基于代理的网络会话取证与监控系统

在分析现有网络会话记录系统存在问题的基础上，提出一种基于代理的分布式网络会话取证和可视化监控体系结构，设计了一种新方法可巧妙实现网络会话的解析，即通过修改网络服务客户端的底层接收部分，使其不从操作系统的ＴＣＰ／ＩＰ协议栈获取报文数据，而是从捕获的报文中接收数据，然后从其输出中获得解析结果．介绍了已实现的基于代理的网络会话取证和可视化监控系统的总体设计与组成，讨论了实现该系统的关键技术。

基于木马的计算机监控和取证系统研究

阐述了常用动态取证工具和取证系统的特点,分析了取证模式及木马技术,设计了一种基于木马的计算机取证系统。通过木马的隐藏和抗查杀等关键技术的应用,取证系统能提供3种不同取证方法实现对监控目标的秘密、实时、动态取证。

基于蜜罐的数字取证系统的研究与实现

数字取证已成为信息安全和司法领域的研究热点,文中在深入分析各种Web攻击行为的基础上,利用蜜罐搭建了当前流行的Web服务器系统,综合利用基于主机和网络的入侵检测技术,开发出一套高效实用可控的Web数字取证系统。该系统通过多个分布式取证代理不断监视和分析网络中对Web服务器的访问情况,在构建高度可控的Web服务器基础上,确定网络入侵者的行为是否已构成犯罪,然后提取和分析入侵犯罪信息,实现证据信息的完整性保护,同时通过对证据进行融合,生成入侵犯罪证据。

CFMMQ:一种共享内存多队列协同取证方法

为了使网络取证系统能够协同多个安全取证系统有效取证,提出了一种共享内存多队列的协同取证方法。该方法采用了共享内存通信方式,借助信号机制,设计了基于多个队列进行数据交换算法,解决网络协同取证大数据量通信问题,基于入侵检测报文格式协议(IDMEF)设计了协同取证网络报文协议。通过实现取证系统,验证了协议设计的有效性。