數(shù)字取證已成為信息安全和司法領(lǐng)域的研究熱點(diǎn)，文中在深入分析各種Web攻擊行為的基礎(chǔ)上，利用蜜罐搭建了當(dāng)前流行的Web服務(wù)器系統(tǒng)，綜合利用基于主機(jī)和網(wǎng)絡(luò)的入侵檢測技術(shù),開發(fā)出一套高效實(shí)用可控的Web數(shù)字取證系統(tǒng)。該系統(tǒng)通過多個分布式取證代理不斷監(jiān)視和分析網(wǎng)絡(luò)中對Web服務(wù)器的訪問情況，在構(gòu)建高度可控的Web服務(wù)器基礎(chǔ)上，確定網(wǎng)絡(luò)入侵者的行為是否已構(gòu)成犯罪，然后提取和分析入侵犯罪信息，實(shí)現(xiàn)證據(jù)信息的完整性保護(hù)，同時通過對證據(jù)進(jìn)行融合，生成入侵犯罪證據(jù)。
近年來，隨著全球信息化、網(wǎng)絡(luò)化大潮的推進(jìn)，以計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)為犯罪對象和以計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)為犯罪工具的各類新型數(shù)字犯罪活動愈演愈烈。美國、英國、德國、韓國的黑客曾利用Internet網(wǎng)絡(luò)分別進(jìn)入了五角大樓、美國航天局(NASA)、北約總部和歐洲核研究中心的計(jì)算機(jī)數(shù)據(jù)庫[1]。以2001年在法國召開的第13屆全球FIRST[2]（Forum of Incident Response and Security Teams）年會（此次會議的中心議題是入侵后的系統(tǒng)恢復(fù)和分析取證）為標(biāo)志的取證研究，逐漸成為世界各國信息安全和司法領(lǐng)域研究與關(guān)注的焦點(diǎn)。
蜜罐的思想最早出現(xiàn)在九十年代初期，由網(wǎng)絡(luò)管理員所應(yīng)用，通過欺騙黑客達(dá)到追蹤的目的。1998 年著名計(jì)算機(jī)安全專家Fred Cohen 發(fā)布了著名的蜜罐工具DTK（欺騙工具包），并于2001年在理論層次上給出了信息對抗領(lǐng)域欺騙技術(shù)的框架和模型[3]。蜜罐技術(shù)是一種對攻擊者進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)以及信息誘使攻擊者對他們進(jìn)行攻擊，減少對實(shí)際系統(tǒng)所造成的安全威脅，更重要的是蜜罐技術(shù)可以對攻擊行為進(jìn)行監(jiān)控和分析、取證，了解攻擊者所使用的攻擊工具和攻擊方法，推測攻擊者的意圖和動機(jī)，從而能夠在以后更有效的提取數(shù)字證據(jù)。
DFRWS（Digital Forensic Research Workshop）對數(shù)字取證的定義[4]是：把經(jīng)過科學(xué)手段推導(dǎo)和驗(yàn)證的方法，應(yīng)用到對源自數(shù)字來源的數(shù)字證據(jù)的保存、收集、確認(rèn)、識別、分析、解釋、文檔編制和呈現(xiàn)中去，以簡化和促進(jìn)犯罪事件的重建，或幫助預(yù)見有破壞性的非授權(quán)行為。
按數(shù)字證據(jù)發(fā)生的時間不同，將數(shù)字取證分為事后取證和實(shí)時取證[5]。隨著網(wǎng)絡(luò)犯罪技術(shù)的提高,事后取證已無法適應(yīng)要求,解決方案是進(jìn)行實(shí)時取證。實(shí)時取證,也稱動態(tài)取證,是指利用相關(guān)的網(wǎng)絡(luò)安全工具,將防火墻、入侵檢測技術(shù)和取證技術(shù)結(jié)合起來，實(shí)時獲取網(wǎng)絡(luò)數(shù)據(jù)并以此分析攻擊者的企圖和獲得攻擊者的行為證據(jù)?；诿酃薜臄?shù)字取證系統(tǒng)是用真實(shí)的系統(tǒng)、應(yīng)用程序、服務(wù)和虛假的“敏感”信息來與攻擊者進(jìn)行交互，來獲取入侵者證據(jù)的系統(tǒng)，它具有真實(shí)性、可控性、高效性和完整性。