网络取证浅析

王松滨

摘 要：计算机与网络技术的发展，使得网络安全成为一个非常严重的问题，网络犯罪带来的危害愈来愈严重，网络取证也日益呈现出它的重要性。该文阐述了网络取证的概念、重要性，网络取证的特点与目前采用的技术，讨论了反取证技术的现状、现今取证技术面临的问题与未来发展。

关键词：网络 取证 计算机 展望

中图分类号：TP39 文献标识码：A 文章编号：1672-3791（2015）09（a）-0254-02

随着计算机与网络技术的迅猛发展，网络安全成为一个愈来愈不可忽视的问题。网络入侵、网络攻击等各类计算机犯罪日益猖獗，网络犯罪不但在经济领域造成很大破坏，甚至对国家安全构成威胁。为打击计算机犯罪，世界各国制定了一系列的法律法规来规范网络行为，但在网络犯罪行为发生后如何认定，就涉及到网络取证的问题。

1 何为网络取证

一般认为，网络取证是指以现有的法律法规为依据，以计算机网络技术为手段，对发生的网络事件进行可靠的分析和记录，并以此作为法律证据的过程。作为一门新兴学科，网络取证涉及到计算机科学与法学范畴，是随着计算机技术的发展与网络的普及以及随之出现的计算机犯罪的出现而出现的。因为网络的复杂性，网络犯罪后的取证证据也具有真实性、及时性、有效性的特点。

计算机取证也称数据取证、电子取证，是对计算机犯罪证据进行获取、保存、分析、出示，是以技术手段对于计算机犯罪过程的一个重建过程。包括静态取证与动态取证。对于静态取证，一般是在犯罪发生过后，对于疑似犯罪的硬件设备的获取以及分析，根据磁盘的类型及其文件管理系统的不同，通过镜像、克隆等技术手段分析出关键数据或是将已经破坏删除的数据尽量恢复，作为与案件有关犯罪证据呈现出来。随着计算机网络技术和反取证技术的发展，静态取证的不足日趋明显，许多动态数据不及时提取就会消失，让很多的犯罪得不到认证。动态取证弥补了静态取证的不足，它分为实地数据取证与远程数据取证，也称网络取证，它针对的对象是所有可能犯罪的计算机，通过对于网络流、审计日志、系统日志等的实时监控，提取大量实时数据进行分析，获取更全面的网络犯罪证据。

网络取证的主体是正在网络中实时传输的数据流，网络证据的获取属于事中取证，就是在犯罪事件正在进行时或证据数据的传输途中进行截获。网络流的存在形式依赖于网络传输协议，采用不同的传输协议，网络流的格式也不相同。网络取证的目标就是对网络流进行正确地提取和分析，真实全面地将发生在网络上的所有事件记录下来，为事后的追查提供完整准确的资料，将证据提交给法庭。

2 网络取证的技术与特点

网络证据具有实时、动态、大量、多样的特点。作为网络上传输的数据包，它是有生命周期的，从源地址发出，到达目标地址，就不在属于数据流，它具有实时性；网络证据取自网络中正在传输中的数据，它具有动态性；随着网络技术的发展，带宽的增加，在网络中传输的数据量愈来愈大，要取得有价值的数据证据也愈来愈困难；另外，在网络中传输的数据类型具有多样性，有视频、图像、文本等等，多种数据也使得对于网络证据的提取分析更为困难。

网络犯罪的电子证据隐匿在海量的网络数据流中，如何快速有效自动的发现有价值的数据成为亟待解决的问题。

目前，网络取证系统还处于研究探索阶段。网络取证的相关技术涉及蜜阱技术、数据挖掘、IDS、人工智能、机器学习、专家系统等方面。

包括蜜罐与蜜网的蜜阱技术以诱骗技术为核心，当受到攻击时，它能够实时监视实施者的行为并自动收集相关的电子证据。

入侵检测系统能够在检测到非法入侵或恶意行为時收集电子证据，这种将系统保护与电子证据收集相结合的方法使得取证过程更加具有实时性、智能性、系统性。

网络数据流的捕获及其分析，要能够高效完整的捕获数据包，对数据进行分析，重组，获取完整的会话记录，在重组的过程中有可能获取很多有用的证据。

网络取证使用了数据挖掘技术。数据挖掘技术包括关联规则分析、分类和联系分析等。在取证过程中，需要对海量的数据流进行实时分析并提取具有犯罪特征的数据，对新出现的特征数据进行分析判断，数据挖掘技术运用关联规则分析方法可以提取犯罪行为之间的关联特征，挖掘不同犯罪形式的特征、同一事件的不同证据之间的联系；运用分类方法可以从获取的海量数据中找出可能的非法行为，发现各种事件在时间上的先后关系。

3 反取证技术

随着计算机取证技术的发展，反取证技术也悄然发展起来。主要技术包括数据加密、数据隐藏、数据摧毁，数据混淆、防止数据重建等。阻止取证最有效的方法就是数据摧毁，在取证的数据收集阶段，采用数据擦除的方法，将敏感数据不可逆的删除，并用特定的数据覆盖，使得数据恢复无法进行，为防止被发觉，将摧毁数据的痕迹一并消除。加密技术可用在被入侵的电脑上，将黑客程序加密，使之不易被发觉，运行时解密。但隐藏在系统中的加密文件有可能被取证人员发现并受到重视，那么，就可以使用数据隐藏技术将秘密信息嵌入到普通信息中而不被察觉。当远程入侵发生后，为了长期占有资源不被发现，入侵者会采用数据转换技术修改替换各种系统应用程序，将文件、进程、任务、网络连接等从常规操作隐藏起来，使管理人员难以发觉。防止数据重建技术可以帮助犯罪分子在调查人员识别、收集证据之前防止相关数据创建，避开被检测和取证。各种反取证技术的出现，使得取证变得更加困难，计算机取证任重而道远。

4 问题与展望

计算机取证技术方兴未艾，作为其重要分支的网络取证也面临着重重困难与挑战。网络取证是一门交叉学科，涉及计算机科学与法学范畴，专业技术人才匮乏。人们法律观念淡薄，一些用户在受到网络攻击和其它网络违法侵害时，没有选择尽快报警，致使取证工作无法及时进行，犯罪分子不但得以逃避法律打击，还有机会制造更多的网络侵害事件。反取证技术的发展使得本来就属于新兴学科的网络取证更加困难重重，但挑战也意味着机遇，建立网络取证的规范和标准，制定相关的法律法规，建立有资质的取证机构，培养相关技术人才，研究新的网络取证的技术，开发出更有效的网络取证的工具，网络取证一定能够成为打击网络犯罪最有效的武器。

参考文献

[1] 蒋华，黄淑华，杨莉莉.数字取证[M].清华大学出版社，2007.

[2] 王永全，齐曼.信息犯罪与计算机取证[M].北京大学出版社，2010.

[3] 杜春鹏.电子证据取证与鉴定[M].中国政法大学出版社，2014.

[4] 刘远生，辛一.计算机网络安全[M].清华大学出版社，2009.