基于局域網主機日志的取證技術研究與系統設計.pdf

1、伴隨著計算機的出現和使用,出現了一種新的犯罪形式,這就是計算機犯罪。這種新型的犯罪活動正日益猖獗,給國家的發(fā)展和穩(wěn)定帶來了嚴重的危害,打擊和防范計算機犯罪已經成為各國司法部門亟待解決的一大難題。計算機取證技術正是在這種應用背景下發(fā)展起來的,它的目標是對計算機及其相關的設備中發(fā)生的犯罪行為進行取證,獲取入侵事件的電子證據,為打擊犯罪分子提供證據。 近年來,計算機取證技術正在成為人們關注和研究的熱點,已經發(fā)展了一批成熟的計算機取證技

2、術和取證工具。但是傳統取證技術局限于事后的靜態(tài)取證,由于反取證技術的發(fā)展,事后取證技術很難保證證據的真實性、有效性和及時性；現在有些動態(tài)的取證模型是和入侵檢測系統結合起來,試圖在發(fā)現入侵的時候,把一些能反映入侵行為的文件保存起來,由于入侵檢測系統存在一些缺點,也導致這種模型不能真正地保證電子證據的完整性。 本論文提出了一種基于局域網主機日志的取證模型,可以克服以上缺點。日志文件記錄了系統指定對象操作及其操作結果,它能夠反映用戶的

3、行為,可以作為電子證據。本模型采用基于代理的分布式結構,通過在被取證計算機上的代理軟件,實時地提取被取證機上產生的日志記錄,通過多種加密技術,對日志記錄進行加密,生成日志的數字簽名以及能證明同志記錄相互關聯關系的消息摘要,通過建立安全通道傳輸到安全的取證服務器上保存,并能通過驗證算法證明日志的原始性和真實性,從而保證了日志證據的安全性和抗否認性。并設計了在取證機服務器上依據關鍵字進行查詢的功能。 本模型的特點： 1)實時