陸莉芳
摘要:隨著社會經(jīng)濟的快速發(fā)展,計算機技術的不斷進步,計算機成為了日常生活不可缺少的一部分,有關于計算機的犯罪案件也呈不斷上升的態(tài)勢。要處理這些案件,需要對計算機證據(jù)進行取證和分析。計算機犯罪取證成了一門重要的新學科。本文將對計算機犯罪取證技術和模型進行深入的分析和研究。
關鍵詞:計算機犯罪;取證模型;關鍵技術
中圖分類號:文獻標識碼:A文章編號:1009-5349(2016)07-0247-01
計算機的普及帶來了計算機犯罪巨大的破壞性,平均每起計算機犯罪導致的財產(chǎn)損失遠遠高于其他種類的案件。保護計算機安全不能只靠安全軟件,更要依靠法律對犯罪分子的制裁,而制裁犯罪分子需要他們作案的證據(jù),計算機取證技術是制裁犯罪分子的重要工具。
一、現(xiàn)有的計算機取證技術
(一)靜態(tài)取證技術
靜態(tài)取證技術是對已經(jīng)被入侵的設備存儲器進行提取和分析,找出其中的犯罪痕跡,抽出有效的計算機證據(jù)。不管犯罪人員在計算機設備上做了什么,都會在設備的存儲器中留下蛛絲馬跡。靜態(tài)分析技術能夠把這些痕跡從存儲器中提取出來,作為訴訟的證據(jù)。靜態(tài)取證技術常見的方法有對比分析法、殘留數(shù)據(jù)分析技術、磁盤后備文件分析技術、歷史文件分析技術等。
(二)動態(tài)取證技術
動態(tài)取證技術是對正在運行的計算機系統(tǒng)或者網(wǎng)絡進行監(jiān)視,通過智能追蹤來提取數(shù)據(jù)。如果在運行過程中計算機設備遭受到攻擊,將會自動開始取證,記錄下系統(tǒng)被攻擊的信息,甚至智能分析攻擊者的企圖。典型的動態(tài)取證技術有入侵檢測動態(tài)取證技術、蜜阱動態(tài)取證技術、惡意代碼動態(tài)取證技術、入侵容忍動態(tài)取證技術、網(wǎng)絡監(jiān)控和傳感器動態(tài)取證技術、網(wǎng)絡透視動態(tài)取證技術、SVM動態(tài)取證技術等。
二、計算機證據(jù)及其表示方法
(一)計算機證據(jù)的特點
計算機證據(jù)指的是一切計算機形式的證據(jù)和材料,包括了文檔文件、音頻文件、圖像文件和視頻文件等等。計算機證據(jù)既包括了電子數(shù)據(jù),也包括了設備硬件,涵蓋的范圍比較廣。計算機證據(jù)有高科技型、無形性、多媒體性、脆弱性、發(fā)展性和客觀真實性的特點。
(二)基于Ontology的計算機證據(jù)表示
Ontology是在計算機領域使用廣泛的一種方法,能夠捕獲相關知識,提出共同的理解方式,明確不同詞匯和術語之間的相互關系。在計算機證據(jù)的取證中Ontology有著非常大的優(yōu)勢,在已知系統(tǒng)的集成中,高層次的概念可以通過本體映射的方法進行轉換。在分布式動態(tài)取證中,對同一事物的描述由于處理域的不同有可能產(chǎn)生不一致,而本體則可以在不同的概念體系中間建立關系映射,以達成知識的共享。
三、基于移動Agent的分布式動態(tài)取證系統(tǒng)
(一)動態(tài)取證系統(tǒng)及體系結構需求
動態(tài)取證系統(tǒng)能夠?qū)嵤┍O(jiān)控和分析犯罪者的攻擊意圖,自動采取相應措施,直接屏蔽攻擊或者將對方帶入陷阱,在獲得了足夠數(shù)量的證據(jù)之后對證據(jù)進行鑒定和提交。動態(tài)取證系統(tǒng)的達成需要計算機各系統(tǒng)的協(xié)調(diào)合作,通過這種方法可以對黑客的入侵方法進行技術分析,研究最新的攻擊技術和相應的防御攻擊的防范。
(二)移動Agent技術的應用
Agent技術是從人工智能領域發(fā)展而來的,目前已經(jīng)在多個領域廣泛應用。分布式計算是當今解決計算機和互聯(lián)網(wǎng)問題的關鍵技術,移動代理系統(tǒng)是這一技術的核心組成部分。Agent能夠模擬人類的行為,能夠自主運行和提供服務,具有一定的智能的程序。它可以代替人類進行自主操作,甚至可以相互之間進行合作。
(三)系統(tǒng)實現(xiàn)的關鍵技術及問題討論
系統(tǒng)實現(xiàn)的關鍵技術包括證據(jù)完整性保護機制,網(wǎng)絡數(shù)據(jù)可靠、高速獲取,動態(tài)協(xié)調(diào)取證等等。每一種技術都有各自的分支技術,比如證據(jù)完整性保護就包括了認證注冊、加密信息、鑒別密碼等技術,網(wǎng)絡數(shù)據(jù)的獲取包括了零拷貝技術、存儲映射I/O等技術。另外,系統(tǒng)間轉型、系統(tǒng)自適應性也是系統(tǒng)實現(xiàn)需要注意的問題。
四、計算機動態(tài)取證數(shù)據(jù)分析推理
(一)數(shù)據(jù)分析
數(shù)據(jù)分析是計算機動態(tài)取證的最關鍵的環(huán)節(jié),在動態(tài)取證的過程中,每分每秒都有大量的數(shù)據(jù)涌入,只有從這些數(shù)據(jù)中提煉出有價值的信息,數(shù)據(jù)才能真正發(fā)揮作用,這個過程就是數(shù)據(jù)分析。動態(tài)取證的數(shù)據(jù)與靜態(tài)取證不同,是真實、全面、不斷更新著的,更加需要強大的分析運算能力。
(二)數(shù)據(jù)來源
用于分析的動態(tài)取證數(shù)據(jù)有多種來源。首先是基于主機的數(shù)據(jù)源,與用戶相關的信息、與系統(tǒng)進程有關的信息都儲存在主機當中。二是數(shù)據(jù)源是網(wǎng)絡,網(wǎng)絡數(shù)據(jù)流、網(wǎng)管日志、聯(lián)網(wǎng)設備的信息都屬于網(wǎng)絡信息源。三是網(wǎng)絡安全設備的數(shù)據(jù)源,包括防火墻日志、反病毒軟件日志等。
(三)典型數(shù)據(jù)分析的方法
有關鍵字查找、完整性校驗庫、文件屬性校驗、縮略圖分析等。隨著計算機技術的發(fā)展,數(shù)據(jù)的數(shù)量爆發(fā)式增長,需要從紛亂的數(shù)據(jù)中找到關鍵信息,還需要用到數(shù)據(jù)挖掘技術。
在信息時代,計算機犯罪取證對于打擊犯罪有重要的作用。本文針對計算機犯罪取證的模型和技術進行了深入的分析和研究。
參考文獻:
[1]孫波.計算機取證方法關鍵問題研究[D].中國科學院研究生院(軟件研究所),2004.
[2]胡亮,王文博,趙闊.計算機取證綜述[J].吉林大學學報(信息科學版),2010,04:378-384.
責任編輯:楊國棟