網(wǎng)絡(luò)取證系統(tǒng)設(shè)計(jì)關(guān)鍵技術(shù)研究

朱亞?wèn)|

ZHU Ya-dong

（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院 南京工程分院，南京 210035）

0 引言

電子證據(jù)是計(jì)算機(jī)取證技術(shù)的核心，計(jì)算機(jī)取證的過(guò)程主要就是圍繞電子證據(jù)的保護(hù)、獲取、傳輸和存儲(chǔ)工作開(kāi)展的。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是：可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的，即可為法庭所接受的。另外，根據(jù)計(jì)算機(jī)犯罪年度報(bào)告顯示，病毒和內(nèi)部職員成為計(jì)算機(jī)安全的最大威脅。并且內(nèi)部職員的威脅正在持續(xù)擴(kuò)大，其危害程度也在不斷加強(qiáng)。內(nèi)部職員是內(nèi)部網(wǎng)絡(luò)的合法使用者，不同的內(nèi)部職員擁有不同的權(quán)限，很難管理，防火墻對(duì)內(nèi)部職員沒(méi)有作用，入侵檢測(cè)也經(jīng)常發(fā)現(xiàn)不了問(wèn)題。有些計(jì)算機(jī)犯罪活動(dòng)并不需要很高的權(quán)限[1,2]。

鑒于事后取證的缺陷以及內(nèi)部職員的安全威脅，在可能發(fā)生網(wǎng)絡(luò)安全事故或者需要高安全保護(hù)的環(huán)境進(jìn)行監(jiān)控將是十分必要的。動(dòng)態(tài)取證是計(jì)算機(jī)取證技術(shù)的一個(gè)發(fā)展趨勢(shì)。在這一背景下，本文設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)動(dòng)態(tài)取證系統(tǒng)，該系統(tǒng)的基本思路是：確定可能發(fā)生網(wǎng)絡(luò)安全事故或者需要高安全保護(hù)的環(huán)境(主機(jī)或網(wǎng)絡(luò))；為計(jì)算機(jī)現(xiàn)場(chǎng)環(huán)境建模，即為現(xiàn)場(chǎng)活動(dòng)的主體(用戶、操作系統(tǒng)、設(shè)備)設(shè)置監(jiān)控Agent，進(jìn)行實(shí)時(shí)監(jiān)控，最大限度獲取真實(shí)地、完整地?cái)?shù)據(jù)，并建立系統(tǒng)事件日志數(shù)據(jù)庫(kù)，把現(xiàn)場(chǎng)獲取的數(shù)據(jù)發(fā)送到遠(yuǎn)程安全數(shù)據(jù)服務(wù)器加以妥善保存。在計(jì)算機(jī)犯罪案件發(fā)生后，取證調(diào)查人員可以通過(guò)記錄在數(shù)據(jù)庫(kù)中系統(tǒng)事件數(shù)據(jù)對(duì)犯罪現(xiàn)場(chǎng)模擬重現(xiàn)，進(jìn)行取證分析工作，提交分析結(jié)果，保證計(jì)算機(jī)犯罪案件訴訟過(guò)程順利進(jìn)行。

1 系統(tǒng)的設(shè)計(jì)目標(biāo)與功能分析

系統(tǒng)的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)取證系統(tǒng)，該系統(tǒng)能夠自動(dòng)、動(dòng)態(tài)收集網(wǎng)絡(luò)和主機(jī)的證據(jù)，并對(duì)能夠證據(jù)進(jìn)行保護(hù)、存儲(chǔ)、分析。具體來(lái)講，系統(tǒng)的目標(biāo)包括：動(dòng)態(tài)監(jiān)控主機(jī)活動(dòng)，獲取事件數(shù)據(jù)并加以保護(hù)，存儲(chǔ)到遠(yuǎn)程服務(wù)器；動(dòng)態(tài)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，保存網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)；提供一個(gè)管理平臺(tái)來(lái)配置和管理系統(tǒng)的取證和監(jiān)控過(guò)程提供一個(gè)分析平臺(tái)來(lái)輔助分析獲取的證據(jù)，提供分析報(bào)告[3]。

出系統(tǒng)的設(shè)計(jì)目標(biāo)可以直接導(dǎo)出系統(tǒng)主要功能包括四個(gè)方面，即主機(jī)取證，網(wǎng)絡(luò)取證，取證中心管理，取證分析。鑒于這四個(gè)方面在功能上相對(duì)獨(dú)立而在網(wǎng)絡(luò)物理環(huán)境下處在不同的位置，因此每一個(gè)方面可以設(shè)計(jì)成一個(gè)獨(dú)立的子系統(tǒng)。各個(gè)子系統(tǒng)具體功能說(shuō)明如下：

1.1 主機(jī)取證子系統(tǒng)

主機(jī)取證子系統(tǒng)主要功能：實(shí)時(shí)監(jiān)控被取證主機(jī)的行為，記錄用戶、系統(tǒng)，應(yīng)用程序的重要狀態(tài)和行為。系統(tǒng)啟動(dòng)時(shí)，具有向取證管理子系統(tǒng)登記注冊(cè)的職責(zé)。在運(yùn)行過(guò)程中接受取證管理予系統(tǒng)的控制，包括鎖定，重啟，關(guān)閉，更新等操作。

目前系統(tǒng)已經(jīng)確定的事件監(jiān)控類(lèi)別有如下十二種[4]：1）監(jiān)控CPU和Memory的使用狀態(tài)；2）監(jiān)控操作系統(tǒng)R志文件，包括系統(tǒng)日志、安全審計(jì)日志、應(yīng)用程序日志；3）監(jiān)控系統(tǒng)的注冊(cè)表使用情況，包括注冊(cè)表的創(chuàng)建、打開(kāi)、修改，刪除操作，可以根據(jù)需要進(jìn)行過(guò)濾；4）監(jiān)控文件系統(tǒng)的詳細(xì)使用情況，包括文件及目錄的創(chuàng)建、打開(kāi)、修改、刪除操作，也包括文件及目錄屬性的修改；5）監(jiān)控文件系統(tǒng)的一般使用情況，包括文件創(chuàng)建，修改，刪除，但不能確定是哪個(gè)進(jìn)程操作該文件；6）監(jiān)控系統(tǒng)的端口使用情況，包括TCP和uDP端口；7）監(jiān)控系統(tǒng)進(jìn)程的創(chuàng)建與銷(xiāo)毀；8）監(jiān)控用戶的鍵盤(pán)使用記錄：9）監(jiān)控用戶的登陸和退出時(shí)間；10）監(jiān)控用戶的打開(kāi)和關(guān)閉的窗口；11）監(jiān)控用戶的命令記錄；12）監(jiān)控用戶的www訪問(wèn)同志。

1.2 網(wǎng)絡(luò)取證子系統(tǒng)

網(wǎng)絡(luò)取證子系統(tǒng)的主要功能：完整地、真實(shí)記錄網(wǎng)絡(luò)中數(shù)據(jù)包，對(duì)每個(gè)數(shù)據(jù)包按協(xié)議棧進(jìn)行解析，目前系統(tǒng)能夠?qū)thernet，IP，ARP，RARP，ICMP，IGMP，TcP，UDP以及部分應(yīng)用層協(xié)議的解析。能夠按定義過(guò)濾規(guī)則，實(shí)現(xiàn)對(duì)數(shù)據(jù)包的底層過(guò)取證管理子系統(tǒng)的控制，包括鎖定，重啟，關(guān)閉，更新等操作。

1.3 取證管理子系統(tǒng)

取證管理子系統(tǒng)主要配置系統(tǒng)信息，管理和控制其他子系統(tǒng)來(lái)完成取證任務(wù)。具體包括如下功能：1）管理取證Agent及系統(tǒng)監(jiān)控事件列表，包括加入，刪除豁控操作；2）管理系統(tǒng)管理員的添加，修改，刪除操作；3）管理被取證主機(jī)的添加，修改，刪除操作；4）實(shí)施對(duì)被取證主機(jī)的更新，關(guān)閉，重啟，鎖定操作，包括對(duì)被取證主機(jī)上取證Agent的信息更新；5）與網(wǎng)絡(luò)取證Agent的配合，對(duì)過(guò)濾規(guī)則列表的添加，刪除，修改管理；6）查詢(xún)管理員登陸，主機(jī)登陸，系統(tǒng)目志記錄；7）管理取證分析員的添加、修改和刪除操作。

1.4 取證分析子系統(tǒng)

取證分析子系統(tǒng)在獲取證據(jù)后，對(duì)證掘進(jìn)行分析，最終提交分析結(jié)果。它的主要功能有：

1）提供豐富的查詢(xún)和過(guò)濾功能，基于內(nèi)容，關(guān)鍵字，過(guò)濾規(guī)則等；2）提供現(xiàn)場(chǎng)重現(xiàn)功能，能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行動(dòng)態(tài)現(xiàn)場(chǎng)重現(xiàn)和對(duì)主機(jī)數(shù)據(jù)進(jìn)行靜態(tài)模擬；3）提供統(tǒng)計(jì)分析功能；4）提供數(shù)據(jù)挖掘功能，支持關(guān)聯(lián)分析和序列分析；5）能夠自動(dòng)進(jìn)行周期性審計(jì)，檢測(cè)可疑數(shù)據(jù)，提供報(bào)告。

2 面向Agent的系統(tǒng)分析與設(shè)計(jì)

2.1 系統(tǒng)環(huán)境分析

本文系統(tǒng)的核心工作就是要實(shí)旎對(duì)計(jì)算機(jī)犯罪現(xiàn)場(chǎng)的連續(xù)監(jiān)控，從現(xiàn)場(chǎng)獲取有用數(shù)據(jù)，并安全存儲(chǔ)到遠(yuǎn)程服務(wù)器。計(jì)算機(jī)現(xiàn)場(chǎng)環(huán)境可以描述為多個(gè)對(duì)象及其相互之間的交互行為。如下圖3．1所示，原始的計(jì)算機(jī)現(xiàn)場(chǎng)環(huán)境模型可以描述為用戶、操作系統(tǒng)、系統(tǒng)設(shè)備和應(yīng)用程序等多個(gè)對(duì)象之間的交互場(chǎng)景。在計(jì)算機(jī)犯罪現(xiàn)場(chǎng)，用戶通過(guò)操作系統(tǒng)來(lái)使用計(jì)算機(jī)資源，比如操作設(shè)備，運(yùn)行特定的應(yīng)用程序，與外界進(jìn)行通訊和資源共享。用戶在使用操作系統(tǒng)時(shí)，會(huì)以各種方式計(jì)算機(jī)發(fā)出請(qǐng)求處理的動(dòng)作。操作系統(tǒng)在運(yùn)行的過(guò)程，會(huì)做出響應(yīng)用戶、設(shè)備、應(yīng)用請(qǐng)求的動(dòng)作，同時(shí)為了保證系統(tǒng)的正常運(yùn)行，操作系統(tǒng)本身也會(huì)做出一些例行工作。應(yīng)用程序?yàn)榱隧憫?yīng)用戶或者操作系統(tǒng)的控制、請(qǐng)求，也會(huì)執(zhí)行一些動(dòng)作。這些動(dòng)作的發(fā)生，采用事件來(lái)表示。一個(gè)對(duì)象的活動(dòng)日志記錄，就是由事件發(fā)生的時(shí)間、地點(diǎn)和內(nèi)容來(lái)表示。通過(guò)記錄這些對(duì)象的事件來(lái)達(dá)到實(shí)現(xiàn)對(duì)計(jì)算機(jī)現(xiàn)場(chǎng)環(huán)境進(jìn)行監(jiān)控取證的目的。

Agent技術(shù)的一個(gè)重要應(yīng)用場(chǎng)合就是用于在分布式網(wǎng)絡(luò)環(huán)境下的信息收集和信息監(jiān)控。本文的系統(tǒng)正是實(shí)現(xiàn)在分布式網(wǎng)絡(luò)環(huán)境下的信息監(jiān)控與收集，并且用Agent來(lái)分析和設(shè)計(jì)系統(tǒng)，能夠使問(wèn)題得到簡(jiǎn)化，因?yàn)檫@種方式的建模比面向?qū)ο蟮姆治龊驮O(shè)計(jì)更直接的反映現(xiàn)實(shí)世界的實(shí)體及其它們的關(guān)系，它不但抽象出實(shí)體的特性、動(dòng)作，還有感覺(jué)、心智、承諾等。這樣從現(xiàn)實(shí)出發(fā)，更加容易將系統(tǒng)分解成以Agent為單位的靈活、強(qiáng)交互的系統(tǒng)。通過(guò)為計(jì)算機(jī)現(xiàn)場(chǎng)環(huán)境中的每類(lèi)對(duì)象設(shè)置取證Agent來(lái)實(shí)現(xiàn)計(jì)算機(jī)犯罪環(huán)境的動(dòng)態(tài)獲取。

2.2 基于Gaia方法的面向Agent系統(tǒng)分析

從對(duì)系統(tǒng)環(huán)境的分析，采用Agent來(lái)構(gòu)建系統(tǒng)能夠更真實(shí)的反映系統(tǒng)環(huán)境，系統(tǒng)的構(gòu)架也更清晰。Gaia K．Kinney等人于2000年提出的基于Agent的系統(tǒng)分析與設(shè)計(jì)方法。該方法提供了一條系統(tǒng)化的道路讓用戶能夠從需求開(kāi)始分析，最終得出足夠具體的設(shè)計(jì)方案。因此本文選擇Gaia方法來(lái)進(jìn)行系統(tǒng)分析，其步驟如下：

1）識(shí)別系統(tǒng)中的角色，輸出原始的角色模型。

通過(guò)系統(tǒng)的需求分析，可以發(fā)現(xiàn)如下角色：主機(jī)取證協(xié)調(diào)者，系統(tǒng)日志文件監(jiān)控器，注冊(cè)表監(jiān)控器，系統(tǒng)狀態(tài)監(jiān)控器，系統(tǒng)端口監(jiān)控器，系統(tǒng)進(jìn)程監(jiān)控器，用戶鍵盤(pán)監(jiān)控器，用戶登錄監(jiān)控器，用戶窗口監(jiān)控器，文件系統(tǒng)監(jiān)控器，用戶網(wǎng)頁(yè)瀏覽監(jiān)控器，用戶命令監(jiān)控器，應(yīng)用程序監(jiān)控器，數(shù)據(jù)收集器，數(shù)據(jù)發(fā)送者，網(wǎng)絡(luò)取證協(xié)調(diào)者，數(shù)據(jù)包捕獲器，協(xié)議分析和過(guò)濾器，數(shù)據(jù)包存儲(chǔ)者，中心管理者，中心管理界面，取證分析者，取證分析界面。

2）識(shí)別角色之間的協(xié)議(角色之間的交互)，輸出交互模型。

協(xié)議定義角色之間交互的方法，協(xié)議的定義如下六個(gè)屬性：（1）目的，關(guān)于交互的本質(zhì)的簡(jiǎn)單概括：（2）交互發(fā)起者，發(fā)起交互的角色；（3）交互響應(yīng)者，發(fā)起者的交互角色；（4）輸入：（5）輸出；（6）處理：簡(jiǎn)單描述發(fā)起者在本次交互過(guò)程中的執(zhí)行動(dòng)作。

由于系統(tǒng)角色之間的協(xié)議較多，在這里僅以主機(jī)取證協(xié)調(diào)者與中心管理者的交互為例。由主機(jī)取證協(xié)調(diào)者向中心管理者發(fā)出注冊(cè)確認(rèn)，登陸，退出等請(qǐng)求。

3）以交互模型為基礎(chǔ)，細(xì)化角色模型的內(nèi)容。

在角色模型中，每個(gè)角色的內(nèi)容包括角色名，描述，協(xié)議和活動(dòng)，允許，責(zé)任這個(gè)五個(gè)方面。描述是對(duì)角色職能的簡(jiǎn)單說(shuō)明。協(xié)議表示與系統(tǒng)中其他角色的交互，活動(dòng)是與角色相關(guān)的計(jì)算。允許表示角色擁有的權(quán)利。責(zé)任表明角色的功能，它包括生存屬性和安全屬性。生存特性描述了在給定的環(huán)境條件下，角色必須實(shí)現(xiàn)的事件的狀態(tài)。安全特性表明可接收的事件狀態(tài)在執(zhí)行過(guò)程中保持不變。

4）重復(fù)迭代（1），（2），（3），最終完成系統(tǒng)的分析工作。

3 系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)

本文使用Agent來(lái)分析和設(shè)計(jì)系統(tǒng)，但最終依然采用面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言來(lái)實(shí)現(xiàn)系統(tǒng)。事實(shí)上面向Agent的分析和設(shè)計(jì)方法主要是針對(duì)系統(tǒng)的接口層以及業(yè)務(wù)邏輯層。由于系統(tǒng)本身的復(fù)雜性，又要保證系統(tǒng)具有一定的擴(kuò)展能力，因此系統(tǒng)的體系結(jié)構(gòu)仍然需要精心的設(shè)計(jì)。系統(tǒng)的結(jié)構(gòu)分為兩個(gè)層次。

第一個(gè)層次是采用分而治之的策略，把復(fù)雜問(wèn)題分解幾個(gè)次復(fù)雜的問(wèn)題。系統(tǒng)按各自的功能劃分為四個(gè)子系統(tǒng)，分別為：主機(jī)取證子系統(tǒng)，網(wǎng)絡(luò)取證子系統(tǒng)，取證管理子系統(tǒng)，取證分析子系統(tǒng)。

第二個(gè)層次是各個(gè)子系統(tǒng)各系統(tǒng)采用多層體系架構(gòu)，分為表示層、領(lǐng)域?qū)?、服?wù)層、存儲(chǔ)層四個(gè)層次。各個(gè)層次用包來(lái)組織，保證系統(tǒng)的高度模塊化，結(jié)構(gòu)清晰。以主機(jī)取證子系統(tǒng)的高層體系結(jié)構(gòu)圖為例。其中表示層定義系統(tǒng)的輸入輸出接口，用于接收和顯示外部系統(tǒng)的信息，包括外部系統(tǒng)消息、用戶輸入、系統(tǒng)輸出等，領(lǐng)域?qū)佣x了系統(tǒng)的主要功能和任務(wù)，主機(jī)取證子系統(tǒng)的領(lǐng)域?qū)影唤MAgem，通過(guò)Agent的合作來(lái)完成證據(jù)獲取和存儲(chǔ)任務(wù)。服務(wù)層提供了系統(tǒng)安全、網(wǎng)絡(luò)通訊、數(shù)據(jù)庫(kù)訪問(wèn)等基礎(chǔ)服務(wù)。存儲(chǔ)層負(fù)責(zé)系統(tǒng)數(shù)據(jù)的持久化存儲(chǔ)功能。

4 系統(tǒng)的安全性設(shè)計(jì)

4.1 傳輸安全性

系統(tǒng)在被監(jiān)控主機(jī)收集到證據(jù)后，必須向遠(yuǎn)程安全數(shù)據(jù)服務(wù)器發(fā)送證據(jù)，證據(jù)在傳輸?shù)倪^(guò)程中必須確保的完整性，同時(shí)系統(tǒng)的關(guān)鍵數(shù)據(jù)也必須經(jīng)過(guò)加密后才能傳輸。而傳統(tǒng)TCP/IP協(xié)議并能保證一點(diǎn)，TCP/IP協(xié)議在一開(kāi)始設(shè)計(jì)時(shí)就沒(méi)有考慮安全問(wèn)題，在通訊過(guò)程，數(shù)據(jù)報(bào)的字段時(shí)可以被偽造和修改。因此，必須引入加密協(xié)議來(lái)支持系統(tǒng)安全通訊的需求。

SQL Server2000支持SSL加密傳輸?？梢酝ㄟ^(guò)同時(shí)配置服務(wù)器網(wǎng)絡(luò)實(shí)用工具和客戶端網(wǎng)絡(luò)實(shí)用工具啟用加密協(xié)議傳輸選項(xiàng)來(lái)達(dá)到保護(hù)證據(jù)傳輸安全的目的。當(dāng)然，SQL server 2000必須獲得公共證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)而且相應(yīng)的客戶端應(yīng)用程序也必須有一個(gè)從同一證書(shū)頒發(fā)機(jī)構(gòu)取得的根CA證書(shū)。

4.2 網(wǎng)絡(luò)時(shí)間安全性

要實(shí)現(xiàn)時(shí)間安全性，需要周期性對(duì)時(shí)間進(jìn)行同步。時(shí)問(wèn)同步是指網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)時(shí)鐘以及通過(guò)網(wǎng)絡(luò)連接的各個(gè)應(yīng)用界面的時(shí)鐘的時(shí)刻和時(shí)間間隔與協(xié)調(diào)世界時(shí)(UTC)同步，最起碼在全國(guó)范圍內(nèi)要和北京時(shí)間同步。時(shí)間同步網(wǎng)絡(luò)是保證時(shí)問(wèn)同步的基礎(chǔ)，構(gòu)成時(shí)間同步網(wǎng)絡(luò)可以采取有線方式，也可以采取無(wú)線方式。本文要實(shí)現(xiàn)局域網(wǎng)網(wǎng)絡(luò)時(shí)間同步屬于有線方式。在局域網(wǎng)中通常采用NTP協(xié)議來(lái)實(shí)現(xiàn)局域網(wǎng)內(nèi)時(shí)間同步。NTP協(xié)議是基于客戶機(jī)/服務(wù)器的計(jì)算模式。客戶機(jī)以傳統(tǒng)的c/s方式，周期性地向服務(wù)器請(qǐng)求時(shí)間信息，客戶機(jī)首先向服務(wù)器發(fā)送一個(gè)NTP包，其中包含了該數(shù)據(jù)包離開(kāi)客戶機(jī)時(shí)的時(shí)間戳T1，當(dāng)服務(wù)器收到該包時(shí)，將填入包到達(dá)時(shí)問(wèn)的時(shí)間戳T2，然后對(duì)本數(shù)據(jù)包進(jìn)行處理，對(duì)調(diào)源1P、目標(biāo)IP，處理完后填入包離開(kāi)的時(shí)間戳T3，立即把數(shù)據(jù)包返回給客戶機(jī)?？蛻羰盏椒?wù)器來(lái)的數(shù)據(jù)包后又填入包到達(dá)客戶機(jī)的時(shí)間戳。

由于網(wǎng)絡(luò)時(shí)間同步對(duì)于計(jì)算機(jī)取證的重要意義，因此本文在取證管理子系統(tǒng)專(zhuān)門(mén)開(kāi)發(fā)了一個(gè)時(shí)間同步服務(wù)器，在其他被取證主機(jī)開(kāi)發(fā)了時(shí)問(wèn)同步客戶端，以支持網(wǎng)絡(luò)時(shí)間同步的需求。

5 結(jié)束語(yǔ)

在電腦網(wǎng)絡(luò)犯罪手段與網(wǎng)絡(luò)安全防御技術(shù)不斷升級(jí)的形勢(shì)下，單靠網(wǎng)絡(luò)安全技術(shù)打擊計(jì)算機(jī)犯罪不可能非常有效，因此需要發(fā)揮社會(huì)和法律的強(qiáng)大威力來(lái)對(duì)付網(wǎng)絡(luò)犯罪，計(jì)算機(jī)取證正是在這種形勢(shì)下產(chǎn)生和發(fā)展的，它標(biāo)志著網(wǎng)絡(luò)安全防御理論的成熟。本文對(duì)于電子證據(jù)的獲取，保存、分析方面進(jìn)行了探討和分析，提出在網(wǎng)絡(luò)環(huán)境中進(jìn)行動(dòng)態(tài)監(jiān)控和取證的思路，并給出了一個(gè)網(wǎng)絡(luò)耿證系統(tǒng)的設(shè)計(jì)方案，討論并解決了系統(tǒng)設(shè)計(jì)過(guò)程中出現(xiàn)的關(guān)鍵技術(shù)問(wèn)題。

[1] 杜淑光, 陳永浩. 網(wǎng)絡(luò)安全與防火墻技術(shù)[J]. 制造業(yè)自動(dòng)化, 2007, 29(12).

[2] 王丹, 蔡皖東, 蔡俊朝. 分布式網(wǎng)絡(luò)行為審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 微電子學(xué)與計(jì)算機(jī), 2008, 25(5).

[3] 鄢喜愛(ài), 楊金民, 常衛(wèi)東. 基于蜜罐技術(shù)的計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)研究[J]. 微電子學(xué)與計(jì)算機(jī), 2010, 27(1).

[4] 陳龍, 李鵬. 一種基于完整性指示碼的電子證據(jù)分散存儲(chǔ)改進(jìn)方法[J]. 計(jì)算機(jī)工程與科學(xué), 2010, 32(11).