陸莉芳

摘要：隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，計(jì)算機(jī)技術(shù)的不斷進(jìn)步，計(jì)算機(jī)成為了日常生活不可缺少的一部分，有關(guān)于計(jì)算機(jī)的犯罪案件也呈不斷上升的態(tài)勢(shì)。要處理這些案件，需要對(duì)計(jì)算機(jī)證據(jù)進(jìn)行取證和分析。計(jì)算機(jī)犯罪取證成了一門重要的新學(xué)科。本文將對(duì)計(jì)算機(jī)犯罪取證技術(shù)和模型進(jìn)行深入的分析和研究。

關(guān)鍵詞：計(jì)算機(jī)犯罪；取證模型；關(guān)鍵技術(shù)

中圖分類號(hào)：文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-5349（2016）07-0247-01

計(jì)算機(jī)的普及帶來了計(jì)算機(jī)犯罪巨大的破壞性，平均每起計(jì)算機(jī)犯罪導(dǎo)致的財(cái)產(chǎn)損失遠(yuǎn)遠(yuǎn)高于其他種類的案件。保護(hù)計(jì)算機(jī)安全不能只靠安全軟件，更要依靠法律對(duì)犯罪分子的制裁，而制裁犯罪分子需要他們作案的證據(jù)，計(jì)算機(jī)取證技術(shù)是制裁犯罪分子的重要工具。

一、現(xiàn)有的計(jì)算機(jī)取證技術(shù)

（一）靜態(tài)取證技術(shù)

靜態(tài)取證技術(shù)是對(duì)已經(jīng)被入侵的設(shè)備存儲(chǔ)器進(jìn)行提取和分析，找出其中的犯罪痕跡，抽出有效的計(jì)算機(jī)證據(jù)。不管犯罪人員在計(jì)算機(jī)設(shè)備上做了什么，都會(huì)在設(shè)備的存儲(chǔ)器中留下蛛絲馬跡。靜態(tài)分析技術(shù)能夠把這些痕跡從存儲(chǔ)器中提取出來，作為訴訟的證據(jù)。靜態(tài)取證技術(shù)常見的方法有對(duì)比分析法、殘留數(shù)據(jù)分析技術(shù)、磁盤后備文件分析技術(shù)、歷史文件分析技術(shù)等。

（二）動(dòng)態(tài)取證技術(shù)

動(dòng)態(tài)取證技術(shù)是對(duì)正在運(yùn)行的計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)進(jìn)行監(jiān)視，通過智能追蹤來提取數(shù)據(jù)。如果在運(yùn)行過程中計(jì)算機(jī)設(shè)備遭受到攻擊，將會(huì)自動(dòng)開始取證，記錄下系統(tǒng)被攻擊的信息，甚至智能分析攻擊者的企圖。典型的動(dòng)態(tài)取證技術(shù)有入侵檢測動(dòng)態(tài)取證技術(shù)、蜜阱動(dòng)態(tài)取證技術(shù)、惡意代碼動(dòng)態(tài)取證技術(shù)、入侵容忍動(dòng)態(tài)取證技術(shù)、網(wǎng)絡(luò)監(jiān)控和傳感器動(dòng)態(tài)取證技術(shù)、網(wǎng)絡(luò)透視動(dòng)態(tài)取證技術(shù)、SVM動(dòng)態(tài)取證技術(shù)等。

二、計(jì)算機(jī)證據(jù)及其表示方法

（一）計(jì)算機(jī)證據(jù)的特點(diǎn)

計(jì)算機(jī)證據(jù)指的是一切計(jì)算機(jī)形式的證據(jù)和材料，包括了文檔文件、音頻文件、圖像文件和視頻文件等等。計(jì)算機(jī)證據(jù)既包括了電子數(shù)據(jù)，也包括了設(shè)備硬件，涵蓋的范圍比較廣。計(jì)算機(jī)證據(jù)有高科技型、無形性、多媒體性、脆弱性、發(fā)展性和客觀真實(shí)性的特點(diǎn)。

（二）基于Ontology的計(jì)算機(jī)證據(jù)表示

Ontology是在計(jì)算機(jī)領(lǐng)域使用廣泛的一種方法，能夠捕獲相關(guān)知識(shí)，提出共同的理解方式，明確不同詞匯和術(shù)語之間的相互關(guān)系。在計(jì)算機(jī)證據(jù)的取證中Ontology有著非常大的優(yōu)勢(shì)，在已知系統(tǒng)的集成中，高層次的概念可以通過本體映射的方法進(jìn)行轉(zhuǎn)換。在分布式動(dòng)態(tài)取證中，對(duì)同一事物的描述由于處理域的不同有可能產(chǎn)生不一致，而本體則可以在不同的概念體系中間建立關(guān)系映射，以達(dá)成知識(shí)的共享。

三、基于移動(dòng)Agent的分布式動(dòng)態(tài)取證系統(tǒng)

（一）動(dòng)態(tài)取證系統(tǒng)及體系結(jié)構(gòu)需求

動(dòng)態(tài)取證系統(tǒng)能夠?qū)嵤┍O(jiān)控和分析犯罪者的攻擊意圖，自動(dòng)采取相應(yīng)措施，直接屏蔽攻擊或者將對(duì)方帶入陷阱，在獲得了足夠數(shù)量的證據(jù)之后對(duì)證據(jù)進(jìn)行鑒定和提交。動(dòng)態(tài)取證系統(tǒng)的達(dá)成需要計(jì)算機(jī)各系統(tǒng)的協(xié)調(diào)合作，通過這種方法可以對(duì)黑客的入侵方法進(jìn)行技術(shù)分析，研究最新的攻擊技術(shù)和相應(yīng)的防御攻擊的防范。

（二）移動(dòng)Agent技術(shù)的應(yīng)用

Agent技術(shù)是從人工智能領(lǐng)域發(fā)展而來的，目前已經(jīng)在多個(gè)領(lǐng)域廣泛應(yīng)用。分布式計(jì)算是當(dāng)今解決計(jì)算機(jī)和互聯(lián)網(wǎng)問題的關(guān)鍵技術(shù)，移動(dòng)代理系統(tǒng)是這一技術(shù)的核心組成部分。Agent能夠模擬人類的行為，能夠自主運(yùn)行和提供服務(wù)，具有一定的智能的程序。它可以代替人類進(jìn)行自主操作，甚至可以相互之間進(jìn)行合作。

（三）系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)及問題討論

系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)包括證據(jù)完整性保護(hù)機(jī)制，網(wǎng)絡(luò)數(shù)據(jù)可靠、高速獲取，動(dòng)態(tài)協(xié)調(diào)取證等等。每一種技術(shù)都有各自的分支技術(shù)，比如證據(jù)完整性保護(hù)就包括了認(rèn)證注冊(cè)、加密信息、鑒別密碼等技術(shù)，網(wǎng)絡(luò)數(shù)據(jù)的獲取包括了零拷貝技術(shù)、存儲(chǔ)映射I/O等技術(shù)。另外，系統(tǒng)間轉(zhuǎn)型、系統(tǒng)自適應(yīng)性也是系統(tǒng)實(shí)現(xiàn)需要注意的問題。

四、計(jì)算機(jī)動(dòng)態(tài)取證數(shù)據(jù)分析推理

（一）數(shù)據(jù)分析

數(shù)據(jù)分析是計(jì)算機(jī)動(dòng)態(tài)取證的最關(guān)鍵的環(huán)節(jié)，在動(dòng)態(tài)取證的過程中，每分每秒都有大量的數(shù)據(jù)涌入，只有從這些數(shù)據(jù)中提煉出有價(jià)值的信息，數(shù)據(jù)才能真正發(fā)揮作用，這個(gè)過程就是數(shù)據(jù)分析。動(dòng)態(tài)取證的數(shù)據(jù)與靜態(tài)取證不同，是真實(shí)、全面、不斷更新著的，更加需要強(qiáng)大的分析運(yùn)算能力。

（二）數(shù)據(jù)來源

用于分析的動(dòng)態(tài)取證數(shù)據(jù)有多種來源。首先是基于主機(jī)的數(shù)據(jù)源，與用戶相關(guān)的信息、與系統(tǒng)進(jìn)程有關(guān)的信息都儲(chǔ)存在主機(jī)當(dāng)中。二是數(shù)據(jù)源是網(wǎng)絡(luò)，網(wǎng)絡(luò)數(shù)據(jù)流、網(wǎng)管日志、聯(lián)網(wǎng)設(shè)備的信息都屬于網(wǎng)絡(luò)信息源。三是網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)源，包括防火墻日志、反病毒軟件日志等。

（三）典型數(shù)據(jù)分析的方法

有關(guān)鍵字查找、完整性校驗(yàn)庫、文件屬性校驗(yàn)、縮略圖分析等。隨著計(jì)算機(jī)技術(shù)的發(fā)展，數(shù)據(jù)的數(shù)量爆發(fā)式增長，需要從紛亂的數(shù)據(jù)中找到關(guān)鍵信息，還需要用到數(shù)據(jù)挖掘技術(shù)。

在信息時(shí)代，計(jì)算機(jī)犯罪取證對(duì)于打擊犯罪有重要的作用。本文針對(duì)計(jì)算機(jī)犯罪取證的模型和技術(shù)進(jìn)行了深入的分析和研究。

參考文獻(xiàn)：

[1]孫波.計(jì)算機(jī)取證方法關(guān)鍵問題研究[D].中國科學(xué)院研究生院（軟件研究所），2004.

[2]胡亮，王文博，趙闊.計(jì)算機(jī)取證綜述[J].吉林大學(xué)學(xué)報(bào)（信息科學(xué)版），2010，04：378-384.

責(zé)任編輯：楊國棟