基于多代理的分布式网络动态取证模型研究

摘要

随着互联网技术的飞速发展，网络安全变得日益重要。在计算机网络犯罪手段与网络安全防御技术彼此较量不断升级的形势下，单靠网络安全技术打击计算机犯罪不可能非常有效，因此需要发挥社会和法律的强大威力来对付网络犯罪，计算机取证正是在这种形势下产生和发展的。计算机取证的研究，对维护社会稳定、打击计算机犯罪有着重要的现实意义。 本文探讨了代理的特点以及使用多代理的优点，分析了典型的静态取证模型和动态取证模型，总结了静态取证和动态取证存在的问题。在此基础上，针对特定的需求，给出了一个能进行分布式动态取证的取证模型MADNDFS的设计思想。阐述了MADNDFS的设计需求，给出了MADNDFS的总体架构、涉及的实体、实体间的协作机制以及协作流程。基于MADNDFS的总体设计，讨论了MADNDFS的关键技术实现。围绕网络证据高效采集的基本需求，给出了利用Winpcap开发包所提供的API来采集网络证据的实现方法，并且使用了循环缓冲队列模型来提高网络证据获取代理的性能。结合网络证据分析技术，给出了网络证据分析代理的协议解析、数据流重组和应用层证据提取三个模块的实现方法。此外，结合访问控制的原理，采用了基于角色的访问控制方法来实现安全访问控制模块，有效地保证了电子数据的安全。实际运行结果表明，MADNDFS能够高效地采集网络证据，由此分析出网页证据和邮件信息证据，同时还能够保证电子数据的安全，可对多个网段进行取证。作为取证模型，能够满足分布式取证的要求。