基于詐騙與入侵容忍技術(shù)的動態(tài)取證系統(tǒng)研究.pdf

1、隨著信息技術(shù)的飛速發(fā)展,信息化在帶來種種便利的同時也滋生了不少計算機安全問題,甚至危害到國家政治、經(jīng)濟及文化各方面的正常秩序。數(shù)字取證作為一門計算機科學(xué)、法學(xué)、犯罪偵查學(xué)的交叉學(xué)科,主要圍繞電子證據(jù)的收集、固定、呈交等工作來開展,目的是使存儲在計算機等電子設(shè)備中的信息能夠作為有效的訴訟證據(jù)提交法庭。由于電子證據(jù)具有與一般犯罪證據(jù)不同的特點,如無形性、高科技性、復(fù)合性、易破壞性、海量存儲及外在表現(xiàn)形式的多樣性等,所以對其進行獲取、分析,并

2、保證這些電子證據(jù)的法律效力,成為計算機犯罪案件偵破的難點。
　　 本文首先對數(shù)字取證進行了綜述,包括其發(fā)展趨勢、現(xiàn)有模型及取證過程應(yīng)遵循的原則,指出了靜態(tài)取證技術(shù)的不足。然后分別闡述了誘騙技術(shù)和入侵容忍技術(shù),并應(yīng)用于動態(tài)取證系統(tǒng)中,前者的運用實現(xiàn)了證據(jù)的動態(tài)獲取,提高了證據(jù)的可靠性；后者則提高了系統(tǒng)的可存活性。最后,將基于誘騙與入侵容忍技術(shù)的動態(tài)取證系統(tǒng)分五個模塊進行了詳述:誘騙系統(tǒng)模塊主要運用Honeyd軟件虛擬服務(wù)引誘入侵；

3、入侵容忍模塊是當(dāng)系統(tǒng)處于受攻擊狀態(tài)時,主動實現(xiàn)進程遷移；在數(shù)字證據(jù)收集階段,從入侵檢測系統(tǒng)、蜜罐系統(tǒng)、入侵容忍系統(tǒng)、主機等多數(shù)據(jù)源收集相關(guān)數(shù)字證據(jù)并實現(xiàn)安全規(guī)范存儲,采用完整性算法驗證數(shù)字證據(jù)傳輸和存貯過程中的完整性；在數(shù)字證據(jù)分析階段,利用基于正則表達式的關(guān)鍵詞查找技術(shù)對本地數(shù)據(jù)收集系統(tǒng)的證據(jù)進行分析,分析網(wǎng)絡(luò)數(shù)據(jù)流時,在對入侵行為進行建模后采用入侵關(guān)聯(lián)圖的方法實現(xiàn)入侵場景重構(gòu)；證據(jù)顯示模塊采用XML標(biāo)記語言記錄并顯示提取的證據(jù)。