网络安全技术及应用第九章.ppt

网络安全技术及应用第九章
第1页，本讲稿共40页
*
*
第9章 网络安全新技术及应用
可信计算
电子取证技术
蜜罐网络技术
信息安全风险评估
第2页，本讲稿共40页
*
40页
静态取证技术

1. 静态取证步骤
共分为5个步骤
2. 静态取证系统结构
3. 静态取证的关键技术
（1）磁盘映像拷贝技术
（2）数据恢复技术
（3）证据分析技术
（4）加密解密技术
*
*
第14页，本讲稿共40页
动态取证技术
网络动态电子取证技术，在是取证人员取得授权的情况下，将取证设施部署于犯罪者最可能经过的网络，利用已掌握的犯罪特征，从网络中过滤出正在实施的犯罪，因此基于网络的动态取证属于犯罪过程中取证，更有利于及时抓捕犯罪分子，降低其社会危害。
动态取证的证据主要包括两部分，其一是实施犯罪的原始网络数据，另一则是实施犯罪的网络数据在经过的网络设备和目标系统中留下的检测信息、各种日志等。
网络动态电子取证的过程
*
*
第15页，本讲稿共40页
电子取证相关工具
电子取证相关工具
1. EnCase软件
Encase 软件由美国Software Guidance 公司研发，是一个基于Windows 操作系统的取证应用程序，为目前使用最为广泛的计算机取证工具。
2. Forensic Toolkit
Forensic Toolkit由美国Access Data 公司研发，是一系列基于命令行的工具包，是美国警方标准配备。
3. TCT
为了协助计算机取证而设计的软件包。
*
*
第16页，本讲稿共40页
*
*
蜜罐网络技术
蜜网的概念与发展历程
蜜网技术的特点
蜜网的局限性
蜜网体系的核心机制
第一代蜜网技术
第二代蜜网技术
虚拟蜜网技术
第三代蜜网技术
蜜网应用实例
蜜网技术展望
第17页，本讲稿共40页
蜜网的概念与发展历程
蜜网的概念与发展历程
1. 蜜网概念
2. 发展历程
蜜网技术的发展主要经历三个阶段:
（1）第一代蜜网技术(1999-2001年)：蜜网早期研究关注于验证蜜网理论，试验蜜网模型。
（2）第二代蜜网技术(2002-2004年)：从早期的验证蜜网理论转移到简化蜜网应用。
（3）第三代蜜网技术（2005年至今）：具有多层次的数据控制机制，全面的数据捕获机制，深层次的数据分析机制以及高效、灵活的配置和管理机制。
*
*
第18页，本讲稿共40页
蜜网技术的特点
1. 蜜网是一个网络系统，而并非单一主机。
2. 蜜网作为一种主动防御方式，在主动搜集进攻者情报的基础上，事先做好预警和准备，把进攻者的攻击扼杀于萌芽状态，最少是可以降低攻击者进攻的有效性。
3. 蜜网除了主动防御黑客攻击外，也可以了解自身的安全状况。
4. 蜜网是为了了解攻击者的信息而设计的。
*
*
第19页，本讲稿共40页
蜜网的局限性
蜜网的局限性
，它仅能监听与分析针对蜜网内部蜜罐的攻击行为。
2. 蜜网虽然具有观察、捕获、学****攻击的能力，但学****到新的攻击方法仍及时需要补充到入侵检测系统的知识库中，这样才能提高入侵检测的性能和整个系统的安全性。
3. 蜜网是一种有效的主动防御技术，它的优势是传统的被动防御手段所无法比拟的，但是我们也不能忽视蜜网的实施给系统安全所带来的风险。（三类风险）
*
*
第20页，本讲稿共40页
蜜网体系的核心机制
蜜网体系通常具有三种核心机制：数据控制、数据捕获和数据采集，它们一起协同工作用来实现蜜网主动防御的核心价值和功能，并有效地降低系统风险。
1. 数据控制：目的是确保蜜网中被攻陷的蜜罐主机不会被利用攻击蜜网之外的其他主机。
：目的是在黑客无察觉的状态下捕获所有活动与攻击行为所产生的网络通信量，从而才能进一步分析黑客的攻击目的、所使用的策略与攻击工具等
3、数据采集：目的是针对预先部署的具有多个逻辑或物理的蜜网所构成的分布式蜜网体系结构，对捕获的黑客行为信息进行收集。
*
*
第21页，本讲稿共40页
第一代蜜网技术
第一代蜜网技术产生于1999年，它是第一个可以实现真正交互性的蜜罐，并且在捕获大量信息以