目前主要的计算机数据安全分析技术有哪些
目前主要的计算机数据安全分析技术有:
文件属性分析技术:是指根据系统中存储文件的属性信息(如:创建时间、最近修改时间、创建人等)查找证据的技术。
文件数字摘要分析技术:数字摘要技术(Digital Digest)也称做为安全HASH编码法(SHA:Secure Hash Algorithm)。数字摘要技术用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但却能产生信息的数字“指纹”,它的目的是为了确保数据没有被修改或变化,保证信息的完整性不被破坏。通过对数据的数字指纹进行分析,可以判断是否入侵者修改了原始数据。
日志分析技术:计算机入侵者的行为都是与计算机的各种操作紧密相关的,因此或多或少的会在一些日志文件中有所记载。可以通过手工或使用日志分析工具如NestWatch、NetTracker、LogSurfer、VBStats、Netlog和Analog等对日志进行分析,以得到蛛丝马迹。但是,一旦攻击者获得了root权限,他们就可以轻易的破坏或删除操作系统所保存的日志记录,从而掩盖他们留下的痕迹,现已有一些专门的黑客工具可自动处理这一过程.
数据分析技术:根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者的分析技术;发掘同一事件的不同证据间的联系的分析技术。
数据解密技术:是指恢复加密数据的明文的技术。由于越来越多的计算机使用加密技术保存关键文件,为了取得最终的证据,需要取证人员将文件中的内容进行解密。另外,在调查被加密的可执行文件时,也需要用到解密技术。
磁盘映象复制:如果直接在被攻击计算机的磁盘上进行操作,可能会对原始数据造成损坏,而一旦这些数据有所损坏,就无法还原了。因此,取证操作应尽量避免在磁盘上进行。应使用磁盘影象复制的办法,将被攻击计算机的磁盘原样复制一份,其中包括磁盘的临时文件,交换文件,以及磁盘未分配区等。然后对复制的磁盘进行操作,一旦有问题,再与原磁盘进行比较。磁盘映象复制是国外computer forensics的研究重点。
网络应用数据的分析还原:由于计算机入侵取证系统最终将分析的数据呈交法庭,需要对入侵者在被破坏的计算机上所做的行为进行记录,因此当获取到的系统信息不充足时,网络数据是计算机取证的最主要的分析源。除了借鉴传统的入侵检测技术之外,网络应用数据的分析还原更能说明和发现问题,因为它能将案件相关的操作进行回放,用直观的方法来解释入侵过程。
对电子介质中的被保护信息的强行访问技术等。