科来案例库：网络回溯分析技术八大应用之安全取证 科来案例库

IT小欧

                  ★抢先曝光：《科来网络回溯分析系统》V4.0即将发布★
更多案例尽在科来软件官方网站-网络安全分析-有很多案例教程可以学习。轻轻一点，就可找到你想要的。

网络回溯分析技术八大应用之安全取证

    安全取证是分析和追查网络攻击行为最重要的一环。现今安全取证行业多分为两大类：主机取证和网络取证。主机取证主要是登陆到被攻击的主机寻找攻击证据，主要有磁盘记录，注册表修改信息，启动文件，copy删除的文件，以及主机上的机密文件查看情况等。网络取证主要是通过日志记录等设备来记录网络攻击的访问情况，主要有TCP/UDP会话统计，访问IP地址记录，HTTP日志，DNS日志，警报日志等。市面上网络取证产品大多存在一些不全面之处，主要表现为：
    1.没有保存原始数据包，无法提供更加详实的证据。大多数监控类产品仅有一些访问和报警日志信息，没有最原始的数据包。
    2.日志记录太过单一。取证类产品大多只能保持常见应用日志，如HTTP，DNS，mail等，有些能够保存一些TCP/UDP会话，但如arp请求，广播数据包，和特殊的网络行为则无法识别。
    3.警报日志的准确性无法验证。面对大量的报警究竟是误报还是真的存在攻击，如果没有原始的数据包作为支撑很难进行深入的分析。

    网络回溯平台具有得天独厚的安全取证条件。主要体现在以下几个方面：
    回溯平台的架构即能保存统计数据又能保存原始数据包。统计数据十分准确和详细可以很直观的了解到任意时间，任意IP，发送接收数据包，TCP详细参数，使用协议，访问的网站，产生的网络行为，产生的报警，有无木马行为等。统计数据占用磁盘较少，因此能够存储几十天甚至半年以上的详细的流量统计。

    回溯分析平台可以对自定义报警，当网络中出现异常流量，如网络攻击，木马流量时就会产生报警。报警参数十分详细，包括报警时间，报警的原因，报警IP地址，警报级别等等。而且最为关键的是回溯平台不仅能够智能报警而且还能够对报警进行层层挖掘，直至挖掘到数据包级别，因此能够做到真实有效。

    数据包是最底层的网络传输单元，是很难伪造，也是安全取证的重要依据。因此保存大量的原始数据包十分有必要。而回溯分析平台多达TB级别的存储可以有效的存储大量的数据包。这些数据包都是...           
    完整文章搜索：《网络回溯分析技术八大应用之安全取证》

                  ★抢先曝光：《科来网络回溯分析系统》V4.0即将发布★
更多案例尽在科来软件官方网站-网络安全分析-有很多案例教程可以学习。轻轻一点，就可找到你想要的。

booso

分析的很到位呀，专业人士，很有研究呀