《信息与计算科学毕业论文 (2).doc》由会员分享,可在线阅读,更多相关《信息与计算科学毕业论文 (2).doc(77页珍藏版)》请在三一文库上搜索。
1、 编 号: 审定成绩: 重庆邮电大学毕业设计(论文)设计(论文)题目:基于网络的数字取证技术分析学 院 名 称 :数理学院学 生 姓 名 :杨宜辰专 业 :信息与计算科学班 级 :0430702学 号 :07120228指 导 教 师 :游晓黔答辩组 负责人 :填表时间: 年 月重庆邮电大学教务处制重庆邮电大学本科毕业设计(论文)摘 要随着网络的发展,越来越多的犯罪行为需要通过网络来实现,这对数字取证提出了更高的要求。本文主要对基于网络的数字取证技术进行了分析,从概念、发展、用途、模型、案例等多个方面对其进行了深入的分析。首先,介绍了数字取证技术的基本情况及网络安全的相关背景知识,并基于此给出
2、了三种基于不同技术背景且均被广泛使用的基于网络的数字取证模型,即基于主机和网络入侵检测的取证模型、基于数据挖掘的网络取证模型以及基于Bloom Filter的网络取证模型。之后针对模型不同的特点分别从模型的构建、模型的实现、模型的应用等方面对这三种模型进行了深入的探讨。其次,提出了一种基于模糊聚类的孤立点挖掘模型,通过结合孤立点挖掘与模糊聚类的分析方法,加强了对孤立数据的挖掘与判断。之后对一个实例进行了分析,验证了模型的可行性。接着,针对现在网络犯罪的特征,对反取证技术的概念、手段、关键技术进行了阐述分析,并对犯罪分子常用的数据擦除技术进行了具体研究,以更好地防范网络犯罪。最后,引入一次成功破
3、获网站攻击的案例来说明数字取证的重要性,并进行了网络监视和通信分析的实验。【关键词】 网络数字取证 数据挖掘 模糊聚类 反取证ABSTRACTWith the development of the network, more and more criminalities need to realize through the network. It sets a higher request to the digital forensic. This paper mainly carried on the analysis based on the network digital forens
4、ic technology. And the aspects vary from the concept, the usage, the models, the case and other parts.Firstly, the paper introduced the related information that is digital forensic technology and the knowledge of the network environment situation, and also the paper introduced the digital forensics
5、definition and the networks composition structure, and pointed out how to use digital forensic. We make the theory upholstery for the network and the digital forensics fusion. It introduced three digital forensic models which based on different tech-background. Those are the model that based on the
6、main engine and network invasion examination, the model that based on the data mining and the model that based on the Bloom Filter. And it discussed more about it from the model realization, the model construction and the model application.Secondly, the paper launched a new model based on the Fuzzy
7、Clustering and Outlier Mining. With the combination of these, model strengthening mining and determining of data. At last the paper analysis an example, authenticating the feasibility of the model.Then, it analyzed the anti-digital-forensic from the aspects that are concept, the method and the key t
8、echnology according to the characteristics of the network criminal. For further development of the digital forensic, this paper analyzed the digital-erasing technology in detail so that it can get how the criminal offender does avoid the present evidence collection technology implementation criminal
9、ity.Finally, we introduce a case which successes uncovered the website attack criminal to show the importance of the digital forensic. And then it carried on the network monitoring and the correspondence analysis experiment.【Key words】 Network Digital Forensic Data Mining Fuzzy Clustering Anti-Foren
10、sics目 录前 言1第一章 数字取证技术概述2第一节 数字证据综述2一、数字证据的特点2二、数字证据的存在源及表现形式3第二节 数字取证的步骤及方法4一、数字取证的一般步骤4二、数字取证的一般方法4三、对数字取证的技术分析5第三节 本章小结7第二章 网络取证环境概述8第一节 计算机网络系统概述8一、计算机网络的组成8二、计算机网络的体系结构与协议10第二节 网络安全概述12一、网络证据及来源12二、网络环境用户身份认定12三、数据加密机制简述13第三节 本章小结16第三章 基于网络的数字取证模型17第一节 基于主机和网络入侵检测的取证模型分析17一、模型简介17二、模型的实现18第二节 基于
11、数据挖掘的网络取证模型分析22一、用于网络取证的数据挖掘的步骤23二、数据挖掘应用于网络取证的框架结构模型23三、数据挖掘方法在网络取证中的具体应用分析24第三节 基于Bloom Filter的网络取证模型设计26一、Bloom Filter概述26二、基于Bloom Filter的网络取证模型设计27第四节 一种新的基于模糊聚类与孤立点挖掘的模型29一、孤立点算法30二、模糊聚类分析31三、基于模糊聚类的孤立点挖掘模型构建31四、实例分析32第五节 本章小结34第四章 反取证技术的研究与探讨36第一节 反取证技术概述36一、反取证技术的定义36二、反取证技术的基本方法36第二节 反取证技术中
12、的关键技术分析37一、六种反取证技术简介37二、对反取证中数据擦除技术的具体分析39第三节 本章小结40第五章 案例与实验42第一节 某机构网站被入侵案例分析42第二节 网络监视和通信分析实验44第三节 编程模拟账号保护平台46结 论48致 谢49参考文献50附 录52一、英文原文52二、英文翻译59三、源程序65 - 71 -前 言近年来,随着全球信息化、网络化大潮的推进,计算机与网络经济成为社会经济生活中重要的组成部分。但是以计算机系统、网络系统等为对象的犯罪行为和利用各类高科技手段进行的高科技犯罪活动同样也愈演愈烈,由此造成的经济损失令人触目惊心,引发的社会问题也越来越突出,所以信息安全
13、在当今日常生活中显得越来越重要。要解决此类问题、打击计算机网络犯罪就需要找到充分、可靠、有说服力的证据,而利用计算机等不同于传统获取证据的方式进行取证统称为数字取证(Digital Forensic)。DFRWS(Digital Forensic Research Workshop)对数字取证的定义是1:数字取证就是把经过科学手段推导和验证的方法,应用到对源自数字来源的数字证据的保存、收集、确认、识别、分析、解释、文档编制和呈现中去,以简化和促进犯罪事件的重建,或帮助预见有破坏性的非授权行为。数字取证一般依据取证的时间不同分为实时取证与事后取证两类,其中事后取证是指在计算机等数字设备已经被入侵
14、或遭受攻击的情况下,执法人员通过一些技术手段对遭受攻击的电子设备进行的调查取证,也称为静态取证。但是,随着犯罪分子运用科技手段的不断提高,静态取证显然已经不能高效地破获案件,那么可能需要进行实时取证。实时取证也称为动态取证,是指执法人员利用一些计算机、网络设备并将其与取证技术结合起来,加上一些数学工具,对网络系统进行实时监控,随时对入侵者进行取证,并识破犯罪意图最终形成证据的取证手段,本文中将实时取证即视为基于网络的数字取证技术。2001年在法国召开的第13届全球安全事件响应论坛(FIRST,Forum of Incident Response and Security Teams)年会的召开
15、标志着数字取证作为一个新兴的学科进入社会公众的视野,并逐渐成为世界各国的执法机关、安全机关研究与关注的焦点。因为开始的较早,在本研究领域国外研究是深度及广度都要大于国内的研究。在我国,早期的简单数字取证大多通过一些国内国外的取证软件进行实现,但是随着高科技犯罪的日益增多,取证技术已不能用软件来实现而要通过更为先进的算法、模型实现。近几年,国内召开了多次关于数字取证的峰会,吸引了众多国内外专家学者及信息安全的爱好者参与研究讨论,这给数字取证技术的发展注入了强大动力。国内的数字取证技术也正一步步走向国际前沿。下面就基于网络的数字取证技术进行层层深入的分析与研究。第一章 数字取证技术概述第一节 数字
16、证据综述无论从字面上还是从实际情况中看,数字取证的直接作用对象都是数字证据。从概念上理解,数字证据是指3在计算机或计算机系统运行过程中产生的,以其记录的数据和资料来证明事实的电磁记录物,是一种介于物证与书证之间的独立的证据。众所周知,数字信息在计算机及网络系统内是以二进制符号“0”和“1”来表达的,这些0与1通过不同的毫无规则的排列而形成我们可以看见的文字、图形图像、音频视频等信息,当这些信息经过调查取证形成了证据的时候,就成为我们上文中提到的数字证据。下面我们将从数字证据的特点和其存在源及表现形式来描述数字证据。一、数字证据的特点 数字证据同传统的证据相比,数字证据主要具备高科技性、显示形式
17、的复合性、易破坏性、客观实时性、混合性等五个特点4。1、高科技性信息通过计算机以二进制编码的形式来实现某种功能,那么数字证据的产生、存储和传输的形态就不是我们平时可以识别的文字、图形,而是由一组毫无规则的0与1组成了串,数字证据的这个特点使得其在产生、存储、传输以及显示提取等多个环节都离不开计算机系统或网络系统的支持。数字证据的高科技性还使得其具备收集快、容易被保存、容量少、传输便捷等多个特点,而且可以重复使用,便于操作、审查等。2、显示形式的复合性 虽然数字证据是由毫无规则的0与1构成,但是其显示出来时却包括了几乎所有的传统的证据形式,如文字、图形图像、音频视频等,而且可以是修改、交互式的、
18、可隐藏的、可加密编译的等等。3、易破坏性 数字证据的表示是通过二进制码,就是之前提到的0与1的串,而其存在的方式是数字信号,也就是说数字证据具有数字信号离散的特点,是非连续的。那么从技术上说,数字证据就可能被违法分子窃听、截收、删节甚至利用而且几乎无从查证,同时其也可能被误操作、突然停电、网络发生故障、病毒入侵、软件兼容故障或者硬件故障等而引起数据丢失、系统崩溃等无法预料的突发情况,这些都可能使得数据偏离原有的表达,即失真,从而无法将真实的情况客观地反映出来。因此,数字证据具有很大的不稳定性。4、客观实时性当犯罪嫌疑人入侵网络时,计算机系统及网络系统能够自动记录嫌疑人的使用痕迹并在系统中保存一
19、段时间,记录的内容包括访问时间、访问IP地址等,考虑到数据传输的发生是一瞬间进行的,所以我们可以认为这些记录都是实时的。在不考虑人为因素的情况下,数字证据一旦产生就会始终保持其形成之初时的最原始的状态,并且该证据能够长期地存在且反复的使用。从这一点是传统意义上的证据所无法比拟的。数字证据具备的客观实时性,更加方便执法人员在一定的时间空间内快速锁定犯罪嫌疑人并调查取证。5、混合性 数字证据同时拥有书面证据、实物证据证、音频视频证据等传统证据的特点。二、数字证据的存在源及表现形式数字证据以数字信号的形式存于电子介质中,我们称这些保存着数字证据的介质为数字证据的存在源5。通常情况下,数字证据一般保存
20、在以下几种介质中。第一,保存在计算机系统内,数字证据的具体存在方式主要有:(1)系统日志文件;(2)备份日志文件;(3)入侵者残留物:如程序、脚本、进程、内存映像等;(4)交换区文件;(5)临时文件;(6)硬盘中没被分配的空间,在其中通常可以寻找到被删除的文件;(7)系统缓冲区。第二,保存在网络系统中,数字证据的具体存在方式主要有:(1) IDS日志;(2) 防火墙日志;(3)一些其他的网络工具所产生的记录和日志等。第三,保存在其他存储媒介中,数字证据的具体存在方式主要有:存储卡、便携式记忆卡、大型其他的扩展SD卡等等。第四,保存在其他的电子设备中,比如针孔摄像头、电话机的留言块、摄像机、手机
21、等设备中。总之,数字证据是进行数字取证的直接对象,它是决定着案件能否成功侦破、受害对象的合法权益能否得到保障的最直接因素。第二节 数字取证的步骤及方法在前言中,我们提到了数字取证的定义为:把经过科学手段推导和验证的方法,应用到对源自数字来源的数字证据的保存、收集、确认、识别、分析、解释、文档编制和呈现中去,以简化和促进犯罪事件的重建,或帮助预见有破坏性的非授权行为。下面我们将就数字取证的步骤、方法进行更深一步的阐述。一、数字取证的一般步骤数字取证一般包括以下六个步骤。其步骤流程如图1-1所示。1、现场勘查:保护作案现场并对现场进行勘查,同时获取重要的物理证据,如有需要,则对现场进行封闭处理。2
22、、识别证据:对可获取的证据类型进行识别,并确定其获取方法;3、传输数据:将在案发现场获取的证据完整地传输到取证分析的机器即分析机上;4、保存证据:确保证据信息在保存过程中不改变,且不会被破坏;5、分析证据:对证据进行分析,并显示出来,具有确定结果;6、提交证据:将完整的证据根据规定的形式,依据合法的程序提交至司法机关。图1-1 数字取证步骤二、数字取证的一般方法取证是指对能够为法庭接受的、足够可靠的和有说服性的,存在于计算机和相关外设中的数字证据的确认、保护、提取和归档过程。数字证据的产生、传输、存储与技术有密切的关系,所以它也应当与技术因素密切相关。由此可以将数字取证分为一般取证和复杂取证6
23、。1、一般取证一般取证是指传统意义中的在案发现场未经伪饰、修改、破坏等情况下进行的取证,一般有以下几种情况。(1)对数字犯罪等刑事案件中的具有法律意义的文字内容证据,可以在监控下直接打印或者由执法人员进行保存。(2)对数字犯罪等刑事案件中的具有法律意义的视听内容证据,执法人员可以采用拍照、摄像等手段进行取证。(3)对取证过程中产生的手工日志,如取证的种类、取证的时间等制作司法文书。司法文书在使用时,需要通过权威部门的认定,才能成为证据。司法文书具备专门性、特定性等特点,可以很好地对犯罪事实进行证明。其主要使用于网络系统中一些数字证据的调查提取,如时间戳、数字签名等。(4)对于涉案的证据材料采取
24、查封、扣押等方式,使得证据一直处于司法机关的严密保管之中。(5)因为数字证据具有易破坏的特点,且一旦将其破坏就很难恢复,所以一般来说执法人员会将数字证据交往公证机构进行公证,以固定证据。2、复杂取证 同一般取证不同,复杂取证是指取证时需要专业的技术人员协助进行的数字取证活动。其包括以下几种情况。(1)对已经加密了的数字证据进行解密。(2)对于那些被破坏了的数字证据,通过技术手段处理同已经生效数字证据比较并加以恢复,这样可以获得更多有效证据。(3)通过已准备好的测试文件对数字证据内容中涉及系统问题的测试,进而对证据进行确认。三、对数字取证的技术分析1、日志分析数字犯罪等一些高科技犯罪基本上都与对
25、数字产品的操作有关,而在操作时,系统会自动记录下运行日志,那么这些日志文件中就可能会存在执法人员想要寻找的数字证据。我们可以通过手工或使用日志分析工具如,和等对日志进行分析,以得到蛛丝马迹。可是如果犯罪分子利用技术手段得到了系统的最高使用权限,那么他们就可以轻而易举地将日志文件破坏删除掉,这样就可以掩人耳目,将他们作案时的痕迹擦除,给破案带来难度。一般来说,应对这种较为“高明”罪犯执法人员通常会寻找或编写一些软件以阻止系统文件或日志文件被破坏,防止证据丢失。2、对活动文件的扫描执法人员可以对活动文件进行扫描,其要求是系统能够进行逻辑及物理上的对文件的扫描,用于记录可能会成为证据的文件各类属性值
26、。而且,那些被扫描出来的可疑文件及与之类似的临时文件都必须纳入考虑范围之内。3、对删除文件的恢复一些接触计算机不是很深入的人可能会以为当用户将文件彻底删除,如清空回收站或格式化硬盘之后,那些已经删除了文件就无法恢复了。其实不然,首先我们需要了解磁盘的结构,磁盘中有很多磁道(Track),磁道会被等分成一些扇区(Sectors),一个磁道中的若干个扇区构成一个簇(Cluster),而簇是磁盘上最基本的存储单元。我们平时写入数据都是往簇中写入,每当我们写入了新的数据,那么被写入了数据的簇就会被占满,且无论该数据是否有能力占满整个簇。那么簇可能就会有被“浪费”了的空间,我们称之为Slack空间。Sl
27、ack空间对数字取证来说有着重要的作用。当我们执行文件的删除清空格式化等操作时,文件从系统可视化界面中消失,但是这个文件的数据并没有真正意义上的消失,系统只是把那些指向删除文件的某些参数清除,但是文件的数据仍然在磁盘中。因此,那些我们以为已经丢失了的文件一般来说是可以通过技术手段进行恢复的。当新的数据写入磁盘空间,且没有占满整个簇,那么之前被删除了数据就会留在没有占用的空间,即Slack空间中,也就是说我们恢复的数据都是保存在slack空间里的。要真正地从磁盘上抹去数据是非常麻烦的事情,所以大多数系统为了提高处理效率,当用户删除文件时,只是删除文件的首字节。只有当磁盘中的数据经过多次写入删除直
28、至被覆盖后才有可能不能被恢复。通过以上叙述,我们可以看出恢复已经删除甚至“彻底删除”的文件是完全有可能实现的。4、对被破坏的数据的修复 执法人员通常会利用一些专业的工具软件,对他们获得的数字证据进行仔细全面的分析,而且会对整个分析过程进行详实的记录。那么对于那些已经被犯罪分子破坏了的数字证据,执法人员想要获得就必须利用软件进行修复,对于那些被犯罪分子加密了的数字证据,执法人员会对犯罪分子进行询问获取密钥,同时技术人员会对其进行密码的破解。对于删除的数据,上面我们提到了需要对数据进行恢复处理。最后,执法人员将通过复杂取证得到的证据与一般取证获得的证据进行对比,得到证据之间的关系,挖掘其相同或相似
29、的特征,确定证据的来源,构成证据链条,最终形成犯罪事实,还原犯罪现场。5、数据保存数字证据要获得法庭的认可,就必须被最终判决的人员所接受,那么其形式就必须是正常人可以接受的基本形式,是可视的,并且证据不会被非法篡改,必须具有完整性、原始性和真实性,能够还原犯罪事实。当执法人员不能确定其一般获得数据是否为原始数据时,就需要对他们得到的磁盘证据进行全面的数据拷贝,就是将磁盘中任何区域的数据进行拷贝,不丢下任何细节,这样获得的最原始的证据经过合法的处理以及证据完整性处理就可以成为递交给法庭的证据,可以还原犯罪事实。如果有需要,执法人员可以对证据进行加密。这里介绍磁盘一般的加密方法,例如激光穿孔法、固
30、化部分程序法、掩膜加密法以及芯片加密等等,还可以利用修改磁盘区间隙、修改磁盘空闲的高磁道等方法来实现磁盘的加密。另外,为了防止黑客使用堆栈溢出的漏洞对系统进行攻击,执法人员也可以利用堆栈溢出保护方法进行保护。总之,执法人员会利用各种可以利用的方法获取证据,并对证据进行保护。第三节 本章小结本章主要从数字证据以及数字证据的取证即数字取证两个方面对数字取证的基本概念,数字证据的基本概念、特点、存在源及表现形式,数字取证的一般方法、一般步骤及进行数字取证的技术分析等方面进行了初步的介绍,使得我们对数字取证技术有了基本的了解。我们明确了数字取证是把经过科学手段推导和验证的方法,应用到对源自数字来源的数
31、字证据的保存、收集、确认、识别、分析、解释、文档编制和呈现中去,以简化和促进犯罪事件的重建,或帮助预见有破坏性的非授权行为。数字证据是在计算机或计算机系统运行过程中产生的,以其记录的数据和资料来证明事实的电磁记录物,是一种介于物证与书证之间的独立的证据。数字证据与数字取证之间是作用于被作用的关系,即数字取证的直接对象是数字证据。我们明确了数字证据具备高科技性、显示形式的复合性、易破坏性、客观实时性、混合性等五个特点,以及数字取证的六个基本步骤,这对我们接下来整个基于网络的数字取证技术奠定了一个理论基础。在这里,除去文中提到的数字取证的六个基本步骤外,国内外的专家学者还提出了各种基于不同理论的数
32、字取证模型,如,一种不局限于特定数字取证类型、以取证实施者为中心、使用状态转移图描述的抽象数字取证模型7,基于日志挖掘的计算机取证系统模型8,基于数字取证的不同取证方式、不同取证阶段、不同取证种类的一种新的三维的数字取证流程模型9等。基于本文主要是对基于网络的数字取证技术进行分析,故下章我们会就在网络系统中进行数字证据的取证进行进一步的分析探讨。第二章 网络取证环境概述在上一章中,我们主要对数字取证这一大的概念进行了简单的阐述,从一个很广泛的角度初步地了解了数字取证的一些基本信息。介于我们主要研究基于网络的数字取证技术,故从本章开始主要我们主要阐述在网络环境下的数字取证技术。本章将先从概念等框
33、架性内容对基于网络的数字取证中可能会用到的计算机网络的相关知识进行一些介绍。第一节 计算机网络系统概述 根据教科书中的定义,计算机网络是通信线路将分散在不同地点的、具有独立自主性的计算机系统相互连接,并按网络协议进行数据通信和实现资源共享的计算机集合。下面我们将基于计算机网络的这个定义介绍计算机网络的组成、应用、体系结构和协议。一、计算机网络的组成根据定义,我们可以简单地把计算机网络说成是多个计算机经由通信线路互联而成的网络系统。图2-1 计算机网络基本组成示意图在这个系统中,计算机或者成为主机host是网络资源中的主要部分,是用户实现相互通信、访问网络和共享网络资源的关键设备。为了将主机终端
34、连接入网,常常还需要一些辅助设备,比如调制解调器、多路复用器、通信控制器、前端通信处理机等。由于通信距离一般较远,因此在通信线路上可能要经过多个中间节点IMP(interface message processor)。上图是由主机、终端和IMP组成的计算机网络组成示意图。为了降低组网的复杂程度,减少工作量和方便异种机的互连,并且考虑到需要充分利用通信线路资源,提高网络的完整性和可靠性,简化设计,将数据处理与通信处理任务分开,故由此划分出资源子网和通信子网两部分。上图中边框外的部分为资源子网,框内的部分为通信子网,即计算机网络是由这两个子网构成的。这种功能上的分工使二者既有联系,又有各自的独立性
35、,有利于全网效率的发挥。1、资源子网的构成及作用一个计算机网络的资源子网是由入网的所有主机、外部设备、软件和数据组成,其中主机可分为巨型计算机、小型和微型计算机以及智能终端等,软件可以为本地系统软件、用户应用程序、通信软件和网络软件等,它们负责全网的面向用户的数据处理与数据管理,以实现最大限度的全网资源共享。为了实现这一目标,除了对主机在CPU、存储能力、连接入网、连接入网的设备等具有一定要求外,对所配软件的种类和功能也是如此。而通信软件则是一个支持主机与各类终端或者其他子系统进行通信的程序集,它一方面解决用户的应用程序与远程设备的有效连接,使相应程序能够执行与数据传输有关的全部控制功能,进而
36、使远程终端能读出和写入数据;另一方面自动地把由应用者写出的高级语句或命令交换成复杂的低级语言机器指令序列,这给应用者描述通信功能时省去了麻烦。再有,网络软件是在网络操作中附加网络控制程序,由它执行网络所需要的动作,又分为专用和通用两种,但越来越具备开放式功能。资源子网中的终端设备,作为人机对话的工具,其作用也是很重要的。一般由I/O部分和控制部分。其中I/O部分包括外部存储设备、键盘、CRT显示器和线路控制接口等;而控制部分要解决通信线路上收发代码的串/并转换、起止和应答确认以及差错的检测/校正。数据缓冲与变换。局部处理等。2、通信子网的构成作用和设计计算机网络中的通信子网是由传输线和转接部分
37、组成。其中传输线,也称为电路或信道等,承担着传送比特流的任务,而转接部件即接口信息处理机IMP或者称为转接节点是用来连接两条或多条传输线的,对传输线上的比特流进行转接。通信子网在计算机网络中主要有两个作用:提供用户入网的接口,实现数据传送及转接。首先,用户入网接口,自然涉及硬件接口和软件接口,在硬件上采取什么样的接口电路和如何进行机械连接等。这里对是模拟信道还是数字信道。是采用异步传输还是同步传输等的不同会有不同的措施。其次,数据转接是通信子网的重要功能,是由具有路由功能的转接节点IMP完成的。其过程是,当数据从一条输入线到达某个IMP后,该IMP必须将数据暂存起来然后选取一条合适的处于空闲状
38、态的输出线及时向前发送。在通信子网中,IMP之间的连接方式有很多,但是归纳起来大致可以分为两大类:点-点信道,共享广播信道。其中点-点信道一般有星型、环型、树型、全连接、交叉环、不规则等几种拓扑结构;共享广播信道一般有地面无线电网、卫星网、总线局域网、环网等拓扑结构。二、计算机网络的体系结构与协议我们首次明确计算机体系结构(computer architecture)的概念:计算机系统(包括软件和硬件)的逻辑结构和功能分配及其实现方法,主要包括指令格式和寻址方式;数据结构和形成过程;主机与外围设备的连接方式;存储系统的功能管理,中央处理器的构成,硬件和软件功能的分工与配合,以及系统的扩充性和兼
39、容性等。而计算机网络体系结构(computer network architecture,CNA)是属于计算机体系结构的一种,是一种新型的计算机系统,它要研究的内容是指网络的基本设计思想和方案,包括网络的拓扑结构。系统信息处理方式、各系统之间的信息传输规程或协议、用户与终端的交互方式、路径控制与信息流控制,以及资源动向的内容与方式等。 计算机之间的通信是在不同系统上的实体之间进行的。这里的实体泛指任何可以发送或接收信息的软件或设备,例如终端、应用程序、文件传送软件包、数据管理系统、电子邮件系统等。为了能在两个实体之间正确地进行通信,通信双方必须遵守共同一致的规则和约定,如通信过程的同步方式、差
40、错处理方式、数据格式、编码方式等,否则通信就将成为不可能或毫无意义,这些规则的集合就成为协议。由于网络上的各计算机系统分散在不同的地点和来自于不同的制造厂家,因而使得这些不同的计算机系统上两个实体之间的通信过程和协议变得较复杂,实现起来也较为困难。要了解基于网络的数字取证如何进行,就必须了解数据在网络中是如何进行数字通信的。在具有功能层次的两个不同系统上进行通信是在对等层(同级层)之间进行的。对等层中进行通信的一对实体称为对等体或对等进程。第n层的对等实体间进行通信时所遵守的协议称为第n层协议,这里构成一个层次化结构模型。实际上,数据不能从一个 机器上的第n层直接传输到另一个机器上的第n层,而
41、是沿纵向通过发生在相邻层之间的接口进行的。这里,我们举例说明虚拟通信与实际信息流向问题,如图2-2所示,主机A向主机B发送报文m的通信过程为:主机A第7层某个进程产生报文M,该报文M按6/7层间接口的定义从第7层传到第6层;假设本例中第6层以某种特定方式对M进行转换,然后跨国5/6层接口把新报文M送交给第5层;第5层对M不作修改而直接跨过4/5层接口传至第4层;由于很多网络的第3层对报文长度有一定限制,因此本例中的第4层把M分为两个小单元M1与M2,为使接收端能按原发送顺序来正确接收,要对每个报文加上一个报头,其中包括报文包序号、报头长度等附加控制信息,然后传至第3层;第3层将收到的信息视为高
42、层数据,再加上自己的报头传至第2层;第2层再加上自己的控制信息形成帧传至第1层;第1层以比特流形式通过传输介质传给主机B的第1层。然后向上逐层递交,每向上传递一层,该层的报头就被剥掉,意味着本层协议功能已经完成。绝不会出现把带有n层以下的报头的报文交给n层的情况,最后主机B收到报文m。图2-2 支持第7层虚拟通信的信息流 综合理解,我们可以认为,首先除了在物理介质上进行的是实通信外,其余对等层实体间进行的都是虚通信;其次对等层的虚通信必须遵循该层的协议;最后,n层的虚通信是通过(n-1)/n层间接口处(n-1)层提高的服务以及(n-1)层的通信来实现的。第二节 网络安全概述一、网络证据及来源与
43、网络通信活动有关的证据都可以成为网络证据。实际上,证据最终总是要被存储,现阶段的各种数字设备本质上都可以看成是计算机,可以存储相应的证据,如网络交换机、路由器等等。一般来说,网络证据主要有以下四个来源:(1)来自于网络服务器、网络应用主机的证据:系统事件记录和系统应用记录,网络服务器各种日志记录,网络应用主机的网页浏览历史记录,Cookies,收藏夹,浏览网页缓存等。有关主机的取证信息对分析判断是必不可少的,所以也应注意结合操作系统平台的取证技术。(2)来自于网络通信数据的证据:在网络上传输的网络通信数据可以作为证据的来源,这些数据可以反映计算机的工作状态以及行为人的行为。从网络通信数据中可以
44、发现对主机系统来说不容易被发现的一些证据,这样可以使得证据更加充足。这一部分可以从网络协议层划分的角度来讨论证据获取与分析问题,诸如TCP/IP协议。(3)来自于网络安全产品、网络设施的证据,比如路由器、交换机、访问控制系统、专业性审计系统、防火墙、IDS系统等网络设备。(4)专业的网络取证分析系统产生的包括日志信息在内的结果。二、网络环境用户身份认定1、域名解析进行域名解析,即已知域名查找IP地址的优先次序,找到即返回,未找到继续道下一项:(1)查找HOSTS文件中的IP与域名对照表。(2)本地域名服务器。(3)本地域名服务器查找负责该区域的远程域名服务器。(4)继续上述步骤直到查询根域名服
45、务器。然后逐步返回域名查询结果给查询的服务器,本地域名服务器缓冲有关数据并回答查询客户端程序。如果有关查询结果是非权威的、不完全准确的信息,本地域名服务区有可能被欺骗。2、IP地址我们常常关心的问题就是某IP地址是否真实,所以设计到IP地址的获取问题,其方式主要有以下四种,如图2-3所示。图2-3 获取IP地址的方法3、MAC地址MAC地址只在局域网通信时使用,IP地址和MAC地址的转化是通过查找 ARP表来实现的,该表是由地址解析协议自动创建的。需要指出的是,MAC地址因为出现了很多修改工具而变的极易被修改,所以也不能绝对信赖。比如UNIX系统中就可以通过命令来改变MAC地址,Windows
46、下面也有改动MAC地址的手段。因此不可以简单地将MAC地址认为是证据。4、用户名、密码与身份注册信息 拥有用户管理机制时,用户名、密码与身份注册信息为我们确认责任人提供了方便。需要注意的是是否有密码丢失、账户盗用等问题。三、数据加密机制简述一般来说,根据ISO-7498-2建议,网络安全机制有以下8种:加密机制;数字签名机制;访问控制机制;数据完整性机制;交换鉴别机制;防业务流分析机制;路由控制机制;公证机制。其中加密是提供数据保密的最常用方法,密码技术是解决信息安全的核心技术。因此,这里我们重点阐述数据加密技术的相关知识。1、数据加密技术简介数据加密主要用于对动态信息的保护。对于主动攻击,虽
47、无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和实施置换的变换算法。这种变换是受密钥控制的。在传统的加密算法中,加密密钥和解密密钥是相同的,或者可以由其中一个推导得知另一个,称为对称密钥算法。这样的密钥必须秘密保管,只能为授权用户所知。如果加密与解密过程各自有其不相干的密钥,构成加密解密密钥对,那么称这种加密算法为非对称加密算法或公钥加密算法,相应的加密、解密密钥分别称为公钥私钥。在公钥加密算法下,公钥是公开的,任何人可以使用公钥的加密信息,再将密文发送给私钥拥有者;而私钥是保密的,用于解密其接收的、公钥加密过的信息。为防止信息内容泄露,我们可以将被传送的信息加密,使信息以密文的形式在网络上传输。为了检测出攻击者恶意修改了消息的内容,通常我们采用认证的方法,即对整个信息加密或者由一些消息认证的函数如MAC函数生成消息认证码,再对消息认