论文部分内容阅读
随着网络带宽的不断增加和网络犯罪手段的多样化,已有网络取证系统由于数据捕获和分析能力的不足会导致信息的丢失,削弱了证据的说服力和法律效力。因此开展网络取证技术的相关研究具有重要的理论意义和现实意义。分析了国内外网络取证的发展历程、现状和趋势,给出了三种经典的网络取证模型,论述了数据包捕获的主流技术以及存在的问题。在此基础上,针对高速网络环境下网络取证的具体需求,给出了一个高速网络取证系统HNFS(High-Speed Network Forensics System)的逻辑结构和物理结构,并对系统的模块划分和涉及的技术要点作了讨论。围绕数据流状态管理机制的设计,讨论了拟采用的管理策略,说明了数据流状态的转化过程和数据流状态的管理方式。为了提高数据包捕获和分析的效率,设计了循环缓冲队列模型。从提高数据流状态管理的效率出发,针对TCP(Transmission Control Protocol)连接建立过程和网络数据流的特点,给出了一个融合哈希表策略以及Move-to-Front策略的查找算法HMTF(Hash table with Move-to-Front),并从保证数据流状态管理机制性能的角度出发,引入了待建连接缓冲表、已建连接管理表和失效记录的超时处理三种数据流连接记录的管理方式。保证了数据流状态管理过程中的查找效率以及数据流状态管理性能的鲁棒性。在数据流状态管理机制设计的基础上,说明了基于循环缓冲队列的数据包捕获与读取的实现机理和相关方法,给出了实现数据流状态管理的主要函数,阐述了HMTF查找算法以及超时检测机制的具体实现。模拟测试的结果表明,所设计的数据流状态管理机制具有较高的效率和安全性,能满足高速网络环境下网络取证的应用要求,具有一定的实用价值。