返回
蜜罐技术在网络电子取证中的应用

蜜罐技术在网络电子取证中的应用

ID:3911011

大小:158.50 KB

页数:3页

时间:2017-11-25

蜜罐技术在网络电子取证中的应用_第1页
蜜罐技术在网络电子取证中的应用_第2页
蜜罐技术在网络电子取证中的应用_第3页
资源描述:

《蜜罐技术在网络电子取证中的应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络安全蜜罐技术在网络电子取证中的应用黄学鹏湖北警官学院信息技术系网络侦查教研室湖北430034摘要:计算机犯罪与传统犯罪密切结合,严重威胁着国家安全和社会稳定,并且日趋严重。打击计算机犯罪的重要途径和有效方法是提高电子取证技术的水平,加强电子取证技术的研究已成为公安工作的当务之急。本文介绍了蜜罐这一网络安全技术,以及如何利用蜜罐进行网络电子取证。关键词:计算机犯罪;电子取证;电子证据;蜜罐0引言子证据的充分性、完整性和真实性对于正确认定案件事实,随着信息技术的飞速发展,人类社会对数字信息的依赖保证诉讼的顺利进行,具有十分重要的意义。己达到前所未有的程度。与此同时,计算机犯罪率也以

2、惊人从电子证据的来源情况看,电子证据主要可以分为两大的速度增长。政法机关在如何利用高技术手段对付这种高技术类,基于主机的电子证据和基于网络的电子证据简称为网络犯罪方面需要技术保障和支持,为了提高打击计算机犯罪的能电子证据。力,需要对电子取证领域进行深入的研究。本文介绍了蜜罐技网络电子证据的来源是运行中的计算机网络。事实上,术,以及如何利用蜜罐技术进行的网络电子证据的取证。绝大多数的计算机犯罪都是通过网络进行的,通过在计算机1电子取证和电子证据通信网络上进行监控,截取可疑会话的通信内容,并加以分析处理,可以获得有效的电子证据。1.1电子取证2蜜罐技术计算机系统(包括网络系统)在相关的

3、计算机犯罪案件中可2.1蜜罐的定义以扮演黑客入侵的目标、作案的工具、犯罪信息的存储器这三种不同的角色。无论他们作为哪种角色,计算机系统中都蜜罐(Honeypot)是一种在互联网上运行的,目的在于吸会留下大量的与犯罪有关的数据。电子取证就是对计算机犯引攻击者,然后记录下攻击者的一举一动的计算机系统。它罪的证据进行获取、保存、分析和出示,它实质上是一个详是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人细扫描计算机系统以及重建入侵事件的过程。事实上电子取(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系证的取证目标不仅包括计算机系统,也包括计算机网络系统,统,它通过模拟一个或多个

4、易受攻击的主机,给攻击者提供在2001年召开的FirstDigitalForensicResearchWorkshop中明一个容易攻击的目标,从而得到相关信息以便检测到攻击由确将网络取证(networkforensic)作为会议的四个主要议题之一。于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜电子取证(DigitalForensic)是指通过收集计算机系统和网络系罐的尝试都被视为可疑的,蜜罐的另一个用途是拖延攻击者统中与计算机犯罪相关的信息,对其进行保存、分析和出示,对真正目标的攻击,让攻击者在蜜罐上浪费时间,简单说:蜜用来证明计算机犯罪活动的过程。可以将电子取证划分为两罐就

5、是诱捕攻击者的一个陷阱。个部分,即基于主机的取证(hostforensic)和基于网络的取证。2.2蜜罐技术的原理1.2电子证据蜜罐是一个在网络上引诱黑客或蠕虫攻击的,带有漏洞电子证据即为电子数据证据,也被称作计算机证据、数的真实或虚拟的系统。蜜罐会引诱一些攻击者非法访问,蜜据证据、网上证据等。电子证据一般理解为电子数据形成的罐上的监控器和事件日志器监测这些未经授权的访问并收集证据,通常是指在计算机或计算机系统运行过程中产生的以攻击者活动的相关信息,它的目的是将攻击者从关键系统引其记录的内容来证明案件事实的电磁记录物。电子证据的收开,同时收集攻击者的活动信息,并且吸引攻击者在系统上

6、集和保全方法是电子取证方法中的核心内容是电子取证研究停留足够长的时间以供管理员进行响应。利用蜜罐的这种能的热点。收集及保全电子证据是审查判断证据的基础,只有力,一方面可以为入侵检测系统提供附加数据,另一方面,当收集到充分而且有效的证据并加以妥善保存,万一可能对证入侵检测系统发现有攻击者时,可以把攻击者引入蜜罐,防据材料的真实性、证明力和可靠性进行分析、鉴别和判断,从止攻击者造成危害,并收集攻击者的信息。蜜罐技术主要是而确定案件事实,保证诉讼任务得以实现。因此,被收集电利用网络欺骗诱导攻击者,使得可能存在的安全弱点有了很作者简介:黄学鹏(1978-),男,湖北警官学院信息技术系讲师,

7、研究方向:网络安全。102009.5网络安全好的伪装场所,真实服务与诱骗服务几乎融为一体,使入侵设计捕获网络电子证据的蜜罐部署结构如图1所示,它者难以区分。诱骗服务相对于真实服务更容易被发现,通过的关键部分是充当网桥功能的linux主机,装有三个网卡,网诱惑使入侵者上当延长入侵时间,使得真正的网络服务被探络接口ertho连接真实的网络部分,网络接口erth1连接蜜罐测到的可能性大大减少,并且通过网络探测迅速地检测到入系统。另外网桥linux主机还有一个网络接口erth

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。