1 / 24

網路安全鑑識科學

網路安全鑑識科學. 報告者:張溏芸 學號: 49637017 課程:計算機網路 指導老師:林瑞源. 前言. 面對以電腦為通訊工具、儲存設備、犯罪標的之各種犯罪類型,為了能夠利用資訊技術在個人電腦、工作站等各種資訊相關設備中找出犯罪偵查之線索與證據,並且在取得證據的過程當中,能同時確保其證據能力與證明力,「電腦鑑識」便因應而生. 網路犯罪主要可分為. 以網路空間做為犯罪場所 以網路為犯罪工具 以網路為犯罪客體. 常見名詞. 電腦鑑識 (Computer forensics) 藉由電腦設備為媒介進行犯罪的鑑識工作 網路鑑識 (Internet Forensics)

uriah
Download Presentation

網路安全鑑識科學

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路安全鑑識科學 報告者:張溏芸 學號:49637017 課程:計算機網路 指導老師:林瑞源

  2. 前言 面對以電腦為通訊工具、儲存設備、犯罪標的之各種犯罪類型,為了能夠利用資訊技術在個人電腦、工作站等各種資訊相關設備中找出犯罪偵查之線索與證據,並且在取得證據的過程當中,能同時確保其證據能力與證明力,「電腦鑑識」便因應而生

  3. 網路犯罪主要可分為 • 以網路空間做為犯罪場所 • 以網路為犯罪工具 • 以網路為犯罪客體

  4. 常見名詞 • 電腦鑑識(Computer forensics) 藉由電腦設備為媒介進行犯罪的鑑識工作 • 網路鑑識(Internet Forensics) 針對利用網路為傳媒進行犯罪的鑑識工作 • 數位鑑識(Digital Forensics) 對於數位資料所作的鑑識工作

  5. 何謂電腦鑑識? • 電腦鑑識(computer forensics)指的是在法律規範下,蒐集、檢驗、分析及保存電腦證據,透過採集之資訊或片段資料,加以重建還原,使其獲得法庭採信。 • 電腦鑑識也就是針對數位證據的還原,而數位證據即是在各種儲存媒體及網路傳輸上可以供法院採信的數位資訊。

  6. 邏輯性鑑識的程序運作如下 一、證據收集: • 磁碟備份軟體 • 磁碟復原軟體 • 密碼破解工具

  7. 二、證據保存 三、證據檢驗及分析 四、證據呈現

  8. 是否為開機狀態 有無記錄變動性資料之必要 是 是 進行準備工作 否 否 建立映像複本 關機 記錄變動性資料 驗證 分析 保護 報告 電腦鑑識流程

  9. 鑑識工具 • 電腦鑑識工具 • 網路偵查工具 在網路環境下,針對犯罪嫌疑人所傳輸的資料作監察與截取。

  10. 網路偵查工具 • 電話記錄軟體 • 鍵擊記錄軟體 • 封包解析過濾軟體 • Ethereal, OWNS • Carnivore Diagnostic tool • 此軟體係FBI鑑識工具 • IIT Research Institute

  11. Owns 簡介 • OWNS: One Way Network Sniffer 是一個支援Windows and Linux平台的監聽程式,可將傳輸於網路上之封包經重組後儲存成檔案,支援的協定有http、pop3 and nntp。 • 開發狀態: version 0.5 • License: GNU General Public License (GPL) • 作業系統: 32-bit MS Windows (95/98), All 32-bit MS Windows (95/98/NT/2000/XP), All POSIX (Linux/BSD/UNIX-like OSes), Linux • 程式語言: Delphi/Kylix • User Interface: KDE, Win32 (MS Windows)

  12. Carnivore系統 • 連接乙太網路之單向竊聽設備(1-Way Tap) • 過濾與蒐集資料之電腦(collection computer ): • 該電腦並無鍵盤、螢幕等設施, • 以遠端電腦利用pcAnywhere之遠端監控軟體進行操控 • 安裝carnivore • 負責蒐集與檢視資料之控制電腦(control computer): Packeteer、 CoolMiner • 連結蒐集資料電腦(collection computer)之線路

  13. Carnivore系統

  14. CA安全顧問林宏嘉指出,「網路鑑識意在視覺化及重建事發過程,讓企業清楚看出攻擊者(機器)與被害者(機器)之間的關係,」CA安全顧問林宏嘉指出,「網路鑑識意在視覺化及重建事發過程,讓企業清楚看出攻擊者(機器)與被害者(機器)之間的關係,」

  15. 以CA 的eTrus Network Forensics為例,它可以整合企業安全設備以及商務、通訊應用,像是IDS、網管工具、防火牆、財務系統、資料庫、電子郵件、電腦等等,蒐集所有網路流量、紀錄並與安全事件加以關聯式分析。

  16. 將分析結果以視覺化呈現,可讓網管或安全人員很清楚看到網路存取的路徑,進而發現到異常事件,例如有人半夜存取公司資料庫系統次數高得異常,並且透過Web郵件送出去。將分析結果以視覺化呈現,可讓網管或安全人員很清楚看到網路存取的路徑,進而發現到異常事件,例如有人半夜存取公司資料庫系統次數高得異常,並且透過Web郵件送出去。

  17. 網路犯罪鑑識系統之中文化及分散式架構設計與實現網路犯罪鑑識系統之中文化及分散式架構設計與實現 • 系統設計 • 開發完全基於開放原始碼(Open Source)的中文化系統 (2) 提供分散式與分層式(Multi-tier)之多階彈性實作架構 (3) 支援跨平台運作需求

  18. (4) 提供即時前處理與離線式後處理等多重資料過濾與檢索(5) 提供完整監控記錄資料庫(6) 提供 File-based 的原始檔案證據(7) 提供 Web-based 搜尋機制

  19. 2. 系統架構 • 封包過濾監聽 (2) 字碼轉換 (3) 原始監聽檔案儲存與全文檢索 (4) Log Server 與資料庫 (5) Web 查詢服務

  20. 3. 開發工具 • OWNS

  21. (2) mySQL

  22. (3) Borland Delphi/Kylix • 完全物件導向設計概念,可以自行定義、修改、重組其各部元件。 • Dephi所產生的EXE檔為一完全原生碼(Nativecode),效率較VB快得多。 • Dephi提供77種以上的視覺化物件供應用程式發展者使用。 • Dephi可作為資料庫管理系統開發工具, 亦可作為主從架構資料庫管理系統之前端開發工具。

  23. 結論 在網路犯罪層出不窮的今日,如何防患未然 及主動預防網路犯罪事件的發生,或在犯罪事件發生中及發生後,透過網路監聴、蒐集可得之證據資料、分析及鑑識犯罪事件是急待解決的重要議題。

  24. 參考文獻 • 網路鑑識讓資安罪犯現形 http://www.lalulalu.com/thread-277116-1-1.html • 以OWNS為基礎之網路犯罪鑑識系統之設計與實現 http://csie.npu.edu.tw:8080/%E5%AD%B8%E8%A1%93%E7%A0%94%E7%A9%B6/5/C33.pdf • 資安事件之電腦鑑識即時應變工具使用研究 http://ec2006.atisr.org/proceeding/Paper/ec1171.doc

More Related