基于蜜罐的计算机取证系统的研究
|
摘要
随着计算机飞速发展以及互联网技术的普遍应用,互联网的安全问题也日益突出,而面对日益严重的互联网安全问题,传统的基于被动的互联网防御技术由于其对攻击者了解不足,再加上数据证据采集难的缺点,导致其对层出不穷的新型攻击更是无法应对。因此,如何能将互联网的安全防御体系化被动为主动,在攻击未成成功时捕获未知攻击并更深入的研究攻击者的目的和所使用的技术,已经成为当今互联网安全技术研究的一个热点。
为此,本文在对传统互联网防御技术分析的基础上,采用了基于蜜罐技术的计算机取证系统的设计思路。蜜罐系统通过故意将其漏洞和缺点暴露来吸引入侵者的攻击,并在入侵过程中记录入侵者的信息,从而可以进行更深入的研究。文章在最后分析了传统保密U盘的不足,采用了具有日志功能的安全U盘的设计思路。
With the rapid development of computers and the widespread application of Internet technology, the Internet security issues are also increasingly prominent, the face of the growing problem of Internet security, Internet based on the traditional passive defense technology because of its lack of understanding of the attackers, along with data the shortcomings of the evidence gathering is difficult, leading to the endless stream of new attacks is unable to cope. Therefore, how can the Internet security defense system passive to active, successful attack unsuccessfully to capture unknown attacks and attackers’further study the purpose and the use of technology, Internet security has become a hot technology.
Therefore, this article in defense of traditional Internet technology based on the analysis, the use of honeypot technology-based computer forensics system design. Honeypot by deliberately exposing their vulnerabilities and weaknesses to attract intruders, and intruders in the invasion process the information in the records, allowing for more in-depth study. Article in the final analysis of the traditional lack of confidentiality U disk, using the security function with log U disk design ideas.
为此,本文在对传统互联网防御技术分析的基础上,采用了基于蜜罐技术的计算机取证系统的设计思路。蜜罐系统通过故意将其漏洞和缺点暴露来吸引入侵者的攻击,并在入侵过程中记录入侵者的信息,从而可以进行更深入的研究。文章在最后分析了传统保密U盘的不足,采用了具有日志功能的安全U盘的设计思路。
With the rapid development of computers and the widespread application of Internet technology, the Internet security issues are also increasingly prominent, the face of the growing problem of Internet security, Internet based on the traditional passive defense technology because of its lack of understanding of the attackers, along with data the shortcomings of the evidence gathering is difficult, leading to the endless stream of new attacks is unable to cope. Therefore, how can the Internet security defense system passive to active, successful attack unsuccessfully to capture unknown attacks and attackers’further study the purpose and the use of technology, Internet security has become a hot technology.
Therefore, this article in defense of traditional Internet technology based on the analysis, the use of honeypot technology-based computer forensics system design. Honeypot by deliberately exposing their vulnerabilities and weaknesses to attract intruders, and intruders in the invasion process the information in the records, allowing for more in-depth study. Article in the final analysis of the traditional lack of confidentiality U disk, using the security function with log U disk design ideas.
引文
[1]丁丽萍,王永吉.计算机取证的相关法律技术问题研究[J].软件学报,Vol 16,No.2 2005,page:261-275.
[2]王玲,钱华林.计算机取证技术及其发展趋势[J].软件学报,2003,14(9):163521644.
[3]赵小敏.基于日志的计算机取证技术的研究及系统设计与实现[D].杭州:浙江工业大学,2004.
[4]钟秀玉.计算机取证技术研究[D].广州:广东工业大学,2004.
[5]袁超伟,贾晓芸,黄韬.移动泛在网络中的安全问题.中国计算机报,2007
[6]印润远.计算机信息安全.北京:中国铁道出版社,2006
[7]计算机信息安全.http://www.gxu.edu.cn/college/hxhgxy/sec/kcxx.htm
[8]韩东海.入侵检测系统及实例剖析.北京:清华大学出版社,2002
[9]周军民.足迹:IDS技术研究历史.http://www2.ccw.com.cn/01/0130/b/0130b02_10.asp
[10]阮耀平,易江波,赵战生.计算机系统入侵检测模型与方法.计算机工程.1999,25(3)
[11]唐华松,姚耀文.数据挖掘中决策树算法的探讨.北京:计算机应用研究.2001(8)
[12]陈波,于冷,肖军模.《计算机系统安全原理与技术》.机械工业出版社.2006年第一版.P4-5
[13]张岳.《计算机网络犯罪浅析》.《河南公安高等专科学校学报》.2003年12月第6期.P62-64
[14]于志刚.《计算机犯罪研究》.中国检察出版社.1990年10月版.P6-11
[15]张晶,刘焱.《高智能犯罪研究》.《法学》.2005年第3期.P80-84
[16]颜祥林.《网络信息安全问题的刑法控制》.《情报科学》.第21卷第1期2003年1月.P89-92
[17]康树华.《犯罪学通论》.《北京大学出版社》.1992年版.P331-334
[18]赵廷光.《信息时代的电脑犯罪与刑事立法》.《法商研究》1997年第2期.P43-46
[19]杨博.《计算机犯罪问题的若干法律思考》.《法商研究》.1995年第二期
[20]于志刚.计算机犯罪研究[M].中国检察出版社.1990年10月版.P6-11
[21]张晶,刘焱.高智能犯罪研究[J].法学.2005年第3期.P80-84
[22]颜祥林.网络信息安全问题的刑法控制[J].情报科学.第21卷第1期2003年1月.P89-92
[23]康树华.犯罪学通论[M].北京大学出版社.1992年版.P331-334
[24]赵廷光.信息时代的电脑犯罪与刑事立法[J].法商研究.1997年第2期.P43-46
[25]杨博.计算机犯罪问题的若干法律思考[J].法商研究.1995年第二期
[26]李焕洲.一个基于跟踪的计算机取证过程模型.微计算机信息,2007,3:232-233.
[27]孟小甫.数据隐藏与数字取证.微计算机信息,2007,29:235-238.
[28]闫卫刚.论新时期计算机经济犯罪的证据调查.商场现代化,2007,35:264-265.
[29]郭基凤.基于Linux的IM服务计算机取证系统研究.河南师范大学学报(自然科学版)2007,04:3-5.
[30]唐娟.电子数据取证及其有效性研究.计算机工程与应用,2006,10:115-117.
[31]孙波.一种计算机取证中需求定义的方法.电子学报,2006,05:921-923.
[32]史伟奇.基于木马的计算机监控和取证系统研究.计算机工程与设计,2007,10:2300-2302.
[33]孙波.计算机取证方法关键问题研究.中国科学院研究生院,2004,5:23-25.
[34]邢钧.浅谈计算机取证技术及存在的困难.中国人民公安大学学报.2003
[35]许榕生,吴海燕,刘宝旭.计算机取证概述.计算机工程与应用.2001,(27)
[36]钱桂琼,杨泽明,许榕生.计算机取证的研究与设计.计算机工程.2002.06
[37]赵小敏,陈庆章.计算机取证的研究现状和展望.计算机安全.2003,(10)
[38]张红旗.信息网络安全.清华大学出版社。2002,(11)
[39]林闯,彭雪海.可信网络研究[J].计算机学报,2005,28(05):751—758.
[40]张新刚,刘妍.可信计算与可信网络[J].信息安全与通信保密,2006(“):85—87.
[41]郑学生.新型全数字电力线载波机技术及应用.电力系统通信.2006年,11月,27(169).12-17.
[42]吕顺利,姚虹春,孔媛嫒.电力线载波机的关键技术及应用.电视技术.2007年,第32卷,第2期.35.37.
[43]林昌松,郭经红,张官元.高速中高压网络载波通信机的设计和实现.电力系统通信.2005年,6月,26(152).56—60.
[44]郑学生.DSP技术在新型电力线载波机中的应用.农村电气化增刊.99学术文集一调度通讯.52.53.
[45]石朋,芮孝芳.降雨空间插值方法的比较与改进[J].河海大学学报(自然科学版),2005,33(4):361-365.
[46]马向玲,叶文,范洪达.低空突防航路规划算法仿真研究[J].系统仿真学报,2004,16(3):458-464.
[47]孙大伟.航迹规划技术与工程化研究[D].西安:西北工业大学,2006.
[48]Judd Robbins.An Explanation of Computerforensics. http://computerforensics.net/forensics.htm
[49]G.Palmer.A road map for digital forensic research.Technical report,Report from the DigitalForensic Research WorkShop(DFRWS),November 2001.
[50]Mathew Hannan,Sandra Frings.Forensic Computing Theory&Pratice:Towards developing amethodology for a standardized approach to computer misuse.1st Australian Computer,Network&Information Forensics Conference 2003.
[51]M.Noblet,M.Pollit and L.Presley.Recorving and Examining ComputerForensic Evidence.Forensic Science Communications.Vol2,N.4,Oct2000
[52]Guidance Software.http://www.enease.com/
[53]Computer Forensics.http://www.computer-forensics.com/
[54]Vogon International Limited.http://www.vogon-data-recovery.com/
[55]SafeBack:http://www.forensics-intl.com/safeback.html
[56]Guidance Software[J/OL].http://www.enease.com/
[57]Computer Forensics[M/OL].http://www.computer-forensics.com/
[58]Vogon International Limited[C/OL].http://www.vogon-data-recovery.com/
[59]SafeBack[C/OL]:http://www.forensics-intl.com/safeback.html
[60]http://www.ieee.org.cn/printpage.asp?BoardID=65&id=33466.
[61]Hank Wolfe.Forensic evidence testimony-some thoughts.Computers&Security Volume 22,No 7,2006:577-579.
[62]Adrian Culley.Computer forensics:past,present and future.Information Security Technical Report,Volume 8,Issue 2,June 2006:37-41.
[63]QIAN GQ,YANG ZM,XU RS.Study and design of computer forensics.Computer Engineerlng,2002,28(06):56-58.
[64]http://it.rising.com.cn/channels/safety/syssafety/safe_windows/2007-07-16/1184566112d43318.shtml
[65]G.D.Forney,Jr..Trellis shaping.IEEE Trans.Inform.Theory,1 992,28(2):281.300.
[66]Khandani A KKabal P..Shaping multidimensional signal spaces Part I:Optimum shaping,shell mapping.IEEE Trans Inform Theory,1993,39(1 1):1799一l 808.
[67]Khandani A K,Kabal P—Shaping multidimensional signal spaces Part Ih Shell Addressedconstellations.IEEE Trans Inform Theory.1993,39(1 1):1809-1819.
[68]Texas Instrument corporated.TMS320C6000 DSP Multichannel Buffered Serial Port(McBSP)Reference Guide.2004.
[69]ISOmodem-Si2434 Chip User’s Manual.Version 4.8.2006.
[70]Emmanuel C.ifeachor,Barrie W.Jervis.Digital Signal Processing A Practical Approach,second Edition,Publishing House of Electronics Industry,2004.435.461.
[71]G.D.Forney,Jr.,L.Brown,etc,The V.34 Hi曲Speed Modem Standard.IEEE Commun.Mag,1 996,1 2:28-33.
[72]Trusted Computing Group.TNC IF-IMV Specification v1.1[EB/OL](2006—05—01).[2009—10—28].http://www.trustedcomputinggroup.org May 2006.
[2]王玲,钱华林.计算机取证技术及其发展趋势[J].软件学报,2003,14(9):163521644.
[3]赵小敏.基于日志的计算机取证技术的研究及系统设计与实现[D].杭州:浙江工业大学,2004.
[4]钟秀玉.计算机取证技术研究[D].广州:广东工业大学,2004.
[5]袁超伟,贾晓芸,黄韬.移动泛在网络中的安全问题.中国计算机报,2007
[6]印润远.计算机信息安全.北京:中国铁道出版社,2006
[7]计算机信息安全.http://www.gxu.edu.cn/college/hxhgxy/sec/kcxx.htm
[8]韩东海.入侵检测系统及实例剖析.北京:清华大学出版社,2002
[9]周军民.足迹:IDS技术研究历史.http://www2.ccw.com.cn/01/0130/b/0130b02_10.asp
[10]阮耀平,易江波,赵战生.计算机系统入侵检测模型与方法.计算机工程.1999,25(3)
[11]唐华松,姚耀文.数据挖掘中决策树算法的探讨.北京:计算机应用研究.2001(8)
[12]陈波,于冷,肖军模.《计算机系统安全原理与技术》.机械工业出版社.2006年第一版.P4-5
[13]张岳.《计算机网络犯罪浅析》.《河南公安高等专科学校学报》.2003年12月第6期.P62-64
[14]于志刚.《计算机犯罪研究》.中国检察出版社.1990年10月版.P6-11
[15]张晶,刘焱.《高智能犯罪研究》.《法学》.2005年第3期.P80-84
[16]颜祥林.《网络信息安全问题的刑法控制》.《情报科学》.第21卷第1期2003年1月.P89-92
[17]康树华.《犯罪学通论》.《北京大学出版社》.1992年版.P331-334
[18]赵廷光.《信息时代的电脑犯罪与刑事立法》.《法商研究》1997年第2期.P43-46
[19]杨博.《计算机犯罪问题的若干法律思考》.《法商研究》.1995年第二期
[20]于志刚.计算机犯罪研究[M].中国检察出版社.1990年10月版.P6-11
[21]张晶,刘焱.高智能犯罪研究[J].法学.2005年第3期.P80-84
[22]颜祥林.网络信息安全问题的刑法控制[J].情报科学.第21卷第1期2003年1月.P89-92
[23]康树华.犯罪学通论[M].北京大学出版社.1992年版.P331-334
[24]赵廷光.信息时代的电脑犯罪与刑事立法[J].法商研究.1997年第2期.P43-46
[25]杨博.计算机犯罪问题的若干法律思考[J].法商研究.1995年第二期
[26]李焕洲.一个基于跟踪的计算机取证过程模型.微计算机信息,2007,3:232-233.
[27]孟小甫.数据隐藏与数字取证.微计算机信息,2007,29:235-238.
[28]闫卫刚.论新时期计算机经济犯罪的证据调查.商场现代化,2007,35:264-265.
[29]郭基凤.基于Linux的IM服务计算机取证系统研究.河南师范大学学报(自然科学版)2007,04:3-5.
[30]唐娟.电子数据取证及其有效性研究.计算机工程与应用,2006,10:115-117.
[31]孙波.一种计算机取证中需求定义的方法.电子学报,2006,05:921-923.
[32]史伟奇.基于木马的计算机监控和取证系统研究.计算机工程与设计,2007,10:2300-2302.
[33]孙波.计算机取证方法关键问题研究.中国科学院研究生院,2004,5:23-25.
[34]邢钧.浅谈计算机取证技术及存在的困难.中国人民公安大学学报.2003
[35]许榕生,吴海燕,刘宝旭.计算机取证概述.计算机工程与应用.2001,(27)
[36]钱桂琼,杨泽明,许榕生.计算机取证的研究与设计.计算机工程.2002.06
[37]赵小敏,陈庆章.计算机取证的研究现状和展望.计算机安全.2003,(10)
[38]张红旗.信息网络安全.清华大学出版社。2002,(11)
[39]林闯,彭雪海.可信网络研究[J].计算机学报,2005,28(05):751—758.
[40]张新刚,刘妍.可信计算与可信网络[J].信息安全与通信保密,2006(“):85—87.
[41]郑学生.新型全数字电力线载波机技术及应用.电力系统通信.2006年,11月,27(169).12-17.
[42]吕顺利,姚虹春,孔媛嫒.电力线载波机的关键技术及应用.电视技术.2007年,第32卷,第2期.35.37.
[43]林昌松,郭经红,张官元.高速中高压网络载波通信机的设计和实现.电力系统通信.2005年,6月,26(152).56—60.
[44]郑学生.DSP技术在新型电力线载波机中的应用.农村电气化增刊.99学术文集一调度通讯.52.53.
[45]石朋,芮孝芳.降雨空间插值方法的比较与改进[J].河海大学学报(自然科学版),2005,33(4):361-365.
[46]马向玲,叶文,范洪达.低空突防航路规划算法仿真研究[J].系统仿真学报,2004,16(3):458-464.
[47]孙大伟.航迹规划技术与工程化研究[D].西安:西北工业大学,2006.
[48]Judd Robbins.An Explanation of Computerforensics. http://computerforensics.net/forensics.htm
[49]G.Palmer.A road map for digital forensic research.Technical report,Report from the DigitalForensic Research WorkShop(DFRWS),November 2001.
[50]Mathew Hannan,Sandra Frings.Forensic Computing Theory&Pratice:Towards developing amethodology for a standardized approach to computer misuse.1st Australian Computer,Network&Information Forensics Conference 2003.
[51]M.Noblet,M.Pollit and L.Presley.Recorving and Examining ComputerForensic Evidence.Forensic Science Communications.Vol2,N.4,Oct2000
[52]Guidance Software.http://www.enease.com/
[53]Computer Forensics.http://www.computer-forensics.com/
[54]Vogon International Limited.http://www.vogon-data-recovery.com/
[55]SafeBack:http://www.forensics-intl.com/safeback.html
[56]Guidance Software[J/OL].http://www.enease.com/
[57]Computer Forensics[M/OL].http://www.computer-forensics.com/
[58]Vogon International Limited[C/OL].http://www.vogon-data-recovery.com/
[59]SafeBack[C/OL]:http://www.forensics-intl.com/safeback.html
[60]http://www.ieee.org.cn/printpage.asp?BoardID=65&id=33466.
[61]Hank Wolfe.Forensic evidence testimony-some thoughts.Computers&Security Volume 22,No 7,2006:577-579.
[62]Adrian Culley.Computer forensics:past,present and future.Information Security Technical Report,Volume 8,Issue 2,June 2006:37-41.
[63]QIAN GQ,YANG ZM,XU RS.Study and design of computer forensics.Computer Engineerlng,2002,28(06):56-58.
[64]http://it.rising.com.cn/channels/safety/syssafety/safe_windows/2007-07-16/1184566112d43318.shtml
[65]G.D.Forney,Jr..Trellis shaping.IEEE Trans.Inform.Theory,1 992,28(2):281.300.
[66]Khandani A KKabal P..Shaping multidimensional signal spaces Part I:Optimum shaping,shell mapping.IEEE Trans Inform Theory,1993,39(1 1):1799一l 808.
[67]Khandani A K,Kabal P—Shaping multidimensional signal spaces Part Ih Shell Addressedconstellations.IEEE Trans Inform Theory.1993,39(1 1):1809-1819.
[68]Texas Instrument corporated.TMS320C6000 DSP Multichannel Buffered Serial Port(McBSP)Reference Guide.2004.
[69]ISOmodem-Si2434 Chip User’s Manual.Version 4.8.2006.
[70]Emmanuel C.ifeachor,Barrie W.Jervis.Digital Signal Processing A Practical Approach,second Edition,Publishing House of Electronics Industry,2004.435.461.
[71]G.D.Forney,Jr.,L.Brown,etc,The V.34 Hi曲Speed Modem Standard.IEEE Commun.Mag,1 996,1 2:28-33.
[72]Trusted Computing Group.TNC IF-IMV Specification v1.1[EB/OL](2006—05—01).[2009—10—28].http://www.trustedcomputinggroup.org May 2006.