随着internet的飞速发展,利用计算机谋取不法个人利益,损害他人、国家利益的活动也日益渐长,计算机安全受到了严峻的考验。然而,由于计算机和网络环境的不断变化,安全防御技术很难做到十全十美,而每一种防御工具都可能存在它自身的安全漏洞,完全从防御的角度来防止计算机犯罪,并不能从根本上解决问题。解决问题的关键是在保护计算机安全的同时能将犯罪者在计算机中的作案“痕迹”提取出来作为有效的诉讼证据提供给法庭。也就是说,防范和打击计算机犯罪的关键是在犯罪行为发生前和进行中能实时保护,并找到充分、可靠的计算机犯罪证据。但是,计算机入侵者及非法使用者能利用数据擦除、数据隐藏和数据加密等技术,轻易地修改或删除犯罪证据,从而尽量隐藏或不在对方系统甚至自己系统中留下法律意义上的证据。因此,本文通过对计算机安全技术和证据获取技术进行深入的研究和探讨,提出在内部网络的关键点上运行蜜罐系统、网络捕获机并以分布式方式运行安全代理,设计出一套主动实时的计算机安全保护与证据获取系统。使计算机在遭到入侵及非法使用时能实时响应保护,把证据获取工作提前至犯罪行为发生前和进行过程之中,避免了由于安全保护不及时造成重大损失和证据获取不及时所造成的证据链缺失,并通过安全、隐蔽传输技术将获取的证据及时传输至安全服务器进行统一保存。本文详细介绍了计算机安全保护与证据获取系统的整体架构和功能,将系统分为安全保护与证据获取层、安全传输层、管理控制层分别进行设计开发。在系统中,通过蜜罐技术在发现穿透防火墙的入侵者的攻击行为后转移攻击,从而保护内部计算机网络和系统安全,并进行证据的持续获取;通过长期、隐蔽地在被保护机运行的安全代理,不间断地采集被保护机日志文件,并根据需要对其它现场证据进行采集和对被保护机的相关数据信息进行监视;通过网络捕获机监控内部主机网络活动,同时采集来自网络外部对内网主机进行攻击时所产生的网络数据,并运用协议分析和模式匹配技术,对通过网络的电子数据进行有选择的保存,将可作为潜在证据的数据包捕获、重组;通过加密算法和基于NdisHook的信道技术,将获取的电子数据证据隐蔽、安全地传输到安全服务器。通过对控制台的研究与设计实现对系统各部分的运行进行有效管理和控制;通过MySQL数据库对所获取证据统一、分类存储。系统整体采取客户/服务器的形式运行,达成共同协作,完成安全保护与证据获取的任务。本文提出的计算机安全保护与证据获取系统,将计算机安全防御技术和计算机证据获取技术结合起来,在实时保护计算机安全的同时,获取相关的证据并传输至安全服务器进行统一保存。获取的证据兼顾了以计算机系统为目标和以计算机系统为工具的两类犯罪行为。在系统运行中安全代理、证据传输、管理通信对入侵者和非法使用者透明。有效地提高了计算机安全保护和证据获取的效率。