陸莉芳

摘要：隨著社會經(jīng)濟的快速發(fā)展，計算機技術的不斷進步，計算機成為了日常生活不可缺少的一部分，有關于計算機的犯罪案件也呈不斷上升的態(tài)勢。要處理這些案件，需要對計算機證據(jù)進行取證和分析。計算機犯罪取證成了一門重要的新學科。本文將對計算機犯罪取證技術和模型進行深入的分析和研究。

關鍵詞：計算機犯罪；取證模型；關鍵技術

中圖分類號：文獻標識碼：A文章編號：1009-5349（2016）07-0247-01

計算機的普及帶來了計算機犯罪巨大的破壞性，平均每起計算機犯罪導致的財產(chǎn)損失遠遠高于其他種類的案件。保護計算機安全不能只靠安全軟件，更要依靠法律對犯罪分子的制裁，而制裁犯罪分子需要他們作案的證據(jù)，計算機取證技術是制裁犯罪分子的重要工具。

一、現(xiàn)有的計算機取證技術

（一）靜態(tài)取證技術

靜態(tài)取證技術是對已經(jīng)被入侵的設備存儲器進行提取和分析，找出其中的犯罪痕跡，抽出有效的計算機證據(jù)。不管犯罪人員在計算機設備上做了什么，都會在設備的存儲器中留下蛛絲馬跡。靜態(tài)分析技術能夠把這些痕跡從存儲器中提取出來，作為訴訟的證據(jù)。靜態(tài)取證技術常見的方法有對比分析法、殘留數(shù)據(jù)分析技術、磁盤后備文件分析技術、歷史文件分析技術等。

（二）動態(tài)取證技術

動態(tài)取證技術是對正在運行的計算機系統(tǒng)或者網(wǎng)絡進行監(jiān)視，通過智能追蹤來提取數(shù)據(jù)。如果在運行過程中計算機設備遭受到攻擊，將會自動開始取證，記錄下系統(tǒng)被攻擊的信息，甚至智能分析攻擊者的企圖。典型的動態(tài)取證技術有入侵檢測動態(tài)取證技術、蜜阱動態(tài)取證技術、惡意代碼動態(tài)取證技術、入侵容忍動態(tài)取證技術、網(wǎng)絡監(jiān)控和傳感器動態(tài)取證技術、網(wǎng)絡透視動態(tài)取證技術、SVM動態(tài)取證技術等。

二、計算機證據(jù)及其表示方法

（一）計算機證據(jù)的特點

計算機證據(jù)指的是一切計算機形式的證據(jù)和材料，包括了文檔文件、音頻文件、圖像文件和視頻文件等等。計算機證據(jù)既包括了電子數(shù)據(jù)，也包括了設備硬件，涵蓋的范圍比較廣。計算機證據(jù)有高科技型、無形性、多媒體性、脆弱性、發(fā)展性和客觀真實性的特點。

（二）基于Ontology的計算機證據(jù)表示

Ontology是在計算機領域使用廣泛的一種方法，能夠捕獲相關知識，提出共同的理解方式，明確不同詞匯和術語之間的相互關系。在計算機證據(jù)的取證中Ontology有著非常大的優(yōu)勢，在已知系統(tǒng)的集成中，高層次的概念可以通過本體映射的方法進行轉換。在分布式動態(tài)取證中，對同一事物的描述由于處理域的不同有可能產(chǎn)生不一致，而本體則可以在不同的概念體系中間建立關系映射，以達成知識的共享。

三、基于移動Agent的分布式動態(tài)取證系統(tǒng)

（一）動態(tài)取證系統(tǒng)及體系結構需求

動態(tài)取證系統(tǒng)能夠?qū)嵤┍O(jiān)控和分析犯罪者的攻擊意圖，自動采取相應措施，直接屏蔽攻擊或者將對方帶入陷阱，在獲得了足夠數(shù)量的證據(jù)之后對證據(jù)進行鑒定和提交。動態(tài)取證系統(tǒng)的達成需要計算機各系統(tǒng)的協(xié)調(diào)合作，通過這種方法可以對黑客的入侵方法進行技術分析，研究最新的攻擊技術和相應的防御攻擊的防范。

（二）移動Agent技術的應用

Agent技術是從人工智能領域發(fā)展而來的，目前已經(jīng)在多個領域廣泛應用。分布式計算是當今解決計算機和互聯(lián)網(wǎng)問題的關鍵技術，移動代理系統(tǒng)是這一技術的核心組成部分。Agent能夠模擬人類的行為，能夠自主運行和提供服務，具有一定的智能的程序。它可以代替人類進行自主操作，甚至可以相互之間進行合作。

（三）系統(tǒng)實現(xiàn)的關鍵技術及問題討論

系統(tǒng)實現(xiàn)的關鍵技術包括證據(jù)完整性保護機制，網(wǎng)絡數(shù)據(jù)可靠、高速獲取，動態(tài)協(xié)調(diào)取證等等。每一種技術都有各自的分支技術，比如證據(jù)完整性保護就包括了認證注冊、加密信息、鑒別密碼等技術，網(wǎng)絡數(shù)據(jù)的獲取包括了零拷貝技術、存儲映射I/O等技術。另外，系統(tǒng)間轉型、系統(tǒng)自適應性也是系統(tǒng)實現(xiàn)需要注意的問題。

四、計算機動態(tài)取證數(shù)據(jù)分析推理

（一）數(shù)據(jù)分析

數(shù)據(jù)分析是計算機動態(tài)取證的最關鍵的環(huán)節(jié)，在動態(tài)取證的過程中，每分每秒都有大量的數(shù)據(jù)涌入，只有從這些數(shù)據(jù)中提煉出有價值的信息，數(shù)據(jù)才能真正發(fā)揮作用，這個過程就是數(shù)據(jù)分析。動態(tài)取證的數(shù)據(jù)與靜態(tài)取證不同，是真實、全面、不斷更新著的，更加需要強大的分析運算能力。

（二）數(shù)據(jù)來源

用于分析的動態(tài)取證數(shù)據(jù)有多種來源。首先是基于主機的數(shù)據(jù)源，與用戶相關的信息、與系統(tǒng)進程有關的信息都儲存在主機當中。二是數(shù)據(jù)源是網(wǎng)絡，網(wǎng)絡數(shù)據(jù)流、網(wǎng)管日志、聯(lián)網(wǎng)設備的信息都屬于網(wǎng)絡信息源。三是網(wǎng)絡安全設備的數(shù)據(jù)源，包括防火墻日志、反病毒軟件日志等。

（三）典型數(shù)據(jù)分析的方法

有關鍵字查找、完整性校驗庫、文件屬性校驗、縮略圖分析等。隨著計算機技術的發(fā)展，數(shù)據(jù)的數(shù)量爆發(fā)式增長，需要從紛亂的數(shù)據(jù)中找到關鍵信息，還需要用到數(shù)據(jù)挖掘技術。

在信息時代，計算機犯罪取證對于打擊犯罪有重要的作用。本文針對計算機犯罪取證的模型和技術進行了深入的分析和研究。

參考文獻：

[1]孫波.計算機取證方法關鍵問題研究[D].中國科學院研究生院（軟件研究所），2004.

[2]胡亮，王文博，趙闊.計算機取證綜述[J].吉林大學學報（信息科學版），2010，04：378-384.

責任編輯：楊國棟