鄒瑛

(四川司法警官職業(yè)學(xué)院，德陽 618000)

0 引言

隨著科技的發(fā)展，社會已經(jīng)步入信息時代，人們對于計算機(jī)產(chǎn)生越來越高的依賴性。然而計算機(jī)在為人們帶來便利的同時，網(wǎng)絡(luò)安全問題也隨之出現(xiàn)，越來越多的不法分子利用網(wǎng)絡(luò)技術(shù)進(jìn)行網(wǎng)絡(luò)犯罪，這為國家、企業(yè)、個人都帶來了巨大的損失。近年來，我國由于網(wǎng)絡(luò)不安全造成的事件更是越來越多，“黑客”甚至以地下產(chǎn)業(yè)鏈的狀態(tài)存在，專門以盈利為目的進(jìn)行各種不法活動，惡意攻擊其他企業(yè)或個人的計算機(jī)，盜取私人信息，從中獲取暴利，而這種現(xiàn)象并沒有得到有效控制，反而還在不斷地惡化下去[1]。網(wǎng)絡(luò)攻擊不僅危害企業(yè)和個人，甚至對整個國家都造成威脅，例如2008年我國就發(fā)現(xiàn)有境外黑客組織對我國政府、軍隊和國防機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)進(jìn)行惡意攻擊，盜取我國機(jī)密資料，對我國的國家安全造成了巨大的安全危害。計算機(jī)犯罪變得越來越猖獗，犯罪分子的犯案手段變得越來越高明，因此如果我們還按照傳統(tǒng)的計算機(jī)取證方法來獲取證據(jù)，那必然無法應(yīng)對越來越高端的犯案手段，所以我們亟需尋找更加有效的計算機(jī)數(shù)據(jù)取證方法來解決當(dāng)前這一問題。

本章首先分析了計算機(jī)數(shù)據(jù)取證系統(tǒng)的現(xiàn)狀，然后闡述了這種系統(tǒng)模式有哪些不足，在這些問題的基礎(chǔ)上，我們利用遠(yuǎn)程控制技術(shù)，給出了一種行之有效的優(yōu)化設(shè)計方案，最后通過實(shí)例分析了這種經(jīng)過優(yōu)化設(shè)計之后的系統(tǒng)的優(yōu)勢。經(jīng)過本文的探討，我們可以發(fā)現(xiàn)優(yōu)化后的系統(tǒng)能夠更好的進(jìn)行計算機(jī)數(shù)據(jù)取證，是一種值得大力推廣的方案[2]。

1 計算機(jī)數(shù)據(jù)取證系統(tǒng)的硬件與流程設(shè)計

1.1 計算機(jī)數(shù)據(jù)取證的問題分析

當(dāng)前的計算機(jī)取證主要分為靜態(tài)取證(事后取證)和動態(tài)取證(實(shí)時取證)倆種取證模式[3-4]。靜態(tài)取證是指犯罪事件發(fā)生時，未能保護(hù)網(wǎng)絡(luò)特征，從網(wǎng)絡(luò)采集到有效證據(jù)，因此在犯罪事件之后，將網(wǎng)絡(luò)中的數(shù)據(jù)等進(jìn)行分析復(fù)原和恢復(fù)。通過所恢復(fù)的數(shù)據(jù)來重構(gòu)網(wǎng)絡(luò)犯罪現(xiàn)場，重現(xiàn)網(wǎng)絡(luò)犯罪過程，最后找出有效的網(wǎng)絡(luò)犯罪證據(jù)。動態(tài)取證是指網(wǎng)絡(luò)犯罪事件發(fā)生的時候，將直接的數(shù)據(jù)、情報和線索等提取出來進(jìn)行分析，通過動態(tài)的模式來找到犯罪來源和犯罪分子所實(shí)施的網(wǎng)絡(luò)犯罪手段，然后有效地記錄取證，甚至可以主動出擊去攻克犯罪分子的計算機(jī)，而不是被動的防御[5]。相比于靜態(tài)取證模式，動態(tài)取證的實(shí)時性更強(qiáng)，而且執(zhí)法者不是處于被動狀態(tài)與犯罪分子進(jìn)行搏斗，而是可以主動出擊，因此近年來動態(tài)取證模式更受到人們的追捧和使用。動態(tài)取證和靜態(tài)取證優(yōu)勢劣勢對比,如表1所示。

通過上表1我們可以發(fā)現(xiàn)動態(tài)取證和靜態(tài)取證各具優(yōu)

表1 動態(tài)取證和靜態(tài)取證對比圖

勢和劣勢，所以我們在進(jìn)行計算機(jī)數(shù)據(jù)取證時往往不局限于使用一種方法，為了達(dá)到更好的取證效果，我們通常倆種方法一起使用，倆種方法相輔相成，保證執(zhí)法者有效獲取犯罪證據(jù)。

1.2 硬件邏輯設(shè)計

計算機(jī)數(shù)據(jù)取證主要是為了解決網(wǎng)絡(luò)犯罪沒有證據(jù)的問題。近年來網(wǎng)絡(luò)犯罪在以驚人的速度增長，越來越多的人為了獲取暴利通過不法手段來攻擊他人的電腦，惡意盜取個人信息以及重要資料，雖然全球?qū)τ谶@種現(xiàn)象都加以重視并提出了控制策略，可是并沒有得到有效的控制[6]。設(shè)計的取證系統(tǒng)硬件邏輯圖,如圖1所示。

圖1 取證系統(tǒng)硬件邏輯設(shè)計

1.3 軟件流程設(shè)計

雖然網(wǎng)絡(luò)犯罪具有極高的隱蔽性和互動性，可是正如洛卡的互換原理所說的一樣“犯罪行為只要發(fā)生過，必然會存在犯罪痕跡”，即使是隱藏性非常高的網(wǎng)絡(luò)犯罪也不可能做到毫無痕跡，正因如此，我們必須尋找有效的計算機(jī)數(shù)據(jù)統(tǒng)計方法來將這些犯罪痕跡找出來，然后為犯罪分子。傳統(tǒng)的計算機(jī)取證方法有6個步驟，分別為：① 保護(hù)犯罪現(xiàn)場；② 在犯罪現(xiàn)場發(fā)現(xiàn)犯罪證據(jù)；③ 將發(fā)現(xiàn)的犯罪證據(jù)收集起來；④ 保護(hù)犯罪證據(jù)；⑤ 對犯罪證據(jù)調(diào)查分析；⑥ 將犯罪證據(jù)進(jìn)行分檔歸類[7]。具體軟件設(shè)計流程,如圖2所示。

通過圖2我們可以發(fā)現(xiàn)，只有有效結(jié)合這6個步驟，才能做好計算機(jī)取證工作，保護(hù)現(xiàn)場證據(jù)的安全可靠性。

2 計算機(jī)數(shù)據(jù)取證過程優(yōu)化設(shè)計

在當(dāng)前計算機(jī)網(wǎng)絡(luò)犯罪的數(shù)據(jù)取證中，無論是動態(tài)取證還是靜態(tài)取證，都無法對數(shù)據(jù)的弱關(guān)聯(lián)性進(jìn)行分析，導(dǎo)致取證過程誤差較大[8-9]。為了解決這一問題，在系統(tǒng)設(shè)計中，引入了弱關(guān)聯(lián)規(guī)則。以保障數(shù)據(jù)取證的完整性。方法如下：

圖2 計算機(jī)數(shù)據(jù)取證流程圖

分布犯罪實(shí)施的過程中，不同時段T1,T2,…,TK,…上的特征關(guān)聯(lián)度可以計算為式(1)。

(1)

在特征關(guān)聯(lián)度可以作為約束條件的情況下，對考慮挖掘過程的完整性，構(gòu)建取證目標(biāo)函數(shù)為式(2)。

(2)

式中，μik為疑似數(shù)據(jù)屬性集合，dik為所有樣本數(shù)據(jù)，數(shù)據(jù)xk與疑似取證數(shù)據(jù)Vi的差異距離，為式(3)。

(3)

在約束條件固定的條件下，可滿足式(4)。

(4)

通過對上述目標(biāo)函數(shù)求最優(yōu)解，得到目標(biāo)函數(shù)的極值為式(5)、(6)。

(5)

(6)

在上述目標(biāo)函數(shù)的的約束下，可以對存在的疑似取證數(shù)據(jù)進(jìn)行判斷，當(dāng)數(shù)據(jù)存在如下規(guī)則時，可判斷為可提取數(shù)據(jù)為式(7)、(8)。

(7)

(8)

3 試驗(yàn)分析

為了測試將遠(yuǎn)程控制技術(shù)應(yīng)用到計算機(jī)取證系統(tǒng)是否會取得優(yōu)化效果，本文設(shè)計的了仿真實(shí)驗(yàn)。在傳統(tǒng)的方法上加上遠(yuǎn)程控制技術(shù)，同時使用下圖設(shè)計的實(shí)驗(yàn)方案將遠(yuǎn)程控制技術(shù)應(yīng)用到計算機(jī)數(shù)據(jù)取證中，最后檢驗(yàn)實(shí)驗(yàn)的有效性。

為保證設(shè)計的實(shí)驗(yàn)的準(zhǔn)確性，我們首先要控制主機(jī)目標(biāo)，然后設(shè)置信息參數(shù)，通過信息參數(shù)NCBRESET為目標(biāo)指令[10]，NCBASTAT為發(fā)送指令；Winsock為IP地址。根據(jù)上述仿真設(shè)定的參量以及系統(tǒng)設(shè)定[11-12]，進(jìn)行實(shí)驗(yàn)，結(jié)果如下。

3.1 實(shí)驗(yàn)過程

如圖3、圖4所示。

圖3 本文計算機(jī)數(shù)據(jù)取證系統(tǒng)

圖4 傳統(tǒng)的計算機(jī)數(shù)據(jù)取證系統(tǒng)

分析圖3、4結(jié)果得知，本文設(shè)計的基于遠(yuǎn)程控制技術(shù)的計算機(jī)數(shù)據(jù)取證系統(tǒng)，在圖像上的所有點(diǎn)都有大的波動，關(guān)聯(lián)性很高，所得的信息更加準(zhǔn)確。綜上所述，本文設(shè)計的基于遠(yuǎn)程控制技術(shù)的計算機(jī)數(shù)據(jù)取證系統(tǒng)能夠有效的獲取計算機(jī)數(shù)據(jù)，整個數(shù)據(jù)的穩(wěn)定性和可靠性更高，更值得推廣。

3.2 結(jié)果分析

通過圖3和圖4對比，我們能夠清晰地發(fā)現(xiàn)傳統(tǒng)的計算機(jī)取證系統(tǒng)所得到的證據(jù)不活躍，在采集證據(jù)時，傳統(tǒng)方法效率低、耗時長、且可靠性不高，而優(yōu)化后的系統(tǒng)相對于傳統(tǒng)系統(tǒng)來說更加安全可靠，具體優(yōu)點(diǎn)如下：① 能夠通過遠(yuǎn)程操控獲取屏幕圖像、聲音、信息等等；② 通過客戶端鍵盤操作可以有效地記錄整個犯罪事件，輸入犯罪過程；③ 遠(yuǎn)程鼠標(biāo)操作，可以控制客戶端的鼠標(biāo)移動狀態(tài)；④ 通過遠(yuǎn)程操作可以有效地管理目標(biāo)計算機(jī)的磁盤文件，進(jìn)行復(fù)制、粘貼、修改、創(chuàng)建等等；⑤ 遠(yuǎn)程操作可以修改文件名稱，創(chuàng)建目錄，刪除文件；⑥ 遠(yuǎn)程操作可以利用服務(wù)端來下載上傳文件，進(jìn)行本地回執(zhí)；⑦ 客戶端可以控制服務(wù)端的程序開機(jī)、關(guān)機(jī)、重新啟動等等，進(jìn)行遠(yuǎn)程端口的控制；⑧ 遠(yuǎn)程操作可以以終端指令控制主機(jī)，進(jìn)行版本的升級、更新、銷毀操作。

4 總結(jié)

計算機(jī)網(wǎng)絡(luò)技術(shù)在不斷發(fā)展為人們帶來便利的同時，網(wǎng)絡(luò)犯罪問題也變得日益嚴(yán)峻，創(chuàng)立更加良好的網(wǎng)絡(luò)取證系統(tǒng)，為網(wǎng)絡(luò)犯罪的抓捕提供有效證據(jù)已經(jīng)成為迫在眉睫的問題。網(wǎng)絡(luò)取證問題如果不能得到很好的解決，那么網(wǎng)絡(luò)法規(guī)永遠(yuǎn)都得不到健全和完善，不法分子和犯罪組織將會瑜伽猖獗。鑒于此，本文利用了遠(yuǎn)程控制技術(shù)優(yōu)化了傳統(tǒng)計算機(jī)數(shù)據(jù)取證系統(tǒng)，闡述了其原理和應(yīng)用過程，通過分析探討本文給出的計算機(jī)數(shù)據(jù)取證系統(tǒng)相比于傳統(tǒng)系統(tǒng)有哪些優(yōu)勢，通過比較我們發(fā)現(xiàn)本文設(shè)計的基于遠(yuǎn)程控制技術(shù)的計算機(jī)數(shù)據(jù)取證優(yōu)化系統(tǒng)更加具有優(yōu)越性，值得大力推廣。希望通過本文的研究，對以后研究者研究基于遠(yuǎn)程控制技術(shù)的計算機(jī)數(shù)據(jù)取證系統(tǒng)優(yōu)化設(shè)計這一課題時積極促進(jìn)作用。

[1] 史偉奇, 張波云, 謝冬青. 基于遠(yuǎn)程控制技術(shù)的動態(tài)取證系統(tǒng)[J]. 計算機(jī)工程, 2007, 33(16):117-119.

[2] 侯大偉, 何建忠. 基于GSM的遠(yuǎn)程分布式數(shù)據(jù)采集與控制系統(tǒng)[J]. 計算機(jī)工程與設(shè)計, 2009, 30(9):2102-2104.

[3] 胡鋼, 吳正陽, 任平. 基于GPRS網(wǎng)的節(jié)水灌溉遠(yuǎn)程控制系統(tǒng)研究[J]. 計算機(jī)工程與設(shè)計, 2006, 27(8):1395-1397.

[4] 夏登超, 沈飆, 楊育. 基于RIA的EAST數(shù)據(jù)采集遠(yuǎn)程控制系統(tǒng)的設(shè)計[J]. 計算機(jī)測量與控制, 2010, 18(6):1346-1348..

[5] 劉源泉. 基于數(shù)據(jù)挖掘的計算機(jī)取證分析系統(tǒng)設(shè)計[J]. 大眾科技, 2009(11):18-19.

[6] 王彩玲. 基于涉密網(wǎng)的計算機(jī)取證模型分析[J]. 科技資訊, 2013(23):5-6.

[7] 王素芳, 高美真, 蘇繼斌. 基于涉密網(wǎng)的計算機(jī)取證模型研究[J]. 微電子學(xué)與計算機(jī), 2010, 27(5):202-205.

[8] Eldemerdash Y A, Dobre O A, Liao B J. Blind identification of SM and Alamouti STBC-OFDM signals[J]. IEEE Transactions on Wireless Communications, 2015, 14(2): 972-982.

[9] 崔永君,張永花.基于特征尺度均衡的Linux系統(tǒng)雙閾值任務(wù)調(diào)度算法[J].計算機(jī)科學(xué),2015,42(6):181-184.

[10] Li L, Xie W. Intuitionistic fuzzy joint probabilistic data association filter and its application to multitarget tracking [J]. Signal Processing, 2014(96): 433-444.

[11] 劉俊,劉瑜,何友,等. 雜波環(huán)境下基于全鄰模糊聚類的聯(lián)合概率數(shù)據(jù)互聯(lián)算法[J]. 電子與信息學(xué)報, 2016, 38(6): 1438-1445.

[12] 王銳,何聚厚.基于領(lǐng)域本體學(xué)習(xí)資源庫自動構(gòu)建模型研究[J].電子設(shè)計工程,2015(24):32-35.