网络实时取证模型的研究与设计.PDF

· · ComputerEraNo.42007 16 网络实时取证模型的研究与设计* 1 1 2 郝桂英 ,刘 凤 ,李世忠 石家庄经济学院,河北 石家庄 ; 石家庄铁路运输检察院 (1. 050021 2. ) 摘 要:如何提取网络计算机中的数据,利用计算机提供的相关电子证据打击和遏制网络犯罪已成为司法和计算机科学 领域专家共同关注的问题。文章在分析网络实时取证原则和取证过程中应考虑的问题的基础上,结合入侵检测、网络陷阱 等系统提出了一种新的实时取证模型,以实现取证的实时性、完整性和可靠性。 关键词:实时取证;取证模型;网络安全;取证原则 0引言 2.1电子证据的完整性问题 随着 Internet的飞速发展,计算机网络犯罪层出不穷。但由 网络中的数据一直处于流动的状态中,从发出数据的主机 于大量计算机网络犯罪的取证工作都需要提取存在于计算机 经过若干中间设备,最后到达接收数据的主机,并被接受主机 系统中的数据,甚至需要从已被删除、加密或破坏的文件中重 处理,这时候原始的网络数据就消失了。另一方面,在网络环境 获信息,导致很多涉及网络犯罪的案件因无法提供有效的证据 中,往往是攻击活动开始了一段时间以后,相应的网络安全监 而使得罪犯逍遥法外,故如何利用计算机提供的相关电子证据 控设施才能发现该活动,若在此时才开始取证,势必造成从攻 打击和遏制网络犯罪已成为司法和计算机科学领域专家共同 击开始到被发现的这段时间的证据丢失,因此在取证过程中必 关注的问题。 须通过收集并缓存数据来保证电子证据的完整性。 网络实时取证又称网络动态取证,是指结合防火墙、入侵 2.2电子证据的可靠性 检测以及网络陷阱技术,对所有可能的网络犯罪行为进行实时 网络上电子证据的来源主要有两个,一是直接截获的网络 数据获取和分析,智能分析入侵者的企图,采取措施切断连接 数据流记录,二是从受害主机或者中间网络设备提取的各种日 或诱敌深入,在确保网络系统安全的情况下获取、鉴定、保全、 志记录,通常情况下这两种记录都以普通文件的形式存在,可 提交证据的过程。 以被任意修改,因此这样的数据不能直接作为电子证据。原因 1网络实时取证的原则 在于一方面黑客在攻击目标时,一般都会采用各种手段伪造身 由于计算机所取得的电子证据是以“”、“”二进制形式存 份,尽可能销毁各种证据;另一方面犯罪的证据是很容易被更 0 1 在的,具有无形性、多样性、易破坏性和高科技性等特点,任何 改的,有些人可以借此故意扩大自己的损失甚至有陷害的可 人为因素或外力造成的对计算机数据的修改、剪接、合成、删 能,反过来,攻击者又可能装作被陷害的无辜者否认自己的犯 除、覆盖等操作,从技术上是很难分辨的,因此在收集证据、审 罪行为。 查判断证据时必须遵循如下原则: 3网络实时取证模型的设计 ⑴ 保持数据的原始性。即取证分析的数据是被分析机器 网络实时取证一般要经过三个阶段。 上数据的原始比特流的复制。 3.1原始数据的获取 ⑵ 保证证据的连续性。即在证据被正式提交给法庭时,必 数据获取是网络实时取证的第一步。原始证据的来源包 须能够说明证据在从最初的获取状态到在法庭上出现状态之