随着信息技术的不断发展,计算机犯罪问题日趋严重,它直接危害国家的政治、经济、文化等各个方面的正常秩序。现有的网络安全方面的研究多着眼于防犯入侵,而对入侵取证的问题研究甚少。然而,计算机取证技术的研究对于打击计算机犯罪、追踪入侵、修补安全漏洞、完善计算机网络安全体系具有重要意义。 本文研究网络入侵的计算机取证技术,全文共分六章。第一章介绍了课题的选题背景和研究意义,并简单介绍了计算机取证技术的国内外研究现状。 第二章介绍了数字证据的概念、数字证据的特点及来源,计算机取证过程中所必须遵循的原则以及计算机取证的步骤。 第三章对Windows平台网络封包截获机制和实现方式进行详尽的探讨,分析用户层和核心层两种封包捕获方式的优缺点,并介绍了N-DIS和Winpcap开发包。 第四章介绍了两种入侵取证的分析技术:模式匹配和协议分析。主要分析了BF、KMP、BM这几种模式匹配算法,详细分析了以太网、TCP/IP协议的帧格式。 第五章提出一个计算机取证系统的设计模型并对相关模块进行详细设计。包括利用Winpcap开发包编写包捕获程序以获取网络数据包;采用SSL协议实现数字证据的安全认证传输;提出一个数字证据保存方案,即采用散列函数验证证据的完整性、用数字签名验证证据的采集者身份、用时间戳确定证据的采集时间,全方位的防止修改、伪造证据;提出了对所捕获的数据先进行协议分析,再对具体的协议采用模式匹配的方法设计相关的分析引擎,再把攻击特征库进行细分,使每个小攻击特征库对应每一种协议的攻击,这样大大提高了检测效率。 第六章具体实现了网络数据获取模块和协议分析模块。实验结果表明,网络数据获取模块能捕获到网络底层的封包,而协议分析模块能正确解码以太网、ARP、IP、ICMP、TCP和UDP多种网络协议。 本论文的创新点是设计一个基于主机和网络的动态的计算机取证模型;设计一个基于Windows平台的高效包捕获程序,并在获取网络封包的基础上,采用协议分析和模式匹配相结合的分析方法对数字证据进行分析以提取入侵证据。