王松濱

摘 要：計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，使得網(wǎng)絡(luò)安全成為一個非常嚴(yán)重的問題，網(wǎng)絡(luò)犯罪帶來的危害愈來愈嚴(yán)重，網(wǎng)絡(luò)取證也日益呈現(xiàn)出它的重要性。該文闡述了網(wǎng)絡(luò)取證的概念、重要性，網(wǎng)絡(luò)取證的特點(diǎn)與目前采用的技術(shù)，討論了反取證技術(shù)的現(xiàn)狀、現(xiàn)今取證技術(shù)面臨的問題與未來發(fā)展。

關(guān)鍵詞：網(wǎng)絡(luò) 取證 計(jì)算機(jī) 展望

中圖分類號：TP39 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2015）09（a）-0254-02

隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)安全成為一個愈來愈不可忽視的問題。網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊等各類計(jì)算機(jī)犯罪日益猖獗，網(wǎng)絡(luò)犯罪不但在經(jīng)濟(jì)領(lǐng)域造成很大破壞，甚至對國家安全構(gòu)成威脅。為打擊計(jì)算機(jī)犯罪，世界各國制定了一系列的法律法規(guī)來規(guī)范網(wǎng)絡(luò)行為，但在網(wǎng)絡(luò)犯罪行為發(fā)生后如何認(rèn)定，就涉及到網(wǎng)絡(luò)取證的問題。

1 何為網(wǎng)絡(luò)取證

一般認(rèn)為，網(wǎng)絡(luò)取證是指以現(xiàn)有的法律法規(guī)為依據(jù)，以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為手段，對發(fā)生的網(wǎng)絡(luò)事件進(jìn)行可靠的分析和記錄，并以此作為法律證據(jù)的過程。作為一門新興學(xué)科，網(wǎng)絡(luò)取證涉及到計(jì)算機(jī)科學(xué)與法學(xué)范疇，是隨著計(jì)算機(jī)技術(shù)的發(fā)展與網(wǎng)絡(luò)的普及以及隨之出現(xiàn)的計(jì)算機(jī)犯罪的出現(xiàn)而出現(xiàn)的。因?yàn)榫W(wǎng)絡(luò)的復(fù)雜性，網(wǎng)絡(luò)犯罪后的取證證據(jù)也具有真實(shí)性、及時性、有效性的特點(diǎn)。

計(jì)算機(jī)取證也稱數(shù)據(jù)取證、電子取證，是對計(jì)算機(jī)犯罪證據(jù)進(jìn)行獲取、保存、分析、出示，是以技術(shù)手段對于計(jì)算機(jī)犯罪過程的一個重建過程。包括靜態(tài)取證與動態(tài)取證。對于靜態(tài)取證，一般是在犯罪發(fā)生過后，對于疑似犯罪的硬件設(shè)備的獲取以及分析，根據(jù)磁盤的類型及其文件管理系統(tǒng)的不同，通過鏡像、克隆等技術(shù)手段分析出關(guān)鍵數(shù)據(jù)或是將已經(jīng)破壞刪除的數(shù)據(jù)盡量恢復(fù)，作為與案件有關(guān)犯罪證據(jù)呈現(xiàn)出來。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和反取證技術(shù)的發(fā)展，靜態(tài)取證的不足日趨明顯，許多動態(tài)數(shù)據(jù)不及時提取就會消失，讓很多的犯罪得不到認(rèn)證。動態(tài)取證彌補(bǔ)了靜態(tài)取證的不足，它分為實(shí)地?cái)?shù)據(jù)取證與遠(yuǎn)程數(shù)據(jù)取證，也稱網(wǎng)絡(luò)取證，它針對的對象是所有可能犯罪的計(jì)算機(jī)，通過對于網(wǎng)絡(luò)流、審計(jì)日志、系統(tǒng)日志等的實(shí)時監(jiān)控，提取大量實(shí)時數(shù)據(jù)進(jìn)行分析，獲取更全面的網(wǎng)絡(luò)犯罪證據(jù)。

網(wǎng)絡(luò)取證的主體是正在網(wǎng)絡(luò)中實(shí)時傳輸?shù)臄?shù)據(jù)流，網(wǎng)絡(luò)證據(jù)的獲取屬于事中取證，就是在犯罪事件正在進(jìn)行時或證據(jù)數(shù)據(jù)的傳輸途中進(jìn)行截獲。網(wǎng)絡(luò)流的存在形式依賴于網(wǎng)絡(luò)傳輸協(xié)議，采用不同的傳輸協(xié)議，網(wǎng)絡(luò)流的格式也不相同。網(wǎng)絡(luò)取證的目標(biāo)就是對網(wǎng)絡(luò)流進(jìn)行正確地提取和分析，真實(shí)全面地將發(fā)生在網(wǎng)絡(luò)上的所有事件記錄下來，為事后的追查提供完整準(zhǔn)確的資料，將證據(jù)提交給法庭。

2 網(wǎng)絡(luò)取證的技術(shù)與特點(diǎn)

網(wǎng)絡(luò)證據(jù)具有實(shí)時、動態(tài)、大量、多樣的特點(diǎn)。作為網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，它是有生命周期的，從源地址發(fā)出，到達(dá)目標(biāo)地址，就不在屬于數(shù)據(jù)流，它具有實(shí)時性；網(wǎng)絡(luò)證據(jù)取自網(wǎng)絡(luò)中正在傳輸中的數(shù)據(jù)，它具有動態(tài)性；隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，帶寬的增加，在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量愈來愈大，要取得有價(jià)值的數(shù)據(jù)證據(jù)也愈來愈困難；另外，在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)類型具有多樣性，有視頻、圖像、文本等等，多種數(shù)據(jù)也使得對于網(wǎng)絡(luò)證據(jù)的提取分析更為困難。

網(wǎng)絡(luò)犯罪的電子證據(jù)隱匿在海量的網(wǎng)絡(luò)數(shù)據(jù)流中，如何快速有效自動的發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)成為亟待解決的問題。

目前，網(wǎng)絡(luò)取證系統(tǒng)還處于研究探索階段。網(wǎng)絡(luò)取證的相關(guān)技術(shù)涉及蜜阱技術(shù)、數(shù)據(jù)挖掘、IDS、人工智能、機(jī)器學(xué)習(xí)、專家系統(tǒng)等方面。

包括蜜罐與蜜網(wǎng)的蜜阱技術(shù)以誘騙技術(shù)為核心，當(dāng)受到攻擊時，它能夠?qū)崟r監(jiān)視實(shí)施者的行為并自動收集相關(guān)的電子證據(jù)。

入侵檢測系統(tǒng)能夠在檢測到非法入侵或惡意行為時收集電子證據(jù)，這種將系統(tǒng)保護(hù)與電子證據(jù)收集相結(jié)合的方法使得取證過程更加具有實(shí)時性、智能性、系統(tǒng)性。

網(wǎng)絡(luò)數(shù)據(jù)流的捕獲及其分析，要能夠高效完整的捕獲數(shù)據(jù)包，對數(shù)據(jù)進(jìn)行分析，重組，獲取完整的會話記錄，在重組的過程中有可能獲取很多有用的證據(jù)。

網(wǎng)絡(luò)取證使用了數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘技術(shù)包括關(guān)聯(lián)規(guī)則分析、分類和聯(lián)系分析等。在取證過程中，需要對海量的數(shù)據(jù)流進(jìn)行實(shí)時分析并提取具有犯罪特征的數(shù)據(jù)，對新出現(xiàn)的特征數(shù)據(jù)進(jìn)行分析判斷，數(shù)據(jù)挖掘技術(shù)運(yùn)用關(guān)聯(lián)規(guī)則分析方法可以提取犯罪行為之間的關(guān)聯(lián)特征，挖掘不同犯罪形式的特征、同一事件的不同證據(jù)之間的聯(lián)系；運(yùn)用分類方法可以從獲取的海量數(shù)據(jù)中找出可能的非法行為，發(fā)現(xiàn)各種事件在時間上的先后關(guān)系。

3 反取證技術(shù)

隨著計(jì)算機(jī)取證技術(shù)的發(fā)展，反取證技術(shù)也悄然發(fā)展起來。主要技術(shù)包括數(shù)據(jù)加密、數(shù)據(jù)隱藏、數(shù)據(jù)摧毀，數(shù)據(jù)混淆、防止數(shù)據(jù)重建等。阻止取證最有效的方法就是數(shù)據(jù)摧毀，在取證的數(shù)據(jù)收集階段，采用數(shù)據(jù)擦除的方法，將敏感數(shù)據(jù)不可逆的刪除，并用特定的數(shù)據(jù)覆蓋，使得數(shù)據(jù)恢復(fù)無法進(jìn)行，為防止被發(fā)覺，將摧毀數(shù)據(jù)的痕跡一并消除。加密技術(shù)可用在被入侵的電腦上，將黑客程序加密，使之不易被發(fā)覺，運(yùn)行時解密。但隱藏在系統(tǒng)中的加密文件有可能被取證人員發(fā)現(xiàn)并受到重視，那么，就可以使用數(shù)據(jù)隱藏技術(shù)將秘密信息嵌入到普通信息中而不被察覺。當(dāng)遠(yuǎn)程入侵發(fā)生后，為了長期占有資源不被發(fā)現(xiàn)，入侵者會采用數(shù)據(jù)轉(zhuǎn)換技術(shù)修改替換各種系統(tǒng)應(yīng)用程序，將文件、進(jìn)程、任務(wù)、網(wǎng)絡(luò)連接等從常規(guī)操作隱藏起來，使管理人員難以發(fā)覺。防止數(shù)據(jù)重建技術(shù)可以幫助犯罪分子在調(diào)查人員識別、收集證據(jù)之前防止相關(guān)數(shù)據(jù)創(chuàng)建，避開被檢測和取證。各種反取證技術(shù)的出現(xiàn)，使得取證變得更加困難，計(jì)算機(jī)取證任重而道遠(yuǎn)。

4 問題與展望

計(jì)算機(jī)取證技術(shù)方興未艾，作為其重要分支的網(wǎng)絡(luò)取證也面臨著重重困難與挑戰(zhàn)。網(wǎng)絡(luò)取證是一門交叉學(xué)科，涉及計(jì)算機(jī)科學(xué)與法學(xué)范疇，專業(yè)技術(shù)人才匱乏。人們法律觀念淡薄，一些用戶在受到網(wǎng)絡(luò)攻擊和其它網(wǎng)絡(luò)違法侵害時，沒有選擇盡快報(bào)警，致使取證工作無法及時進(jìn)行，犯罪分子不但得以逃避法律打擊，還有機(jī)會制造更多的網(wǎng)絡(luò)侵害事件。反取證技術(shù)的發(fā)展使得本來就屬于新興學(xué)科的網(wǎng)絡(luò)取證更加困難重重，但挑戰(zhàn)也意味著機(jī)遇，建立網(wǎng)絡(luò)取證的規(guī)范和標(biāo)準(zhǔn)，制定相關(guān)的法律法規(guī)，建立有資質(zhì)的取證機(jī)構(gòu)，培養(yǎng)相關(guān)技術(shù)人才，研究新的網(wǎng)絡(luò)取證的技術(shù)，開發(fā)出更有效的網(wǎng)絡(luò)取證的工具，網(wǎng)絡(luò)取證一定能夠成為打擊網(wǎng)絡(luò)犯罪最有效的武器。

參考文獻(xiàn)

[1] 蔣華，黃淑華，楊莉莉.數(shù)字取證[M].清華大學(xué)出版社，2007.

[2] 王永全，齊曼.信息犯罪與計(jì)算機(jī)取證[M].北京大學(xué)出版社，2010.

[3] 杜春鵬.電子證據(jù)取證與鑒定[M].中國政法大學(xué)出版社，2014.

[4] 劉遠(yuǎn)生，辛一.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2009.