播等风险。

为了保护网络安全，提高信息系统的稳定性和可靠性，建立并完善网络安全管理制度成为当务之急。

网络安全管理制度中的追踪与取证是保障网络安全的关键环节之一，本文将着重探讨该方面的内容。

一、追踪与取证的概念及重要性追踪与取证是指通过技术手段对网络活动进行记录和监控，并及时获取相关证据，以便于事后的溯源和调查。

网络追踪与取证能够帮助企业或组织在面临安全事件时准确定位问题所在，追踪攻击者的行为路径，并最终获取到令人信服的证据，为后续的处置工作提供有力支持。

在网络安全管理制度中，追踪与取证的重要性不可忽视。

首先，通过追踪与取证，可以帮助企业或组织快速发现并处置潜在的安全威胁，防止被攻击者获取敏感信息或对系统进行破坏。

其次，追踪与取证可以提供有力的法律证据，为公司进行法律诉讼提供支持，维护企业的合法权益。

二、网络追踪与取证的技术手段为了实施网络追踪与取证，需要使用一系列的技术手段以获取所需的信息并确保证据的可靠性和完整性。

以下是常见的网络追踪与取证技术手段：1.日志记录与分析：网络设备、操作系统、应用程序等均会产生大量的日志信息，通过对这些日志进行记录和分析，可以了解系统的运行情况、用户的操作行为等，识别出异常事件并追踪源头。

2.流量分析与监控：通过对网络流量进行实时监控和分析，可以识别出异常流量、恶意攻击等活动，及时采取相应的防护措施，并记录下相关信息以作为取证的依据。

3.数字取证技术：包括取证工具和方法，用于对设备、存储介质等进行取证操作，提取出有价值的证据信息。

常见的数字取证技术包括数据恢复、内存取证、网络取证等。

4.数据追踪与溯源：通过技术手段对网络数据进行追踪和溯源，可以确定信息传输的路径和来源，找到攻击的源头。

5.恶意代码分析：对恶意代码进行分析，了解其特征和行为模式，以便于识别和防御类似攻击。

网络安全事件分析与取证技术

网络安全事件分析与取证技术在当今数字化的时代，网络已经成为人们生活、工作和社交的重要组成部分。

然而，随着网络的普及和发展，网络安全问题也日益凸显。

网络安全事件层出不穷，给个人、企业和国家带来了巨大的损失。

为了应对这些威胁，网络安全事件分析与取证技术应运而生，成为了保障网络安全的重要手段。

网络安全事件是指对网络系统或网络中的数据造成损害、破坏或泄露的行为。

这些事件可能包括黑客攻击、恶意软件感染、数据泄露、网络诈骗等。

网络安全事件的发生不仅会影响个人的隐私和财产安全，还可能对企业的商业机密和声誉造成严重损害，甚至威胁到国家的安全和稳定。

网络安全事件分析是对网络安全事件进行调查和研究的过程。

其目的是确定事件的原因、范围和影响，以便采取相应的措施进行防范和应对。

在进行网络安全事件分析时，需要收集和分析大量的相关数据，包括网络流量、系统日志、用户行为等。

通过对这些数据的深入挖掘和分析，可以发现事件的蛛丝马迹，还原事件的发生过程。

网络取证则是在网络安全事件发生后，通过合法的手段收集和保存相关证据的过程。

这些证据可以用于追究攻击者的法律责任，或者为企业的损失评估和保险理赔提供依据。

网络取证需要遵循严格的法律程序和技术规范，以确保证据的合法性和可靠性。

在网络安全事件分析与取证过程中，常用的技术和工具包括以下几种：数据包分析工具：数据包是网络中传输的数据单元，通过对数据包的分析可以了解网络中的通信情况。

常用的数据包分析工具如Wireshark，可以捕获和分析网络中的数据包，帮助分析人员发现异常的网络流量和通信行为。

日志分析工具：系统日志记录了系统的运行状态和用户的操作行为，是网络安全事件分析的重要依据。

常见的日志分析工具如 ELK （Elasticsearch、Logstash、Kibana）套件，可以对大量的日志数据进行收集、存储和分析，快速发现异常的日志记录。

文件恢复工具：在网络安全事件中，攻击者可能会删除或篡改重要的文件。

浅谈网络取证技术

计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。

计算机取证(Compu te r Forensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。

因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。

1 网络取证概述1.1 概念计算机取证（Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。

也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。

计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。

从技术上而言，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。

可理解为“从计算机上提取证据”即：获取、保存分析出示提供的证据必须可信计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。

因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。

按照Sims ON Garfinkel[3]的观点，网络取证包括2种方式：(1)“catch it as you can”(尽可能地捕捉)。

这种方式中所有的包都经过一定的节点来捕获，将报文全部保存下来，形成一个完整的网络流量记录，把分析的结果按照批量方式写入存储器。

这种方式能保证系统不丢失任何潜在的信息，最大限度地恢复黑客攻击时的现场，但对系统存储容量的要求非常高，通常会用到独立冗余磁盘阵列(RAID)系统。

网络安全事件的调查和取证方法

网络安全事件的调查和取证方法随着互联网的普及和网络技术的迅速发展，网络安全问题日益引起人们的关注。

在网络世界中，不论是企业、个人还是国家机构，都面临着安全事件的威胁。

为了有效地应对和处理网络安全事件，合理的调查和取证方法至关重要。

本文将介绍网络安全事件的调查和取证方法，并对各种方法进行分析和讨论。

一、网络安全事件的调查方法调查是网络安全事件处理的第一步，它能够帮助我们了解事件的起因、过程和结果。

以下列举几种常用的网络安全事件调查方法：1. 收集证据在进行网络安全事件的调查中，必须首先收集充分的证据。

证据可以包括日志记录、网络流量数据、邮件和文件等信息。

收集证据的过程需要遵循科学和法律的原则，确保证据的真实性和准确性。

2. 分析存储设备存储设备是调查网络安全事件的重要途径。

当发生安全事件时，可以通过分析受到攻击的存储设备，如服务器、个人电脑、手机等，来了解攻击的方式和手段。

通过对存储设备的分析，可以获取攻击者的痕迹和行为模式，为后续的取证工作提供重要线索。

3. 调查目击者和受害者目击者和受害者是调查网络安全事件的重要参考对象。

他们可以提供事件发生时的相关信息、证词以及其他有助于调查的线索。

调查人员应该与目击者和受害者进行交流和访谈，了解事件的详细经过。

4. 网络流量分析网络流量分析是指通过监控和分析网络上的数据流量，来了解网络安全事件的发生和演变过程。

通过对网络流量的分析，可以识别异常的数据包和活动模式，进而确定网络安全事件的类型和来源。

网络流量分析需要借助专业的网络分析工具，对数据进行深入研究和解析。

二、网络安全事件的取证方法取证是网络安全事件调查的核心环节，通过收集和处理证据，可以确定安全事件的责任人和追究其法律责任。

以下列举几种常用的网络安全事件取证方法：1. 数据镜像数据镜像是通过制作目标设备的完整副本，来保护被调查数据的完整性和可信度。

数据镜像的过程应该遵循一定的规范和程序，确保原始数据的不被篡改和删除，以提供有效的证据。

信息安全教育的数字取证技术

信息安全教育的数字取证技术随着信息技术的迅猛发展，人们对于信息安全的关注度不断增加。

在网络空间中，隐私泄露、网络攻击等安全威胁频繁发生，对于保护个人隐私和网络安全形成了重要议题。

在信息安全教育中，数字取证技术的应用变得愈发重要。

本文将探讨信息安全教育中的数字取证技术。

一、数字取证技术的概念和作用数字取证是一种通过法律手段获取电子证据的技术方法，它起到了收集、分析和保护证据的作用。

在信息安全教育中，数字取证技术可以帮助学生了解并预防网络犯罪行为，培养其正确使用互联网的意识和能力。

数字取证技术可以追踪信息泄露的源头，找出黑客的入侵路径，为网络攻击提供犯罪证据，以便警方进行调查和追踪。

同时，数字取证技术还可以帮助用户防范网络钓鱼、诈骗等网络犯罪行为，增强网络安全意识。

二、数字取证技术在信息安全教育中的应用1. 渗透测试教育数字取证技术可以帮助教育机构开展渗透测试课程，模拟黑客攻击，测试网络系统的安全性。

学生可以通过实践了解网络攻击的手段和技术，从而学习如何强化系统的安全性和防范网络攻击。

2. 网络行为监控在信息安全教育中，数字取证技术可以帮助学校或企业对网络行为进行实时监控，并记录网络活动，以保护学生或员工的合法权益，防止违规行为的发生。

例如，学校可以监控学生的上网行为，及时发现和阻止违规操作，维护校园网络的安全环境。

3. 网络安全意识培养通过利用数字取证技术进行真实案例分析，可以有效地教育学生不在网上泄露个人隐私，不点击可疑链接，不信任陌生人并保护个人信息。

学生通过参与数字取证技术的学习和实践，会有意识地保护自己的个人隐私和网络安全。

三、数字取证技术的发展和挑战随着技术的不断进步，数字取证技术也在不断发展。

虽然数字取证技术在信息安全教育中有着广泛的应用前景，但同时也面临一些挑战。

1. 隐私保护难题数字取证技术涉及到用户隐私和个人信息的收集与分析，如何在保护个人隐私的前提下进行数字取证是一个重要问题。

网络安全事件溯源与调查取证方法

网络安全事件溯源与调查取证方法网络安全是当今信息社会中的重要议题之一，随着互联网的普及和数字化的快速发展，网络安全事件频繁发生，对个人、组织和国家的信息资产造成严重损失。

为了保障网络安全，必须进行网络安全事件的溯源与调查取证，以便追究犯罪者的责任和防止类似事件再次发生。

一、网络安全事件的溯源网络安全事件的溯源是指通过分析和追踪恶意代码、攻击数据和攻击行为等信息，找出攻击者的来源和行动轨迹。

溯源可以为调查者提供重要的信息，帮助他们分析攻击者的目的和手段，从而制定相应的防御策略。

1.威胁情报收集与分析威胁情报收集是网络安全事件溯源的第一步。

调查者可以通过监测网络流量和攻击行为，收集到大量的网络威胁情报。

这些情报可以包括恶意软件样本、攻击者的IP地址、攻击数据等。

通过对这些情报的分析，可以发现攻击者使用的恶意软件类型、攻击手段以及攻击的目标。

2.网络日志的分析网络日志是网络设备和服务器产生的记录网络活动的数据文件。

调查者可以通过分析网络日志，了解网络安全事件发生的时间、地点和细节。

网络日志还可以记录攻击者的IP地址、攻击方式和攻击目标等信息，为调查溯源提供重要线索。

3.攻击包的分析攻击包是指攻击者通过网络发送给目标设备的恶意数据包。

调查者可以通过分析攻击包的内容和特征，了解攻击者采取的攻击手段和方式。

比如，通过分析恶意软件的代码，可以发现其使用的漏洞和攻击策略，从而防止类似的漏洞被攻击。

二、网络安全事件的调查取证方法网络安全事件的调查取证是指通过收集、分析和保全证据，获取有关事件的真实信息，为起诉犯罪者提供法律依据。

调查取证是网络安全事件溯源的关键一环，它需要调查者具备良好的技术和法律素养。

1.网络数据的获取与保存网络安全事件调查取证的第一步是获取和保存相关的网络数据。

调查者可以通过监控设备上的网络活动，收集到有关恶意软件、攻击行为以及攻击者的信息。

这些数据应该及时保存，以免丢失或被篡改。

2.数字取证的分析与还原数字取证是网络安全事件调查取证的核心环节，它包括从收集到的网络数据中寻找关键证据，并通过科学的分析方法进行还原。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

网络安全
罗敏
武汉大学计算机学院
jsjgfzx@
1
第15章安全恢复技术重点回顾
网络灾难安全恢复的条件安全恢复的实现

2
第16章取证技术

计算机取证是计算机科学和法学领域的一门新兴交叉学科，本章介绍了计算机取证的基本概念、电子证据的特点，计算机取证的基本原则和步骤，简单介绍了计算机取证的一些相关技术。接着介绍了蜜罐技术——用于计算机取证的一种主动防御技术，最后介绍了用于计算机取证的几个著名工具。
3
第16章取证技术
16.1 取证的基本概念 16.2 取证的原则与步骤 16.3 蜜罐技术 16.4 取证工具

4
第16章第1节
16.1 取证的基本概念

定义

计算机取证（ computer forensics ）就是对计算机犯罪的证据进行获取、保存、分析和出示，实际上可以认为是一个详细扫描计算机系统以及重建入侵事件的过程可以认为，计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于数字犯罪场景(计算机和相关外设)中的数字证据的确认、保护、提取和归档的过程
15
第16章第2节
16.2 取证的原则与步骤

一般原则

必须保证“证据连续性” 整个检查、取证过程必须是受到监督的要妥善保存得到的物证详细记录所有的取证活动
16
第16章第2节
16.2 取证的原则与步骤

计算机取证的过程

数据获取数据分析证据陈述
17
第16章第2节
16.2 取证的原则与步骤
31
第16章第3节
16.3 蜜罐技术

蜜罐的配置方式

诱骗服务弱化系统强化系统用户模式服务器
32
第16章第3节
16.3 蜜罐技术

Honeynet

Honeynet是专门为研究设计的高交互型蜜罐与其他大部分蜜罐不同的是：它不进行模拟，而是对真实的系统不进行修改或改动很小不是一个单独的系统而是由多个系统和多个攻击检测应用组成的网络

35
第16章小结
第16章取证技术
取证的基本概念取证的原则与步骤蜜罐技术取证工具

36
第16章习题
第16章取证技术Fra bibliotek课后习题

简述蜜罐的目的和蜜罐系统的工作原理 Honeynet与蜜罐有哪些相似和不同之处？
37
12
第16章第1节
16.1 取证的基本概念

电子证据的来源

来自网络

防火墙日志、IDS日志系统登录文件、应用登录文件、AAA登录文件 (比如 RADIUS 登录)、网络单元登录（Network Element logs）磁盘驱动器、网络数据区和记数器、文件备份等
13
第16章第1节
33
第16章第3节
16.3 蜜罐技术

蜜罐的发展趋势

提高仿真度

增加可以模拟的服务增加与攻击者交互的深度

降低引入的风险增加蜜罐可以运行的平台
34
第16章第4节
16.4 取证工具
TCT(The Coroner's Toolkit) NTI EnCase NetMonitor Forensic ToolKit ForensiX
8
第16章第1节
16.1 取证的基本概念

证据的特点

可信的准确的完整的使法官信服的符合法律法规的，即可为法庭所接受的
9
第16章第1节
16.1 取证的基本概念

电子证据的特点

表现形式和存储格式的多样性高科技性和准确性脆弱性和易毁坏性数据的挥发性
10
第16章第1节
19
第16章第2节
16.2 取证的原则与步骤

计算机取证的过程

数据分析阶段

根据现有的（包括已经被删除的、临时的、交换区、加密的）数据，分析出对案件有价值的电子证据需要分析师的经验和智慧注意保护数据完整性取证过程必须可以复验以供诉状结尾的举例证明
20
第16章第2节
16.2 取证的原则与步骤

计算机取证的过程

证据陈述阶段

对专家和/或法官给出调查所得到的结论及相应的证据陈述过程中需注意遵守国家法律、政策、企业规章制度
21
第16章第2节
16.2 取证的原则与步骤

计算机取证相关技术

数据获取技术

搜索软件、数据和文件磁盘无损伤备份已删除、未分配空间和自由空间交换文件、缓存文件、临时文件内存网络
16.1 取证的基本概念

电子证据的来源

来自其他数字设备

便携设备中存储的数据路由器、交换机中的数据各种配置信息磁卡、IC卡等
14
第16章第2节
16.2 取证的原则与步骤

一般原则

尽早搜集证据，并保证其没有受到任何破坏必须保证取证过程中计算机病毒不会被引入目标计算不要在作为证据的计算机上执行无关的程序

计算机取证的过程

数据获取

了解所有可能存放有电子证据的地方了解主机系统以外的相关软硬件配置无损地复制硬盘上所有已分配和未分配的数据对不同类型的计算机采取不同的策略以收集计算机内的所有数据
18
第16章第2节
16.2 取证的原则与步骤

计算机取证的过程

数据获取

在取证检查中，保护目标计算机系统，远离磁场，避免发生任何的改变、伤害、数据破坏或病毒感染对系统进行数据备份

虽然蜜罐不会直接提高计算机网络安全，但它却是其它安全策略不可替代的一种主动防御技术
27
第16章第3节
16.3 蜜罐技术

蜜罐概述

主要功能

对系统中所有的操作和行为进行监视和记录通过对系统进行伪装，使得攻击者在进入到蜜罐系统后并不会知晓其行为已经处于系统的监视之中
28
第16章第3节
22
第16章第2节
16.2 取证的原则与步骤

计算机取证相关技术

数据分析技术文件属性分析技术文件数字摘要分析技术日志分析技术根据数据的用词、语法和写作（编程）风格，推断出其可能的作者发掘同一事件的不同证据间的联系分析技术数据解密技术密码破译技术对电子介质中的被保护信息的强行访问技术
攻击者是如何进入的？攻击者停留了多长时间？攻击者做了什么？攻击者得到了什么？如何确定在攻击者主机上的犯罪证据？如何赶走攻击者？如何防止事件的再次发生？如何能欺骗攻击者？
7
第16章第1节
16.1 取证的基本概念

电子证据

定义

在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物与传统证据的不同之处在于它是以电子介质为媒介的
16.1 取证的基本概念

电子证据的优点

可以被精确的复制用适当的软件工具和原件对比，很容易鉴别当前的电子证据是否有改变在一些情况下，犯罪嫌疑人完全销毁电子证据是比较困难的
11
第16章第1节
16.1 取证的基本概念

电子证据的来源

来自系统

硬盘、移动硬盘、U盘、MP3播放器、各类软盘、磁带和光盘等系统日志文件、应用程序日志文件等交换区文件，如386.swp、PageFile.sys；临时文件、数据文件等硬盘未分配空间；系统缓冲区等备份介质等
23
第16章第2节
16.2 取证的原则与步骤

计算机取证相关技术

数据获取、保全、分析技术

文件被删除或系统被格式化时的恢复文件损坏时的恢复文件/硬盘被加密时的恢复缺乏用户口令进入文件系统的方法网络数据获取方法数据保全技术鉴定技术
24
第16章第3节
16.3 蜜罐技术
5
第16章第1节
16.1 取证的基本概念

目的

计算机取证的目的是根据取证所得的证据进行分析，试图找出入侵者和/或入侵的机器，并重构或解释入侵过程 who /when /where/ how/ what
6
第16章第1节
16.1 取证的基本概念

计算机取证希望解决的问题

16.3 蜜罐技术

蜜罐概述

优点

使用简单资源占用少数据价值高
29
第16章第3节
16.3 蜜罐技术

蜜罐概述

缺点

数据收集面狭窄，只能搜集对蜜罐的攻击数据可能给使用者带来额外的风险
30
第16章第3节
16.3 蜜罐技术

蜜罐的分类

产品型和研究型低交互蜜罐、中交互蜜罐和高交互蜜罐牺牲型蜜罐、外观型蜜罐和测量型蜜罐
蜜罐概述蜜罐的分类蜜罐的配置方式 Honeynet

25