网络取证及计算机取证的理论研究.pdfVIP

2010．12 网纲诹 撅鳓一 丁丽萍 (中国科学院软件研究所基础软件国家工程研究中心，北京 100190) 摘 要：本文分析了网络上电子证据的获取技术，指出可以利用入侵检测技术、网络传感器技术、网络 监控技术和网络透视技术进行 电子证据的提取。从电子证据的法律认定、计算机取证的原则和过程、计算机 取证的框架和模型等方面总结分析了计算机取证的理论研究。 关键词：网络取证；理论研究；法律；原则；框架；模型 中图分类号：TP893．08 文献标识码：A 文章编号：1671—1122(2010)12—0038一o4 NetworkForensicsandTheoryResearchofComputerForensics DINGLi—ping (NationalEngineeringResearchCenterofFundamentalSoftware，InstituteofSofwtare,ChineseAcademyof Sciences，Beijing1O0190,China) Abstract：Technologiesofnetworkcomputerforensicsareoverviewedandanalyzed．IDS，networksensor, networkmonitorandnetworktomographycanaI1beusedincomputerforensics．Thepaperalsoconcludesthelegal identification，principles，processes，frameworksandmodelsofcomputerforensics． Keywords：NetworkForensic；TheoryResearch；Law；Principle；Framework；Model 1基于网络数据流的计算机取证技术 1．1网络证据的组成 网络证据就是正在网络上传输的电子证据，其实质是网络数据流。随着网络应用的Et益普及，对网络证据进行正确地提取 和分析对于各种案件的侦破具有重要意义。网络证据的获取属于事中取证，或称为实时取证，即在犯罪事件进行或证据数据的 传输途中进行截获。网络数据流的存在形式依赖于网络传输协议，采用不同的传输协议，网络数据流的格式不同。但无论采用 什么样的传输协议，根据其表现形式的不同，都可以把网络数据流分为：文本、视频、音频 、图片等等。 1．2网络证据的特点 1)动态性 ：区别于存储在硬盘等存储设备中的数据，网络数据流是正在网上传输着的数据，是 “流动”着的数据，因而具 有动态的特性。2)实效性 ：就在网络上传输的一个数据包而言，其传输的过程是有时间限制的，从源地址经由传输介质到达 目 的地址后就不再属于网络数据流了。所以，网络数据流的存在具有时效性。3)海量性 ：随着网络带宽的不断增加和网络应用的 普及，网络上传输着的数据越来越多，因而可能的证据也越来越多，形成了海量数据。4)异构性 ：由于网络结构的不同、采用 协议的差别导致了网络数据流的异构性。5)多态性 ：网络上传输的数据流有文本 、视频和音频等多种形式，其表现形式呈多态性。 1．3网络取证技术 从 目前可供利用的技术来看，网络取证技术有入侵检测、网络传感器、网络监控、网络透视和人工智能等。 1)基于人侵检测的计算机取证。 入侵检测是相对比较成熟的技术。网络证据的获取可以依赖于现有的入侵检测技术加以实现。基于简单网管协议 (SNMP) 的数据包应包含配置信息(路由表，地址，名字等)和运行数据 (如用于不同网络接口及各层间通信的计数器等)，这些数据就构 成 人侵检测的原始数据。在已有的网络入侵检测技术的基础上，进行相应的改进就可以实现网络证据的获取。网络证据的获取 和入侵检测技术的数据源都是位于传输层的网络数据包，只是具体的获取方法不同。 (1)基于犯罪行为的网络证据获取。基于犯罪行为的电子证据获取要求依据法律法规的规定将各种犯罪的行为特征进行全 面的分析提取