想要部署一个服务器监控系统，大家推荐哪个

你好楼主；

1、Ganglia是伯克利开发的一个集群监控软件。可以监视和显示集群中的节点的各种状态信息，比如如：cpu 、mem、硬盘利用率， I/O负载、网络流量情况等，

2、Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。

3、Zenoss Core是开源企业级IT管理软件-是智能监控软件，他允许IT管理员依靠单一的WEB控制台来监控网络架构的状态和健康度。Zenoss Core同时也是开源的网络与系统管理软件。

4、Argus 是一个网络连接监控器，可以利用它来定制监控网络中符合某种条件的计算机，例如网络空闲、断开等。

5、　Monit是一款功能非常丰富的进程、文件、目录和设备的监测软件，用于Unix平台。它可以自动修复那些已经停止运作的程序，特使适合处理那些由于多种原因导致的软件错误。

6、Nagios是一个监视系统运行状态和网络信息的监视系统。Nagios能监视所指定的本地或远程主机以及服务，同时提供异常通知功能等

7、collectd是一个守护(daemon)进程，用来收集系统性能和提供各种存储方式来存储不同值的机制。比如以RRD 文件形式。

8、Fiddler是最强大最好用的Web调试工具之一，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚至修改输入输出数据，Fiddler包含了一个强大的基于事件脚本的子系统，并且能使用net语言进行扩展

9、网络嗅探器/数据包捕获网络取证分析工具（NFAT），它可以检测网络上的流量，会话，主机名，操作系统的开放端口等。 NetworkMiner也可以解析PCAP文件进行离线分析，同时，NetworkMiner还可以提取网络流量的传输的文件。

10、Pandora FMS(灵活监控系统)是一种小型和大型系统环境(一个服务器2000节点)的可用性和性能监视系统。对于本地系统，该软件使用代理来监视Linux, Solaris, FreeBSD, MAC OS X, Windows和AIX平台上的数值参数，布尔状态或字符串。使用者可以用Shellscript, WSH, Perl 或 C创建代理。 可通过SNMP v3, TCP检查和远程WMI探测来进行远程网络监视。 数据报告基于Pandora自己的SQL后台，且可在配置的屏幕上显示。

11、Observium是一个可自动发现网络中的Cisco设备和Linux系 统的网络监控工具，而是包括了主要的网络硬件和操作系统的广泛支持。

12、EasyNetMonitor是一款非常有用的免费网络监 视工具，无需安装。软件默认会每10秒钟ping一次网站，如果网站运作正常，也就是有响应的话，系统托盘的监测状态会显示绿灯，如果是没响应的话则是显 示红灯。要修改或是删除监测的网站，在地球小图标上点击右键，选择监测网址子菜单的 Edit 或是 Delete就行！

13、Colasoft Capsa Free是一个功能强大的程序，成功地处理与网络分析，向您提供用于故障诊断和监测的信息。它为用户提供丰富的经验，若要了解如何监视网络活动，查明网络问题，增强网络安全性等。

望采纳！

　　计算机取证技术论文篇二

　计算机取证技术研究

　摘要：随着计算机和 网络技术 的飞速发展，计算机犯罪和网络安全等问题也越来越突出，也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了介绍，最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。

　关键词：计算机取证 数据恢复 加密解密 蜜罐网络

　随着计算机和网络技术的飞速发展，计算机和网络在人类的政治、经济、 文化 和国防军事中的作用越来越重要，计算机犯罪和网络安全等问题也越来越突出，虽然目前采取了一系列的防护设备和措施，如硬件防火墙、入侵检测系统、、网络隔离等，并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施，但仍然无法保证系统的绝对安全。

　计算机取证技术是指运用先进的技术手段，遵照事先定义好的程序及符合法律规范的方式，全面检测计算机软硬件系统，查找、存储、保护、分析其与计算机犯罪相关的证据，并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者，并解释或重现完整入侵过程。

　一、计算机取证的特点

　和传统证据一样，电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的，除此之外，电子证据还有如下特点：

　1数字性。电子证据与传统的物证不同，它是无法通过肉眼直接看见的，必须结合一定的工具。从根本上讲，电子证据的载体都是电子元器件，电子证据本身只是按照特殊顺序组合出来的二进制信息串。

　2脆弱性。计算机数据每时每刻都可能发生改变，系统在运行过程中，数据是不断被刷新和重写的，特别是如果犯罪嫌疑人具备一定的计算机水平，对计算机的使用痕迹进行不可还原的、破坏性操作后，现场是很难被重现的。另外取证人员在收集电子证据过程中，难免会进行打开文件和程序等操作，而这些操作很可能就会对现场造成原生破坏。

　3多态性。电子证据的多态性是指电子证据可以以多种形态表现，它既可以是打印机缓冲区中的数据，也可以是各种计算机存储介质上的声音、视频、图像和文字，还可以是网络交换和传输设备中的历史记录等等，这些不同形态都可能成为被提交的证据类型。法庭在采纳证据时，不仅要考虑该电子证据的生成过程、采集过程是否可靠，还要保证电子证据未被伪造篡改、替换剪辑过。

　4人机交互性。计算机是通过人来操作的，单靠电子证据本身可能无法还原整个犯罪过程，必须结合人的操作才能形成一个完整的记录，在收集证据、还原现场的过程中，要结合人的 思维方式 、行为习惯来通盘考虑，有可能达到事半功倍的效果。

　二、计算机取证的原则和步骤

　(一)计算机取证的主要原则

　1及时性原则。必须尽快收集电子证据，保证其没有受到任何破坏，要求证据的获取具有一定的时效性。

　2确保“证据链”的完整性。也称为证据保全，即在证据被正式提交法庭时，必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化，包括证据的移交、保管、拆封、装卸等过程。

　3保全性原则。在允许、可行的情况下，计算机证据最好制作两个以上的拷贝，而原始证据必须专门负责，所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境，以防止证据被破坏。

　4全程可控原则。整个检查取证的过程都必须受到监督，在证据的移交、保管、拆封和装卸过程中，必须由两人或两人以上共同完成，每一环节都要保证其真实性和不间断性，防止证据被蓄意破坏。

　(二)计算机取证的主要步骤

　1现场勘查

　勘查主要是要获取物理证据。首先要保护计算机系统，如果发现目标计算机仍在进行网络连接，应该立即断开网络，避免数据被远程破坏。如果目标计算机仍处在开机状态，切不可立即将其电源断开，保持工作状态反而有利于证据的获取，比如在内存缓冲区中可能残留了部分数据，这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或移动设备，必须进行拍照存档，以方便日后对犯罪现场进行还原。

　2获取电子证据

　包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等，应最大程度的系统或应用程序使用的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等，动态数据的采集必须迅速和谨慎，一不小心就可能被新的操作和文件覆盖替换掉。

　3保护证据完整和原始性

　取证过程中应注重采取保护证据的措施，应对提取的各种资料进行复制备份，对提取到的物理设备，如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备，在移动和拆卸过程中必须由专人拍照摄像，再进行封存。对于提取到的电子信息，应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。上述任何操作都必须由两人以上同时在场并签字确认。

　4结果分析和提交

　这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果，包括所有的相关文件列表和发现的文件数据，然后给出分析结论，具体包括：系统的整体情况，发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记和记录后，以证据的形式并按照合法的程序正式提交给司法机关。

　三、计算机取证相关技术

　计算机取证涉及到的技术非常广泛，几乎涵盖信息安全的各个领域，从证据的获取来源上讲，计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。

　(一)基于单机和设备的取证技术

　1数据恢复技术

　数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对于删除操作来说，它只是将文件相应的存放位置做了标记，其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在，普通用户看起来已经没有了，但实际上通过恢复文件标记可以进行数据恢复。对于格式化操作来讲，它只是将文件系统的各种表进行了初始化，并未对数据本身进行实际操作，通过重建分区表和引导信息，是可以恢复已经删除的数据的。实验表明，技术人员可以借助数据恢复工具，把已经覆盖过7次的数据重新还原出来。

　2加密解密技术

　通常犯罪分子会将相关证据进行加密处理，对取证人员来讲，必须把加密过的数据进行解密，才能使原始信息成为有效的电子证据。计算机取证中使用的密码破解技术和方法主要有：密码分析技术、密码破解技术、口令搜索、口令提取及口令恢复技术。

　3数据过滤和数据挖掘技术

　计算机取证得到的数据，可能是文本、、音频或者视频，这些类型的文件都可能隐藏着犯罪信息，犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理，然后再嵌入到文件中，那么想要还原出原始信息将变得非常困难，这就需要开发出更优秀的数据挖掘工具，才能正确过滤出所需的电子证据。

　(二)基于网络的取证技术

　基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术，具体包括以下几种技术：

　1IP地址和MAC地址获取和识别技术

　利用ping命令，向目标主机发送请求并监听ICMP应答，这样可以判断目标主机是否在线，然后再用其他高级命令来继续深入检查。也可以借助IP扫描工具来获取IP，或者利用DNS的逆向查询方法获取IP地址，也可以通过互联网服务提供商ISP的支持来获取IP。

　MAC地址属于硬件层面，IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的，当然，MAC跟IP地址一样，也可能被修改，如此前一度横行的“ARP欺骗”木马，就是通过修改IP地址或MAC来达到其目的的。

　2网络IO系统取证技术

　也就是网络输入输出系统，使用netstat命令来跟踪嫌疑人，该命令可以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS，IDS又分为检测特定事件的和检测模式变化的，它对取证最大帮助是它可以提供日志或记录功能，可以被用来监视和记录犯罪行为。

　3电子邮件取证技术

　电子邮件使用简单的应用协议和文本存储转发，头信息包含了发送者和接受者之间的路径，可以通过分析头路径来获取证据，其关键在于必须了解电子邮件协议中的邮件信息的存储位置。对于POP3协议，我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件，一般存储在邮件服务器上;而微软操作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息，黑客往往能轻易在其中插入任何信息，包括伪造的源地址和目标地址。跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。

　4蜜罐网络取证技术

　蜜罐是指虚假的敏感数据，可以是一个网络、一台计算机或者一项后台服务，也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系，研究人员借助数据控制、数据捕获和数据采集等操作，对诱捕到蜜罐网络中的攻击行为进行控制和分析。蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。目前应用较多是主动蜜罐系统，它可以根据入侵者的攻击目的提供相应的欺骗服务，拖延入侵者在蜜罐中的时间，从而获取更多的信息，并采取有针对性的措施，保证系统的安全性。

　参考文献：

　[1]卢细英浅析计算机取证技术[J],福建电脑,2008(3)

　[2]刘凌浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6)

看了“计算机取证技术论文”的人还看：

1 计算机犯罪及取征技术的研究论文

2 安卓手机取证技术论文

3 计算机安全毕业论文

4 计算机安全论文

5 计算机安全论文范文

一、数据集中存储

减少数据泄露：这也是云服务供应商谈论最多的一个。在云计算出现之前，数据常常很容易被泄露，尤其是便携笔记本电脑的失窃成为数据泄露的最大因素之一。为此需要添置额外备份磁碟机，以防数据外泄。而且随着云技术的不断普及，数据“地雷”也将会大为减少。掌上电脑或者Netbook的小量、即时性的数据传输，也远比笔记本电脑批量传输所面临的风险小。你可以问任何一家大公司的信息安全管理人员(Certified Information SecurityOffice，简称CISO)，是不是所有的笔记本电脑都安装有公司授权的安全技术，比如磁盘加密技术(Full DiskEncryption)，他们会告诉你这是不大现实的。尽管在资产管理和数据安全上投入了不少精力，但是他们还是面临不少窘境和困难，更何况那些中小企业那些使用数据加密或者对重要数据分开存储的企业，可以说少之又少。

可靠的安全监测：数据集中存储更容易实现安全监测。如果数据被盗，后果不堪想象。通过存储在一个或者若干个数据中心，数据中心的管理者可以对数据进行统一管理，负责资源的分配、负载的均衡、软件的部署、安全的控制，并拥有更可靠的安全实时监测，同时，还可以降低使用者成本。

二、事件快速反应

取证准备：在必要的时候，我可以利用基础架构即服务(Infrastructure-as-a-Service，简称IaaS)供应商提供的条件，为自己公司建立一个专门的取证服务器。当事件发生需要取证时，我只需要支付在线存储所产生的费用。而不需要额外配置人员去管理远程登陆及其软件，而我所要做的，就是点击云提供商Web界面中的一些按钮即可。如果一旦产生多个事件反应，我可以先复制一份，并把这些取证工作分发到不同部门或者人员手中，然后进行快速分析并得出结论。不过，为了充分发挥这项功能，取证软件供应商需要由过去传统的软件授权许可转变到新型网络许可模式。

缩短取证时间：如果有某个服务器在云中出现了故障，我只要在云客户端点击鼠标，克隆该服务器并使得克隆后的服务器磁盘对取证服务器开放。我根本不需要临时寻找存储设备，并花时间等待其启动并进入使用状态，从而，大大缩短取证时间。

降低服务器出错概率：和刚才讲述的情况类似，即使有某台服务器出现故障，也可以在极短时间内，快速克隆并拥有全新的服务器供使用。另外，在某些情况下，更换出故障的硬件也不会影响到取证的正常进行。

取证更有针对性：在同一个云中，拥有克隆服务器的速度会快很多——克隆服务器可以更快的速度分发云提供商专门设计的文件系统。如果从网络流量角度来看的话，在同一个云中的服务器副本，可能并不会产生额外的费用。而如果没有云的话，要实现同样的目的，需要花费大量宝贵的时间和昂贵的硬件成本。在云环境下，我只需要对有用的取证支付存储费用。

隐藏取证痕迹：有一些云存储可以执行加密校验和散列( hash)。比如，Amazon S3 会在你存储数据的时候自动生成一个MD5 散列(hash)。在理论上，你也并不需要浪费时间去使用外部工具生成MD5加密校验，因为云已经完全具备这些功能。

缩短存取受保护数据时间：现在CPU性能已经十分强大。保护数据的密码，需要花费很长时间来检验，而现在云环境下配置强大的CPU，可以在短时间更大范围内检验出保护数据的密码性能。从而，批量处理受保护数据的存取工作也会变得简易快速。

三、密码可靠性测试

减少密码破解时间：如果你的公司需要使用密码破解工具定期对密码强度进行测试，那么你可以使用云计算减少密码破解时间，并更能保证密码强度的可靠性，而你只需要支付相关费用即可。

密码破解专用机器：如果你使用分布式密码破解测试密码强度的话，工作量会波及到很多相关机器，从而影响使用效率。在云条件下，你可以设立密码破解专用机器，这样一来，既可以提供工作效率，又可以减少敏感数据外泄和工作超负荷的发生。

四、日志

无限期记录，按次数收费：日志往往都是事后的，如果磁盘空间不足，可以重新分配，并不会影响日志的存储使用。云存储可以帮你随心所欲地记录你想要的标准日志，而且没有日期限制，你所需要的也仅仅是按使用量支付费用。

完善日志索引机制：在云计算中，你可以根据你的日志实现实时索引，并享受到instant search带来的好处。如果需要，还可以根据日志记录探测到计算机的动态信息，轻松实现实时监测。

符合扩展日志记录：现在，大部分的操作系统都使用C2审核跟踪模式支持扩展日志记录，这种方式能够保证系统能够保护资源并具有足够的审核能力，C2模式还允许我们监视对所有数据库的所有访问企图。现在，我们在云环境下更容易实现这一目的，而且Granular logging也会让取证调查变得更加容易。

五、提升安全软件的性能

需求是前进的动力：CPU更新换代步伐越来越快。如果处理器性能成为机器运行瓶颈，那么用户必然会把目光投向更昂贵的CPU。同样的情况，安全产品厂商也明白这个道理。相信在云计算中，会出现越来越多的高性能安全软件，也可以在某种程度上说，云带来了安全产品的整体提升。

六、可靠的构造

预控制机制：基于云计算的虚拟化能够获得更多的好处。你可以自定义“安全”或者“可靠”的状态，并且创建属于自己的VM镜像同时不被克隆。不过，需要指出的是这可能要求有第三方工具的配合。

减少漏洞：通过离线安装补丁，可以极大减少系统漏洞。镜像可以在安全的状态下做到实时同步，而即使离线VM也可以很方便地在断网情况下安上补丁。

更容易检测到安全状况：这是个很重要的方面。通过你的工作环境的一个副本，可以更低的成本和更少的时间执行安全检测。这可以说，在安全工作环境上前进了一大步。

七、安全性测试

降低安全测试成本：SaaS供应商只承担他们安全测试成本中的一部分。通过共享相同的应用程序服务，你可以节省不少昂贵的安全性测试费用。甚至通过软件即服务(Platform as a Service，PaaS)，也可以让你的软件开发人员在潜在成本规模经济下撰写程序代码( 尤其是利用扫描工具扫描安全漏洞的程序编码)。