陸海龍　夷靜

摘要：IT取證技術(shù)是法律訴訟環(huán)節(jié)中的重要組成部分，通過IT取證技術(shù)來采集到的電子證據(jù)是法庭進(jìn)行犯罪后果的衡量并進(jìn)行量刑定罪的根據(jù)。隨著如今計(jì)算機(jī)犯罪的增多，傳統(tǒng)的IT取證技術(shù)僅限于案發(fā)后的靜態(tài)取證，難以滿足證據(jù)的有效性、真實(shí)性和及時(shí)性。因此基于網(wǎng)絡(luò)動(dòng)態(tài)的IT取證技術(shù)是非常必要的，它能夠防止由于不及時(shí)取證而導(dǎo)致的證據(jù)缺失，保證取證工作的質(zhì)量和效率。

摘要：網(wǎng)絡(luò)動(dòng)態(tài) IT取證；系統(tǒng)構(gòu)建；設(shè)計(jì)方案

中圖分類號：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號：1009-3044（2012）30-7201-02

1 IT取證技術(shù)概述

IT取證技術(shù)一般是指對計(jì)算機(jī)或者其他網(wǎng)絡(luò)設(shè)備中存儲(chǔ)的電子數(shù)據(jù)證據(jù)進(jìn)行一系列的收集、識(shí)別、檢查、保護(hù)和分析工作并最終在法律訴訟中進(jìn)行出示的技術(shù)。IT取證技術(shù)是法律訴訟環(huán)節(jié)中的重要組成部分，法庭根據(jù)IT取證技術(shù)采集到的電子證據(jù)進(jìn)行犯罪后果的衡量并量刑定罪，這個(gè)過程不僅與計(jì)算機(jī)學(xué)科相聯(lián)系，而且需要滿足相關(guān)的法律要求，因此在取證過程中需要遵循一定的原則和標(biāo)準(zhǔn)來開展。首先是合法性原則，即IT取證工作的基本要求是符合法律規(guī)范，如此才能在證明相關(guān)犯罪活動(dòng)時(shí)是有效的，這包括了專業(yè)人士見證過程和保護(hù)證據(jù)的連續(xù)性這兩方面的合法性；其次是實(shí)時(shí)性原則，即在取證時(shí)要實(shí)時(shí)快速，這樣才能保證有關(guān)的證據(jù)不會(huì)被修改或毀滅；接著是多備份原則，應(yīng)該對證據(jù)進(jìn)行兩個(gè)或者以上的備份保存，以防止數(shù)據(jù)的流失；另外是環(huán)境原則，即對計(jì)算機(jī)相關(guān)證據(jù)的存儲(chǔ)介質(zhì)或者媒體進(jìn)行安全標(biāo)準(zhǔn)的規(guī)范；最后是全面性原則，要求整個(gè)IT過程中最好不要丟失任何有參考價(jià)值的信息，要盡可能多的收集比較全面的信息內(nèi)容。

IT取證技術(shù)的對象是電子數(shù)據(jù)，電子數(shù)據(jù)證據(jù)具有易損壞性、易改性、隱蔽性和存儲(chǔ)方式多樣性等特點(diǎn)，其在計(jì)算機(jī)內(nèi)的存儲(chǔ)方式分為易流失的證據(jù)和相對較穩(wěn)定的證據(jù)，前者在計(jì)算機(jī)重新啟動(dòng)或者關(guān)機(jī)后可能不復(fù)存在，后者指臨時(shí)文件、隱藏文件、普通文件、注冊表文件等比較穩(wěn)定的證據(jù)。IT取證工作必須按照規(guī)定好的流程進(jìn)行，才能保證工作的高效性。IT取證工作第一步是對相關(guān)犯罪現(xiàn)場進(jìn)行查看以進(jìn)行證據(jù)的獲取；第二步是數(shù)據(jù)的傳輸，傳輸過程要具有保密性，防止數(shù)據(jù)遭受非法入侵或獲取；第三步是證據(jù)的保存，可以使用光盤、硬盤或磁帶進(jìn)行數(shù)據(jù)的備份；第四步是證據(jù)的識(shí)別，即從眾多的數(shù)據(jù)中識(shí)別出可以反映犯罪行為和活動(dòng)的電子數(shù)據(jù)；最后一步是數(shù)據(jù)的分析，即將收集到的數(shù)據(jù)、備份和程序通過現(xiàn)場重建手段分析它們之間的關(guān)聯(lián)，最后提交給法庭作為訴訟的證據(jù)。

2 基于網(wǎng)絡(luò)動(dòng)態(tài)的IT取證系統(tǒng)構(gòu)建

2.1 IT取證技術(shù)工作過程

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和運(yùn)用，人們的生活效率提高的同時(shí)，利用信息技術(shù)進(jìn)行犯罪的活動(dòng)也日益增多，因此利用IT取證技術(shù)提供有效可靠的電子證據(jù)給一些法律訴訟案件是非常必要的。目前在使用的IT證據(jù)分析技術(shù)是指在已經(jīng)收集到的信息或數(shù)據(jù)中尋找或匹配關(guān)鍵詞和短語，為了保證取證工作的合法有效，必須嚴(yán)格的按照相關(guān)流程進(jìn)行。首先對目標(biāo)系統(tǒng)進(jìn)行保護(hù)，在此前提上進(jìn)行電子數(shù)據(jù)證據(jù)的獲取和收集，然后將收集到的電子數(shù)據(jù)證據(jù)通過特定的渠道進(jìn)行傳輸，傳輸過程要保密安全，在接收到電子數(shù)據(jù)證據(jù)后對它們進(jìn)行技術(shù)識(shí)別，識(shí)別通過以后，利用IT技術(shù)對這些電子數(shù)據(jù)證據(jù)進(jìn)行專業(yè)的分析，最后將分析后的結(jié)果作為法律訴訟的證據(jù)提交給法庭。在進(jìn)行電子證據(jù)的獲取、傳輸、識(shí)別、分析整個(gè)過程中，都需要使用到IT取證工具。只有嚴(yán)格遵循以上的流程開展IT取證工作，才能保證收集到的電子數(shù)據(jù)的實(shí)時(shí)性、有效性和合法性。

2.2 系統(tǒng)設(shè)計(jì)方案

針對目前傳統(tǒng)的事后取證方法具有數(shù)據(jù)容易流失、重要文件容易被黑客入侵修改和刪除等缺陷，本文進(jìn)行基于網(wǎng)絡(luò)動(dòng)態(tài)的IT取證系統(tǒng)的設(shè)計(jì)，將IT取證工作提前到犯罪活動(dòng)發(fā)生之前和犯罪活動(dòng)發(fā)生時(shí)，兼顧來自內(nèi)部和外部的犯罪活動(dòng)過程，以盡可能準(zhǔn)確的獲取相關(guān)犯罪的信息?；诰W(wǎng)絡(luò)動(dòng)態(tài)的IT取證系統(tǒng)的設(shè)計(jì)思想如下：

1）為了解決一些計(jì)算機(jī)系統(tǒng)被非法入侵或者非法使用后，造成重要數(shù)據(jù)容易丟失或者被修改此類問題，系統(tǒng)可以在運(yùn)行時(shí)，將其中一個(gè)取證代理進(jìn)行隱蔽運(yùn)行，這樣可以根據(jù)具體的系統(tǒng)取證環(huán)境、工作需要和網(wǎng)絡(luò)環(huán)境的要求，對系統(tǒng)中的一些重要數(shù)據(jù)進(jìn)行不定時(shí)的記錄和備份。

2）當(dāng)計(jì)算機(jī)的管理員發(fā)現(xiàn)系統(tǒng)被非法入侵或者使用時(shí)，可以通過隱蔽的取證代理對系統(tǒng)中容易丟失的數(shù)據(jù)以高速緩存或內(nèi)存形式進(jìn)行備份保存。

3）一方面通過網(wǎng)絡(luò)取證實(shí)時(shí)的監(jiān)視網(wǎng)絡(luò)活動(dòng)，有選擇的進(jìn)行保存一些有用的電子數(shù)據(jù)，如內(nèi)部工作人員將內(nèi)部信息外傳等；另一方面網(wǎng)絡(luò)取證對來自于網(wǎng)絡(luò)的一些攻擊行為產(chǎn)生的數(shù)據(jù)進(jìn)行保存以便分析。

4）針對這些需求進(jìn)行相關(guān)取證以后，可以提供重要的資料給之后的取證工作，包括一些無法在犯罪后由專業(yè)人員提取的資料。本系統(tǒng)設(shè)計(jì)方案考慮圍繞兩個(gè)方面進(jìn)行取證，第一是攻擊目標(biāo)為計(jì)算機(jī)系統(tǒng)的犯罪行為，第二是犯罪工具為計(jì)算機(jī)的犯罪活動(dòng)，通過網(wǎng)絡(luò)代理和取證代理對與這兩類犯罪活動(dòng)有關(guān)的潛在電子證據(jù)進(jìn)行收集，并通過安全加密傳輸?shù)椒?wù)器進(jìn)行統(tǒng)一保存，以保證電子數(shù)據(jù)證據(jù)的可靠安全性。

2.3 系統(tǒng)實(shí)現(xiàn)

本文研究的基于網(wǎng)絡(luò)動(dòng)態(tài)的IT取證系統(tǒng)是通過client/server結(jié)構(gòu)來實(shí)現(xiàn)的，主要包括取證代理、安全服務(wù)器、取證分析機(jī)、網(wǎng)絡(luò)取證機(jī)、管理控制臺(tái)幾個(gè)主要部分：（1）取證代理是指以系統(tǒng)服務(wù)的形式在被取證機(jī)上長時(shí)間運(yùn)行一個(gè)程序，此程序不斷的進(jìn)行日志文件和其他現(xiàn)場證據(jù)的收集；（2）安全服務(wù)器是一個(gè)僅僅開放一部分必要服務(wù)的服務(wù)器，負(fù)責(zé)保存網(wǎng)絡(luò)取證機(jī)和取證代理所收集的電子證據(jù)數(shù)據(jù)；（3）取證分析機(jī)是指利用數(shù)據(jù)的挖掘技術(shù)對安全服務(wù)器上保存的進(jìn)行更加深入的分析以生成結(jié)果；（4）網(wǎng)絡(luò)取證機(jī)通過把網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式，從而監(jiān)聽一些網(wǎng)絡(luò)數(shù)據(jù)；管理控制臺(tái)為安全服務(wù)器和取證代理之間提供了認(rèn)證，以有效管理系統(tǒng)各個(gè)部分的運(yùn)行。

基于網(wǎng)絡(luò)動(dòng)態(tài)的IT取證系統(tǒng)的實(shí)現(xiàn)通過下面幾個(gè)步驟來完成，首先通過被取證機(jī)來啟動(dòng)運(yùn)行單機(jī)進(jìn)行取證代理，與此同時(shí)啟動(dòng)安全服務(wù)器和網(wǎng)絡(luò)取證機(jī)；接著通過管理控制模塊建立認(rèn)證于服務(wù)器和網(wǎng)絡(luò)取證機(jī)之間；其次網(wǎng)絡(luò)取證機(jī)監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)的方法是設(shè)置網(wǎng)絡(luò)接口，并根據(jù)分析相關(guān)協(xié)議來將信息捕獲并傳輸給服務(wù)器；然后為達(dá)到原始數(shù)據(jù)的精簡而進(jìn)行數(shù)據(jù)過濾；接著根據(jù)所進(jìn)行調(diào)查的案件具體情況，對電子數(shù)據(jù)進(jìn)行深層分析和關(guān)聯(lián)分析，對系統(tǒng)行為或者網(wǎng)絡(luò)行為進(jìn)行重建；最后對全部的取證流程進(jìn)行總結(jié)，得到結(jié)論并寫成報(bào)告，提交給法庭作為證據(jù)。

IT取證系統(tǒng)的實(shí)現(xiàn)實(shí)例是用于入侵監(jiān)測的CIDF模型的運(yùn)用，CIDF模型方案通過構(gòu)建比較完善和全面的入侵檢測框架來實(shí)現(xiàn)取證系統(tǒng)的實(shí)際應(yīng)用。CIDF模型的組成結(jié)構(gòu)為（1）事件產(chǎn)生器（EG）：提供從計(jì)算環(huán)境中采集的事件給系統(tǒng)的其他組成部分。（2）事件分析器（EA）：對收集到的數(shù)據(jù)進(jìn)行相關(guān)分析并得出結(jié)果。（3）事件數(shù)據(jù)庫（ED）：用來存儲(chǔ)不同類型的中間數(shù)據(jù)以及最終數(shù)據(jù)。（4）響應(yīng)單元（RU）：將接收到的GIRO進(jìn)行響應(yīng)和處理，并采取針對性的措施。

為了確保CIDF入侵檢測模型各個(gè)組成部分高效和安全的通信功能，CIDF的通信功能的實(shí)現(xiàn)由消息層、GIDO層及協(xié)商傳輸層三層結(jié)構(gòu)來協(xié)助完成。消息層保證了加密消息在NAT或者防火墻等裝置之間傳送的安全可靠性；GIDO層對于各類發(fā)生事件的語言含義進(jìn)行了定義并增加了各組成部分的可操作性；協(xié)商傳輸層規(guī)定了各個(gè)組成部分進(jìn)行GIDO傳送時(shí)的機(jī)制。CIDF模型使得IT取證系統(tǒng)實(shí)現(xiàn)了IDR各個(gè)組件的可操作性和軟件的復(fù)用，通過AIP接口來進(jìn)行GIDO層的傳遞、解碼和編碼，使得計(jì)算機(jī)人員在對傳遞過程的細(xì)節(jié)和編碼不了解的狀況下，通過一種很簡便的方法來傳遞和構(gòu)建GIDO。作為IT取證系統(tǒng)為了處理入侵檢測系統(tǒng)的互操作性問題和標(biāo)準(zhǔn)化問題的初次嘗試，CIDF模型所提出的完整的運(yùn)行方案為取證系統(tǒng)的開發(fā)者和實(shí)現(xiàn)者提供了非常大的方便，對IT取證系統(tǒng)的實(shí)現(xiàn)具有重大的意義。

3 結(jié)束語

基于網(wǎng)絡(luò)動(dòng)態(tài)的IT取證系統(tǒng)的實(shí)現(xiàn)，解決了傳統(tǒng)的取證技術(shù)所面臨的難題，有效的彌補(bǔ)了事后取證造成的證據(jù)缺失和不足，能夠全面的捕獲一些潛在的電子證據(jù)，并安全傳輸?shù)椒?wù)器進(jìn)行保存，最終通過深層分析得到相關(guān)結(jié)論，提交到法庭作為訴訟證據(jù)使用，在有助于犯罪案件偵查的同時(shí)，提高了網(wǎng)絡(luò)信息的安全。

參考文獻(xiàn)：

[1] 郭建明.計(jì)算機(jī)取證技術(shù)的應(yīng)用研究[D].蘭州大學(xué)，2007.

[2] 陳龍，趙國胤.計(jì)算機(jī)取證技術(shù)綜述[J].重慶郵電學(xué)院學(xué)報(bào)，2005，12.

[3] 許榕生，吳海燕.計(jì)算機(jī)取證概述[J].計(jì)算機(jī)工程與運(yùn)用，2006，7.