于麗+王亞娟+亞森·艾則孜

摘要：隨著科學(xué)技術(shù)的進步，人們對網(wǎng)絡(luò)的依賴程度也與日俱增，但網(wǎng)絡(luò)存在的一些漏洞給使用用戶造成極大的困擾，甚至?xí)o人們帶來巨大的經(jīng)濟損失。傳統(tǒng)的防御機制已經(jīng)不能完全消除網(wǎng)絡(luò)入侵這一重大威脅，網(wǎng)絡(luò)安全取證應(yīng)運而生。該文針對網(wǎng)絡(luò)安全取證進行分析，并具體闡述網(wǎng)絡(luò)取證應(yīng)用技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)犯罪；電子證據(jù)；應(yīng)用技術(shù)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）08-0067-02

網(wǎng)絡(luò)安全取證主要是指利用黑客攻擊后的痕跡進行取證，獲取網(wǎng)絡(luò)犯罪的電子證據(jù)，從而達到對黑客進行控訴的目的。我國針對網(wǎng)絡(luò)取證技術(shù)研究甚少，尚處于起步階段，不能完全保證我國網(wǎng)絡(luò)安全，給計算機網(wǎng)絡(luò)的機密性以及完整性造成極大的威脅。本文將針對網(wǎng)絡(luò)安全取證的應(yīng)用進行分析，營造一個安全的上網(wǎng)環(huán)境。

1概述

1.1計算機取證與網(wǎng)絡(luò)取證

計算機犯罪事件的發(fā)生推動了計算機取證的發(fā)展，盡管國外對計算機取證有著較為豐富的經(jīng)驗，但我國對該項取證技術(shù)的研究仍處于起步階段。計算機取證一般屬于事后措施，主要包括文件的復(fù)制、恢復(fù)刪除文件以及緩沖區(qū)內(nèi)容獲取等方式。雖然目前對網(wǎng)絡(luò)取證的定義還未統(tǒng)一，但從技術(shù)和方法上來看與傳統(tǒng)的計算機取證差異不大。但與計算機取證不同的是，網(wǎng)絡(luò)取證主要通過對網(wǎng)絡(luò)數(shù)據(jù)流以及主機系統(tǒng)日志等進行監(jiān)控，從而發(fā)現(xiàn)存在于網(wǎng)絡(luò)系統(tǒng)中的入侵行為，自動記錄下犯罪證據(jù)，同時還能起到防止進一步入侵的作用。從目前發(fā)展來看，網(wǎng)絡(luò)取證更注重對動態(tài)信息的收集和對網(wǎng)絡(luò)安全的主動防御。

1.2網(wǎng)絡(luò)取證過程

電子證據(jù)與傳統(tǒng)的取證過程不同，因其自身的特點在原則和步驟上有所差別，但也符合法學(xué)上對證據(jù)的定義，即保證電子證據(jù)的連續(xù)性、透明性以及內(nèi)容的準確性。一般將計算機取證的過程分為確定、收集、保護、分析以及展示等幾個環(huán)節(jié)。傳統(tǒng)的計算機取證是對事件發(fā)生后的一種靜態(tài)分析，隨著網(wǎng)絡(luò)犯罪手段的提高，靜態(tài)分析已經(jīng)難以滿足犯罪取證的要求，所以如何從靜態(tài)分析向動態(tài)取證轉(zhuǎn)化極為關(guān)鍵。動態(tài)取證能夠使其過程更加系統(tǒng)化，取證方式更加靈活。

1.3網(wǎng)絡(luò)證據(jù)來源

網(wǎng)絡(luò)取證的核心環(huán)節(jié)是電子證據(jù)，所有活動都以電子證據(jù)展開，而電子證據(jù)主要來源于網(wǎng)絡(luò)數(shù)據(jù)流、網(wǎng)絡(luò)安全設(shè)備或軟件。網(wǎng)絡(luò)取證的首要任務(wù)就是要捕獲網(wǎng)絡(luò)包，目前常用的網(wǎng)絡(luò)包捕獲工具為Tcpdump，但因其自身的特點有很大的局限性，容易占有磁盤空間造成系統(tǒng)崩潰的局面。但其他捕獲網(wǎng)絡(luò)包的工具都有自身的數(shù)據(jù)格式，不兼容其他捕獲工具，不利于電子證據(jù)的獲取。盡管Tcpdump有較大弊端，但相比其他捕獲網(wǎng)絡(luò)包工具來說Tcpdump是一種很有效的網(wǎng)絡(luò)包捕獲工具。

網(wǎng)絡(luò)取證主要是對網(wǎng)絡(luò)數(shù)據(jù)流進行保存和分析，取證工具將兩臺機器傳輸層進行連接，網(wǎng)絡(luò)包按照傳輸順序顯示并捕獲網(wǎng)絡(luò)流中的數(shù)據(jù)。事實上，許多網(wǎng)絡(luò)監(jiān)控工具都可以發(fā)揮對原始網(wǎng)絡(luò)包進行選擇和搜索的作用，但容易在捕獲網(wǎng)絡(luò)流時丟失非標準端口的協(xié)議。為了確保網(wǎng)絡(luò)取證的有效性，在捕獲流量時應(yīng)該盡量保證數(shù)據(jù)的完整性，但考慮到捕獲速率的影響和數(shù)據(jù)量的巨大，顯然這個想法的可行性不高。且大多數(shù)的數(shù)據(jù)流與網(wǎng)絡(luò)犯罪無關(guān)，所以需要對數(shù)據(jù)流進行分析和篩選，對數(shù)據(jù)進行選擇性的捕獲。

1.4網(wǎng)絡(luò)證據(jù)原則及取證過程

鑒于電子證據(jù)的特殊性，在網(wǎng)絡(luò)取證的過程中應(yīng)遵守一定的原則。在國際上存在G8小組，即由加拿大、德國、法國等八個國家組成的國際性組織。G8小組給出了網(wǎng)絡(luò)取證的原則。在國內(nèi)也有關(guān)于網(wǎng)絡(luò)取證原則的研究。通過對相關(guān)文獻資料的研究不難發(fā)現(xiàn)，在網(wǎng)絡(luò)取證的過程中應(yīng)遵守透明性、精準性、連續(xù)性的原則。

網(wǎng)絡(luò)取證是一個長期的過程，在網(wǎng)絡(luò)取證的過程中如果不能及時獲取電子證據(jù)，導(dǎo)致電子證據(jù)被抹除掉，則很難再恢復(fù)電子證據(jù)。因此，在網(wǎng)絡(luò)取證的過程中應(yīng)按照一定的步驟進行。簡單來說，網(wǎng)絡(luò)取證可以分成三個階段。第一階段是獲取證據(jù)階段。該階段的主要任務(wù)就是獲取電子證據(jù)，為了保證電子證據(jù)的完整性，應(yīng)保存計算機系統(tǒng)的狀態(tài)，不要隨意操作計算機。第二階段是分析證據(jù)階段。該階段的主要任務(wù)是分析獲取的電子證據(jù)，同時還應(yīng)確定電子證據(jù)的類型。第三階段是陳述證據(jù)階段。在完成電子證據(jù)分析以后，應(yīng)將最終的結(jié)果以及相應(yīng)的證據(jù)陳述一遍。在陳述證據(jù)時應(yīng)根據(jù)國家的相關(guān)法律政策進行，確保陳述過程的合理性。

需要注意的是網(wǎng)絡(luò)取證和計算機取證不完全相同。雖然二者均是搜集潛在的證據(jù)，但計算機取證屬于靜態(tài)取證，而網(wǎng)絡(luò)取證則屬于動態(tài)取證。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，電子證據(jù)的范疇遠遠超出了計算機取證的范疇。在這種情況下，必須要采用網(wǎng)絡(luò)取證的方式。但目前關(guān)于網(wǎng)絡(luò)取證的研究還處于起步階段，網(wǎng)絡(luò)取證技術(shù)還不成熟，還有很大的提升空間。在實際使用的過程中，需要和計算機取證技術(shù)結(jié)合在一起使用。

2網(wǎng)絡(luò)電子證據(jù)的特點

除了傳統(tǒng)意義上證據(jù)所具備的基本特點外，由于電子證據(jù)存在形式的不同，也有著與傳統(tǒng)證據(jù)不同的特點。

第一電子證據(jù)表現(xiàn)形式的多樣性。電子證據(jù)是以往證據(jù)形式的突破，不僅可以表現(xiàn)為文字、聲音以及圖像等，甚至還可以以多媒體的形式存在，多種表現(xiàn)形式的融合是電子證據(jù)的最大特點。

第二是儲存介質(zhì)的電子性。電子證據(jù)以特定的形式儲存在特定的電子介質(zhì)中，所以無論是電子證據(jù)的產(chǎn)生還是重現(xiàn)都必須依賴于特定的電子介質(zhì)。傳統(tǒng)證據(jù)可以獨立于其他介質(zhì)中，不需要依賴其他個體，但電子證據(jù)不同，有著較弱的獨立性，這也是目前電子證據(jù)證明力度較低的主要原因。

第三是準確性。電子證據(jù)是嚴格按照計算機多個軟件和技術(shù)標準產(chǎn)生和運行，其結(jié)果不會受到主觀因素的影響，完全是編碼運行的結(jié)果。如果在運行過程中沒有遭到人為的破壞和修改，則電子證據(jù)能直接反映整個事件發(fā)展過程乃至每一環(huán)節(jié)，具有高度的準確性和完整性，是對傳統(tǒng)證據(jù)的巨大突破。

第四是脆弱性。傳統(tǒng)證據(jù)以紙張為載體，可以詳細真實記錄涉案人的筆跡，同時也可以進行長期保存，一旦發(fā)生改動會有跡可循。但電子證據(jù)則不同，數(shù)據(jù)一旦被修改或毀壞則很難留下痕跡，甚至當受到電磁攻擊時都會對電子證據(jù)造成不可挽回的局面。電子證據(jù)的這一特性使得計算機犯罪率增高，事后追查和對數(shù)據(jù)的還原難度也更大。

第五是數(shù)據(jù)的揮發(fā)性。計算機數(shù)據(jù)的保存有一定時間的限制，一旦超過規(guī)定時間數(shù)據(jù)則可能無效，這對電子證據(jù)會產(chǎn)生嚴重的不利影響。所以在收集電子數(shù)據(jù)時應(yīng)該注意數(shù)據(jù)的有效期限，避免收集到的數(shù)據(jù)出現(xiàn)失效的情況。另一方面，電子數(shù)據(jù)的易逝性與揮發(fā)性相似，數(shù)據(jù)流并不是長久地保存于網(wǎng)絡(luò)當中，如果不對這些數(shù)據(jù)流進行特殊儲存，在一段時間后這些數(shù)據(jù)流則不會被重現(xiàn)。

3網(wǎng)絡(luò)安全取證的應(yīng)用技術(shù)

3.1IDS取證技術(shù)

IDS取證技術(shù)主要是指在檢驗到非法入侵時進行電子證據(jù)收集，該技術(shù)自1999年應(yīng)用網(wǎng)絡(luò)安全取證以來，在網(wǎng)絡(luò)安全領(lǐng)域扮演重要角色。目前該項技術(shù)的應(yīng)用范圍較小，未來會有巨大的發(fā)展空間。對該項技術(shù)目前提出一種比較新穎的想法，將電子證據(jù)的收集與系統(tǒng)保護相結(jié)合，但相比之下入侵檢測系統(tǒng)更能提供實時攻擊信息。所以將網(wǎng)絡(luò)取證與入侵檢測系統(tǒng)結(jié)合能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)體系的動態(tài)取證，能對取證過程中發(fā)生的突發(fā)情況進行及時處理，同時取證方式更加靈活多樣。

3.2蜜阱取證技術(shù)

蜜阱取證技術(shù)主要由蜜罐和蜜網(wǎng)兩種誘騙技術(shù)組成，作為一種現(xiàn)代化精心設(shè)計的誘騙系統(tǒng)，能夠?qū)诳凸魰r的行徑、策略以及工具進行監(jiān)視，并在監(jiān)視的過程中收集電子證據(jù)，真正做到了實時網(wǎng)絡(luò)取證。但由于該項技術(shù)提供信息的真實性無法進行有效的確認，所以也不能作為傳統(tǒng)意義上的電子證據(jù)將犯罪分子繩之以法。如果一些技術(shù)較高的黑客利用該項技術(shù)的漏洞攻擊其他系統(tǒng)的引擎，則會對網(wǎng)絡(luò)系統(tǒng)造成不可挽回的損失，所以該項技術(shù)的應(yīng)用范圍較小，不能大范圍地應(yīng)用于網(wǎng)絡(luò)安全取證當中。

3.3惡意代碼技術(shù)

上述兩種網(wǎng)絡(luò)安全取證技術(shù)存在交互性問題，如果黑客對網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及安全防御的布置充分了解，則能通過一系列技術(shù)措施進行反取證活動，不僅能夠逃避實時監(jiān)控，同時還會干擾系統(tǒng)工作。針對這個問題就研發(fā)出了惡意代碼技術(shù)能夠進行隱蔽取證，有效避免了上述問題。該項技術(shù)能夠?qū)σ恍┟舾行畔⒒蛴泻Υa程序進行監(jiān)控，一定程度上也可以用來網(wǎng)絡(luò)安全取證。且這項技術(shù)具有動態(tài)取證、速度快以及靈活性高等多種優(yōu)勢，同時還能進行遠程信息傳送，目前在網(wǎng)絡(luò)安全取證方面有著較為廣泛的應(yīng)用。

3.4入侵容忍技術(shù)

雖然防火墻和IDS能夠作為兩種防御網(wǎng)絡(luò)攻擊的安全技術(shù)應(yīng)用于網(wǎng)絡(luò)安全取證當中，但存在的問題也顯而易見。防火墻技術(shù)只能防御一些簡單的網(wǎng)絡(luò)攻擊，IDS技術(shù)也只能根據(jù)已入侵的特征來識別其他入侵，這種安全技術(shù)一般都發(fā)生在入侵后，入侵前有較小的安全防御功能。針對以上兩種技術(shù)的不足，出現(xiàn)了一種更深層次的抗攻擊的技術(shù)——入侵容忍技術(shù)。該項技術(shù)不僅能保證數(shù)據(jù)的完整性和真實性，同時也能保證數(shù)據(jù)的秘密性，確保系統(tǒng)能夠順利運行。該項技術(shù)與其他技術(shù)不同，當系統(tǒng)存在入侵情況時，不是分析入侵的原因，而是評估入侵會對系統(tǒng)造成多大的影響。保證系統(tǒng)即便在遭受攻擊時也不會出現(xiàn)完全崩潰的局面，而是能在有危險的環(huán)境下依然有運行和組織的能力。總體來說入侵容忍技術(shù)是防火墻和IDS技術(shù)的補充和完善。

同時應(yīng)用入侵容忍技術(shù)也可以進行網(wǎng)絡(luò)安全取證，操作步驟主要如下：首先應(yīng)該利用該技術(shù)對數(shù)據(jù)的秘密性來保證電子證據(jù)的合法性。其次可將入侵容忍技術(shù)分為不同的狀態(tài)，一旦入侵容忍技術(shù)的狀態(tài)達到取證標準時，就要對被攻擊狀態(tài)進行取證。最后入侵容忍技術(shù)可以在系統(tǒng)沒有完全崩潰前進行系統(tǒng)狀態(tài)的記錄，并通過分析反映系統(tǒng)受到破壞的程度，并將分析出的結(jié)果以電子證據(jù)的形式保存下來。

3.5網(wǎng)絡(luò)監(jiān)控和傳感器技術(shù)

主機傳感器、網(wǎng)絡(luò)攝像機、網(wǎng)絡(luò)傳感器以及專家系統(tǒng)等部分可以構(gòu)成一個網(wǎng)絡(luò)監(jiān)控系統(tǒng)，這個系統(tǒng)不僅能夠?qū)?shù)據(jù)進行收集和分析，同時還具備實時監(jiān)控、網(wǎng)頁監(jiān)督等多項功能。如果事先對網(wǎng)絡(luò)監(jiān)控系統(tǒng)進行情況分類，該系統(tǒng)則會根據(jù)網(wǎng)絡(luò)的實際情況進行不同的報警和追蹤，同時還能自行的報告網(wǎng)絡(luò)運行狀況。如果將網(wǎng)絡(luò)監(jiān)控和傳感器技術(shù)進行有機的結(jié)合，并將收集到的信息進行篩選和總結(jié)，則其結(jié)果可直接作為電子證據(jù)。

4結(jié)束語

網(wǎng)絡(luò)取證作為一門近年來才興起的學(xué)科，對網(wǎng)絡(luò)取證技術(shù)了解和熟悉的人較少，盡管目前在網(wǎng)絡(luò)取證技術(shù)上我國已經(jīng)取得了一些突破和成就，但該領(lǐng)域還有巨大的發(fā)展空間和前景。網(wǎng)絡(luò)是動態(tài)的，同時數(shù)據(jù)也是巨大的，單靠人工進行取證是不現(xiàn)實的，所以如何高效地利用電子證據(jù)是網(wǎng)絡(luò)取證目前面臨的主要難題。我國要加大對網(wǎng)絡(luò)安全取證研究的支持力度，研發(fā)出更多的技術(shù)支持網(wǎng)絡(luò)安全取證。

參考文獻：

[1] 范一樂.主動防御網(wǎng)絡(luò)安全配置技術(shù)在計算機取證中的應(yīng)用探討[J].軟件導(dǎo)刊，2011，10（6）：133-133.

[2] 徐峰.網(wǎng)絡(luò)安全取證技術(shù)探析[J].數(shù)字技術(shù)與應(yīng)用，2012（11）：187.

[3] 許榕生.網(wǎng)絡(luò)犯罪取證技術(shù)面臨新挑戰(zhàn)[J].信息安全與通信保密，2010（12）：13，15.