TechTarget安全 > 百科词汇

network forensics:网络取证

网络取证(network forensics)是抓取、记录和分析网络事件以发现安全攻击或其他的问题事件的来源。( 这个术语是防火墙专家Marcus Ranum从法律的和犯罪学领域引进的。)依照Simson Garfinkel的观点,Network forensics系统是下面二个类型之一:

  • “尽可能的捕捉”系统,在这个系统里面所有的包都经过一定的节点来捕获并把分析的结果按照批量方式写入存储器。这方式需要大量的储藏空间,通常都会用到RAID系统。
  • “停、看、听”系统,在这个系统里面每个包都经过基本的分析,只为将来的分析留下一些基本的信息。这方式对存储的需要比较小但是需要一个较快的处理器一边能够跟得上输入的数据流。

  两种方法都需要重要储藏和偶然对旧数据进行删除让出空间给新的数据。开放资源程序tcpdump和windump同一些商务程序一样可以用户数据的捕捉和分析。

  涉及到尽可能捕捉方法相关的东西都是保密的,因为整个包的信息(包括用户数据)都捕捉下来了。电子通信保密法禁止因特网服务提供商(ISP)蓄意侦听或者透露未经用户同意的信息。美国FBI的Carnivore是网络取证工具的一个有争议的例子。

  网络取证(network forensics)产品有时也叫网络取证分析工具(NFAT)。

最近更新时间:2008-06-17 EN

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 安全响应团队的好帮手:网络取证工具

    随着恶意软件变得越来越狡猾,甚至能够躲避反病毒软件和入侵防护系统的检查,一些企业开始利用网络捕获和分析工具检测异常网络行为,并在发生安全威胁时做出响应。

  • 安全专家:真实的网络攻击取证纪实

    随着方便的同时也同时带来了新的一些计算机网络安全隐患,随着司法机关的介入,在不久的将来,网络攻击调查取证也会成为立法机构必须要考虑设立的一门新的学科。

  • CSRF漏洞 VS 网络取证

    CSRF,英文全名为cross-site request forgery,中文字面意思为跨站点请求伪造。攻击者是如何利用CSRF漏洞混淆网络取证调查工作的?

  • 什么是计算机取证?如何进行计算机取证?

    计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。