网络安全取证技术PPT格式课件下载.ppt

网络安全取证技术PPT格式课件下载.ppt

《网络安全取证技术PPT格式课件下载.ppt》由会员分享，可在线阅读，更多相关《网络安全取证技术PPT格式课件下载.ppt（37页珍藏版）》请在冰豆网上搜索。

网络安全罗罗敏敏武汉大学计算机学院武汉大学计算机学院1第第15章章安全恢复技术安全恢复技术重点回顾重点回顾l网络灾难l安全恢复的条件l安全恢复的实现2第第16章章取证技术取证技术l计算机取证是计算机科学和法学领域的一门新兴交叉学科，本章介绍了计算机取证的基本概念、电子证据的特点，计算机取证的基本原则和步骤，简单介绍了计算机取证的一些相关技术。

@#@接着介绍了蜜罐技术用于计算机取证的一种主动防御技术，最后介绍了用于计算机取证的几个著名工具。

@#@3第第16章章取证技术取证技术l16.1取证的基本概念l16.2取证的原则与步骤l16.3蜜罐技术l16.4取证工具416.1取证的基本概念取证的基本概念l定义l计算机取证（computerforensics）就是对计算机犯罪的证据进行获取、保存、分析和出示，实际上可以认为是一个详细扫描计算机系统以及重建入侵事件的过程l可以认为，计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于数字犯罪场景（计算机和相关外设）中的数字证据的确认、保护、提取和归档的过程第第1616章章第第11节节516.1取证的基本概念取证的基本概念l目的l计算机取证的目的是根据取证所得的证据进行分析，试图找出入侵者和/或入侵的机器，并重构或解释入侵过程lwho/when/where/how/what第第1616章章第第11节节616.1取证的基本概念取证的基本概念l计算机取证希望解决的问题l攻击者是如何进入的？

@#@l攻击者停留了多长时间？

@#@l攻击者做了什么？

@#@l攻击者得到了什么？

@#@l如何确定在攻击者主机上的犯罪证据？

@#@l如何赶走攻击者？

@#@l如何防止事件的再次发生？

@#@l如何能欺骗攻击者？

@#@第第1616章章第第11节节716.1取证的基本概念取证的基本概念l电子证据l定义l在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物l与传统证据的不同之处在于它是以电子介质为媒介的第第1616章章第第11节节816.1取证的基本概念取证的基本概念l证据的特点l可信的l准确的l完整的l使法官信服的l符合法律法规的，即可为法庭所接受的第第1616章章第第11节节916.1取证的基本概念取证的基本概念l电子证据的特点l表现形式和存储格式的多样性l高科技性和准确性l脆弱性和易毁坏性l数据的挥发性第第1616章章第第11节节1016.1取证的基本概念取证的基本概念l电子证据的优点l可以被精确的复制l用适当的软件工具和原件对比，很容易鉴别当前的电子证据是否有改变l在一些情况下，犯罪嫌疑人完全销毁电子证据是比较困难的第第1616章章第第11节节1116.1取证的基本概念取证的基本概念l电子证据的来源l来自系统l硬盘、移动硬盘、U盘、MP3播放器、各类软盘、磁带和光盘等l系统日志文件、应用程序日志文件等l交换区文件，如386.swp、PageFile.sys；@#@临时文件、数据文件等l硬盘未分配空间；@#@系统缓冲区等l备份介质等第第1616章章第第11节节1216.1取证的基本概念取证的基本概念l电子证据的来源l来自网络l防火墙日志、IDS日志l系统登录文件、应用登录文件、AAA登录文件（比如RADIUS登录）、网络单元登录（NetworkElementlogs）l磁盘驱动器、网络数据区和记数器、文件备份等第第1616章章第第11节节1316.1取证的基本概念取证的基本概念l电子证据的来源l来自其他数字设备l便携设备中存储的数据l路由器、交换机中的数据l各种配置信息l磁卡、IC卡等第第1616章章第第11节节1416.2取证的原则与步骤取证的原则与步骤l一般原则l尽早搜集证据，并保证其没有受到任何破坏l必须保证取证过程中计算机病毒不会被引入目标计算l不要在作为证据的计算机上执行无关的程序第第1616章章第第22节节1516.2取证的原则与步骤取证的原则与步骤l一般原则l必须保证“证据连续性”l整个检查、取证过程必须是受到监督的l要妥善保存得到的物证l详细记录所有的取证活动第第1616章章第第22节节1616.2取证的原则与步骤取证的原则与步骤l计算机取证的过程l数据获取l数据分析l证据陈述第第1616章章第第22节节1716.2取证的原则与步骤取证的原则与步骤l计算机取证的过程l数据获取l了解所有可能存放有电子证据的地方l了解主机系统以外的相关软硬件配置l无损地复制硬盘上所有已分配和未分配的数据l对不同类型的计算机采取不同的策略以收集计算机内的所有数据第第1616章章第第22节节1816.2取证的原则与步骤取证的原则与步骤l计算机取证的过程l数据获取l在取证检查中，保护目标计算机系统，远离磁场，避免发生任何的改变、伤害、数据破坏或病毒感染l对系统进行数据备份第第1616章章第第22节节1916.2取证的原则与步骤取证的原则与步骤l计算机取证的过程l数据分析阶段l根据现有的（包括已经被删除的、临时的、交换区、加密的）数据，分析出对案件有价值的电子证据l需要分析师的经验和智慧l注意保护数据完整性l取证过程必须可以复验以供诉状结尾的举例证明第第1616章章第第22节节2016.2取证的原则与步骤取证的原则与步骤l计算机取证的过程l证据陈述阶段l对专家和/或法官给出调查所得到的结论及相应的证据l陈述过程中需注意遵守国家法律、政策、企业规章制度第第1616章章第第22节节2116.2取证的原则与步骤取证的原则与步骤l计算机取证相关技术l数据获取技术l搜索软件、数据和文件l磁盘无损伤备份l已删除、未分配空间和自由空间l交换文件、缓存文件、临时文件l内存l网络第第1616章章第第22节节2216.2取证的原则与步骤取证的原则与步骤l计算机取证相关技术l数据分析技术l文件属性分析技术l文件数字摘要分析技术l日志分析技术l根据数据的用词、语法和写作（编程）风格，推断出其可能的作者l发掘同一事件的不同证据间的联系分析技术l数据解密技术l密码破译技术l对电子介质中的被保护信息的强行访问技术第第1616章章第第22节节2316.2取证的原则与步骤取证的原则与步骤l计算机取证相关技术l数据获取、保全、分析技术l文件被删除或系统被格式化时的恢复l文件损坏时的恢复l文件/硬盘被加密时的恢复l缺乏用户口令进入文件系统的方法l网络数据获取方法l数据保全技术l鉴定技术第第1616章章第第22节节2416.3蜜罐技术蜜罐技术l蜜罐概述l蜜罐的分类l蜜罐的配置方式lHoneynet第第1616章章第第33节节2516.3蜜罐技术蜜罐技术l蜜罐概述l蜜罐系统是一个包含漏洞的诱骗系统l它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标第第1616章章第第33节节2616.3蜜罐技术蜜罐技术l蜜罐概述l主要作用l让攻击者在蜜罐上浪费时间，延缓对真正目标的攻击l对入侵的取证提供重要的信息和有用的线索，并使之成为入侵的有力证据l虽然蜜罐不会直接提高计算机网络安全，但它却是其它安全策略不可替代的一种主动防御技术第第1616章章第第33节节2716.3蜜罐技术蜜罐技术l蜜罐概述l主要功能l对系统中所有的操作和行为进行监视和记录l通过对系统进行伪装，使得攻击者在进入到蜜罐系统后并不会知晓其行为已经处于系统的监视之中第第1616章章第第33节节2816.3蜜罐技术蜜罐技术l蜜罐概述l优点l使用简单l资源占用少l数据价值高第第1616章章第第33节节2916.3蜜罐技术蜜罐技术l蜜罐概述l缺点l数据收集面狭窄，只能搜集对蜜罐的攻击数据l可能给使用者带来额外的风险第第1616章章第第33节节3016.3蜜罐技术蜜罐技术l蜜罐的分类l产品型和研究型l低交互蜜罐、中交互蜜罐和高交互蜜罐l牺牲型蜜罐、外观型蜜罐和测量型蜜罐第第1616章章第第33节节3116.3蜜罐技术蜜罐技术l蜜罐的配置方式l诱骗服务l弱化系统l强化系统l用户模式服务器第第1616章章第第33节节3216.3蜜罐技术蜜罐技术lHoneynetlHoneynet是专门为研究设计的高交互型蜜罐l与其他大部分蜜罐不同的是：

@#@它不进行模拟，而是对真实的系统不进行修改或改动很小l不是一个单独的系统而是由多个系统和多个攻击检测应用组成的网络第第1616章章第第33节节3316.3蜜罐技术蜜罐技术l蜜罐的发展趋势l提高仿真度l增加可以模拟的服务l增加与攻击者交互的深度l降低引入的风险l增加蜜罐可以运行的平台第第1616章章第第33节节3416.4取证工具取证工具lTCT（TheCoronersToolkit）lNTIlEnCaselNetMonitorlForensicToolKitlForensiX第第1616章章第第44节节35第第16章章取证技术取证技术l取证的基本概念l取证的原则与步骤l蜜罐技术l取证工具第第1616章章小结小结36第第16章章取证技术取证技术l课后习题l简述蜜罐的目的和蜜罐系统的工作原理lHoneynet与蜜罐有哪些相似和不同之处？

@#@第第1616章章习题习题37