【正文】 le)進(jìn)行分 析．如 NTI的IPFiIter可動態(tài)獲取交換文件進(jìn)行分析。系統(tǒng)關(guān)閉后．交換文件就被刪除 恢復(fù)工具軟件如 GetFree可獲取交換文件和未分配空間 (Unal located Space)或刪除文件 (Erased Fi les)。 Fi le Slack是指從文件尾到分配給這個文件的簇尾的空白空間． GetSlack可獲取 File Slack并自動生成一個或多個文件。同時這些分析工具對 FIle Slack文件 未分配文件、刪除文件可進(jìn)行關(guān)鍵詞檢索 能夠識別有關(guān)Inter活動的文字、電話號碼、信用卡號、身份證號、 網(wǎng)絡(luò)登錄及密碼等關(guān)鍵詞。 日志的反清除技術(shù) 對于 Unix系統(tǒng)．可能需要查看／ etc／ syslog conf文件確定日志信息文件在哪些位置。 NT通常使用 3個日志文件記錄所有的事件 每個事件都會被記錄到其中的一個文件有的 NT事件 每個 NT事件都會被記錄到其中的一個文件中 使用 Event Viewer查看日志文件。其他一些 NT應(yīng)用程序可能會把自己的日志放到其他的地方．例如 ISS服務(wù)器默認(rèn)的日志目錄是 C：＼＼ Winnt＼ system32＼ Iogfile。但是 一旦攻擊者獲得了權(quán)限 他們就可以輕易地破壞或刪除操作 系統(tǒng)所保存的日志記錄．從而掩蓋他們留下的痕跡 在實(shí)際中可以考慮使用安全的日志系統(tǒng)和第三方日志工具來對抗日志的清除問題。 日志分析技術(shù) 可分析 CUP時段負(fù)荷 用戶使用習(xí)慣 IP來源、惡意訪問提示等．系統(tǒng)的日志數(shù)據(jù)還能夠提供一些有用的源地址信息。系統(tǒng)日志數(shù)據(jù)包括系統(tǒng)審計數(shù)據(jù)、防火墻日志數(shù)據(jù)、來自監(jiān)視器或入侵檢測工具的數(shù)據(jù)等。這些日志一般都包括以下信息：訪問開始和結(jié)束的時間、被訪問的端口、執(zhí)行的任務(wù)名或命令名 改變權(quán)限的嘗試 被訪問的文件等。 通過手工或使用日志分析工具如： NetTracker、 LogSurfer、 NetIog和 Analog等。對日志進(jìn)行分析．以得到攻擊的蛛絲馬跡。應(yīng)用系統(tǒng)也有相應(yīng)的日志分析工具。目前常用的 Web Server有 Apache Netscape enterprise server MS IIS等．其日志記錄不同．相應(yīng)的分析工具也不同．如常用的有 webt rendsTools FW LogQry Tcpreplay、 Tcpshow、 Swatch等。 取證數(shù)據(jù)傳輸時的傳輸安全技術(shù) 將所記錄的數(shù)據(jù)從目標(biāo)機(jī)器安全地轉(zhuǎn)移到取證分析機(jī)上．由于網(wǎng)絡(luò)取證的整個過程必須具有不可篡改性．因此 數(shù)據(jù) 在傳輸過程中要提高對遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋Ｃ苄裕苊庠趥鬏斖局性馐芊欠ǜ`取?？刹捎眉用芗夹g(shù) 如 IP加密 SSL加密等協(xié)議標(biāo)準(zhǔn)．保證數(shù)據(jù)的安全傳輸．另外．通過使用消息鑒別編碼 (MAC)可保證數(shù)據(jù)在傳輸過程中的完整性。 存儲設(shè)備上所有數(shù)據(jù)的完整性檢測技術(shù) 文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫．每次檢查時．它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較。如不同．則文件已被修改：若相同．文件則未發(fā)生變化 文件的數(shù)字文摘通過 Hash函數(shù)計算得到 不管文件長度如何．它的函數(shù)計算結(jié)果是一個固定長度的數(shù)字。采 用安全性高的 Hash算法．如MD SHA時．兩個不同的文件不可能得到相同的 Hash結(jié)果 從而．當(dāng)文件一被修改 就 可檢測出來。 網(wǎng)絡(luò)數(shù)據(jù)包截獲和分析技術(shù) 利用 TcpDump／ WinDump或 SNORT之類的工具來捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包．可得到源地址和攻擊的類型和方法。一些 網(wǎng)絡(luò)命令可用來獲得有關(guān)攻擊的信息．如stat、 nslookup、 whois、 ping、 traceroute等命令來收集信息．了解網(wǎng)絡(luò)通信的大致情況。 入侵追蹤技術(shù) 入侵追蹤是指給定一系列的主機(jī) H1， H2?? Hn(n2)當(dāng)攻擊 者順序從 Hi連接到 Hi+1(i= 1， 2， 3?? n一 1)．稱 H1， H2，?? Hn為一個連接鏈，追蹤的任務(wù)就是給定 Hn，要找出 Hn1． ． H1的部分或全部。 入侵追蹤方法可分為四類：基于主機(jī)的方法依靠每一臺主機(jī)收集的信息實(shí)施追蹤?；诰W(wǎng)絡(luò)的方法依靠網(wǎng)絡(luò)連接本身的特性 (連接鏈中應(yīng)用層的內(nèi)容不變 )實(shí)施追蹤。被動式的入侵追蹤方法采取監(jiān)視和比較網(wǎng)絡(luò)通信流量來追蹤．而主動式的方法通過定制數(shù)據(jù)包處理過程．動態(tài)控制和確定同一連接鏈中的連接。實(shí)際中的入侵追蹤方法有 DIDS， CIS， Cal1erID， Thumbprint ， Timing based等。 IP地理位置調(diào)查技術(shù) 通過建立一個 IP地址對應(yīng)的可能的地理位置的數(shù)據(jù)庫，幫助加快 lP地址的調(diào)查。如某些 IP地址網(wǎng)段來自于什么地方．什么組織 (大學(xué) )等?？梢酝ㄟ^ nslookup，tracert． whois等工具得到一些關(guān)于地理位置的信息．如電話．域名．可將這些信息分析后存入數(shù)據(jù)庫中?，F(xiàn)有的工具如 Visual RouteSam Spade可以幫助建立這個數(shù)據(jù)庫。 1其他方面的技術(shù) 如動態(tài)內(nèi)存獲取技術(shù)．基于 Honeypot／ Honey的取證系統(tǒng)．基于入侵檢測系統(tǒng)的取證系統(tǒng)．信息隱藏的取證發(fā)現(xiàn)和分析技術(shù)，逆向工程取證分析技術(shù)．密碼分析技術(shù)．證據(jù)間的關(guān)聯(lián)分析技術(shù)等。 四 、 結(jié)束語 在網(wǎng)絡(luò)經(jīng)濟(jì)的環(huán)境下，審計 、取證 模式的改變，不再是簡單的修補(bǔ)和完善，而是一次深刻的革命，這也充分體現(xiàn)出網(wǎng)絡(luò)經(jīng)濟(jì)的特征。網(wǎng)絡(luò)審計 、取證 模式的構(gòu)建，在審計 與取證 處理的智能化、實(shí)時化和法制化等方面，對審計 與取證 發(fā)展具有不可低估的拉動作用，將會成為傳統(tǒng)審計 與取證 模式的重塑者，同時也為傳統(tǒng)審計 與取證 模式的退出創(chuàng)造了條件。 網(wǎng)絡(luò)時代在向我們走來 ,然而它帶給我們的不僅是鮮花和蛋糕 ,更有與之伴生的沼澤和險灘 。我們只有掌握了高超的駕馭技能 ,才能使網(wǎng)絡(luò)金融活動更穩(wěn)、更快地向前發(fā)展。 參考文獻(xiàn)： [1]許寶強(qiáng)．“網(wǎng)絡(luò)審計的現(xiàn)狀及發(fā)展對策”．中國內(nèi)部審計． 2021， (1)． [2]賈俊耀，王建發(fā)．“論網(wǎng)絡(luò)審計面臨的問題及對策”．山西財政稅務(wù)?？茖W(xué)校學(xué)報． 2021， (4)． [3]謝京華．“會計信息化下的審計問題”．審計與理財． 2021， (5)． [4]董剛毅．網(wǎng)絡(luò)審計的風(fēng)險與控制 [J]．審計理論與實(shí)踐， 2021(9)． [5]楊玉明．淺談網(wǎng)絡(luò)審計應(yīng)注意的問題 [J]．山東審計， 2021(4)． [6] (英 )ROSS J． ANDERSON． Secu6ty Engineering： A Guide toBuilding Dependable Distributed Systems[M]．機(jī)械工業(yè)出版社， 2021． [7] (美 )WILLIAM STALLINGS． Network Security Essentials： Applicafions and Stardards[M]．機(jī)械工業(yè)出版社． 2021 [8](美 )Mandy [M].楊濤 ,李明 ,譯 .北京 :機(jī)械工業(yè)出版社 ,2021 [9]王繼梅 ,金連甫 .Web 服務(wù)安全問題研究和解決 .計算機(jī)應(yīng)用與軟件 ,2021,21(2):9193