（计算机应用技术专业论文）分布式计算机动态取证系统研究.pdf

摘要 计算机取证是打击计算机犯罪的有力工具及手段。传统的计算机 取证大多采用事后分析的静态取证技术，该取证技术存在的问题是， 证据的采集不够及时、全面，经恢复的数据可能是已经被篡改的数据， 因而证据的法律效力低；同时证据的分析和提取工作效率较低。 本文提出一种基于多a g e n t 的分布式计算机动态取证模型，将入 侵检测技术引入计算机取证。系统采用基于多a g e n t 的分布式数据采 集策略，取证范围广，且取证信息的种类可以通过证据收集a g e n t 的增加而动态扩展，系统扩展性好。由于将入侵检测技术引入计算机 取证，在被保护子网中对系统中的用户行为及网络流量进行实时监 控，通过主动对系统环境进行记录，尤其对易丢失数据进行同步记录， 实时获取入侵证据，解决了事后证据收集中的许多困难，提高了证据 的证明能力。由于系统采用分布式策略，数据的采集及入侵检测任务 分配至各个代理，从而有效地提高了系统的处理速度和能力，系统效 率高。通过采用身认证、数据加密，v p n 、数据签名等多种安全措施， 确保证据的完整性。采用证据融合的数据分析技术，通过多源联合信 息降低了误警率，增加了证据的可信度，提高了证据的有效性。 本文的研究成果为进一步探讨计算机取证基本方法，从而构建实 用有效的计算机取证系统建立了基础。 关键词计算机取证，分布式，动态，电子证据，入侵检测 a b s t r a c t t h ec o m p u t e rf o r e n s i ci sa ni m p o r t a n tt o o li n b a t t l i n gw i t ht h e c o m p u t e rc r i m e i nt r a d i t i o n ，t h es t a t i cf o r e n s i ci sm a i n l ye m p l o y e dt o c o l l e c td i g i t a le v i d e n c e sa f t e rt h ei n t r u s i o nh a sh a p p e n e d ，s oi t sd i f f i c u l t t oc o l l e c tt h ee v i d e n c e se n t i r e l yi nt i m e ，a n dt h er e c o v e r e df i l e sm a yh a s b e e nm o d i f i e d t a k i n gt h i sm e t h o d ，t h ed i g i t a le v i d e n c e sh a v el o wp o w e r i nl a w , a n di tw o u l db eah a r dw o r kt oa n a l y s i sa n de x t r a c tt h ed i g i t a l e v i d e n c ef r o mt h eh u g ed a t a t h i sp a p e rp r o v i d e sad i s t r i b u t e dd y n a m i cc o m p u t e rf o r e n s i c sm o d e l c o m b i n e dw i t hc o m p u t e rf o r e n s i ct e c h n o l o g ya n di n t r u s i o n d e t e c t i o n s y s t e mb a s e do nm u l t i a g e n t t h es y s t e m a d o p t st h ed i s t r i b u t e dd a t a c o l l e c t i n gp o l i c yb a s e do nm u l t i - a g e n t b yt h i sm e c h a n i s m ，t h er a n g eo f t h ed a t aw o u l dn o tb el i m i t e d ，a n dt h ek i n d so ft h ed a t ac a nd y n a m i c e x p a n d i n gb ya d d i n gt h ed a t ac o l l e c t i n ga g e n t t h es y s t e mh a sg o o d e x p a n s i b i l i t y w j t ht h ei n t r u s i o nd e t e c t i o na g e n t ，t h es y s t e mc a nm o n i t o r t h eu s e r sb e h a v i o ra n dt h en e t w o r kf l o wi nt h ep r o t e c t e dn e ti tc a n r e c o g n i z et h ei n t r u s i o nd a t aa n do b t a i nt h ei n t r u s i o ne v i d e n c e si nt i m eb y r e c o r d i n gt h es y s t e m se n v i r o n m e n ti n i t i a t i v e l y , e s p e c i a l l yb yr e c o r d i n g t h ed i g i t a ld a t at h a tw o u l db ee s c a p e ds o o n s o ，i tc a ni m p r o v et h ep o w e r o ft h ed i g i t a ld a t ai nl a w , a n do v e r c o m et h es h o r t a g eo ft h es t a t i cf o r e n s i c i nc o l l e c t i n gt h ed i g i t a ld a t a d u et ot h ed i s t r i b u t e dp o l i c y , t h em i s s i o n so fd a t ac o l l e t i n ga n d i n t r u s i o nd e t e c t i o na r ed i s t r i b u t e dt oe a c ha g e n t ，s ot h ep e r f o r m r n c eo f t h es y s t e mh a se n h a n c e d t h ei n t e g r i t yo ft h ed a t ei se n s u r e db yt a k e nt h e s e c u r i t ym e a s u r e sl i k ei d e n t i t ya u t h e n t i c a t i o n ，d a t ae n c r y p t i o n ，v p n ， d i g i t a ls i g n a t u r e ，e t c t h es y s t e me m p l o y st h et e c h n o l o g yo fd a t af u s i o n ， d e c r e a s et h er a t eo ff a l s ea l a r m ，i tc a ne n h a n c et h ec o n f i d e n c eo ft h ed a t a t h e p r i n c i p a l a c h i e v e m e n t so ft h i s p a p e r a r e h e l p f u l t ot h e e x p l o r a t i o no fc o m p u t e rf o r e n s i cm e t h o d sa n dt ot h ec o n s t r u c t i o no f u s e f u lc o m p u t e rf o r e n s i cs y s t e m k e y w o r d s ：c o m p u t e rf o r e n s i c s ，d i s t r i b u t e d ，d y n a m i c ，d i g i t a le v i d e n c e ， i n t r u s i o nd e t e c t i o n 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特, 另r l d n 以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在在论文中作了明确的说 明。 作者签名：盈竺玺日期：兰堕l 年上月三日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位 论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论 文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者繇辎铈签煮蚁魄碰年皇月臼 中南大学硕士学位论文第一章概述 第一章概述 随着社会信息化程度的不断推进，计算机网络的不断普及，电子商务的逐 步兴起，国家事务、政府事务网站的不断建立，人类社会对数字信息的依赖达 到前所未有的程度，计算机网络成为现代社会的神经系统和社会经济运行的基 础平台，网络经济迅速成为全球经济发展的新潮流。 然而，与此同时，利用计算机或网络窃取商业秘密、国家机密，从事渗透、 颠覆以及破坏祖国统一等犯罪活动也日渐猖獗，它不仅给受害者造成巨大的经 济损失，扰乱社会的经济秩序，而且危及国家安全、社会文化、公共安全等。 计算机犯罪已经成为信息社会的一种新兴犯罪形式，其危害程度远远超出普通 的刑事犯罪，如何惩治计算机犯罪以遏制计算机犯罪数量不断增长的趋势，已 经成为许多国家关注的重大问题。 本章主要介绍本论文的研究背景、国内外研究现状、本文的研究内容以及 论文的组织结构。 1 1 研究背景 计算机技术及网络技术的迅猛发展，极大地促进了社会经济的飞速发展和 人类生活水平的提高。然而，由于计算机及网络系统存在着的难以克服的脆弱 性，随着网络环境的不断变化，网络安全防御技术很难做到十全十美，正是由 于计算机系统安全问题的存在，造成计算机犯罪的案件逐年增加。 图1 1 为美国计算机应急响应协调中心( c e r t c c ) 公布的该中心每年接到的 网络安全事件报告统计图，从图中可以看出，短短十几年的时间中，入侵事件 呈指数级增长。 1 9 8 81 9 8 91 9 9 11 9 9 31 9 9 5 1 9 9 71 9 9 92 0 0 l2 0 0 3 图i - ic e r t c c 安全事件报告统计图 l 0 删姗咖枷黜 中南大学硕士学位论文第一章概述 从1 9 6 6 年美国查处第一起计算机犯罪案起，世界范围内的计算机犯罪以惊 人的速度增长。据有关部门的资料显示美国每年计算机犯罪的发案增长率为 4 0 0 ，英国每年计算机犯罪增长率为2 1 3 ，每年因此造成的损失高达数百亿美 元。1 9 9 4 年末，俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软 件公司的联网计算机上，通过电子转账方式，从美国c i t y b a n k 银行在纽约的主 机里窃取1 1 0 0 万美元；1 9 9 6 年初，法国国防部证实：法国海军参谋部计算机储 备的军事机密于1 9 9 5 年7 月被人窃走，其中包括几百艘盟军军舰的声音识别密 码以及舰只航行图；2 0 0 0 年2 月，y a h o o 、a m a z o n 、c n n 、e g a y 等八大美国知名 网站遭受分布式拒绝服务攻击，造成直接损失1 2 亿美元，影响到百万网民。计 算机犯罪已由最初的军事领域，发展到金融、国家事务、科技、商业甚至政治、 宗教、个人隐私等领域。 我国的计算机犯罪出现较晚。据报道，我国侦破的第一起计算机犯罪案件 发生在1 9 8 6 年7 月1 3 日，作案者为中国银行深圳分行蛇口支行内以部人员， 利用主管电脑之便，盗取多个银行帐号和密码，用伪造存折的方式，骗取现金3 万元港币和2 万元人民币。然而，随着二十世纪9 0 年代，我国正式接入国际互 联网后，计算机犯罪以惊人的速度增长，造成的损失也越来越大。1 9 9 2 年1 2 月 至1 9 9 4 年1 1 月，原浙江嘉兴信托投资公司证券营业部经理李某等人与计算机 管理员利用职务之便，通过计算机系统直接填写委托单和向场内申报买入或成 交后不办交割等手段，先后挪用公款总计达1 8 9 亿元人民币，给国家造成直接 经济损失7 5 0 多万元“：2 0 0 4 年末，河北唐山的徐某制造了我国首例“僵尸网 络”攻击案。操控数万台主机向某音乐网站发起拒绝服务攻击，造成了数百万 的经济损失。据2 0 0 2 年4 月我国公安部公共信息网络安全监察局的统计资料表 明：近年来中国的计算机网络违法犯罪案件一直呈上升趋势，1 9 9 8 年立案侦查 计算机违法犯罪案件仅为百余起，1 9 9 9 年增至4 0 0 余起，2 0 0 0 年剧增为2 7 0 0 余起，比上年增加了5 倍，2 0 0 2 年又涨到4 5 0 0 余起，比上年上升7 0 。 如何遏制计算机犯罪数量日益增长的趋势，并将犯罪分子绳之与法，是各 国政府目前极为关注的问题。自1 9 7 3 年瑞典率先在世界上制定第一部含有计算 机犯罪处罚内容的瑞典国家数据保护法，迄今已有数十个国家相继制定、修 改或补充了惩治计算机犯罪的法律，这其中既包括已经迈入信息社会的美欧日 等发达国家，也包括正在迈向信息社会的巴西、韩国、马来西亚等发展中国家。 打击犯罪的关键在于获得充分、可靠和强有力的证据“1 ，然而由于电子证据 具有隐蔽性、脆弱性、可复制性、可伪造性、可删除性等独特的特点，如何完 整地从计算机中提取与计算机犯罪相关的电子证据，并对其进行固定和保全， 2 中南大学硕士学位论文第一章概述 以确认犯罪，将犯罪分子绳之以法，己经成为司法部门亟待解决的一大难题。 计算机取证学作为法学和计算机科学的门交叉学科，已经成为人们研究与关 注的焦点。 1 2 国内外研究现状 1 2 1 国外研究现状 计算机取证技术的研究始于1 9 8 4 年，随着计算机软、硬件技术的不断发展， 特别是微型计算机的诞生，使得计算机的应用迅速普及，社会的信息化程序不 断提高，从而导致未被重视的计算机安全问题不断出现，计算机犯罪也以惊人 的速度增长。计算机取证科学( c o m p u t e rf o r e n s i cs c i e n c e ) 主要是由于司法机 关的执法需求而诞生的。1 9 8 4 年，f b i 实验室和其他的执法机构开始研究并编 制程序来检测计算机证据。为了满足调查人员和检察官的执法需求，美国f b i 成立了计算机分析响应组( c o m p u t e ra n a l y s isa n dr e s p o n s et e a m ，c a r t ) ， 开始进行计算机取证分析工作。”。 由于电子证据本身和取证过程的许多要求都有别于传统物证和取证方法， 这对司法和计算机科学领域都提出了新的研究课题，从而逐渐引起司法部门和 学术组织、团体的关注。 从2 0 世纪9 0 年代初，美国联邦犯罪调查实验室的主任们每年都会在华盛 顿举行两次研讨会，就共同关心的问题进行讨论。他们共同创建了目前数字取 证领域中享有盛誉的“数字取证科学工作组( s w g d e ) ”。这个工作组率先提出了 “计算机潜在证据”的概念，1 9 9 1 年，由计算机专家国际联盟( i n t e r n a t i o n a l a s s o c i a t i o no fc o m p u t e rs p e c i a l i s t s ，i a c i s ) 在美国俄勒冈州波特兰市举行 的第一次年会中j 下式提出了“计算机取证( c o m p u t e rf o r e n s i c s ) ”的概念“3 。 1 9 9 3 年，在美国弗吉利尼州召丌了第1 届i n t e r n a t i o n a lc o n f e r e n c eo n c o m p u t e re v i d e n c e ，此时计算机取证的基本思想、基本概念、基本方法及基本 原则开始逐步建立。 9 0 年代初，在市场的强烈需求下，出现了一大批针对各种计算机取证环境 和取证要求的计算机取证工具”4 ，其中比较有代表性的产品为：由美国g u f d a n c e 软件公司开发的e n c a s e ：基于w i n d o w s 、l i n u x 和m a co s 等多种平台，用于法 庭数据收集和分析系统；由美国计算机取证公司丌发的d i b s ，对数据进行镜像 的备份系统。使用独特的数据镜像查证和鉴定技术，确保了单独复制的安全性 和完整性：由英国v o g o n 公司开发的f 1 i g h ts e r v e r ，基于p c 、m a c 和u n i x 等 系统的数据收集和分析系统。它可以将计算机犯罪现场中的计算机硬盘逐个扇 中南大学硕士学位论文第一章概述 区( 包括坏扇区) 进行拷贝、复制，并生成一个物理镜像文件，然后对该镜像文 件进行分析，从而帮助办案人员发现证据。其它还有一些密码破解等工具软件， 被用于计算机取证。 为了提高办案的效率和准确度，美国的司法机关纷纷建立起自己的计算机 取证实验室，计算机取证的调查方式由通过调用本单位内部一切可使用的资源 来鉴别取证，更新为构建一个综合的取证实验室用于计算机犯罪案件的调查取 证。美国国家保密局曾在1 9 9 5 年对计算机取证做过的一项调查表明，在美国有 4 8 的司法机关已建立起了自己的计算机取证实验室，并有6 8 被成功捕获的计 算机证据是在这些实验中完成的。1 。 2 0 世纪9 0 年代中期，音频及视频技术不断从模拟方式向数字方式转变，这 使得“计算机取证”概念在数字犯罪侦察领域中显露出了它的局限性。包含数 字视频和音频证据，更为广泛的新概念“数字取证( d i g i t a le v i d e n c e ) ” 产生了，1 9 9 8 年3 月2 日在维吉尼亚州举行的美国联邦犯罪调查实验室研讨会 上正式被提出。首次关于“数字取证”的讨论主要包括数字计算机证据( d i g i t a l c o m p u t e re v i d e n c e ) 、数字视频音频证据( d i g it a la u d i oa n dv i d e oe v i d e n c e ) 等。同年5 月，又举行了本年度的第二次会议，此次会议不但有各实验室的主 任参加，而且他们还邀请来许多在本领域中著名的专家参与，并且这些专家在 此会议中扮演了主要的角色。在这次会议中，又产生了另一个针对“数字取证” 进行研究的工作组“数字取证技术工作组( t w g d e ) ”。他们更多在技术层面 上对“数字取证”技术进行研究”。 对计算机取证的研究中，对工具的开发与使用一直是此领域的焦点所在。 2 0 世纪9 0 年代后期，这种过分关注应用产品的开发而忽视了基本理论及基本方 法的研究的做法导致了在许多数字犯罪的侦破中的取证过程既没有一致性也 没有可依据的标准，使得计算机取证工具的有效性很难得到保证”。司法机关 及各种社会团体对标准的缺乏感到担忧。 1 9 9 3 年f b i 主持举行了名为“关于计算机取证的国际司法会议”，来自美国 各联邦、州及地方司法机构的7 0 多位代表参加了会议，与会代表一致感到计算 机取证标准的匮乏和迫切的需要。”，业内许多专家开始对取证程序及取证标准等 数字取证中的基本问题进行研究。1 9 9 5 年，计算机证据国际组织( i o c e ) 成立， 其目的是提供一个国际论坛，为执法机构提供有关计算机调查和计算机取证的 观点“，1 9 9 7 年，i o c e 呼吁制定计算机取证标准，同年。在美国华盛顿成立了 高技术犯罪的隶属组织( g 一8c o m m u n i q u d ) ，制定了十条原则，包括：开发全面的 实质性的以及程序上的计算机网络犯罪律法没有法律上的安全漏洞：培训 计算机取证调查专家；关于加速在程序和操作一级的国际合作的协议：改善与 4 中南大学硕士学位论文第一章概述 产业的协作等。1 9 9 8 年，国际刑警取证科学论坛成立( i n t e r p o lf o r e n s i c s c i e n c es y m p o s i u m ) ，对计算机取证过程、取证方法及取证标准等理论和方法 进行研究和探讨；同年，i o c e 受g 8 委托，开始收集和制定有关计算机取证标准， 1 9 9 9 年，i o c e 将其制定的计算机取证标准的草案提交给g 8 和i n t e r p o l 。与此 同时，s w g d e 在1 9 9 8 年8 月的年会中发表了“数字取证”中相关概念的最新定 义以及标准，这些定义和标准最终于1 9 9 9 年l o 月发表在“国际高技术犯罪与 取证会议”上1 。 数字犯罪( c y b e rc r i m e ) 的出现，使得国际上的许多司法机构已经对先前很 多司法程序及司法手段的“科学”合理性产生了置疑，迫切需要对一些理论基 础及科学的严密性进行证明。美国最高法院在“d a u b e r tvm e r r e l l ”裁定书中 对下级法院提供了有关科技证据的认可标准： 是否所依赖的理论或技术己被测试； 是否所依赖的理论或技术已经过公开发表和审查： 所使用方法的已知或潜在的出错几率； 是否所依赖的理论或方法已被大多数科技组织所接受。 这些标准明显体现出司法机关对此领域基本理论与基本方法进行进一步研 究的渴望，从而使得取证科学更加成熟”，。 122 国内研究现状 计算机证据出现在法庭上，在我国只是近1 0 年左右的事。我国有关计算机 耿证的研究与实践尚在起步阶段，只有一些法律法规涉及到了部分计算机证据， 如关于审理科技纠纷案件的若干问题的规定、计算机软件保护条例等。 目前在法律界对电子证据作为诉讼证据也存在一定的争议。在刑事、民事程序 法规定的七类法定证据中未明确规定电子证据作为合法的证据类型。到目前为 止，我国还没有专门的取证机构，计算机取证人员的认证也没有实行，律师界 对计算机证据的认识还很模糊和肤浅。 我国计算机取证工作无论是在技术、人们的意识形态，还是在法律执行部 门与发达国家都存在一定差距”1 。 目前，国家有关部门非常重视对打击计算机犯罪的研究，组织相关单位开 展了相关课题的研究，目前在研究的课题有： 2 0 0 0 年5 月，公安部制定了打击计算机犯罪攻关思路，确立了以办 理计算机犯罪为主线，以电子数据证据为核心，以计算机犯罪侦察为主要内容 的技术攻关思路。北大、同济、复旦等高校，金诺网安、启明星辰等企业参与 了相关的研发工作； 中南大学硕士学位论文第一章概述 国家8 6 3 计划之子课题电子物证保护与分析技术： 公安部i n t e r n e t 侦控管理系统： 国家“十五”重点攻关项目打击计算机犯罪侦查技术研究； 中国科学知识创新工程重大项目之子项目，由中国科技大学和中科院高 能物理所共同承担。 目前国内出现的计算机取证产品： 中科院高能物理所计算机中心推出一部称为“取证机”的机器，据介绍， 这部机器可以侦探黑客的入侵手段，向人们提交分析报告，并将成为法庭上合 法的呈堂证供； 厦门美雅博科技有限公司主持开发的计算机证据侦察箱，具有证据的提 取、破解、分析和恢复等功能。目前公安部正在全国范围内推广该取证工具箱， 并进行相关人员培训。 由于计算机犯罪侦察技术专业性很强，从国外引进的打击计算机犯罪技术 和设各的速度远远滞后于计算机技术的发展，导致了目前政法机关在打击计算 机犯罪方面的技术落后，设备老化，难以适应实战的需要。随着计算机和网络 技术的不断发展，计算机犯罪手段的不断提高，我们必须制定相关的法律，自 主开发相关的计算机取证工具，使日益增加的计算机及网络犯罪受到应有的制 裁，进一步保护合法用户的权益不受侵害，进一步维护国家的主权和领土完整 不受侵犯。开展计算机取证技术的研究，对于计算机科学的发展、计算机取证 法律法规的健全和计算机取证工作的规范化都具有十分重要的意义。 1 3 论文的研究内容和组织结构 1 3 1 论文的研究内容 本文对计算机取证的研究主要从几个方面展- 丌： ( 1 ) 对计算机取证模型的研究。计算机取证模型对计算机取证的取证过程和 取证方法具有指导性的作用。本文提出了基于多a g e n t 的分布式计算机动态取 证模型，通过分布式策略，将证据的收集、及动态识别工作分配至各个代理，从 而有效地提高了系统的处理速度和能力；同时，采用将入侵检测技术与计算机 取证技术结合的动态取证方法，在被保护子网中对系统中的用户行为及网络流 量进行实时监控，通过主动对系统环境进行记录，尤其对易丢失数据进行同步 记录，实时获取入侵证据，解决了事后证据收集中的许多困难，提高了证据的 证明能力。 ( 2 ) 对计算机证据收集方法的研究。计算机证据的收集方法是计算机取证方 中南大学硕= ：学位论文第一章概述 法中的核心内容，本文采用基于多a g e n t 的分布式证据收集方法，在被保护子 网中的每台主机上都安装了主机系统信息收集a g e n t ，用于收集主机上的系统文 件、日志文件、审计记录等信息，同时还通过网络信息收集a g e n t ，收集流经子 网的网络信息流，从而使系统具有较完备的证据收集能力，拓展了取证范围； 同时，这些取证信息的收集的种类还可以通过证据收集a g e n t 的增加而动态扩 展，使得系统具有较好地扩展性。 ( 3 ) 对证据分析方法的研究。传统的计算机取证技术通过事后对大量系统审 计记录、日志文件以及记录下来的网络数据流进行分析，来发现和提取犯罪证 据。由于数据量巨大，使得调查调查人员对证据的查找犹如“大海捞针”，而且 由于异常行为往往隐藏在分散的数据之中，使得调查人员取证工作量大，同时 很难获得潜在的电子犯罪证据，证据的分析和提取工作效率较低。将入侵检测 技术引入计算机取证后，通过入侵检测技术可以实时地检测入侵行为，有效地 缩小证据的分析提取范围；同时，对证据中心保存的多台主机信息和多个子网 数据流，采用证据融合的分析技术，通过多源联合信息降低了目标或事件的不 确定性，增加了证据的可信度，提高了证据的有效性。 1 3 2 论文的组织结构 本文的内容共分为六章，各章的内容安排简要描述如下： 第一章是“概述”，分析本文的研究背景及国内外研究现状，确定本文的研 究内容，介绍本文的组织结构： 第二章是“计算机取证技术”，比较系统地介绍了计算机取证的定义、电子 证据的特点、电子证据的取证标准以及计算机取证的基本原则和基本步骤，详 细介绍了计算机取证常用的分析技术。 第三章是“分稚式计算机动态取证系统设计”，介绍了计算机动态取证过程， 并在此基础上提出了基于多a g e n t 的分布式计算机动态取证系统模型，并详细 描述了系统功能结构。 第四章是“分柿式计算机证据收集”，研究在分布式环境下的主机证据及网 络证据收集方法及实现。 第五间是“证据分析”，研究如何从大量收集信息中分析、提取计算机证据。 本章分别介绍了采用基于主机入侵检测技术和基于网络的入侵检测检测技术， 动态获取主机入侵证据及网络入侵证据的证据分析方法，重点研究通过对获取 的多源入侵证据进行证据融合，从而提高获取证据的有效性及系统取证能力。 中南大学硕士学位论文第二章计算机取证技术 第二章计算机取证技术 2 1 计算机取证的定义 “计算机取证”这一术语是于1 9 9 1 年在美国召开的i n t e r n a t i o n a a s s o c i a t i o no fc o m p u t e rs p e c i a l i s t s ( i a c l s ) 会议上首次提出“，计算机取 证方面的资深人士j u d dr o b b i l s 认为“：计算机取证仅仅是将计算机调查和分 析技术应用于对存在于计算机和相关外围设备中( 包括网络介质) 的潜在的、 有法律效力的电子证据的确定与获取。 概括地说：计算机取证是计算机取证是指对能够为法庭接受的、足够可靠 和有说服性的、存在于计算机和相关外设中的电子证据的确认、保护、提取、 和归档的过程。取证的目的是找出入侵者，并解释入侵的过程，并据此提取诉 讼。 2 2 计算机证据的特点 计算机证据也叫电子证据，它是指在计算机系统运行过程中产生的以其记 录的内容来证明案件事实的电磁、光记录物“，它们可以转换为不同的输出表 现形式。计算机证据的收集和保全方法是计算机取证方法中的核心内容1 ，只 有收集到充分而且有效的证据并加以妥善保存，才可能对证据材料的真实性、 证明力和可靠性进行分析、鉴定和判断，从而确定案件事实，保证诉讼任务得 以实现。被收集证据的充分性、完整性和真实性对于正确认定案件事实，保证 诉讼的顺利进行，具有十分重要的意义。 与传统证据相比，计算机证据具有以下突出特点“1 ”1 ： ( 1 ) 高科技性：计算机证据是存储在存储介质上的二进制代码，其产生、储 存和传输都必须借助于计算机软硬件技术、存储技术、网络技术等，离开了高 科技含量的技术设备，计算机证据无法保存和传输。 ( 2 ) 隐蔽性。计算机证据在计算机系统中可存在的范围很广，使得证据容易 被隐藏：同时计算机证据是以二进制代码进行存储和传输，一般不能被人直接 感知，使得计算机证据与特定主体之间的关系按照常规手段难以确定。 ( 3 ) 客观性。一方面计算机证据以技术为依托，很少受主观因素的影响，能 够避免其他证据的一些弊端，如证言的误传、书证的误记等，如果没有外界的 蓄意篡改或差错的影响，计算机证据能准确地储存并反映有关案件的情况，具 中南大学硕+ 学位论文第二章计算机取证技术 有较强的证明力； ( 4 ) 脆弱易逝性。由于计算机证据的非实物性，使得对它进行窃取、修改甚 至销毁都比较容易，而且可以做到不留痕迹，随着计算机速度的不断提高，有 些数据的修改可以瞬间完成，从而给证据的认定带来困难，直接降低了证明力 度，增加了跟踪和侦查的难度。 此外，计算机系统中所处理的数据有一些是动态的。这些动态数据对于抓 住犯罪的蛛丝马迹非常有用。但是它们却有一定的时间效应。即随着时间的推 移，计算机证据可能会发生变化或消失。 ( 5 ) 多媒性和开放性：计算机证据的表现形式是多样的，尤其是多媒体技术 的出现，使计算机证据综合了文本、图形、图像、动画、音频及视频等多种媒 体信息，这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。 同时，在日益普及的网络环境下，计算机证据的存在可能是一台或多台计算机， 也可能是整个网络。这一方面为案件侦破提供了较多的信息资源，另一方面也 使得在查找犯罪证据时要花费更多的时阳j 和精力。 ( 6 ) 人机交互性：这是指计算机证据的形成，在不同的环节上有不同的计算 机操作人员的参与，它们在不同程度上都可能影响计算机系统的运转而且，这 种影响的层次和程度与这些人员的工作性质有关。也就是说，计算机管理员、 网络管理员、程序员、系统分析人员以及一般的计算机操作人员对数据信息的 影响是不同的，所以，可能出现的问题也就存在于人、机两个方面。为了保证 证据的可靠性和真实性，应该从技术和管理上严格控制人机系统同时，在采集 和获取计算机证据时应注意分析人和机器两个方面。 ( 7 ) 计算机证据还具有收集迅速、易于保存、占用空间少、容量大、传送和 运输方便、可以反复重现、易于使用、便于操作等特点。 2 3 计算机证据的采用标准 计算机证据的采用标准与其他证据的采用标准相同，即指什么样的证据可 以被采用。计算机证据只要符合以下三个标准，即可以被采纳”。 ( 1 ) 客观性标准：证据的客观性是指证据应该是客观存在的东西，它包括两 方面的内容，首先证据的内容必须具有客观性，必须是客观存在事物的反映； 其次，证据必须具有客观存在的形式，必须是人们能以某种方式感知的东西。 电子证据一般存储在计算机中，记录了在正常业务过程中产生的、或在事件发 生时或随后产生的电子数据，因而是客观存在的；但这些数据没有以人们可以 感知的形式表现出来，所以还不符合采用证据的标准。当这些数据被计算机显 中南大学硕士学位论文 第二章计算机取证技术 示器显示或用打印机打印出来，呈现在法庭上时，电子论据就具备了证据的客 观表现形式，也就可以采用了。 ( 2 ) 关联性标准。证据的关联性标准是指证据必须与需要证明的案件事实或 其他有争议的事实具有一定的联系，且这种联系应该可以为人们所认识。运用 关联规则可以提取犯罪行为之间的关联特征、同一事件的不同证据间的联系， 从而对证明案情有实际意义。 ( 3 ) 证据的合法性标准。证据的合法性是采用证据的重要标准之一，它包括 主体、形式和程序三个方面的合法性：第一、证据的主体必须符合有关法律的 规定；第二，证据的形式必须符合有关法律的规定：第三，证据的提取方法和 收集程序必须符合法律的有关规定。 2 4 计算机取证的基本原则 由于计算机证据具有脆弱性、易逝性的特点，这就使得计算机数据容易被 篡改、伪造、删除，从而降低了计算机证据的证明力。为了提高计算机证据的 证明力，必须保证在其生成、存储及传递的过程中保持原始性、可信性和完整 性，保证证明的连续性，使其能被法庭采信，我们在计算机取证过程中应遵循 以下基本原则o ”1 ： ( 1 ) 及时性原则：这一原则要求计算机证据的获取要有一定的时效性。电子 证据从形成到获取之间间隔的时间越长，被删除、毁坏和修改的可能性就越大。 因此，应该尽可能早地获取电子证据，并保证其未受到任何破坏。 ( 2 ) 证据保全性原则：这一原则要求确保“证据链( c h a i no fc u s t o d y ) ”的 完整性，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状 态到在法庭上出现状态之间的任何变化。 ( 3 ) 取证过程合法的原则：这一原则要求计算机取证过程必须按照法律的规 定公开进行，得到第一手具有证明力的公正的证据信息，即整个检查、取证过 程必须是受到监督的。采取非法手段获取的证据是不具备可采用性的，所以也 就丧失了真证明力。 ( 4 ) 多备份的原则：这一原则要求对获取的计算机证据应首先进行备份，不 要直接对原始数据进行证据的提取和分析，以免原始数据遭到破坏。而且，对 于可疑主机制作的备份应该是对于硬盘的逐字节拷贝。这是为了能够把硬盘中 的所有数据恢复出来以便于进行分析提取。 ( 5 ) 环境安全性原则：计算机证据应妥善保存，以备随时重组、试验或者展 示。该原则是指存储计算机证据的媒体或介质应远离高磁场、高温、灰尘、积 o 中南大学硕士学位论文第二章计算机取证技术 压、潮湿、腐蚀性化学试剂等。在包装计算机设备和元器件时尽量使用纸袋等 不易产生静电的材料，以防止静电消磁。环境安全的原则还要求防止人为损毁 数据。 ( 6 ) 取证过程和结论的可重现性原则：由于电子证据的特殊性，任何取证分 析的结果或结论可以在另外一名取证人员的操作下重现。 2 4 计算机取证的基本步骤 计算机取证一般包含如下几个步骤”“： ( 1 ) 识别证据：识别可获取的信息的类型，以及获取的方法： ( 2 ) 传输证据：将获取的信息安全、可靠地传送到取证分析机及证据库上： ( 3 ) 保存证据：对获取证据进行保全，确保跟原始数据一致，可以证明计算 机证据从获取到提交法庭这段时间内没有被修改过： ( 4 ) 分析证据：对含有计算机证据的计算机系统或网络进行分析，发现和犯 罪事实相关联的全部数据资料： ( 5 ) 提交证据：向管理者、律师或者法院提交证据。 2 5 计算机取证技术 计算机取证学涉及到对计算机数据的保存、识别、抽取、记录以及解释， 从技术上讲，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵 事件进行重建的过程。”。 从证据分析技术来分，计算机取证技术主要分为静态取证和动态取证。 静态取证，也叫事后取证，它是在入侵事件已经发生后，对硬盘、光盘、 软盘、内存缓冲以及其他形式的储存介质进行数据提取、分析，抽取有效数据 以发现犯罪证据的过程。 动态取证，也叫实时取证，是将入侵检测系统、防火墙、h o n e y p o t 等网络 安全技术紧密结合起来，实时获取数据并采用智能分析技术，实时检测入侵， 分析入侵企图，采取相应的响应措施，在确保安全的情况下，获取入侵者的大 量证据，同时将这些证据进行保全、提交的过程。动态证据包括正在运行的主 机中的内存数据、进程信息、交换文件、网络状态信息、日志文件以及运行在 网络中的网络数据包。 中南大学硕士学位论文第二章计算机取证技术 2 5 1 静态取证常用的技术手段 计算机静态取证常用的分析技术包括“”。”删： ( 1 ) 文件恢复技术。用于把已被删除、格式化或破坏的文件，通过一定计算 机技术，使其重新获得可用的信息啪1 。可能包含己删除数据的文件系统区域有： 应用程序产生的数据文件可能包含文件系统中的游离数据：文件的最后部分所 在簇通常会因为没有被完全使用从而使得上次写进这个簇的数据没有被全部覆 盖：不在使用中的文件系统的未分配数据块( 或簇) ：计算机的当前配置可能没 有使用硬盘上的所有空间，但以前的配罱可能使用了，则这些空间就可能含有 隐藏数据；分区表和引导信息所在的磁道也可能有证据信息。常用的数据恢复 工具软件有：t c t ( t h ec o r o n o r st o o l k i t ) 和e n c a s e 等。 ( 2 ) 关键字匹配技术。在已经获取的数据流或信息流中寻找、匹配关键词或 关键短语，具体包括：文件属性分析技术：文件数字摘要分析技术；日志分析 技术；根据已经获得的文件或数据的用词、语法和编程风格，推断出其可能的 作者的分析技术：数据解密技术和密码破译技术：对电子介质中的被保护信息 的强行访问技术等。 ( 3 ) 对比分析技术。对收集的程序、数据、审计同志、注册文件等与原程序、 原数据、原审记日志、原注册文件等进行分析对比，从中发现被篡改的部分。 ( 4 ) 文件指纹特征分析技术。每一个文件尾部都保留了一些当时生成该文件 的内存数据，这些数据即为该文件的指纹数据，根据文件指纹数据可以判断文 件的最后修改时间，用于推定作案时间。 可以看出，静态取证一般是在犯罪行为发生以后进行的，由于计算机证据 的脆弱性、易消逝性等特点，即使采取了有效的技术手段，此时许多计算机证 据已经被破坏或隐藏，有些证据可能已发生变化或消失。这使得调查人员很难 获得充分的计算机证据，即使取得了一些证据，其完整性和真实性也很难得到 证明。而且，文件恢复技术不可能达到1 0 0 的还原；由于计算机犯罪专业性强， 大部分入侵者会在入侵后掩盖、删除或篡改证据，因而即使文件被恢复了，恢 复的数据也有可能是己经被修改过的数据，不能作为法庭证据；另外，现在大 部分入侵都是通过计算机网络实现的，采用静态取证方法无法获取网络信息， 因而对于针对网络协议的入侵行为无能为力。随着计算机犯罪技术手段的提高， 这种静态的取证手段已经无法满足要求。要提高计算机证据的证明力，必须保 证所有证据从最初的追踪采集到当庭提供都保持真实完整性。 2 5 2 动态取证常用的技术手段 计算机动态取证常用的分析技术包括“” 中南大学硕士学位论文第二章计算机取证技术 ( 1 ) 入侵检测系统取证。通过入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ， i d s ) 记录系统工作及黑客入侵的全过程，动态收集识别入侵证据，并能及时分 析入侵企图。根据采集的数据源分类，i d s 分为基于网络的 d s 和基于主机的 i d s 。基于网络的i d s 一般安装在一个网段内，检查网段内每台主机的流量，寻 找未授权活动的证据。基于主机的i d s 在单个主机上执行监测功能。i d s 对取证 的最大帮助是它提供的日志或记录功能可以被用来监视和记录犯罪嫌疑人的行 为，并分析其入侵企图，适时报警。 ( 2 ) h o n e y p o t 和h o n e y n e t 取证。 h o n e y p o t 和h o n e y n e t 都是一个专门设计来让人“攻陷”的网络，一旦被入 侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习，同时获得了入 侵者一个很详细的信息，包括入侵者团体之阳j 的通信，诸如i r c ( i n t e r n e t 在线 聊天系统) 等。捕获的数据也可以存储在一个攻击特征库中，如果在其它事件中 发现类似的特征代码，就可以轻易地判断出其攻击方式，对入侵者的范围也有 了一个限制。 h o n e y p o t 是一个用来让人攻击的网络，是用来诱骗入侵者的，通常情况下， h o n e y p o t 会模拟某些常见的漏洞、摸拟其它操作系统或者是在某个系统上做了 设置使其成为一台“牢笼”主机。比如t h ed e c e p t i o nt o o l k i t ( 下载) ，c y b e r c o p s t i n g ，以及m a n t r a p 是一些脚本的集合，它模拟出了一些常见的系统漏洞： c y b e r c o ps t i n g 运行于n t 平台，它模拟出多个不同系统的i p 堆栈及i n e t d 服 务。m a n t r a p 则是将s o l a r is 系统进行了一些设置，建立起了一些“牢笼主机”。 h o n e y n e t 是一个网络系统，而并非某台单一主机，这一网络系统是隐藏在 防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据 可被用来研究分析入侵者们使用的工具、方法及动机。在这个