网络安全取证的应用分析.docVIP

网络安全取证的应用分析 　　摘要：随着科学技术的进步，人们对网络的依赖程度也与日俱增，但网络存在的一些漏洞给使用用户造成极大的困扰，甚至会给人们带来巨大的经济损失。传统的防御机制已经不能完全消除网络入侵这一重大威胁，网络安全取证应运而生。该文针对网络安全取证进行分析，并具体阐述网络取证应用技术。 　　关键词：网络犯罪；电子证据；应用技术 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）08-0067-02 　　网络安全取证主要是指利用黑客攻击后的痕迹进行取证，获取网络犯罪的电子证据，从而达到对黑客进行控诉的目的。我国针对网络取证技术研究甚少，尚处于起步阶段，不能完全保证我国网络安全，给计算机网络的机密性以及完整性造成极大的威胁。本文将针对网络安全取证的应用进行分析，营造一个安全的上网环境。 　　1概述 　　1.1计算机取证与网络取证 　　计算机犯罪事件的发生推动了计算机取证的发展，尽管国外对计算机取证有着较为丰富的经验，但我国对该项取证技术的研究仍处于起步阶段。计算机取证一般属于事后措施，主要包括文件的复制、恢复删除文件以及缓冲区内容获取等方式。虽然目前对网络取证的定义还未统一，但从技术和方法上来看与传统的计算机取证差异不大。但与计算机取证不同的是，网络取证主要通过对网络数据流以及主机系统日志等进行监控，从而发现存在于网络系统中的入侵行为，自动记录下犯罪证据，同时还能起到防止进一步入侵的作用。从目前发展来看，网络取证更注重对动态信息的收集和对网络安全的主动防御。 　　1.2网络取证过程 　　电子证据与传统的取证过程不同，因其自身的特点在原则和步骤上有所差别，但也符合法学上对证据的定义，即保证电子证据的连续性、透明性以及内容的准确性。一般将计算机取证的过程分为确定、收集、保护、分析以及展示等几个环节。传统的计算机取证是对事件发生后的一种静态分析，随着网络犯罪手段的提高，静态分析已经难以满足犯罪取证的要求，所以如何从静态分析向动态取证转化极为关键。动态取证能够使其过程更加系统化，取证方式更加灵活。 　　1.3网络证据来源 　　网络取证的核心环节是电子证据，所有活动都以电子证据展开，而电子证据主要来源于网络数据流、网络安全设备或软件。网络取证的首要任务就是要捕获网络包，目前常用的网络包捕获工具为Tcpdump，但因其自身的特点有很大的局限性，容易占有磁盘空间造成系统崩溃的局面。但其他捕获网络包的工具都有自身的数据格式，不兼容其他捕获工具，不利于电子证据的获取。尽管Tcpdump有较大弊端，但相比其他捕获网络包工具来说Tcpdump是一种很有效的网络包捕获工具。 　　网络取证主要是对网络数据流进行保存和分析，取证工具将两台机器传输层进行连接，网络包按照传输顺序显示并捕获网络流中的数据。事实上，许多网络监控工具都可以发挥对原始网络包进行选择和搜索的作用，但容易在捕获网络流时丢失非标准端口的协议。为了确保网络取证的有效性，在捕获流量时应该尽量保证数据的完整性，但考虑到捕获速率的影响和数据量的巨大，显然这个想法的可行性不高。且大多数的数据流与网络犯罪无关，所以需要对数据流进行分析和筛选，对数据进行选择性的捕获。 　　1.4网络证据原则及取证过程 　　鉴于电子证据的特殊性，在网络取证的过程中应遵守一定的原则。在国际上存在G8小组，即由加拿大、德国、法国等八个国家组成的国际性组织。G8小组给出了网络取证的原则。在国内也有关于网络取证原则的研究。通过对相关文献资料的研究不难发现，在网络取证的过程中应遵守透明性、精准性、连续性的原则。 　　网络取证是一个长期的过程，在网络取证的过程中如果不能及时获取电子证据，导致电子证据被抹除掉，则很难再恢复电子证据。因此，在网络取证的过程中应按照一定的步骤进行。简单来说，网络取证可以分成三个阶段。第一阶段是获取证据阶段。该阶段的主要任务就是获取电子证据，为了保证电子证据的完整性，应保存计算机系统的状态，不要随意操作计算机。第二阶段是分析证据阶段。该阶段的主要任务是分析获取的电子证据，同时还应确定电子证据的类型。第三阶段是陈述证据阶段。在完成电子证据分析以后，应将最终的结果以及相应的证据陈述一遍。在陈述证据时应根据国家的相关法律政策进行，确保陈述过程的合理性。 　　需要注意的是网络取证和计算机取证不完全相同。虽然二者均是搜集潜在的证据，但计算机取证属于静态取证，而网络取证则属于动态取证。随着网络技术的发展，电子证据的范畴远远超出了计算机取证的范畴。在这种情况下，必须要采用网络取证的方式。但目前关于网络取证的研究还处于起步阶段，网络取证技术还不成熟，还有很大的提升空间。在实际使用的过程中，需要和计算机取证技术结合在一起使用。 　　2网络电子