计算机动态取证

《计算机动态取证》由会员分享，可在线阅读，更多相关《计算机动态取证（7页珍藏版）》请在装配图网上搜索。

1、计算机动态取证摘要随着计算机的快速发展和网络技术的广泛应用，极大的促进了社会的发展，改善了人们 的生活和工作方式。但是，利用或以计算机为目标的犯罪事件频繁发生，犯罪现象日趋严重， 危害性也越来越大，现在每年因为计算机犯罪照成的损失高达几百亿。由于政法机关在利用 高技术手段对付这种高技术犯罪方面缺乏必要的技术保障和支持，现在如何有效的获取计算 机犯罪的电子证据，将犯罪嫌疑人绳之于法，已经成为司法界和计算机科学领域亟待解决的 新课题。在研读了大量文献的基础上，本文对计算机犯罪进行了总结性描述，对计算机动态取 证进行了详细的描述，并对计算机动态取证系统进行了深入的分析。由于国内计算机动态取 证方面的

2、研究起步较晚，在计算机动态取证程序和系统的研究方面较为欠缺。针对我国现阶 段存在的问题，应学习西方在计算机动态取证系统方面的先进技术，并通过完善现有的法律 和制定其他与之相关的法律或法律文件来规范计算机取证。关键词：计算机取证、动态取证、取证系统、数据安全引言（一）、计算机犯罪现状计算机犯罪开始于六十年代，七十年代迅速发展，八十年代形成威胁，现在已经对全 球造成巨大的损失。计算机犯罪具有的特点有：隐蔽性强、破坏性大、犯罪客体和手段多样 化、侦查诉讼定罪难、犯罪呈增长趋势。计算机犯罪的形式主要有：黑客入侵、不法信息的 进入、网络资源的破坏、破坏计算机系统、窃取国家机密、电子商务诈骗等。从技术角度

3、看，目前计算机取证的最大的障碍就是证据的真实性、有效性和及时性。 因为计算机犯罪的电子证据提取难，易篡改、销毁，黑客在攻击目标时会尽可能销毁各种证 据，所以计算机犯罪案件办理非常困难。目前还没有能够全面鉴定电子数据证据设备来源、 地址来源、软件来源的工具。为此将取证技术结合到防火墙、入侵监测系统中，对所有可能 的计算机犯罪行为进行实时的动态取证显得尤为重要。（二）、计算机动态取证技术的提出由于现有的解决网络安全问题的大多数技术只是从防御的角度来防止各种入侵，不能 从根本上解决问题。1例如防火墙和入侵检测系统，防火墙和入侵检测系统都是应用最广 泛和最成熟的网络安全系统，但是它们都有缺点，如TCP

4、暗藏通道技术和反向连接技术就 可以绕过防火墙的限制，入侵检测系统（IDS）的漏报和误报率较高，IDS系统的管理和维 护较难，而且IDS系统是被动工作的，它只能检测攻击不能阻止攻击。事实证明现有的防御工具并不能解决网络安全问题。所以需要发挥社会和法律的来对 付计算机犯罪，计算机动态取证就是在这种形势下产生和发展起来的，计算机动态取证的目 的和其他网络安全技术一样，都是为了保障网络安全。它主要是收集电子证据、重构犯罪现 场为诉讼案件提供有效证据。计算机动态取证能记录系统工作、尤其是黑客入侵的全过程，截取入侵者得信息，对 黑客入侵方法进行技术分析，通过分析和研究，牵制和转移黑客的攻击，取得最新的攻击

5、技 术资料，产生防御攻击的方法。计算机动态取证有别于传统取证，对法学领域和计算机领域 提出了新的挑战。目前的网络安全形势严峻计算机动态取证研究具有十分重要的意义。（三）、论文研究的内容本文研究的内容主要是计算机动态取证的技术以及计算机动态取证系统，阐述了计算 机动态取证研究现状以及存在的问题，并对计算机动态取证的特点进行分析，电子证据获取、 保存的步骤，以及计算机动态取证相对于静态取证的优势进行了探讨与分析。最终提出了一 个计算机动态取证系统的设计方案。该系统研究和设计的方面主要有：如何提供一个高效可 用的计算机动态取证系统，系统程序的功能分析，系统的隐藏和自我保护，系统的监控和动 态取证，程

6、序的控制。（四）、论文的组织结构论文的组织结构如下：一、引言。主要介绍了计算机犯罪的现状以及在这现状下计算机动态取证技术的提出，分析 了计算机动态取证系统的研究与设计。二、计算机动态取证概述。介绍了计算机动态取证的概念、工作流程、基本原理。三、计算机动态取证技术。介绍了计算机动态取证的现状，对计算机动态取证进行了详细的 描述，指出了计算机动态取证与静态取证相比较的优势所在，讲诉了计算机动态取证的 步骤和特点。四、计算机动态取证综合系统。描述了计算机动态取证系统的功能、设计目标，系统的总体 结构，计算机动态取证系统的程序方面的具体分析，以及数据的安全传输与储存。五、总结。对论文进行概括总局。二、

7、计算机动态取证概述（一）、对计算机动态取证的描述计算机动态取证是将取证技术结合到防火墙和入侵检测技术中，对所有可能进行犯罪 的计算机进行实时数据获取和分析，智能分析入侵者的企图，采取一定的措施切断链接或诱 敌深入，在确保系统安全的情况下获取最大量的证据。并向法庭提交全面真实、具有说服性 的证据的过程。由此可见，计算机动态取证在及时获取有效证据的同时，还能分析犯罪动机， 拟出应对方略，指导相应的防御、应对措施。计算机动态取证还能通过记录系统工作，截取 入侵工具，分析入侵方法及技术，取得入侵资料，最终得出防御攻击的方法。（二）、计算机动态取证的工作流程计算机动态取证一般可以按如下流程进行2。第一，

8、保护现场。在检查取证的过程中，第一件要做的就是保护封存目标计算机系统， 避免出现更改系统、损坏硬件和破坏数据的情况。而且每次处理任何设备之前都必须存档。第二，采集数据。数据采集是实时取证的基本前提。基于证据的准确性和完整性，在 获取网络数据的过程中，网络取证系统必须保持数据的完整性不能对获取的网络数据进行修 改或破坏，还要尽可能的使网络流量对系统性能产生的影响降到最小，必须不影响被测网络。第三，数据存储。对于获取的网络数据，只需对含有攻击特征的报文进行摘录，由于动 态取证系统出于证据获取完整性的原因，要求记录的网络报文数据必须是完整的，以便借助 数据分析模块对报文进行还原，追查到具体的内容。目

9、前主要有将这些报文全部保存下来， 形成一个完整的网络流量记录的方法和采用某种过滤机制排除不相关的网络报文，保存需要 的网络报文。第一种方式能保证系统不丢失任何潜在的信息，能最大限度地恢复黑客攻击时 的现场，这对于研究新的攻击技术，进行安全风险评估都有很大的价值，但这种方式对系统 存储容量的要求非常高；第二种方式可以减少系统的存储容量需求，但有可能丢失一些潜在 的信息，同时过滤进程还会增加系统负荷。这两种方式都需要引入淘汰机制来控制存储空间 的增长。同时，系统还应采用诸如计算校验和的方式来检验数据的完整性。第四，数据分析。数据分析是动态取证关键，目的是识别入侵企图，并尽可能地还原 网络中发生的入

10、侵事件。网络数据的分析分为基本分析和深入分析两个阶段。基本分析能解 决一般性的取证问题，同时为深入分析做准备。它包括对网络数据进行查询、分类、解码、 简化等操作。其中，解码包括解密和协议分析。在动态取证系统中，协议分析是一种重要的 现场重现手段。深入分析则包括对网络数据进行重组、寻找数据的来源、网络数据间的关联 性分析、重建网络事件、图形化网络关系等。动态取证技术也会有误报和漏报，但原始数据 的存在，提供了充分、完全的现场资料，允许人们对之进行更深层次的分析和验证。第五，过程记录。是为了保证计算机取证中“证据的连续性”这一个重要原则，动态取 证系统还应该具有贯穿全过程的记录功能，记录内容主要包

11、括网络取证系统当时的状态及性 能情况，报文丢失情，丢失的时间，由哪个组件丢失，操作人员在使用网络取证系统过程中 的所有动作，这样有利于对获取的数据及相关的分析进行正确评价；另外动态取证系统一般 还应具备报警功能，能及时通知安全人员进行事件处理，从而防止入侵事件的发生或减少相 应损失。（三）、计算机动态取证的基本原理计算机动态取证所提取证据涉及电子证据的问题，电子证据具有非常高的技术要求， 因此，电子证据的提取必须严格遵循如下原则3；第一，必须保持数据的原始性：取证过程中分析的数据是从原始数据复制的。第二，必须保持数据在分析和传递过程中的完整性：在分析和传递的过程中数 据不会被改变。第三，必须保

12、持证据的连续性：提取的证据必须环环相扣、紧密联系，在提交 法庭时必须能将证据的演变过程完整陈述。第四，必须保证取证过程的合法性：取证过程中所有的程序方法都必须合法， 由特定的机构组织专家监督。第五，取证的过程和结论必须可重现：取证分析的结果可以通过一定的技术操 作重现。三、计算机动态取证技术（一）、计算机动态取证的现状由于计算机动态取证的特殊性和复杂性，计算机动态取证面临着种种难题。一方面是 现代计算机网络高速发展，计算机黑客技术也快速发展，犯罪嫌疑人利用各种技术手段清除 犯罪痕迹、更改犯罪证据。这一来犯罪分子的犯罪证据就很难被掌握。另一方面是各国现有 的针对计算机犯罪的法律法规不完善，也是造

13、成取证困难的原因。现在世界各国都在全力研 制和开发相关的计算机动态取证工具，加快相关法律法规的制定，使计算机犯罪分子受到应 有的制裁，保护公民的合法权益。（二）、对计算机动态取证的详细描述动态取证是对网络数据流和启动的计算机系统中的数据进行检测证据，提取犯罪的。 动态取证是将取证技术结合到防火墙和入侵检测技术中，对所有的可能实施犯罪的计算机的 数据进行提取和分析，动态分析入侵者的详细信息或通过切断链接或诱敌深入的方式提取实 时电子证据，获取全面真实的电子证据，并对证据进行鉴定、保全并提交的一个系统过程。 同时通过动态取证还可以分析嫌疑人的犯罪手段、作案动机，为调查工作的深入开展提供更 多的线索

14、。由于自身的特殊性，动态取证技术性要求高，存在证据易丢失、易破坏的风险。动态的电子证据是被动的靠攻击时的网络数据实时捕获来实现的，但是网络数据是不可 能完全捕捉的，软硬件也不能承受完全捕捉所带来的负荷。可见，计算机动态取证在全面获 取证据时还是存在一定的缺陷的。（三）、与静态取证比较计算机动态取证的优势静态取证是针对未运作的计算机系统以及相关设备中的静态数据的取证。而动态取证 是针对网络数据流和启动的计算机系统中的数据进行检测证据，提取犯罪的。静态取证是通过相关的文件、日志分析工具对嫌疑人在犯罪现场系统内的遗留信息进 行分析和提取，因此静态取证受制于嫌疑人所留下的犯罪现场，获取的证据往往不完整

15、。而 动态取证是将取证技术结合到防火墙和入侵检测技术中，智能的对网络数据流和计算机系统 的运行进行实时的动态监控。计算机动态取证还能记录系统的工作、黑客入侵的全过程，截 取入侵者得相关数据，对入侵的方法进行技术分析，研究防御进攻的方法，解决出现的问题。又因为网络监控系统一旦发现入侵行为，就会立刻启动取证系统进行动态取证，这样 可以完整地记录入侵事件的全部过程。所以动态的取证技术在取证的时机、地点、环境等方 面，较静态取证技术更具有优越性。四、计算机动态取证综合系统（一）、系统的功能描述与设计目标1、总体目标本项目的总体目标是开发一套适合计算机犯罪的动态取证软件，主要包括服务端程序和 管理控制台

16、程序。系统必须从获取的信息中提取出有效的电子证据，系统必须对计算机进行 实时的监控，还必须保证系统能适应环境的变化情况，同时还必须要保证系统可靠性、可用 性。这样才能有效的提取犯罪证据，快速的侦破案件。2、服务端程序功能分析服务端程序，主要负责数据的监控和取证工作。并且对系统的操作情况进行实时记录， 包括记录软件安装、程序运行、邮件收发、浏览器历史、键盘记录和重要文件的操作等信息。 保护所获取的数据不被窃取和破坏，并从获取的数据中提取有效的证据。程序还能和入侵检 测程序结合达到保护目标机不被黑客和病毒程序破坏的目的。3、管理控制台程序功能分析当目标机上出现需要人工介入的情况时，管理控制台应能及

17、时的对目标机器进行远程 控制和取证，从而灵活地应对自动取证功能所不及的情形，及时的获取更多有效证据。管理 控制台还可以为取证系统提供支持，及时更新规则、策略等信息。友好的人机交互界面是软 件与外界进行交流的窗口，也直接关系到软件系统的可用性和有效性。（二）、系统的总体结构计算机动态取证系统的总体结构为分层的体系结构，根据取证系统的工作需要，还可 以把取证系统按照其功能的不同分为业务层、连接认证层和数据加密层三个功能层次。4 业务层提供与计算机取证最直接的功能，如数据获取、数据实时分析与获取、证据保全功能， 以及管理控制台端的取证策略管理、远程控制、数据分析和报告生成等；认证层则对出入计 算机的

18、网络连接进行身份认证，确保所建立的连接是安全合法的；加密层则是对上层传来的 数据进行加密，对下层传来的数据进行解密，从而保证数据在传输过程中的不被窃取或篡改。 有了各功能层之间的相互连接配合为系统提供可靠的服务，系统才能安全有效的运行。系统的各层之间都是相互独立的，而且各层的灵活性较好，结构上可分割开又能很好联 系。尽管各个层之间有的联一定系，但是各层之间不需要知道其他层是如何实现的，而仅仅 需要知道该层通过层间的接口所提供的服务。由于每一层只实现一些相对独立的功能，因而 可将一个难以处理的复杂问题分解为若干个较容易处理的更小一些的问题。这样，整个问题 的复杂程度将下降了。当任何一层发生变化时

19、，只要层间的接口关系保持不变，则在这层以 上或以下各层均不受影响。并且各层都可以采用最适合的技术来实现。这种结构是为了实现 和调试一个庞大而又复杂的系统变得易于处理，因为整个的系统已被分解为若干个相对独立 的子系统。原型系统分层体系结构图（三）、数据安全传输与储存计算机动态取证系统提取的数据能否安全有效地传送到数据存储库，就取决于系统数 据存储中心的安全传输能力了。而且，在安全有效的获取数据是还需要有效的储存和组织数 据。这个过程不仅要数据的安全性，还需要保证数据的原始想，不能对数据进行更改、删除、 添加。在这过程中我们可以使用加密插件来进行加密、解密，传出数据时进行加密，传入数 据时解密，这

20、样便保护了数据在分析的过程中不被窃取或删改。由于电子证据本身的特殊性， 可以利用数据库的数据挖掘进行存储和组织，便于数据的处理，获取有效的电子证据。（四）、系统的模型5计算机动态取证系统由数据获取模块、数据挖掘模块、数据分析模块、证据鉴定模 块、证据保全模块、证据提交模块构成。取证系统结合入侵检测系统全面监测系统活动，一旦有非法入侵者进入系统，入侵检 测系统及时报警；数据获取模块快速的从系统和日志文件、周边数据、网络数据包等安全依 法提取动态数据外，并将数据处理成符合数据仓库存储格式后存入数据仓库；数据挖掘模块 对数据仓库的数据进行一系列处理、使用关联规则分析、分类、联系分析技术方法发现事件

21、之间的时间和空间的联系，找到用于数据分析的特征、模式、规则与知识，应用于数据分析 模块；运用数据挖掘模块和数据分析模块对数据仓库中的数据的分析，提取出反映客观事实 的、与案件相关的电子证据，同时通过分析入侵来源、入侵方法，取得最新的攻击技术资料， 产生防御攻击的方法，指导入侵检测，做好防御工作；鉴定模块对搜集来的电子证据进行硬 件设备来源和软件来源鉴定发现电子证据与犯罪事实之间的联系，从而更加有效的定位犯 罪，为案件的侦破提供有力证据；数据保全模块将数据分析、鉴定出来的证据使用数据加密、 数据摘要和签名技术加密传送到数据库；最后将犯罪证据生成完整的报告，以法律程序提交 法庭。整个取证过程数据仓

22、库、知识库和证据库不断更新，入侵监测系统与动态取证系统互 动。计算机动态取证模型计算机动态取证模型五、总结文章首先总结了计算机取证技术的发展历程、研究现状、发展趋势，分析了现有的计算 机取证技术存在的突出问题。针对现有的网络安全技术存在的问题，指出要解决日益猖狂的 计算机网络犯罪，关键是借助完善取证系统和法律手段进行计算机取证。并且对静态计算机 取证技术和动态计算机取证技术进行了分析。随着社会的发展，信息化和网络化大潮的快速推进，计算机犯罪层出无穷，数不胜数， 在社会上造成严重的损失。由于目前绝大多数涉及计算机犯罪的案件，都因无法提供有效的 证据而使犯罪分子逍遥法外。如何利用计算机取证来打击和

23、遏制计算机犯罪，正成为信息安 全专家和法学专家共同关注的热点。虽然计算机动态取证已经有一定的研究成果，但是还不 够完善。随着网络技术的飞速发展、计算机犯罪技术手段的不断提高、反取证技术的出现， 计算机动态取证仍将面临新的挑战。为了提高实时动态取证的能力，将入侵检测系统和防火墙系统引入计算机取证系统，在 被保护主机上对流经的网络数据和系统中的用户行为进行实时监视，识别并获取入侵者的数 据，提取有效的证据。弥补了静态取证技术缺乏取证及时性的缺点，实现了系统的灵活性、 扩展性、可靠性，提高了计算机网络系统的自我保护能力和取证的效率。参考文献【1】蔡耿平.网络取证系统的研究与设计:硕士学位论文.中山大学2005【2】徐宏斌.计算机动态取证技术研究.贵州警官职业学院学报1671-5195(2007)01-0087-03【3】刘东辉.计算机动态取证的技术研究.长春吉林公安高等专科学校,2005,9【4】刘德.开放网络环境下动态计算机取证技术研究：硕士学位论文.华中科技大学2007 【5】谭敏.计算机动态取证关键技术研究:硕士学位论文.中南大学,2007