计算机取证技术研究及系统设计与实现

详细信息    本馆镜像全文|  推荐本文 |  |   获取CNKI官网全文

作者：夏琦 论文级别：硕士 学科专业名称：计算机软件与理论 中文关键词：计算机取证 ; Winpcap ; 模式匹配 ; 协议分析 ; IDS 英文关键词：Computer forensic ; Winpcap ; pattern matching ; protocol analysis ; IDS 学位年度：2006 导师：周明天 学科代码：081202 学位授予单位：电子科技大学 论文提交日期：2006-10-12

摘要

随着信息技术不断发展，计算机犯罪问题日趋严重，它直接危害国家的政治、经济、文化等各个方面的正常秩序。现有的网络安全方面的研究多着眼于防犯入侵，而对入侵取证的问题研究较少。因而，计算机取证技术的研究对于打击计算机犯罪、追踪入侵、修补安全漏洞、完善计算机网络安全体系具有重要意义。
     在检测到非法入侵或恶意行为时利用入侵检测系统收集电子证据是IDS新的应用方向。论文重点研究了IDS与协议分析技术，并依照IDS的体系结构，结合协议分析和模式匹配技术，设计了一种网络入侵取证系统结构模型，在入侵检测分析的同时收集目标系统的全部网络数据作为证据以支持计算机取证，实现在线入侵检测、离线取证分析。论文阐述了模型的体系结构，讨论了模型的特点及存在问题。论文详细介绍了系统数据采集、数据预处理、入侵检测和分析查询四个模块的实现。测试证明系统是可行的，能够满足入侵取证系统的要求。
With the development of information technologies, the problem of computer crime is become more and more severity, it directly endangers the normal order of politics, economy, and culture. Currently, the network security study is more focus on guarding against intrusion; there is little study for the intrusion forensics. However, computer forensics technology can pursue intrusion, repair the leak of security, consummate the security structure, but also can consummate the law correspond to computer crime.
     It is one of the hot research fields in IDS and new applying way that use IDS collecting electronic evidence while illegal intrusion and malicious behaviour was detected. This paper put emphasis on the reaserch of IDS and protocol analysis tcchnology. Based On the architecture of IDS and combined with protocol analysis and pattern matching technology, this paper also designed a model of protocol analysis based NIDS and computer forensics system, which used in online intrusion detection and offiine forensics. This paper introduced the architecture of the model, discussed characteristic and unresolved problems. The paper introduced the realization of various modules of the system, including data collection module, data pretreating module, intrusion detection module, analyzing and finding module. It proved to be a feasible system and can fulfil the needs of IDS and forensics system.

引文

[1] LUO Hi-bin, FAN Yu-shun, WUCheng. The summary of workflow. Journal of Sofware, 2000, 11(7):899-907.
    [2] Wil van der Aalst and Kees van Hee. Workflow Management. Models, Methods, and Systems. The MIT Press Cambridge, Massachusetts London, England.
    [3] DOU Wan-Chun, CAI Shi-Jie. Conbinative modeling and systemic decomposition of workflow base on Petri net. Computer Integrated Manufacturing System. Vol. 8, No. 5, May 2002:361-365.
    [4] 熊华 郭世泽 吕慧勤．网络安全—取证与蜜罐．人民邮电出版社．2003．07
    [5] 邢钧．浅谈计算机取证技术及存在的困难．中国人民公安大学学报．2003
    [6] 许榕生，吴海燕，刘宝旭．计算机取证概述．计算机工程与应用．2001，(27)
    [7] 钱桂琼，杨泽明，许榕生．计算机取证的研究与设计．计算机工程．2002．06
    [8] 赵小敏，陈庆章．计算机取证的研究现状和展望．计算机安全．2003，(10)
    [9] 张红旗．信息网络安全．清华大学出版社。2002，(11)
    [10] 傅杰，范清彪，金炜东．网络监控系统的设计与实现．微机发展．2004，(03)
    [11] 耿俊燕，张连杰，吴灏，张原．计算机取证技术与研究．网络安全技术与应用．2004，(05)
    [12] 陈爱莉，张焕国．一种支持计算机取证的日志系统的设计．计算机工程与应用．2003．03
    [13] 刘武，段海新，杨路，吴建平，任萍．基于Web的网络入侵检测取证系统的设计与实现．计算机应用．2003．05
    [14] 刘东辉，王树明，张庆生．基于数据挖掘的计算机动态取证系统．微计算机信息．2005．07
    [15] 刘东辉．计算机动态取证技术的研究．计算机系统应用．2005
    [16] 钟秀玉，凌捷．计算机动态取证的数据分析技术的研究．计算机应用与软件．2004．09
    [17] 仰石，李涛，丁菊玲．基于Multi-agent的计算机动态取证．计算机工程．2005．01
    [18] 钟秀玉．基于智能代理的动态取证技术研究．网络安全技术与应用．2005．08
    [19] 梁昌宇，吴强，曾庆凯．分布式计算机动态取证模型．计算机应用．2005．06
    [20] Sun Bo, Directed by Professor SUN Yu-fang. Research on Key Aspect of Computer Forensics Methods. [renan enhancemodel]Venansius Baryamureeba, Florence Tushabe. The Enhanced Digital Investigation Process Model. http://www.dfrws.org/bios/dayl/Tushabe_EIDIP.pdf
    [21] 丁丽萍，王永吉．多维计算机取证模型研究．信息网络安全，2005，(10)
    [22] 丁杰，高会生，俞晓雯．主动防御新技术及其在电力信息网络安全中的应用．电力系统通信，2004，25(8)：42～45
    [23] 刘宝旭．黑客入侵防范体系研究与实现：[博士学位论文]．北京：中科院高能物理研究所，2002
    [24] 罗朝晖．计算机犯罪侦察取证技术．硕士论文，北京工业大学，2003年4月．
    [25] 李晓莺，曾启铭．利用协议分析提高入侵检测效率．计算机工程与应用，2003，39(6)：169～180
    [26] FILE TRANSFER ROTOCOL. http://www.ietf.org/rfc/rfc0959.txt
    [27] BOYER R. S., MOORE J. S., 1977, A fast string searchingalgorithm. Communications of the ACM. 20:762～772
    [28] 李昀，李伟华．面向入侵检测的模式匹配算法研究．计算机工程与应用，2003，39(6)：1～2，22
    [29] NIDS. http://www.snort.org
    [30] Common Vulnerabilities and Exposures. http://www.cve.mitre.org
    [31] 韩东海，王超，李群．入侵检测系统及实例剖析．北京：清华大学出版社，2002
    [32] 蒋建春，冯登国．网络入侵检测原理与技术．北京：国防工业出版社，2001
    [33] 唐正军等．网络入侵检测系统的设计与实现．北京：电子工业出版社，2002
    [34] 朱雁辉．Windows防火墙与网络封包截获技术．北京：电子工业出版社，2002
    [35] W. Richard Stevens. TCP/IP Illustrated volume 1: the Protocols. Addison Wesley Longman Inc, 1994
    [36] Brian Caswell，Jay Beale，James C．Foster，Jeffrey Posluns．(宋劲松等，译)Snort 2.0 Intrusion Detection．北京：国防工业出版社，2004
    [37] Windows Packet Capture Library. http://winpcap.polito.it/install/default.htm