基于局域網(wǎng)主機日志的取證技術(shù)研究與系統(tǒng)設(shè)計.pdf

1、伴隨著計算機的出現(xiàn)和使用,出現(xiàn)了一種新的犯罪形式,這就是計算機犯罪。這種新型的犯罪活動正日益猖獗,給國家的發(fā)展和穩(wěn)定帶來了嚴(yán)重的危害,打擊和防范計算機犯罪已經(jīng)成為各國司法部門亟待解決的一大難題。計算機取證技術(shù)正是在這種應(yīng)用背景下發(fā)展起來的,它的目標(biāo)是對計算機及其相關(guān)的設(shè)備中發(fā)生的犯罪行為進行取證,獲取入侵事件的電子證據(jù),為打擊犯罪分子提供證據(jù)。 近年來,計算機取證技術(shù)正在成為人們關(guān)注和研究的熱點,已經(jīng)發(fā)展了一批成熟的計算機取證技

2、術(shù)和取證工具。但是傳統(tǒng)取證技術(shù)局限于事后的靜態(tài)取證,由于反取證技術(shù)的發(fā)展,事后取證技術(shù)很難保證證據(jù)的真實性、有效性和及時性；現(xiàn)在有些動態(tài)的取證模型是和入侵檢測系統(tǒng)結(jié)合起來,試圖在發(fā)現(xiàn)入侵的時候,把一些能反映入侵行為的文件保存起來,由于入侵檢測系統(tǒng)存在一些缺點,也導(dǎo)致這種模型不能真正地保證電子證據(jù)的完整性。 本論文提出了一種基于局域網(wǎng)主機日志的取證模型,可以克服以上缺點。日志文件記錄了系統(tǒng)指定對象操作及其操作結(jié)果,它能夠反映用戶的

3、行為,可以作為電子證據(jù)。本模型采用基于代理的分布式結(jié)構(gòu),通過在被取證計算機上的代理軟件,實時地提取被取證機上產(chǎn)生的日志記錄,通過多種加密技術(shù),對日志記錄進行加密,生成日志的數(shù)字簽名以及能證明同志記錄相互關(guān)聯(lián)關(guān)系的消息摘要,通過建立安全通道傳輸?shù)桨踩娜∽C服務(wù)器上保存,并能通過驗證算法證明日志的原始性和真實性,從而保證了日志證據(jù)的安全性和抗否認(rèn)性。并設(shè)計了在取證機服務(wù)器上依據(jù)關(guān)鍵字進行查詢的功能。 本模型的特點： 1)實時