【正文】 參考文獻(xiàn)：[1]許寶強(qiáng)．“網(wǎng)絡(luò)審計(jì)的現(xiàn)狀及發(fā)展對(duì)策”．中國(guó)內(nèi)部審計(jì)．2005，(1)．[2]賈俊耀，王建發(fā)．“論網(wǎng)絡(luò)審計(jì)面臨的問題及對(duì)策”．山西財(cái)政稅務(wù)?？茖W(xué)校學(xué)報(bào)．2006，(4)．[3]謝京華．“會(huì)計(jì)信息化下的審計(jì)問題”．審計(jì)與理財(cái)．2007，(5)．[4]董剛毅．網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)與控制[J]．審計(jì)理論與實(shí)踐，2002(9)．[5]楊玉明．淺談網(wǎng)絡(luò)審計(jì)應(yīng)注意的問題[J]．山東審計(jì)，2003(4)．[6] (英)ROSS J．ANDERSON．Secu6ty Engineering：A Guide toBuilding Dependable Distributed Systems[M]．機(jī)械工業(yè)出版社，2005．[7] (美)WILLIAM STALLINGS．Network Security Essentials：Applicafions and Stardards[M]．機(jī)械工業(yè)出版社．2005[8](美)Mandy [M].楊濤,李明,:機(jī)械工業(yè)出版社,2001[9]王繼梅, ,2006,21(2):9193。網(wǎng)絡(luò)時(shí)代在向我們走來,然而它帶給我們的不僅是鮮花和蛋糕,更有與之伴生的沼澤和險(xiǎn)灘。四、結(jié)束語在網(wǎng)絡(luò)經(jīng)濟(jì)的環(huán)境下，審計(jì)、取證模式的改變，不再是簡(jiǎn)單的修補(bǔ)和完善，而是一次深刻的革命，這也充分體現(xiàn)出網(wǎng)絡(luò)經(jīng)濟(jì)的特征?，F(xiàn)有的工具如Visual RouteSam Spade可以幫助建立這個(gè)數(shù)據(jù)庫。如某些IP地址網(wǎng)段來自于什么地方．什么組織(大學(xué))等。實(shí)際中的入侵追蹤方法有DIDS，CIS，Cal1erID， Thumbprint ，Timing based等?；诰W(wǎng)絡(luò)的方法依靠網(wǎng)絡(luò)連接本身的特性(連接鏈中應(yīng)用層的內(nèi)容不變)實(shí)施追蹤。入侵追蹤技術(shù)入侵追蹤是指給定一系列的主機(jī)H1，H2……Hn(n2)當(dāng)攻擊者順序從Hi連接到Hi+1(i= 1，2，3……n一1)．稱H1， H2，……Hn為一個(gè)連接鏈，追蹤的任務(wù)就是給定Hn，要找出Hn1． ．H1的部分或全部。網(wǎng)絡(luò)數(shù)據(jù)包截獲和分析技術(shù)利用TcpDump／WinDump或SNORT之類的工具來捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包．可得到源地址和攻擊的類型和方法。如不同．則文件已被修改：若相同．文件則未發(fā)生變化 文件的數(shù)字文摘通過Hash函數(shù)計(jì)算得到 不管文件長(zhǎng)度如何．它的函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字?？刹捎眉用芗夹g(shù) 如IP加密 SSL加密等協(xié)議標(biāo)準(zhǔn)．保證數(shù)據(jù)的安全傳輸．另外．通過使用消息鑒別編碼(MAC)可保證數(shù)據(jù)在傳輸過程中的完整性。目前常用的Web Server有Apache Netscape enterprise server MS IIS等．其日志記錄不同．相應(yīng)的分析工具也不同．如常用的有webt rendsTools FW LogQry Tcpreplay、Tcpshow、Swatch等。對(duì)日志進(jìn)行分析．以得到攻擊的蛛絲馬跡。這些日志一般都包括以下信息：訪問開始和結(jié)束的時(shí)間、被訪問的端口、執(zhí)行的任務(wù)名或命令名 改變權(quán)限的嘗試 被訪問的文件等。日志分析技術(shù)可分析CUP時(shí)段負(fù)荷 用戶使用習(xí)慣 IP來源、惡意訪問提示等．系統(tǒng)的日志數(shù)據(jù)還能夠提供一些有用的源地址信息。其他一些NT應(yīng)用程序可能會(huì)把自己的日志放到其他的地方．例如ISS服務(wù)器默認(rèn)的日志目錄是C：＼＼Winnt＼system32＼Iogfile。日志的反清除技術(shù)對(duì)于Unix系統(tǒng)．可能需要查看／etc／syslog conf文件確定日志信息文件在哪些位置。Fi le Slack是指從文件尾到分配給這個(gè)文件的簇尾的空白空間．GetSlack可獲取File Slack并自動(dòng)生成一個(gè)或多個(gè)文件。對(duì)Slack磁盤空間、未分配空間，交換文件和空閑空間中包含的信息的發(fā)掘技術(shù)十六進(jìn)制編輯器可對(duì)Windows交換文件(swap file)進(jìn)行分析．如NTI的IPFiIter可動(dòng)態(tài)獲取交換文件進(jìn)行分析。眾多的專用工具如NTI的SafeBack、Norton的Ghost進(jìn)行磁盤備份．這些備份工具甚至可拷貝壞扇區(qū)和校驗(yàn)錯(cuò)誤的數(shù)CRC據(jù) 以便進(jìn)行下一步的取證分析研和作為法庭證據(jù)。（五）網(wǎng)絡(luò)取證的關(guān)鍵技術(shù)和相關(guān)工具對(duì)存儲(chǔ)介質(zhì)的安全無損備份技術(shù)如果直接在被攻擊機(jī)器的磁盤上進(jìn)行操作．可能會(huì)對(duì)原始數(shù)據(jù)造成損壞．而一旦這些數(shù)據(jù)有所損壞 就無法還原了．因此取證操作應(yīng)盡量避免在原始盤上進(jìn)行。這種方式可以發(fā)現(xiàn)對(duì)主機(jī)系統(tǒng)來說不易發(fā)現(xiàn)的某種攻擊的證據(jù)。（四）網(wǎng)絡(luò)取證的證據(jù)來源網(wǎng)絡(luò)證據(jù)主要來自以下三個(gè)方面：(1)來自于主機(jī)的證據(jù)：系統(tǒng)事件記錄和記錄系統(tǒng)應(yīng)用事件的系統(tǒng)日志文件、文件的電子特征(如MAC時(shí)間)、可恢復(fù)的數(shù)據(jù)．系統(tǒng)時(shí)間、加密及隱藏的文件、文件Slack空間，未分配的空間(Erased Files) 交換文件(Swap File) 系統(tǒng)恢復(fù)文件(Recovery File)、入侵者殘留物一如程序、腳本、進(jìn)程 內(nèi)存映像．系統(tǒng)緩沖區(qū)、系統(tǒng)內(nèi)存、Cookies 歷史文件、臨時(shí)文件 系統(tǒng)數(shù)據(jù)區(qū) 硬盤上的壞簇 注冊(cè)表、打印機(jī)及其它設(shè)備的內(nèi)存等。(4)取證過程的可認(rèn)證性：也就是說，整個(gè)過程是受到監(jiān)督的，由原告委派的專家所作的所有調(diào)查取證工作都應(yīng)該受到由其他方委派的專家的監(jiān)督。(2)保持?jǐn)?shù)據(jù)在分析和傳遞過程中的完整性：分析軟硬件環(huán)境不會(huì)改變分析的數(shù)據(jù)，數(shù)據(jù)傳遞過程中數(shù)據(jù)沒有改變。隨著網(wǎng)絡(luò)應(yīng)用的不斷深入，網(wǎng)絡(luò)取證的重要性越來越強(qiáng)，但網(wǎng)絡(luò)取證的研究還處在起步階段。Digital Forensic Research Workshop(DFRWS)2001的會(huì)議上討論并給出了網(wǎng)絡(luò)取證的定義：使用科學(xué)的證明方法來收集、融合，發(fā)現(xiàn)、檢查、關(guān)聯(lián)，分析以及存檔數(shù)字證據(jù)，這些證據(jù)涉及多層次的主動(dòng)處理過程以及數(shù)據(jù)源的傳遞過程，其目的是發(fā)現(xiàn)有預(yù)謀的破壞行為或已經(jīng)成功的非授權(quán)的攻擊行為，并為應(yīng)急事件的響應(yīng)和系統(tǒng)恢復(fù)提供有用的信息。（二）網(wǎng)絡(luò)取證的定義網(wǎng)絡(luò)取證(network forensics)一詞，通常用于描述對(duì)網(wǎng)絡(luò)行為信息的收集，分析，監(jiān)控，審計(jì)。(2)狹義的計(jì)算機(jī)取證：能夠?yàn)榉ㄍソ邮艿?、原始的、完整的、有說服