王松濱

摘 要：計算機與網(wǎng)絡技術(shù)的發(fā)展，使得網(wǎng)絡安全成為一個非常嚴重的問題，網(wǎng)絡犯罪帶來的危害愈來愈嚴重，網(wǎng)絡取證也日益呈現(xiàn)出它的重要性。該文闡述了網(wǎng)絡取證的概念、重要性，網(wǎng)絡取證的特點與目前采用的技術(shù)，討論了反取證技術(shù)的現(xiàn)狀、現(xiàn)今取證技術(shù)面臨的問題與未來發(fā)展。

關鍵詞：網(wǎng)絡 取證 計算機 展望

中圖分類號：TP39 文獻標識碼：A 文章編號：1672-3791（2015）09（a）-0254-02

隨著計算機與網(wǎng)絡技術(shù)的迅猛發(fā)展，網(wǎng)絡安全成為一個愈來愈不可忽視的問題。網(wǎng)絡入侵、網(wǎng)絡攻擊等各類計算機犯罪日益猖獗，網(wǎng)絡犯罪不但在經(jīng)濟領域造成很大破壞，甚至對國家安全構(gòu)成威脅。為打擊計算機犯罪，世界各國制定了一系列的法律法規(guī)來規(guī)范網(wǎng)絡行為，但在網(wǎng)絡犯罪行為發(fā)生后如何認定，就涉及到網(wǎng)絡取證的問題。

1 何為網(wǎng)絡取證

一般認為，網(wǎng)絡取證是指以現(xiàn)有的法律法規(guī)為依據(jù)，以計算機網(wǎng)絡技術(shù)為手段，對發(fā)生的網(wǎng)絡事件進行可靠的分析和記錄，并以此作為法律證據(jù)的過程。作為一門新興學科，網(wǎng)絡取證涉及到計算機科學與法學范疇，是隨著計算機技術(shù)的發(fā)展與網(wǎng)絡的普及以及隨之出現(xiàn)的計算機犯罪的出現(xiàn)而出現(xiàn)的。因為網(wǎng)絡的復雜性，網(wǎng)絡犯罪后的取證證據(jù)也具有真實性、及時性、有效性的特點。

計算機取證也稱數(shù)據(jù)取證、電子取證，是對計算機犯罪證據(jù)進行獲取、保存、分析、出示，是以技術(shù)手段對于計算機犯罪過程的一個重建過程。包括靜態(tài)取證與動態(tài)取證。對于靜態(tài)取證，一般是在犯罪發(fā)生過后，對于疑似犯罪的硬件設備的獲取以及分析，根據(jù)磁盤的類型及其文件管理系統(tǒng)的不同，通過鏡像、克隆等技術(shù)手段分析出關鍵數(shù)據(jù)或是將已經(jīng)破壞刪除的數(shù)據(jù)盡量恢復，作為與案件有關犯罪證據(jù)呈現(xiàn)出來。隨著計算機網(wǎng)絡技術(shù)和反取證技術(shù)的發(fā)展，靜態(tài)取證的不足日趨明顯，許多動態(tài)數(shù)據(jù)不及時提取就會消失，讓很多的犯罪得不到認證。動態(tài)取證彌補了靜態(tài)取證的不足，它分為實地數(shù)據(jù)取證與遠程數(shù)據(jù)取證，也稱網(wǎng)絡取證，它針對的對象是所有可能犯罪的計算機，通過對于網(wǎng)絡流、審計日志、系統(tǒng)日志等的實時監(jiān)控，提取大量實時數(shù)據(jù)進行分析，獲取更全面的網(wǎng)絡犯罪證據(jù)。

網(wǎng)絡取證的主體是正在網(wǎng)絡中實時傳輸?shù)臄?shù)據(jù)流，網(wǎng)絡證據(jù)的獲取屬于事中取證，就是在犯罪事件正在進行時或證據(jù)數(shù)據(jù)的傳輸途中進行截獲。網(wǎng)絡流的存在形式依賴于網(wǎng)絡傳輸協(xié)議，采用不同的傳輸協(xié)議，網(wǎng)絡流的格式也不相同。網(wǎng)絡取證的目標就是對網(wǎng)絡流進行正確地提取和分析，真實全面地將發(fā)生在網(wǎng)絡上的所有事件記錄下來，為事后的追查提供完整準確的資料，將證據(jù)提交給法庭。

2 網(wǎng)絡取證的技術(shù)與特點

網(wǎng)絡證據(jù)具有實時、動態(tài)、大量、多樣的特點。作為網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包，它是有生命周期的，從源地址發(fā)出，到達目標地址，就不在屬于數(shù)據(jù)流，它具有實時性；網(wǎng)絡證據(jù)取自網(wǎng)絡中正在傳輸中的數(shù)據(jù)，它具有動態(tài)性；隨著網(wǎng)絡技術(shù)的發(fā)展，帶寬的增加，在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)量愈來愈大，要取得有價值的數(shù)據(jù)證據(jù)也愈來愈困難；另外，在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)類型具有多樣性，有視頻、圖像、文本等等，多種數(shù)據(jù)也使得對于網(wǎng)絡證據(jù)的提取分析更為困難。

網(wǎng)絡犯罪的電子證據(jù)隱匿在海量的網(wǎng)絡數(shù)據(jù)流中，如何快速有效自動的發(fā)現(xiàn)有價值的數(shù)據(jù)成為亟待解決的問題。

目前，網(wǎng)絡取證系統(tǒng)還處于研究探索階段。網(wǎng)絡取證的相關技術(shù)涉及蜜阱技術(shù)、數(shù)據(jù)挖掘、IDS、人工智能、機器學習、專家系統(tǒng)等方面。

包括蜜罐與蜜網(wǎng)的蜜阱技術(shù)以誘騙技術(shù)為核心，當受到攻擊時，它能夠?qū)崟r監(jiān)視實施者的行為并自動收集相關的電子證據(jù)。

入侵檢測系統(tǒng)能夠在檢測到非法入侵或惡意行為時收集電子證據(jù)，這種將系統(tǒng)保護與電子證據(jù)收集相結(jié)合的方法使得取證過程更加具有實時性、智能性、系統(tǒng)性。

網(wǎng)絡數(shù)據(jù)流的捕獲及其分析，要能夠高效完整的捕獲數(shù)據(jù)包，對數(shù)據(jù)進行分析，重組，獲取完整的會話記錄，在重組的過程中有可能獲取很多有用的證據(jù)。

網(wǎng)絡取證使用了數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘技術(shù)包括關聯(lián)規(guī)則分析、分類和聯(lián)系分析等。在取證過程中，需要對海量的數(shù)據(jù)流進行實時分析并提取具有犯罪特征的數(shù)據(jù)，對新出現(xiàn)的特征數(shù)據(jù)進行分析判斷，數(shù)據(jù)挖掘技術(shù)運用關聯(lián)規(guī)則分析方法可以提取犯罪行為之間的關聯(lián)特征，挖掘不同犯罪形式的特征、同一事件的不同證據(jù)之間的聯(lián)系；運用分類方法可以從獲取的海量數(shù)據(jù)中找出可能的非法行為，發(fā)現(xiàn)各種事件在時間上的先后關系。

3 反取證技術(shù)

隨著計算機取證技術(shù)的發(fā)展，反取證技術(shù)也悄然發(fā)展起來。主要技術(shù)包括數(shù)據(jù)加密、數(shù)據(jù)隱藏、數(shù)據(jù)摧毀，數(shù)據(jù)混淆、防止數(shù)據(jù)重建等。阻止取證最有效的方法就是數(shù)據(jù)摧毀，在取證的數(shù)據(jù)收集階段，采用數(shù)據(jù)擦除的方法，將敏感數(shù)據(jù)不可逆的刪除，并用特定的數(shù)據(jù)覆蓋，使得數(shù)據(jù)恢復無法進行，為防止被發(fā)覺，將摧毀數(shù)據(jù)的痕跡一并消除。加密技術(shù)可用在被入侵的電腦上，將黑客程序加密，使之不易被發(fā)覺，運行時解密。但隱藏在系統(tǒng)中的加密文件有可能被取證人員發(fā)現(xiàn)并受到重視，那么，就可以使用數(shù)據(jù)隱藏技術(shù)將秘密信息嵌入到普通信息中而不被察覺。當遠程入侵發(fā)生后，為了長期占有資源不被發(fā)現(xiàn)，入侵者會采用數(shù)據(jù)轉(zhuǎn)換技術(shù)修改替換各種系統(tǒng)應用程序，將文件、進程、任務、網(wǎng)絡連接等從常規(guī)操作隱藏起來，使管理人員難以發(fā)覺。防止數(shù)據(jù)重建技術(shù)可以幫助犯罪分子在調(diào)查人員識別、收集證據(jù)之前防止相關數(shù)據(jù)創(chuàng)建，避開被檢測和取證。各種反取證技術(shù)的出現(xiàn)，使得取證變得更加困難，計算機取證任重而道遠。

4 問題與展望

計算機取證技術(shù)方興未艾，作為其重要分支的網(wǎng)絡取證也面臨著重重困難與挑戰(zhàn)。網(wǎng)絡取證是一門交叉學科，涉及計算機科學與法學范疇，專業(yè)技術(shù)人才匱乏。人們法律觀念淡薄，一些用戶在受到網(wǎng)絡攻擊和其它網(wǎng)絡違法侵害時，沒有選擇盡快報警，致使取證工作無法及時進行，犯罪分子不但得以逃避法律打擊，還有機會制造更多的網(wǎng)絡侵害事件。反取證技術(shù)的發(fā)展使得本來就屬于新興學科的網(wǎng)絡取證更加困難重重，但挑戰(zhàn)也意味著機遇，建立網(wǎng)絡取證的規(guī)范和標準，制定相關的法律法規(guī)，建立有資質(zhì)的取證機構(gòu)，培養(yǎng)相關技術(shù)人才，研究新的網(wǎng)絡取證的技術(shù)，開發(fā)出更有效的網(wǎng)絡取證的工具，網(wǎng)絡取證一定能夠成為打擊網(wǎng)絡犯罪最有效的武器。

參考文獻

[1] 蔣華，黃淑華，楊莉莉.數(shù)字取證[M].清華大學出版社，2007.

[2] 王永全，齊曼.信息犯罪與計算機取證[M].北京大學出版社，2010.

[3] 杜春鵬.電子證據(jù)取證與鑒定[M].中國政法大學出版社，2014.

[4] 劉遠生，辛一.計算機網(wǎng)絡安全[M].清華大學出版社，2009.