1、“.....卿斯汉，密码学与计算机网络安全，清华大学出版社，谭思亮，监听与隐藏，人民邮电出版社，董玉格等，攻击于防护，人民邮电出版社，刘长久姚水国，反计算机犯罪的取证方法讨论，第十七届全国计算机安全学术交流会暨电子政务安全研讨会论文集，相关技术网站进程监测相关的方法封装在类中为系统拍摄快照检查重要进程的状态，用中的容器存放重要进程，其中第元为进程名称，第二元为进程状态，表示是运行，表示停止,,，，,，，以下是片断，，采集器与取证机间的通讯采集器必须及时将所收集到的信息发回取证机，通讯上实现方式可采用编程实现......”。

2、“.....以下给出下实现的部分源码客户端消息发送，，，以下是服务器端信息接受的实现监测采集器进程状态被取证机上信息采集器进程如果发生意外中断，或被入侵者恶意中断，就失去了监测能力，因此这种情况旦发生因能及时的予以发现，并作相应记录。解决方案如下方案采集器定时向取证机发送特定信息，当在定时间段内，如果没用接收到来自被取证机的信息，则说明该取证机上的采集器进程已停止运行或是通讯中断，取证机将立即记录该情况。取证机将通过自动学习，生成网络中运行采集器进程的被取证机的列表......”。

3、“.....具体实现已包含在前面给出的代码片段中。但此，实现方案需占用定的网络资源，在保存和分析截获的网络数据包时，应注意将取证机与信息采集器之间通讯的正常数据包过滤掉。方案二客户机上采用两个进程，互相监视对方进程是否在系统的进程列表中，其中个为信息采集器进程，如果其中方发现对方进程消失，则向取证机发出警告。此方案只有在有个进程终结时采与取证机通讯，故占用网络资源较少，不会对储存分析造成影响。但此方案较之方案，要占用较多的客户端资源。方案的实现采用，定时对系统进程拍摄快照来实现......”。

4、“.....，数据分析部分通过有效分析取证数据可以辅助管理员确定入侵行为，数据分析可以实时或事后进行，常用实现方法有以下些模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单如通过字符串匹配以寻找个简单的条目或指令，也可以很复杂如利用正规的数学表达式来表示安全状态的变化。般来讲，种进攻模式可以用个过程如执行条指令或个输出如获得权限来表示。该方法的大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟......”。

5、“.....检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。统计分析统计分析方法首先给系统对象如用户文件目录和设备等创建个统计描述，统计正常使用时的些测量属性如访问次数操作失败次数和延时等。测量属性的平均值将被用来与网络系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。由于人工智能的发展缓慢，所以此类方法实际使用效果并不理想。四系统的运行与演示将网络入侵取证程序记组件安装在取证机上取证机采用......”。

6、“.....并导出其客户端代理安装在被取证机上若采用方式通讯，须在被取证机端配置好取证机地址文件，在文件中写入取证机的地址。在被取证机上配置好核心文件列表文件，将要保护的核心文件写入其中，为了防止文件本身被修改应将此文件也列入其中，将要监测的重要进程添加到重要进程列表文件中，此时便可启动被取证机上的信息采集程序了。通过取证机上的监测程序可以看到网中数据帧的情况，打开文件监视，被取证机上的任何核心文件的变动或重要进程的启动停止都可以被检测到，并按时间顺序记录到从取证机上的文件中......”。

7、“.....发生变动的核心文件及变更时间。当核心文件或重要进程的非法入侵来自与内部人员而非通过网络时，通过记录的时间而查看当时的监视录象资料便可帮助我们确定入侵者。在测试中为了模拟网络入侵，将架设在被取证机上的网站的访客记录文件加入核心文件列表中。当访问此网站时，引起了访客记录文件的变化，取证机上立即记录了这个变化，同时，这次访问的网络数据包也被取证机捕获。五网络入侵取证的技术难点与结论由于有效的数据分析需要个庞大的入侵信息专家库，所以作者并未给出它的实现......”。

8、“.....计算机取证技术实现的技术难点在于如何让取证设备或程序对于用户和入侵者而言是透明的，既不影响用户的运行效率，也不易被入侵者发现。同时，应有措施保证取证系统自身的安全。大量数据的存储与分析同样也是实现中的难点。网络入侵取证系统设计在中，应确保其开放性，可以有效整合其他取证工具和网络安全系统。同时，网络入侵取证系统也应易于升级，应对新的网络入侵方式。可以预言今后的网络安全体系将是由防火墙入侵检测系统和入侵取证系统等构成的多层次有机整体。随着，计算机犯罪相关法规的完善......”。

9、“.....参考文献,将接受的数据保存在缓冲区中，，，，，，，，，，，，，，,，以下是判断客户端进程是否在运行,信息采集器进程列表文件，用于保存被取证机上信息采集器进程的状态,，客户端在安装了服务代理后，信息采集程序便可以通过使用智慧指针来调用和访问远程组件服务，以下是调用远程组件服务的程序片断初始化组件服务声明智慧指针,，调用远程服务发回表示采集器仍在运行的特定信息，定义以太帧的头部数据类型头部的数据类型定义端口数据类型用于解析和中的源端口和目的端口监听和解析过程的实现查找本地网络适配器，建立监听会话......”。