论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　3.2.4网络入侵追踪技术[18]

　　入侵追踪的最终目标是能够定位攻击源的位置，推断出攻击报文在网络中的串行路线，从而找到攻击者.IP报文入侵追踪技术包括连接检测、日志记录、ICMP追踪法、标记报文法等，可以追溯到发送带有假冒源地址报文的攻击者的真实位置，还可以发现在网络连接链中"前一跳"的信息，特点是需要利用路由器作为中间媒介.基于主机的入侵追踪技术的代表是"身份识别系统(calleridentificationsystemintheinternetenvironment，简称CISIE)"，它是为了在多台"跳板"主机追踪入侵者而设计的，其目标是向处于"扩展连接"的主机报警，提供前若干跳的连接信息.此外，"指纹技术(thumbprint)"、网络入侵源点的安全管理框架(简称DecIDUouS系统)以及协同的入侵追踪和相应框架(CITRA)、基于主动网络的入侵检测框架SWT(sleepywatermarktracing)都是具有代表性的入侵追踪技术。

　　3.2.5人工智能和数据挖掘技术

　　计算机的存储容量越来越大，网络的传输速度越来越快.对于计算机内存储的和网络中传输的大量数据，可以应用数据挖掘技术以发现与特定的犯罪有关的数据.有的专家提出了NFAT(networkforensicsanalysistools)[19]的设计框架和标准，核心是开发专家系统(expertsystem，简称ES)并配合入侵检测系统或者防火墙，对网络数据流进行实时提取和分析，对于发现的异常情况进行可视化报告。

　　3.2.6网络取证应用案例分析:计算机运行环境勘查取证系统[17]

　　该系统融合了网络扫描技术、系统扫描技术和网络侦听技术，运行在WindowsNT操作系统之上，采用汉字图形界面，操作方便、快捷.在保护系统(网络)环境原有运行状态的前提下，通过多层次的网络协议实现跨平台的网络通信;利用动态漏洞知识库实现了系统和网络的漏洞检查;利用模型检查，实现了安全协议分析，在现有的ICMP协议工具的基础上，利用有效的算法，实现了网络拓扑信息的搜索;采用SNMP，DNS等网络协议实现了网络隐藏信息的自动挖掘和关联搜索，并最终生成对涉案的全部系统的网络描绘和证据的提取.该系统采用的关键技术包括:网络设备;主机配置的自动扫描与分析技术;基于网络管理协议(SNMP)的分析技术;网络拓扑结构的自动发掘与分析技术;网络中应用和服务等信息的自动采集与表达技术;运行环境与拓扑结构的可视化技术;利用模型检验技术以实现对系统的漏洞分析.其技术上的创新点主要有:利用TCP/IP协议栈指纹识别技术进行操作系统类型探测;多种端口扫描机制使得扫描更加隐蔽;利用优化的多线程并发扫描机制可使扫描效率大大提高;利用漏洞规则库结合动态链接库技术进行漏洞扫描，便于系统升级和扩充;基于插件技术的系统扫描技术统一解决系统扫描的多版本问题。

　　但是该系统主要是针对网络证据进行勘查和定位，缺乏对单机和计算机相关设备的详细取证分析功能，仍然难以获得法庭所希望的证据资料。

　　3.3计算机取证软件工具

　　3.3.1-般工具软件

　　一般工具软件包括用于检测分区的PartitionMagic、杀毒软件、各种压缩工具软件等。

　　3.3.2取证专用工具软件

　　文件浏览器.这类工具是专门用来查看数据文件的阅读工具.只用于查看而没有编辑和恢复功能，从而体积较小并可以防止证据的破坏.比较好的软件是QuickViewPlus(http://www.jasc.com).它可以识别200种以上文件类型，可以浏览各种电子邮件文档.比起WordPerfect的频繁转换要方便得多.ConversionPlus可以用于在Windows系统下浏览Macintosh文件。