基于蜜罐的数字取证系统的研究与实现

数字取证已成为信息安全和司法领域的研究热点，文中在深入分析各种Web攻击行为的基础上，利用蜜罐搭建了当前流行的Web服务器系统，综合利用基于主机和网络的入侵检测技术,开发出一套高效实用可控的Web数字取证系统。该系统通过多个分布式取证代理不断监视和分析网络中对Web服务器的访问情况，在构建高度可控的Web服务器基础上，确定网络入侵者的行为是否已构成犯罪，然后提取和分析入侵犯罪信息，实现证据信息的完整性保护，同时通过对证据进行融合，生成入侵犯罪证据。
近年来，随着全球信息化、网络化大潮的推进，以计算机网络信息系统为犯罪对象和以计算机网络信息系统为犯罪工具的各类新型数字犯罪活动愈演愈烈。美国、英国、德国、韩国的黑客曾利用Internet网络分别进入了五角大楼、美国航天局(NASA)、北约总部和欧洲核研究中心的计算机数据库[1]。以2001年在法国召开的第13届全球FIRST[2]（Forum of Incident Response and Security Teams）年会（此次会议的中心议题是入侵后的系统恢复和分析取证）为标志的取证研究，逐渐成为世界各国信息安全和司法领域研究与关注的焦点。
蜜罐的思想最早出现在九十年代初期，由网络管理员所应用，通过欺骗黑客达到追踪的目的。1998 年著名计算机安全专家Fred Cohen 发布了著名的蜜罐工具DTK（欺骗工具包），并于2001年在理论层次上给出了信息对抗领域欺骗技术的框架和模型[3]。蜜罐技术是一种对攻击者进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务以及信息诱使攻击者对他们进行攻击，减少对实际系统所造成的安全威胁，更重要的是蜜罐技术可以对攻击行为进行监控和分析、取证，了解攻击者所使用的攻击工具和攻击方法，推测攻击者的意图和动机，从而能够在以后更有效的提取数字证据。
DFRWS（Digital Forensic Research Workshop）对数字取证的定义[4]是：把经过科学手段推导和验证的方法，应用到对源自数字来源的数字证据的保存、收集、确认、识别、分析、解释、文档编制和呈现中去，以简化和促进犯罪事件的重建，或帮助预见有破坏性的非授权行为。
按数字证据发生的时间不同，将数字取证分为事后取证和实时取证[5]。随着网络犯罪技术的提高,事后取证已无法适应要求,解决方案是进行实时取证。实时取证,也称动态取证,是指利用相关的网络安全工具,将防火墙、入侵检测技术和取证技术结合起来，实时获取网络数据并以此分析攻击者的企图和获得攻击者的行为证据。基于蜜罐的数字取证系统是用真实的系统、应用程序、服务和虚假的“敏感”信息来与攻击者进行交互，来获取入侵者证据的系统，它具有真实性、可控性、高效性和完整性。