劉澤

中國人民公安大學(xué) 北京 100038

0 前言

目前我國學(xué)者對網(wǎng)絡(luò)取證的定義大多限定在事后靜態(tài)取證的范圍內(nèi)，還有些學(xué)者是進行實時動態(tài)取證的界定，而沒有把實時取證與事后取證結(jié)合起來進行界定。筆者認為網(wǎng)絡(luò)取證(Network Forensics)可以定義為：使用科學(xué)的技術(shù)證明方法來收集、融合、發(fā)現(xiàn)、檢查、關(guān)聯(lián)、分析以及存檔保存在計算機及其相關(guān)設(shè)備中的信息數(shù)據(jù)和對計算機網(wǎng)絡(luò)進行實時入侵時存在的相關(guān)信息數(shù)據(jù)，其目的是發(fā)現(xiàn)已經(jīng)成功的非授權(quán)性的攻擊入侵網(wǎng)絡(luò)行為和實時動態(tài)性的破壞網(wǎng)絡(luò)的行為，進而證明各種網(wǎng)絡(luò)違法行為及其造成的損失，并為應(yīng)急事件的響應(yīng)和網(wǎng)絡(luò)系統(tǒng)的恢復(fù)使用提供有用的信息。目前網(wǎng)絡(luò)取證的證據(jù)來源主要有：網(wǎng)絡(luò)數(shù)據(jù)流、連網(wǎng)設(shè)備(包括調(diào)制解調(diào)器、網(wǎng)卡、路由器、集線器、交換機、網(wǎng)線、接口等)、網(wǎng)絡(luò)安全設(shè)備或軟件(包括IDS、防火墻、反病毒軟件日志、網(wǎng)絡(luò)系統(tǒng)審計記錄、網(wǎng)絡(luò)流量監(jiān)控記錄等)。

1 信息化警務(wù)模式的含義及其與網(wǎng)絡(luò)取證的關(guān)系

當(dāng)前，科學(xué)技術(shù)突飛猛進，以信息技術(shù)為主要標志的高新技術(shù)革命已對我國公安機關(guān)傳統(tǒng)的警務(wù)運作模式提出了挑戰(zhàn)，警務(wù)工作信息化已成為警務(wù)工作的重大課題。信息化警務(wù)模式，是指以信息技術(shù)為支撐，以打防控一體化為手段，通過全面地收集、分析、研判和使用情報信息，提高警務(wù)決策的科學(xué)性，提升警務(wù)資源的使用效益，以達到預(yù)防和打擊犯罪、維護社會治安秩序的實現(xiàn)為目的的高效的警務(wù)運作模式。

網(wǎng)絡(luò)取證是在信息化背景下產(chǎn)生的，尤其是在信息化警務(wù)模式的推動下產(chǎn)生并快速發(fā)展的。網(wǎng)絡(luò)取證是統(tǒng)一于信息化警務(wù)工作的，一方面，信息化警務(wù)模式的應(yīng)用能為網(wǎng)絡(luò)取證提供先進的科學(xué)技術(shù)手段和豐富的信息資源，推動網(wǎng)絡(luò)取證技術(shù)的快速發(fā)展，信息化警務(wù)模式是網(wǎng)絡(luò)取證的立足之本；另一方面，網(wǎng)絡(luò)取證技術(shù)的發(fā)展有利于提升公安機關(guān)在新形勢下運用信息化的手段偵破網(wǎng)絡(luò)犯罪案件的能力，切實發(fā)揮出信息化警務(wù)模式的作用，充分體現(xiàn)出信息化警務(wù)模式的本質(zhì)性。同時，兩者也是統(tǒng)一服務(wù)于警務(wù)工作的。

2 網(wǎng)絡(luò)取證技術(shù)的研究

2.1 網(wǎng)絡(luò)取證技術(shù)的分析

(1) 蜜罐技術(shù)(Honeypot technique)

目前，對蜜罐技術(shù)的定義是指一種被偵探、攻擊或緩沖的安全資源。蜜罐技術(shù)的本質(zhì)是通過設(shè)置看起來對入侵者很有用的數(shù)據(jù)和信息的誘騙系統(tǒng)，以此為誘餌來引誘黑客的攻擊，當(dāng)黑客等攻擊者入侵系統(tǒng)后，系統(tǒng)會適時地監(jiān)視和記錄所有的操作行為，蜜罐技術(shù)的管理者就能知道攻擊者的攻擊目標、手段，行為等，并能隨時了解到服務(wù)器所受的攻擊和漏洞等信息，甚至也能通過發(fā)現(xiàn)黑客之間的聯(lián)系，收集黑客的作案工具，對網(wǎng)絡(luò)的漏洞等缺陷及時修復(fù)、修改，對黑客采取更嚴密的防護措施。這是變被動防御為主動防御、適時動態(tài)取證的技術(shù)。蜜罐技術(shù)在網(wǎng)絡(luò)取證中的運用，有利于大幅度地減少網(wǎng)絡(luò)被攻擊時的數(shù)據(jù)分析，對所要分析的數(shù)據(jù)實現(xiàn)定位分析；同時通過誘騙系統(tǒng)的設(shè)計，能適時跟蹤、監(jiān)控、記錄黑客的行為，實現(xiàn)網(wǎng)絡(luò)取證的便捷、高效。蜜罐取證技術(shù)模型(如圖 1)主要有取證準備(控制流采集、入侵檢測和控制流定向)、蜜罐誘騙系統(tǒng)、證據(jù)處理系統(tǒng)(證據(jù)收集、證據(jù)分析、證據(jù)存儲)、威脅評估系統(tǒng)和網(wǎng)絡(luò)應(yīng)用系統(tǒng)。

圖1 蜜罐取證技術(shù)模型

(2) 入侵檢測技術(shù)(IDS)

IDS的作用是識別非法攻擊計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的行為，適時監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，通過記錄主機上的日志信息、變動后的信息以及網(wǎng)絡(luò)上的數(shù)據(jù)和流量變化，發(fā)現(xiàn)出各種非法攻擊行為和攻擊結(jié)果，獲取電子證據(jù)。IDS有基于主機入侵檢測(HIDS)的和基于網(wǎng)絡(luò)的入侵檢測(NIDS)。IDS可以通過兩種途徑檢測到攻擊行為。①基于簽名的檢測：將監(jiān)控到的攻擊事件與已經(jīng)建立好的攻擊數(shù)據(jù)進行匹配得出檢測結(jié)果；②基于異常的檢測：首先建立一個基于“正常”行為的數(shù)據(jù)庫系統(tǒng)，其次當(dāng)檢測到與“正常”行為的數(shù)據(jù)有偏差的攻擊行為時產(chǎn)生報警。

(3) 人工智能與數(shù)據(jù)挖掘技術(shù)(AIDMT)

針對計算機存儲的和網(wǎng)絡(luò)中與犯罪有關(guān)的數(shù)據(jù)信息，可以用數(shù)據(jù)挖掘技術(shù)來發(fā)現(xiàn)?？梢酝ㄟ^開發(fā)專家系統(tǒng)(Expert System，ES)并輔助入侵檢測系統(tǒng)或者防火墻，對網(wǎng)絡(luò)數(shù)據(jù)流量進行智能化地適時提取和分析，發(fā)現(xiàn)的異常情況進行可視化報告。

網(wǎng)絡(luò)取證技術(shù)復(fù)雜多樣，此外還有IP地址獲取技術(shù)、電子郵件取證技術(shù)、網(wǎng)絡(luò)入侵追蹤技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)等。

2.2 網(wǎng)絡(luò)取證的過程及其模型研究

(1) 證據(jù)收集

針對攻擊后，計算機磁盤上的數(shù)據(jù)會被攻擊者清除掉而任何攻擊行為都會在網(wǎng)絡(luò)通信中存在原始數(shù)據(jù)的特點，筆者設(shè)計的網(wǎng)絡(luò)取證系統(tǒng)將收集過程劃分為網(wǎng)絡(luò)在線收集與網(wǎng)絡(luò)離線收集。在線收集實行適時檢測收集，離線收集是把攻擊者在網(wǎng)絡(luò)通信中存在的原始數(shù)據(jù)保存下來，然后再現(xiàn)，實現(xiàn)證據(jù)收集的原始性、完整性、精確性和可解釋性。

(2) 證據(jù)保存

對收集到的證據(jù)在確保原始性和完整性后加以簽名，對簽名后的原始證據(jù)經(jīng)SSl協(xié)議傳送至證據(jù)分析機，證據(jù)分析機接收后加上自己的數(shù)字簽名并加蓋時間戳，實現(xiàn)原始證據(jù)的從取證機到分析機的證明過程。

(3) 證據(jù)分析(入侵響應(yīng))

證據(jù)分析階段，首先要用物理或技術(shù)手段對被入侵攻擊的現(xiàn)場進行隔離并保護。在分析的過程中，主要是對基于主機和網(wǎng)絡(luò)的日志以及網(wǎng)絡(luò)數(shù)據(jù)流等進行分析，確定攻擊者相關(guān)信息，證明入侵犯罪證據(jù)。當(dāng)危及網(wǎng)絡(luò)安全的事件發(fā)生時，系統(tǒng)會作出入侵響應(yīng)，以提醒采取措施保護現(xiàn)場。

(4) 證據(jù)提交

證據(jù)分析確認后，對入侵者提起訴訟，向法庭提交相應(yīng)的證據(jù)文檔，演示攻擊過程。要確保證據(jù)的提交符合一定的格式，并具有真實性和可采用性。

(5) 作出結(jié)論與系統(tǒng)反饋

對提交后的證據(jù)進行法律裁決得出結(jié)論后，針對獲得的網(wǎng)絡(luò)證據(jù)存在的問題，采取措施，并反饋到系統(tǒng)的攻擊開始階段，進行下一階段的網(wǎng)絡(luò)取證過程。網(wǎng)絡(luò)取證過程與模型如圖2所示。

圖2 網(wǎng)絡(luò)取證過程與模型

3 信息化警務(wù)模式下網(wǎng)絡(luò)取證技術(shù)存在的局限性分析

(1) 網(wǎng)絡(luò)取證的標準與法律法規(guī)的缺失

目前，我國關(guān)于網(wǎng)絡(luò)取證方面的標準與法律法規(guī)還很缺乏，存在的法律法規(guī)內(nèi)容的規(guī)定也不健全。雖然我國《刑法》第285、286、287條規(guī)定了網(wǎng)絡(luò)犯罪的定罪量刑，但《刑事訴訟法》并未規(guī)定，造成了法律操作上可行性的降低。1994年《計算機信息系統(tǒng)安全保護條例》和 2001年《計算機軟件保護條例》等相關(guān)法規(guī)雖然涉及到網(wǎng)絡(luò)電子證據(jù)，但內(nèi)容規(guī)定的不詳，同樣缺乏操作性。當(dāng)前，我國對網(wǎng)絡(luò)證據(jù)規(guī)定的法律法規(guī)比較陳舊、內(nèi)容規(guī)定不詳、操作上缺乏可行性。

(2) 靜態(tài)取證技術(shù)的滯后及反取證技術(shù)發(fā)展的不足

現(xiàn)階段對網(wǎng)絡(luò)犯罪進行取證大多還是事后靜態(tài)取證，集中于網(wǎng)絡(luò)受到入侵攻擊后計算機的磁盤分析，如磁盤映像拷貝、被刪除數(shù)據(jù)恢復(fù)和查找等技術(shù)。同時，獲得的證據(jù)不少是入侵攻擊者處理過的現(xiàn)場的偽裝證據(jù)，還有很多證據(jù)會被入侵攻擊者在計算機磁盤上消除掉，如入侵攻擊者可以利用Root Kit(系統(tǒng)后門、木馬程序等)繞開系統(tǒng)日志，獲取 Root權(quán)限，進而修改或破壞掉操作系統(tǒng)的日志，制約著網(wǎng)絡(luò)證據(jù)的獲取。

(3) 現(xiàn)階段動態(tài)取證技術(shù)的不完善

動態(tài)取證技術(shù)雖然在現(xiàn)階段網(wǎng)絡(luò)取證中發(fā)揮著重要的作用，但也呈現(xiàn)出一些不完善的方面。動態(tài)取證強調(diào)在入侵攻擊之前就開始收集證據(jù)，但往往在監(jiān)測到入侵攻擊行為時為了系統(tǒng)的安全就把入侵切斷，進行取證并分析，這樣不容易全面地分析入侵行為，不利于全面地收集證據(jù)，對入侵行為的定性也不夠科學(xué)。同時，針對入侵行為后網(wǎng)絡(luò)離線的取證，動態(tài)取證也無法得到應(yīng)用。

(4) 網(wǎng)絡(luò)取證程序、入侵后果分析及出示證據(jù)的困難

當(dāng)前，我國實體法和程序法對網(wǎng)絡(luò)取證程序沒有作出具體規(guī)定，這就導(dǎo)致了在實踐中取證程序不能順利的開展，如收集那些裝有安全軟件人的計算機的入侵攻擊的證據(jù)信息，沒有安裝軟件人的協(xié)助，證據(jù)的進行將很難進行。把網(wǎng)絡(luò)面臨入侵攻擊時就切斷入侵進行證據(jù)收集，并把這些可疑的入侵攻擊行為定性為網(wǎng)絡(luò)犯罪是不科學(xué)的，網(wǎng)絡(luò)犯罪的界定要基于入侵行為的目的性及其造成的危害性。同時，有些電子證據(jù)出示要借助于特定的環(huán)境才能顯現(xiàn)，當(dāng)計算機所處位置發(fā)生改變，證據(jù)的顯現(xiàn)及出示將會面臨困境，這些都是亟待我們?nèi)ソ鉀Q的。

4 信息化警務(wù)模式下網(wǎng)絡(luò)取證技術(shù)完善的研究

4.1 構(gòu)建智能動態(tài)化的網(wǎng)絡(luò)取證系統(tǒng)

智能動態(tài)化的網(wǎng)絡(luò)取證系統(tǒng)，由入侵檢測系統(tǒng)、入侵誘騙系統(tǒng)(目前可采用蜜罐技術(shù))、網(wǎng)絡(luò)應(yīng)用系統(tǒng)、威脅評估系統(tǒng)、訪問控制與重定向系統(tǒng)、證據(jù)處理系統(tǒng)以及智能控制中心系統(tǒng)所構(gòu)成。智能動態(tài)化的網(wǎng)絡(luò)取證系統(tǒng)有助于解決當(dāng)前靜態(tài)取證滯后性和動態(tài)取證不全面的特點，實現(xiàn)信息化警務(wù)模式下網(wǎng)絡(luò)取證系統(tǒng)的全面性、智能性和高效性的特點。

(1) 入侵檢測系統(tǒng)，由基于主機入侵檢測(HIDS)的和基于網(wǎng)絡(luò)的入侵檢測(NIDS)組成，HIDS負責(zé)對主機的日志、文件、進程等進行檢測，NIDS負責(zé)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，當(dāng)發(fā)現(xiàn)入侵攻擊行為時IDS會啟動報警裝置。同時，把本系統(tǒng)當(dāng)作入侵容忍與網(wǎng)絡(luò)取證的感應(yīng)器。

(2) 入侵誘騙系統(tǒng)，由真實服務(wù)器的網(wǎng)絡(luò)應(yīng)用系統(tǒng)、影子服務(wù)器的入侵誘騙系統(tǒng)和安全檢測工具組成。其中影子服務(wù)器的入侵誘騙系統(tǒng)現(xiàn)階段可以采用蜜罐技術(shù)進行應(yīng)用。本系統(tǒng)利用具有與真實服務(wù)器的服務(wù)配置、網(wǎng)絡(luò)流量一致的影子服務(wù)器引誘入侵攻擊者進行攻擊，同時影子服務(wù)器采用入侵容忍技術(shù)以實現(xiàn)完整地記錄入侵攻擊者的所有行為，收集到完整的攻擊數(shù)據(jù)，解決現(xiàn)階段動態(tài)取證技術(shù)取證不完整的缺陷。同時安裝相關(guān)安全檢測工具，對所有進入入侵誘騙系統(tǒng)的數(shù)據(jù)流進行記錄和分析，為下一階段的取證和網(wǎng)絡(luò)的安全防御服務(wù)。

(3) 威脅評估系統(tǒng)，負責(zé)對入侵檢測系統(tǒng)、網(wǎng)絡(luò)應(yīng)用系統(tǒng)、入侵誘騙系統(tǒng)和訪問控制重定向系統(tǒng)的所有數(shù)據(jù)信息進行危險評估，確定危險等級，把所有的危險等級都進行存儲并報送至報警響應(yīng)器，網(wǎng)絡(luò)取證人員可以根據(jù)入侵攻擊行為的危險等級以及是否構(gòu)成犯罪進行指控起訴。

(4) 訪問控制與重定向系統(tǒng)，當(dāng)入侵檢測系統(tǒng)和威脅評估系統(tǒng)發(fā)現(xiàn)無法確定的入侵攻擊流時，訪問控制器會把入侵攻擊流報送至入侵誘騙系統(tǒng)，由入侵誘騙系統(tǒng)中的安全檢測工具進行檢測，若確定入侵攻擊流具有危險等級時，切斷其流向真實服務(wù)器的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，并傳送至證據(jù)分析器進行分析，以備進行證據(jù)存儲。

(5) 網(wǎng)絡(luò)取證處理系統(tǒng)，由證據(jù)收集器、證據(jù)分析器、證據(jù)安全存儲器組成。證據(jù)收集器分布在入侵檢測系統(tǒng)、網(wǎng)絡(luò)應(yīng)用系統(tǒng)、入侵誘騙系統(tǒng)、訪問控制與重定向系統(tǒng)里，負責(zé)收集日志信息、變動后的信息以及網(wǎng)絡(luò)上的數(shù)據(jù)和流量變化等；證據(jù)分析器對收集到的日志信息等予以分析，確認是否為證據(jù)；證據(jù)安全存儲器負責(zé)把證據(jù)分析器確定的證據(jù)進行存儲。

(6) 智能控制中心系統(tǒng)，是智能動態(tài)化網(wǎng)絡(luò)取證系統(tǒng)的中樞神經(jīng)和決策機構(gòu)，負責(zé)把各個系統(tǒng)的動態(tài)進行相互間的反饋，以實現(xiàn)整個系統(tǒng)新一步的動態(tài)化運轉(zhuǎn)。如把威脅評估系統(tǒng)對入侵信息流的評估等級反饋給入侵檢測系統(tǒng)和訪問控制與重定向系統(tǒng)，實現(xiàn)入侵檢測系統(tǒng)和訪問控制與重定向系統(tǒng)的規(guī)則調(diào)整或系統(tǒng)升級，保護網(wǎng)絡(luò)系統(tǒng)的安全運轉(zhuǎn)。

4.2 開創(chuàng)網(wǎng)絡(luò)公證的證據(jù)保全的新方法

網(wǎng)絡(luò)公證是新形勢下證明網(wǎng)絡(luò)取證效力的重要途徑，其基于先進的網(wǎng)絡(luò)信息技術(shù)和軟件程序，能快速地實現(xiàn)遠程證據(jù)的保全。網(wǎng)絡(luò)公證是指計算機當(dāng)事人與網(wǎng)絡(luò)取證人員在計算機中下達指令，數(shù)據(jù)證據(jù)就會被加密并傳送到網(wǎng)絡(luò)公正機構(gòu)，網(wǎng)絡(luò)公證人員對數(shù)據(jù)證據(jù)進行核實確認準確性后，加上網(wǎng)絡(luò)公證機構(gòu)的數(shù)字簽章并進行存檔備查，實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)證據(jù)的公證。網(wǎng)絡(luò)公證的實現(xiàn)包括三方面內(nèi)容：(1)實現(xiàn)身份的認證，如資格、信用等；(2)實現(xiàn)數(shù)據(jù)證據(jù)的保全，如網(wǎng)絡(luò)日志記錄、網(wǎng)上交易記錄、電子文件等；(3)實現(xiàn)網(wǎng)上交易活動中支付過程中安全信任問題的網(wǎng)絡(luò)提存。當(dāng)前，應(yīng)加強網(wǎng)絡(luò)公證程序的立法以及網(wǎng)絡(luò)公證軟件的開發(fā)，積極解決網(wǎng)絡(luò)取證程序與證據(jù)出示的困境。

4.3 健全網(wǎng)絡(luò)取證標準化的法律法規(guī)及其配套制度

當(dāng)前，我國應(yīng)積極加強對網(wǎng)絡(luò)取證標準化的研究，尤其是加強科研機構(gòu)和高校對網(wǎng)絡(luò)取證標準化的研究。在網(wǎng)絡(luò)取證標準化方面，我國可以借鑒美國1998年《跨世紀數(shù)字化版權(quán)法》，設(shè)計符合我國國情的網(wǎng)絡(luò)服務(wù)提供者協(xié)助網(wǎng)絡(luò)取證的程序及其法律義務(wù)，健全網(wǎng)絡(luò)取證實體內(nèi)容、程序操作及證據(jù)出示等方面的立法。同時，立法完善社會上的網(wǎng)絡(luò)取證機構(gòu)和網(wǎng)絡(luò)公證機構(gòu)的運行。

[1] Case A, Cristina A, Marziale L, et al. FACE：Automated digital evidence discovery and correlation [J]. Digital Investigation.2008.

[2] Cohen M. Pyflag-An advanced network forensic framework[J].Digital Investigation.2008.

[3] 文伯聰,王曉雷.一種主動型動態(tài)網(wǎng)絡(luò)取證模型[J].微計算機信息.2010.

[4] 陳琳,李之棠,高翠霞.一種自適應(yīng)的動態(tài)取證機制[J].計算機科學(xué).2009.

[5] 陳琳.自適應(yīng)動態(tài)網(wǎng)絡(luò)取證方法研究[D]：[博士學(xué)位論文].華中科技大學(xué).2009.

[6] 陳華.高速網(wǎng)絡(luò)取證系統(tǒng)的研究與設(shè)計[D]：[碩士學(xué)位論文].福州大學(xué).2008.

[7] 都志輝.網(wǎng)格計算[M].北京：清華大學(xué)出版社.2002.

[8] 郝桂英,劉鳳,李世忠.網(wǎng)絡(luò)實時取證模型的研究與設(shè)計[J].計算機時代.2007.

[9] 李連民,吳慶濤,路凱.Honeypots網(wǎng)絡(luò)取證技術(shù)研究[J].微計算機信息.2009.

[10] 高獻偉,鄭捷文,楊澤明.智能網(wǎng)絡(luò)取證系統(tǒng)計[J].計算機仿真.2006.

[11] 周建華,王加陽,徐聯(lián)華.基于多Agent的網(wǎng)絡(luò)取證自適應(yīng)技術(shù)研究[J].微計算機信息.2007.

[12] 戴江山,肖軍模等.基于代理的主動型網(wǎng)絡(luò)取證系統(tǒng)[J].解放軍理工大學(xué)學(xué)報.2006.

[13] 張有東,江波,王建東.基于容忍的網(wǎng)絡(luò)取證系統(tǒng)設(shè)計[J].計算機工程.2007.

[14] 黃明.以公安信息化引領(lǐng)警務(wù)現(xiàn)代化[J].公安研究.2007.

[15] 黃明.以信息化引領(lǐng)警務(wù)改革[Z].江蘇公安信息化經(jīng)驗材料.2008.