于麗+王亞娟+亞森·艾則孜

摘要：隨著科學(xué)技術(shù)的進(jìn)步，人們對網(wǎng)絡(luò)的依賴程度也與日俱增，但網(wǎng)絡(luò)存在的一些漏洞給使用用戶造成極大的困擾，甚至?xí)o人們帶來巨大的經(jīng)濟(jì)損失。傳統(tǒng)的防御機(jī)制已經(jīng)不能完全消除網(wǎng)絡(luò)入侵這一重大威脅，網(wǎng)絡(luò)安全取證應(yīng)運(yùn)而生。該文針對網(wǎng)絡(luò)安全取證進(jìn)行分析，并具體闡述網(wǎng)絡(luò)取證應(yīng)用技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)犯罪；電子證據(jù)；應(yīng)用技術(shù)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）08-0067-02

網(wǎng)絡(luò)安全取證主要是指利用黑客攻擊后的痕跡進(jìn)行取證，獲取網(wǎng)絡(luò)犯罪的電子證據(jù)，從而達(dá)到對黑客進(jìn)行控訴的目的。我國針對網(wǎng)絡(luò)取證技術(shù)研究甚少，尚處于起步階段，不能完全保證我國網(wǎng)絡(luò)安全，給計(jì)算機(jī)網(wǎng)絡(luò)的機(jī)密性以及完整性造成極大的威脅。本文將針對網(wǎng)絡(luò)安全取證的應(yīng)用進(jìn)行分析，營造一個安全的上網(wǎng)環(huán)境。

1概述

1.1計(jì)算機(jī)取證與網(wǎng)絡(luò)取證

計(jì)算機(jī)犯罪事件的發(fā)生推動了計(jì)算機(jī)取證的發(fā)展，盡管國外對計(jì)算機(jī)取證有著較為豐富的經(jīng)驗(yàn)，但我國對該項(xiàng)取證技術(shù)的研究仍處于起步階段。計(jì)算機(jī)取證一般屬于事后措施，主要包括文件的復(fù)制、恢復(fù)刪除文件以及緩沖區(qū)內(nèi)容獲取等方式。雖然目前對網(wǎng)絡(luò)取證的定義還未統(tǒng)一，但從技術(shù)和方法上來看與傳統(tǒng)的計(jì)算機(jī)取證差異不大。但與計(jì)算機(jī)取證不同的是，網(wǎng)絡(luò)取證主要通過對網(wǎng)絡(luò)數(shù)據(jù)流以及主機(jī)系統(tǒng)日志等進(jìn)行監(jiān)控，從而發(fā)現(xiàn)存在于網(wǎng)絡(luò)系統(tǒng)中的入侵行為，自動記錄下犯罪證據(jù)，同時(shí)還能起到防止進(jìn)一步入侵的作用。從目前發(fā)展來看，網(wǎng)絡(luò)取證更注重對動態(tài)信息的收集和對網(wǎng)絡(luò)安全的主動防御。

1.2網(wǎng)絡(luò)取證過程

電子證據(jù)與傳統(tǒng)的取證過程不同，因其自身的特點(diǎn)在原則和步驟上有所差別，但也符合法學(xué)上對證據(jù)的定義，即保證電子證據(jù)的連續(xù)性、透明性以及內(nèi)容的準(zhǔn)確性。一般將計(jì)算機(jī)取證的過程分為確定、收集、保護(hù)、分析以及展示等幾個環(huán)節(jié)。傳統(tǒng)的計(jì)算機(jī)取證是對事件發(fā)生后的一種靜態(tài)分析，隨著網(wǎng)絡(luò)犯罪手段的提高，靜態(tài)分析已經(jīng)難以滿足犯罪取證的要求，所以如何從靜態(tài)分析向動態(tài)取證轉(zhuǎn)化極為關(guān)鍵。動態(tài)取證能夠使其過程更加系統(tǒng)化，取證方式更加靈活。

1.3網(wǎng)絡(luò)證據(jù)來源

網(wǎng)絡(luò)取證的核心環(huán)節(jié)是電子證據(jù)，所有活動都以電子證據(jù)展開，而電子證據(jù)主要來源于網(wǎng)絡(luò)數(shù)據(jù)流、網(wǎng)絡(luò)安全設(shè)備或軟件。網(wǎng)絡(luò)取證的首要任務(wù)就是要捕獲網(wǎng)絡(luò)包，目前常用的網(wǎng)絡(luò)包捕獲工具為Tcpdump，但因其自身的特點(diǎn)有很大的局限性，容易占有磁盤空間造成系統(tǒng)崩潰的局面。但其他捕獲網(wǎng)絡(luò)包的工具都有自身的數(shù)據(jù)格式，不兼容其他捕獲工具，不利于電子證據(jù)的獲取。盡管Tcpdump有較大弊端，但相比其他捕獲網(wǎng)絡(luò)包工具來說Tcpdump是一種很有效的網(wǎng)絡(luò)包捕獲工具。

網(wǎng)絡(luò)取證主要是對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行保存和分析，取證工具將兩臺機(jī)器傳輸層進(jìn)行連接，網(wǎng)絡(luò)包按照傳輸順序顯示并捕獲網(wǎng)絡(luò)流中的數(shù)據(jù)。事實(shí)上，許多網(wǎng)絡(luò)監(jiān)控工具都可以發(fā)揮對原始網(wǎng)絡(luò)包進(jìn)行選擇和搜索的作用，但容易在捕獲網(wǎng)絡(luò)流時(shí)丟失非標(biāo)準(zhǔn)端口的協(xié)議。為了確保網(wǎng)絡(luò)取證的有效性，在捕獲流量時(shí)應(yīng)該盡量保證數(shù)據(jù)的完整性，但考慮到捕獲速率的影響和數(shù)據(jù)量的巨大，顯然這個想法的可行性不高。且大多數(shù)的數(shù)據(jù)流與網(wǎng)絡(luò)犯罪無關(guān)，所以需要對數(shù)據(jù)流進(jìn)行分析和篩選，對數(shù)據(jù)進(jìn)行選擇性的捕獲。

1.4網(wǎng)絡(luò)證據(jù)原則及取證過程

鑒于電子證據(jù)的特殊性，在網(wǎng)絡(luò)取證的過程中應(yīng)遵守一定的原則。在國際上存在G8小組，即由加拿大、德國、法國等八個國家組成的國際性組織。G8小組給出了網(wǎng)絡(luò)取證的原則。在國內(nèi)也有關(guān)于網(wǎng)絡(luò)取證原則的研究。通過對相關(guān)文獻(xiàn)資料的研究不難發(fā)現(xiàn)，在網(wǎng)絡(luò)取證的過程中應(yīng)遵守透明性、精準(zhǔn)性、連續(xù)性的原則。

網(wǎng)絡(luò)取證是一個長期的過程，在網(wǎng)絡(luò)取證的過程中如果不能及時(shí)獲取電子證據(jù)，導(dǎo)致電子證據(jù)被抹除掉，則很難再恢復(fù)電子證據(jù)。因此，在網(wǎng)絡(luò)取證的過程中應(yīng)按照一定的步驟進(jìn)行。簡單來說，網(wǎng)絡(luò)取證可以分成三個階段。第一階段是獲取證據(jù)階段。該階段的主要任務(wù)就是獲取電子證據(jù)，為了保證電子證據(jù)的完整性，應(yīng)保存計(jì)算機(jī)系統(tǒng)的狀態(tài)，不要隨意操作計(jì)算機(jī)。第二階段是分析證據(jù)階段。該階段的主要任務(wù)是分析獲取的電子證據(jù)，同時(shí)還應(yīng)確定電子證據(jù)的類型。第三階段是陳述證據(jù)階段。在完成電子證據(jù)分析以后，應(yīng)將最終的結(jié)果以及相應(yīng)的證據(jù)陳述一遍。在陳述證據(jù)時(shí)應(yīng)根據(jù)國家的相關(guān)法律政策進(jìn)行，確保陳述過程的合理性。

需要注意的是網(wǎng)絡(luò)取證和計(jì)算機(jī)取證不完全相同。雖然二者均是搜集潛在的證據(jù)，但計(jì)算機(jī)取證屬于靜態(tài)取證，而網(wǎng)絡(luò)取證則屬于動態(tài)取證。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，電子證據(jù)的范疇遠(yuǎn)遠(yuǎn)超出了計(jì)算機(jī)取證的范疇。在這種情況下，必須要采用網(wǎng)絡(luò)取證的方式。但目前關(guān)于網(wǎng)絡(luò)取證的研究還處于起步階段，網(wǎng)絡(luò)取證技術(shù)還不成熟，還有很大的提升空間。在實(shí)際使用的過程中，需要和計(jì)算機(jī)取證技術(shù)結(jié)合在一起使用。

2網(wǎng)絡(luò)電子證據(jù)的特點(diǎn)

除了傳統(tǒng)意義上證據(jù)所具備的基本特點(diǎn)外，由于電子證據(jù)存在形式的不同，也有著與傳統(tǒng)證據(jù)不同的特點(diǎn)。

第一電子證據(jù)表現(xiàn)形式的多樣性。電子證據(jù)是以往證據(jù)形式的突破，不僅可以表現(xiàn)為文字、聲音以及圖像等，甚至還可以以多媒體的形式存在，多種表現(xiàn)形式的融合是電子證據(jù)的最大特點(diǎn)。

第二是儲存介質(zhì)的電子性。電子證據(jù)以特定的形式儲存在特定的電子介質(zhì)中，所以無論是電子證據(jù)的產(chǎn)生還是重現(xiàn)都必須依賴于特定的電子介質(zhì)。傳統(tǒng)證據(jù)可以獨(dú)立于其他介質(zhì)中，不需要依賴其他個體，但電子證據(jù)不同，有著較弱的獨(dú)立性，這也是目前電子證據(jù)證明力度較低的主要原因。

第三是準(zhǔn)確性。電子證據(jù)是嚴(yán)格按照計(jì)算機(jī)多個軟件和技術(shù)標(biāo)準(zhǔn)產(chǎn)生和運(yùn)行，其結(jié)果不會受到主觀因素的影響，完全是編碼運(yùn)行的結(jié)果。如果在運(yùn)行過程中沒有遭到人為的破壞和修改，則電子證據(jù)能直接反映整個事件發(fā)展過程乃至每一環(huán)節(jié)，具有高度的準(zhǔn)確性和完整性，是對傳統(tǒng)證據(jù)的巨大突破。

第四是脆弱性。傳統(tǒng)證據(jù)以紙張為載體，可以詳細(xì)真實(shí)記錄涉案人的筆跡，同時(shí)也可以進(jìn)行長期保存，一旦發(fā)生改動會有跡可循。但電子證據(jù)則不同，數(shù)據(jù)一旦被修改或毀壞則很難留下痕跡，甚至當(dāng)受到電磁攻擊時(shí)都會對電子證據(jù)造成不可挽回的局面。電子證據(jù)的這一特性使得計(jì)算機(jī)犯罪率增高，事后追查和對數(shù)據(jù)的還原難度也更大。

第五是數(shù)據(jù)的揮發(fā)性。計(jì)算機(jī)數(shù)據(jù)的保存有一定時(shí)間的限制，一旦超過規(guī)定時(shí)間數(shù)據(jù)則可能無效，這對電子證據(jù)會產(chǎn)生嚴(yán)重的不利影響。所以在收集電子數(shù)據(jù)時(shí)應(yīng)該注意數(shù)據(jù)的有效期限，避免收集到的數(shù)據(jù)出現(xiàn)失效的情況。另一方面，電子數(shù)據(jù)的易逝性與揮發(fā)性相似，數(shù)據(jù)流并不是長久地保存于網(wǎng)絡(luò)當(dāng)中，如果不對這些數(shù)據(jù)流進(jìn)行特殊儲存，在一段時(shí)間后這些數(shù)據(jù)流則不會被重現(xiàn)。

3網(wǎng)絡(luò)安全取證的應(yīng)用技術(shù)

3.1IDS取證技術(shù)

IDS取證技術(shù)主要是指在檢驗(yàn)到非法入侵時(shí)進(jìn)行電子證據(jù)收集，該技術(shù)自1999年應(yīng)用網(wǎng)絡(luò)安全取證以來，在網(wǎng)絡(luò)安全領(lǐng)域扮演重要角色。目前該項(xiàng)技術(shù)的應(yīng)用范圍較小，未來會有巨大的發(fā)展空間。對該項(xiàng)技術(shù)目前提出一種比較新穎的想法，將電子證據(jù)的收集與系統(tǒng)保護(hù)相結(jié)合，但相比之下入侵檢測系統(tǒng)更能提供實(shí)時(shí)攻擊信息。所以將網(wǎng)絡(luò)取證與入侵檢測系統(tǒng)結(jié)合能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)體系的動態(tài)取證，能對取證過程中發(fā)生的突發(fā)情況進(jìn)行及時(shí)處理，同時(shí)取證方式更加靈活多樣。

3.2蜜阱取證技術(shù)

蜜阱取證技術(shù)主要由蜜罐和蜜網(wǎng)兩種誘騙技術(shù)組成，作為一種現(xiàn)代化精心設(shè)計(jì)的誘騙系統(tǒng)，能夠?qū)诳凸魰r(shí)的行徑、策略以及工具進(jìn)行監(jiān)視，并在監(jiān)視的過程中收集電子證據(jù)，真正做到了實(shí)時(shí)網(wǎng)絡(luò)取證。但由于該項(xiàng)技術(shù)提供信息的真實(shí)性無法進(jìn)行有效的確認(rèn)，所以也不能作為傳統(tǒng)意義上的電子證據(jù)將犯罪分子繩之以法。如果一些技術(shù)較高的黑客利用該項(xiàng)技術(shù)的漏洞攻擊其他系統(tǒng)的引擎，則會對網(wǎng)絡(luò)系統(tǒng)造成不可挽回的損失，所以該項(xiàng)技術(shù)的應(yīng)用范圍較小，不能大范圍地應(yīng)用于網(wǎng)絡(luò)安全取證當(dāng)中。

3.3惡意代碼技術(shù)

上述兩種網(wǎng)絡(luò)安全取證技術(shù)存在交互性問題，如果黑客對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及安全防御的布置充分了解，則能通過一系列技術(shù)措施進(jìn)行反取證活動，不僅能夠逃避實(shí)時(shí)監(jiān)控，同時(shí)還會干擾系統(tǒng)工作。針對這個問題就研發(fā)出了惡意代碼技術(shù)能夠進(jìn)行隱蔽取證，有效避免了上述問題。該項(xiàng)技術(shù)能夠?qū)σ恍┟舾行畔⒒蛴泻Υa程序進(jìn)行監(jiān)控，一定程度上也可以用來網(wǎng)絡(luò)安全取證。且這項(xiàng)技術(shù)具有動態(tài)取證、速度快以及靈活性高等多種優(yōu)勢，同時(shí)還能進(jìn)行遠(yuǎn)程信息傳送，目前在網(wǎng)絡(luò)安全取證方面有著較為廣泛的應(yīng)用。

3.4入侵容忍技術(shù)

雖然防火墻和IDS能夠作為兩種防御網(wǎng)絡(luò)攻擊的安全技術(shù)應(yīng)用于網(wǎng)絡(luò)安全取證當(dāng)中，但存在的問題也顯而易見。防火墻技術(shù)只能防御一些簡單的網(wǎng)絡(luò)攻擊，IDS技術(shù)也只能根據(jù)已入侵的特征來識別其他入侵，這種安全技術(shù)一般都發(fā)生在入侵后，入侵前有較小的安全防御功能。針對以上兩種技術(shù)的不足，出現(xiàn)了一種更深層次的抗攻擊的技術(shù)——入侵容忍技術(shù)。該項(xiàng)技術(shù)不僅能保證數(shù)據(jù)的完整性和真實(shí)性，同時(shí)也能保證數(shù)據(jù)的秘密性，確保系統(tǒng)能夠順利運(yùn)行。該項(xiàng)技術(shù)與其他技術(shù)不同，當(dāng)系統(tǒng)存在入侵情況時(shí)，不是分析入侵的原因，而是評估入侵會對系統(tǒng)造成多大的影響。保證系統(tǒng)即便在遭受攻擊時(shí)也不會出現(xiàn)完全崩潰的局面，而是能在有危險(xiǎn)的環(huán)境下依然有運(yùn)行和組織的能力?？傮w來說入侵容忍技術(shù)是防火墻和IDS技術(shù)的補(bǔ)充和完善。

同時(shí)應(yīng)用入侵容忍技術(shù)也可以進(jìn)行網(wǎng)絡(luò)安全取證，操作步驟主要如下：首先應(yīng)該利用該技術(shù)對數(shù)據(jù)的秘密性來保證電子證據(jù)的合法性。其次可將入侵容忍技術(shù)分為不同的狀態(tài)，一旦入侵容忍技術(shù)的狀態(tài)達(dá)到取證標(biāo)準(zhǔn)時(shí)，就要對被攻擊狀態(tài)進(jìn)行取證。最后入侵容忍技術(shù)可以在系統(tǒng)沒有完全崩潰前進(jìn)行系統(tǒng)狀態(tài)的記錄，并通過分析反映系統(tǒng)受到破壞的程度，并將分析出的結(jié)果以電子證據(jù)的形式保存下來。

3.5網(wǎng)絡(luò)監(jiān)控和傳感器技術(shù)

主機(jī)傳感器、網(wǎng)絡(luò)攝像機(jī)、網(wǎng)絡(luò)傳感器以及專家系統(tǒng)等部分可以構(gòu)成一個網(wǎng)絡(luò)監(jiān)控系統(tǒng)，這個系統(tǒng)不僅能夠?qū)?shù)據(jù)進(jìn)行收集和分析，同時(shí)還具備實(shí)時(shí)監(jiān)控、網(wǎng)頁監(jiān)督等多項(xiàng)功能。如果事先對網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行情況分類，該系統(tǒng)則會根據(jù)網(wǎng)絡(luò)的實(shí)際情況進(jìn)行不同的報(bào)警和追蹤，同時(shí)還能自行的報(bào)告網(wǎng)絡(luò)運(yùn)行狀況。如果將網(wǎng)絡(luò)監(jiān)控和傳感器技術(shù)進(jìn)行有機(jī)的結(jié)合，并將收集到的信息進(jìn)行篩選和總結(jié)，則其結(jié)果可直接作為電子證據(jù)。

4結(jié)束語

網(wǎng)絡(luò)取證作為一門近年來才興起的學(xué)科，對網(wǎng)絡(luò)取證技術(shù)了解和熟悉的人較少，盡管目前在網(wǎng)絡(luò)取證技術(shù)上我國已經(jīng)取得了一些突破和成就，但該領(lǐng)域還有巨大的發(fā)展空間和前景。網(wǎng)絡(luò)是動態(tài)的，同時(shí)數(shù)據(jù)也是巨大的，單靠人工進(jìn)行取證是不現(xiàn)實(shí)的，所以如何高效地利用電子證據(jù)是網(wǎng)絡(luò)取證目前面臨的主要難題。我國要加大對網(wǎng)絡(luò)安全取證研究的支持力度，研發(fā)出更多的技術(shù)支持網(wǎng)絡(luò)安全取證。

參考文獻(xiàn)：

[1] 范一樂.主動防御網(wǎng)絡(luò)安全配置技術(shù)在計(jì)算機(jī)取證中的應(yīng)用探討[J].軟件導(dǎo)刊，2011，10（6）：133-133.

[2] 徐峰.網(wǎng)絡(luò)安全取證技術(shù)探析[J].數(shù)字技術(shù)與應(yīng)用，2012（11）：187.

[3] 許榕生.網(wǎng)絡(luò)犯罪取證技術(shù)面臨新挑戰(zhàn)[J].信息安全與通信保密，2010（12）：13，15.