您好, 访客   登录/注册

浅谈计算机网络取证技术

来源:用户上传      作者: 杨泉清 许元进

  [摘要]随着互联网的应用普及,各种利用计算机网络进行诈骗、盗窃、色情传播等网络犯罪活动日益猖獗,已经严重威胁到人们正常的生产和生活。如何及时准确地从计算机网络中获取证据,有效遏制网络犯罪,已成为近年来计算机取证的研究热点。由于这类证据具有动态、实时、海量、异构和多态等特性,有别于传统证据,需要具备较强的取证技术。同时,网络取证技术的研究在我国尚处于起步阶段,还无法及时跟上犯罪技术的更新和变化。因此,网络证据的获取一直还处于比较艰难的局面,严重阻碍了网络案件的侦破。面对这种现实,加快网络取证技术的研究和应用,已经引起各级政府和机构的高度重视。
  [关键词]计算机取证技术网络犯罪网络取证工具电子证据
  
  1网络证据取证概述
   计算机取证(Computer Forensics)是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行获取、保存、分析和出示的过程。从技术上,计算机取证是一个对计算机系统进行扫描和破解,以对入侵事件进行重建的过程。网络取证(Network Forensics)包含了计算机取证,是广义的计算机取证,是网络环境中的计算机取证。
   计算机取证包括了物理证据获取和信息分析发现两个阶段。物理证据是指调查人员到犯罪现场,寻找和扣留犯罪相关的计算机软硬件设备;信息分析发现是指从计算机原始数据中通过技术手段分析查找与案件相关的系统日志、聊天记录、电子邮件和文件等可以用来证明或者反驳的电子数据证据,即电子证据。
   与传统的证据不同的是,计算机证据易丢失、易篡改、易删除并且很难获取,这就要求在进行计算机取证时必须严格遵守一定的规则。基本原则如下:
  1.1 合法性原则
   应采用合法的取证设备和工具软件按照法律法规的要求,合理合法地进行计算机证据收集。
  1.2 原始性原则
   及时收集、保存和固化原始证据,确保证据不被嫌疑人删除、篡改和伪造。
  1.3 连续性原则
   证据被提交给法庭时,必须能够说明证据从最初的获取到出庭证明之间的任何变化。
  1.4 过程完整性原则
   整个取证过程应该在受监督的情况下完成,证据的移交、分类、保管等过程应该有详细的记录,确保证据获取的真实可信。
  1.5 多备份原则
   对存放计算机证据的载体至少制作两个以上的副本。原件应存放在专门的保管设施中,副本可用于证据的提取和分析;
  1.6 可重现原则
   由于电子证据的特殊性,确保取证过程和结果的可重现性。
  2计算机网络取证技术
   计算机网络取证技术就是在网络上跟踪犯罪分子或通过网络通信的数据信息资料获取证据的技术。主要包括以下几种技术。
  2.1 基于入侵检测取证技术
   是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术,简称IDS。入侵检测技术是动态安全技术的最核心技术之一。它的原理就是利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信,而网络证据的动态获取也需要对位于传输层的网络数据通信包进行实时的监控和分析,从中发现和获得嫌疑人的犯罪信息。因此,计算机网络证据的获取完全可以依赖现有IDS系统的强大网络信息收集和分析能力,结合取证应用的实际需求加以改进和扩展,就可以轻松实现网络证据的获取。只是具体的获取方法和获取的信息不同而已。
  2.2 来源取证技术
   其主要的目的是确定嫌疑人所处位置和具体作案设备。主要通过对网络数据包进行捕捉和分析,或者对电子邮件头等信息进行分析,从中获得犯罪嫌疑人通信时的计算机IP地址和MAC 地址等相关信息。
   IP地址是Internet协议地址,每个Internet包必须带有IP地址,每个Internet服务提供商(ISP)必须向有关组织申请一组IP地址,然后一般是动态分配给其用户。调查人员通过IP地址定位追踪技术进行追踪溯源,查找出嫌疑人所处的具体位置。MAC地址是由网络设备制造商生产时直接写在每个硬件内部的全球唯一地址。调查人员通过MAC 地址和相关调查信息最终确认犯罪分子的作案设备。
  2.3 痕迹取证技术
   是指通过专用工具软件和技术手段,对犯罪嫌疑人所使用过的计算机设备中相关记录和痕迹信息进行分析取证,获得案件相关的犯罪证据。主要有文件内容、电子邮件、网页内容、聊天记录、系统日志、应用日志、服务器日志、网络日志、防火墙日志、入侵检测、磁盘驱动器、文件备份、已删除可恢复的记录信息等等。痕迹取证技术要求取证人员需要具备较高的计算机专业水平和丰富的取证经验,结合密码破解、加密数据的解密、隐藏数据的再现、数据恢复、数据搜索等技术。对系统分析和采集来获得证据。
  2.4 海量数据挖掘技术
   计算机的存储容量越来越大,网络传输的速度也越来越快。对于计算机内部存储和网络传输中的大量数据,可以用海量数据挖掘技术发现特定的与犯罪有关的数据。相关专家提出了NFAT(NetWork Forensics Analysis Tools)的设计框架和标准。核心是开发专家系统(Expret System,简称ES)并配合入侵检测系统和防火墙,对网络数据流进行实时的监控、提取和分析,对于发现的异常数据进行可视化报告,从中获得嫌疑人的相关犯罪信息。
  2.5 网络流量监控技术
   可以通过Sniffer协议分析软件和P2P流量监控软件实时动态来跟踪犯罪嫌疑人的通信过程,对嫌疑人正在传输的网络数据进行实时连续的采集和监测,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。根据对网络主要成分进行性能分析,发现性能变化趋势,得到嫌疑人的相关犯罪痕迹。
  2.6 事前取证技术
   现有的取证技术基本上都是建立在案件发生后,根据案情需要利用各种技术对所需的证据进行获取即事后取证。而由于计算机网络犯罪的特殊性,许多重要的信息,只存在于案件发生的当前状态下如环境信息、网络状态信息等在事后往往是无据可查,而且电子数据易遭到删除、覆盖和破坏。因此,对自我认为可能发生的事件进行预防性的取证保全,对日后出现问题的案件的调查和出庭作证都具有无可比拟的作用,它将是计算机取证技术未来发展的重要方向之一。对此类防范和预防性的取证工具软件,在国内外还比较少见。现有据可查的就是福建伊时代公司于2007年推出的电子证据生成系统。该系统采用其独创的“数据原生态保全技术”来标识电子证据,并将其上传存放于安全性极高的电子证据保管中心,充分保证电子证据的完整性、真实性和安全性,使之具备法律效力。它可以全天候提供电子邮件、电子合同、网络版权、网页内容、电子商务、电子政务等电子证据的事前保全服务。
  3现有取证存在的问题
  3.1 法律法规的不健全
   由于我国在计算机取证方面的立法相对滞后,到目前为止还未有计算机取证方面的专门的法律法规,计算机证据即电子证据还不能做为一种单独的证据类型在法庭上予以承认。
   计算机取证工作程序没有统一的标准和规范,获取证据的过程没有严格的规定,存在较大的随意性。因此,获取的证据的证明力不足。
  3.2 取证工作缺乏标准和规范
   由于计算机取证倍受关注,很多组织和机构都投入了人力对这个领域进行研究,也开发出大量的取证工具,但没有统一的标准和规范,软件的使用者很难对这些工具的有效性和可靠性进行比较。

   缺少对取证人员的认证和培训机制,由于取证人员水平的参差不齐,取得的证据不具备可靠性。
  4取证技术的完善
   首先,应加快计算机取证法律法规的立法步伐,使其具备合法性。尽早在法律层面上确立电子证据作为一种单独证据类型。另外,还应制定统一的计算机取证规范和取证过程标准,从制度上保证取证的科学性和权威性。
   其次,由于计算机取证是一个高技术含量的学科,需结合计算机软硬件的多项技术才能完成,因此,有必要建立一个计算机取证综合实验室。对网络犯罪和取证技术进行综合研究,找出一个切实可行的网络犯罪防范和治理办法。
   由于现有的取证技术都是事后取证,缺乏对网络犯罪的事前防范和预防,无法从根源上防止和杜绝网络犯罪。因此,必须加快计算机网络犯罪的事前防范和预防的研究,把网络犯罪掐断在萌芽阶段,才能做到从源头上治理计算机网络犯罪行为。
  5发展趋势
   现在的计算机取证,很大程度是手工操作硬件或者使用取证工具软件,能够在作案的同时或一定时限内获得证据的机会微乎其微。取证工作的成败主要取决于技术人员的经验和智慧,缺少证据的主动获取技术。所以取证技术的发展方向之一就是证据获取的自动化。
   由于计算机取证技术是近年来才得以发展和重视,相对反取证技术还比较落后。而且反取证技术也在不断发展,如同病毒和防病毒软件的发展一样,取证技术的进一步发展也基于研究反取证技术的基础上。
  6结论
   随着计算机和网络技术的普及,计算机网络取证技术是一个快速成长的研究领域,它在国家安全、消费者保护和犯罪调查方面有着重要的应用前景。本文主要研究了计算机网络取证的基本原则、取证技术的应用。并结合法律和技术方面指出目前存在的问题和今后取证技术的完善和发展趋势。对计算机取证的法律和技术问题进行深入探讨和研究,希望有助于我国计算机取证法律法规的健全和计算机取证技术的进一步完善和发展。
  
  参考文献:
   [1] 郭建朝.计算机取证技术的应用研究[D].兰州:兰州大学硕士学位论文,2007.
   [2] 张凯.电子证据研究[D].北京:中国政法大学博士学位论文,2006.
   [3] 何明.计算机安全学的新焦点――计算机取证学[J].系统安全,2002.
   [4] 梁锦华,蒋建春,戴飞雁,卿斯汉.计算机取证技术研究[J].计算机工程,2002.
   [5] 钱桂琼,杨泽明,许榕生.计算机取证的研究与设计[J].计算机工程,2002.
   [6] 张越今.网络安全与计算机犯罪勘查技术学[M].北京:清华大学出版社,2003.


转载注明来源:https://www.xzbu.com/1/view-243268.htm