（计算机应用技术专业论文）网络安全取证的应用研究.pdf

摘要 摘要 网络作为获取信息的主要路径之一，人们对它的依赖程度也在与日剧增。然而，网 络中存在的越来越多的入侵行为，给人们的日常生活带来了困扰，甚至会造成巨大的经 济损失、威胁到国家的安全。传统的防御机制已不能胜任消除网络入侵的威胁这一重任， 人们开始探索新的方法来打击网络入侵，网络取证技术就是在这种背景下发展起来的。 网络取证的目的就是对黑客攻击后的痕迹进行取证分析，获取网络犯罪的电子证据，凭 借电子证据对黑客进行控诉。 无论是国外还是国内，网络取证技术的研究都处在起步阶段，本文的研究工作如下： 1 系统的探讨了网络取证、计算机取证、数字取证、电子证据的基本概念，对网 络取证的原则、过程、模型进行了总结，对入侵检测技术、蜜罐及计算机取证技术应用 于网络取证过程中进行了分析，最后给出了网络取证的发展趋势。 2 介绍了数据预处理的常用方法，包括数据清洗、数据集成与转换、数据降维、 属性离散化及不平衡数据集的预处理等。并指出在网络取证过程中，面对海量、数据分 布极度不平衡的网络数据，运用合理的数据预处理方法不仅可以节约大量的时间和存储 空间，而且得到的挖掘结果能更好地起到决策和预测作用。 3 提出了一种基于网络入侵检测的取证模型和取证方法。在取证的过程中，通过 网络入侵检测系统来监控整个网络，不仅能够提供实时的动态信息，而且只需将入侵检 测系统中的功能进行相应的修改和扩充，就能使它应用于网络取证，缩短了取证系统的 开发周期。 4 通过分析可知，从海量的网络数据中提取电子证据的过程与从海量数据中对离 群数据规则的挖掘过程具有类似性。通过给出平均致密度的定义，提出了一种自动标记 离群数据的新算法，并进一步在该算法和c 4 5 算法部分功能的基础上提出了一种基于离 群数据自动标记的模糊决策树构造方法，并将其应用于网络取证。 关键词：网络犯罪，网络取证，数据预处理，入侵检测，决策树，规则挖掘 a b s t r a c t a b s t r a c t n e t w o r ka so n eo ft h em a i np a t ht og e ti n f o r m a t i o n , i ti sa l s ow o r k i n g 、析n li t sr e l i a n c e o ns o a r i n g h o w e v e r , t h e r ei sag r o w i n gn e t w o r ki n t r u s i o n ，w h i c hb r i n gp r o b l e m st op e o p l e s d a i l yl i f e ，o re v e nm a k eh u g ee c o n o m i cl o s s ，t h r e a tt ot h en a t i o n a ls e c u r i t y t r a d i t i o n a l d e f e n s em e c h a n i s m sa r en ol o n g e rt oe l i m i n a t et h et h r e a to fi n t r u s i o no ft h et a s k , p e o p l e b e g a nt oe x p l o r en e ww a y st oc o m b a tc y b e rc r i m e n e t w o r kf o r e n s i c si sd e v e l o p i n gi n t h i s b a c k g r o u n d t l l ep u r p o s eo fn e t w o r kf o r e n s i c si st oa n a l y s i st h et r a c ea f t e rt h ea t t a c k so ft h e h a c k e r ，g e te l e c t r o n i ce v i d e n c eo ft h ei n v a s i o n , a n da c c u s et h eh a c k e r 、i lt h ee l e c t r o n i c e v i d e n c e n or n a r e rf o r e i g no rd o m e s t i c ，r e s e a r c ho ft h en e t w o r kf o r e n s i c st e c h n o l o g ya r ei nt h e i n i t i a ls t a g e ，t h er e s e a r c hw o r ki nt h i sp a p e ra r ea sf o l l o w s ： 1 d i s c u s s e dt h e b a s i c c o n c e p t so fn e t w o r kf o r e n s i c s ，c o m p u t e rf o r e n s i c s ，d i g i t a l f o r e n s i c s ，e l e c t r o n i ce v i d e n c es y s t e m a t i c a l l y s u m m a r i z e dt h ep r i n c i p l e s ，p r o c e s sa n dm o d e l o fn e t w o r kf o r e n s i c s a n a l y z e dt h et e c h n o l o g yo fi n t r u s i o n d e t e c t i o n , h o n e y p o t sa n d c o m p u t e rf o r e n s i c s ，f i n a l l yg e tt h ed e v e l o p m e n tt r e n do fn e t w o r kf o r e n s i c s 2 i n t r o d u c e dc o m m o nm e t h o d so fd a t ap r e p r o c e s s i n g ，s u c ha sd a t ac l e a n i n g ，d a t a i n t e g r a t i o na n dt r a n s f o r m a t i o n ，d a t ar e d u c t i o n , d i s c r e t i z a t i o n , a n dp r e t r e a t m e n to fu n b a l a n c i n g d a t as e t s i nt h ep r o c e s so fn e t w o r kf o r e n s i c s ，f a c i n go fm a s s i v e ，d i s t r i b u t i o ne x t r e m e l y u n b a l a n c e dn e t w o r kd a t a , u s i n gr e a s o n a b l ed a t ap r e p r o c e s s i n gm e t h o d sc a nn o to n l ys a v eal o t o ft i m ea n ds t o r a g es p a c e ，b u ta l s og e tab e t t e re f f e c to fd e c i s i o n - m a k i n ga n dp r e d i c t 谢mt h e m j i l i n gr e s u l t s 3 p r o p o s e da m o d e la n dm e t h o do ff o r e n s i c sw h i c hb a s e do nn e t w o r ki n t r u s i o nd e t e c t i o n i nt h ep r o c e s so ff o r e n s i c s ，t h r o u g ht h en e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mt om o n i t o rt h e e n t r i en e t w o r k , n o to n l yc a np r o v i d er e a l - t i m ed y n a m i ci n f o r m a t i o n ，b u ta l s oc a ns h o r tt h e d e v e l o p m e n tc y c l eo ff o r e n s i c ss y s t e mb ym o d i f i n ga n de x p a n d i n gt h ef u n c t i o no fi n t r u s i o n d e t e c t i o ns y s t e mw h i c hc a nu s e di nn e t w o r kf o r e n s i c s 4 t h r o u g ht h ea n a l y s i s ，i t c a l lb es h o w nt h a tt h ep r o c e s so fe x t r a c t i n ge l e c t r o n i c e v i d e n c ef r o mm a s s i v en e t w o r kd a t ai ss a m ew i t ht h ep r o c e s so fm i n i n go u t l i e rr u l e sf r o mt h e m a s s i v ed a t a w i t hd e f i n i n gt h ea v e r a g ed e n s i t y , p r o p o s e dan e wa u t o - t a g g i n go u t l i e r a l g o r i t h ma n df u r t h e ro nt h eb a s i so fp a r tf u n c t i o no ft h i sa l g o r i t h ma n dt h ea l g o r i t h mc 4 5 p r o p o s e dan e w c o n s t r u c t i o nm e t h o dw h i c hb a s e do no u t l i e rd a t aa u t o m a t i c a l l ym a r k e df u z z y d e c i s i o nt r e e ，a n da p p l i e dt on e t w o r kf o r e n s i c s k e y w o r d s - c y b e rc r i m e ；n e t w o r kf o r e n s i c s ；d a t ap r e p r o c e s s i n g ；i n t r u s i o nd e t e c t i o n ； d e c i s i o nt r e e ；r u l em i n i n g h 目录 目录 摘要i a b s t r a c t i i 第一章绪论1 1 1 网络犯罪与网络取证1 1 2 网络取证的研究现状2 1 3 主要研究内容3 1 4 论文的组织结构3 第二章网络安全取证综述一5 2 1 计算机取证和网络取证：5 2 2 电子证据6 2 3 网络取证的原则及取证过程8 2 4 取证的模型一9 2 4 1 计算机取证模型9 2 4 2 网络取证模型1 0 2 5 与网络取证密切相关的传统防御技术1 1 2 5 1 入侵检测技术1 1 2 5 2 蜜罐。1 1 2 5 3 计算机取证一1 1 2 6 网络取证的发展趋势1 2 2 7 本章小结1 3 第三章数据的预处理1 5 3 1 数据预处理的意义1 5 3 2 数据清洗1 5 3 2 1 遗漏数据处理：1 5 3 2 2 噪声数据处理1 6 3 2 3 实现数据一致性17 3 3 数据集成与转换1 7 3 4 数据降维18 3 4 1 主成分分析1 8 3 4 2 局部线性嵌入算法1 9 3 4 3 基于粗糙集理论的属性约简算法2 0 3 5 属性离散化算法2 1 3 5 1 等距离和等频率算法一2 3 3 5 2 基于信息熵的离散化算法2 4 3 5 3 基于统计量z 2 的算法2 4 目录 3 6 不平衡数据的预处理2 5 3 7 本章小结2 5 第四章一种在网络入侵检测基础上的取证模型和方法矗j 2 7 4 1 引言2 7 4 2 基于量子聚类的入侵检测方法2 7 4 2 1m d q c 算法简介2 7 4 2 2 基于m d q c 算法的异常入侵检测方法3 0 4 2 3 入侵检测的实验结果及分析3 0 4 3 基于入侵检测的取证模型3 3 4 4 一种基于入侵检测的取证方法3 4 4 5 模型的取证效果分析3 5 4 6 本章小结3 8 。 第五章一种基于离群数据规则挖掘的网络取证方法3 9 5 1 引言3 9 5 2 决策分类方法4 0 5 2 1 决策树生成算法4 0 5 2 2 决策树修剪算法4 2 。 5 2 i d 3 算法与c 4 5 算法4 2 5 3 模糊决策树生成方法f d t m _ 4 4 5 3 1 离群数据的标记4 4 5 3 2 决策树生成方法。4 5 5 3 3 算法对不平衡数据集的处理分析4 5 5 4 基于f d t m 的网络取证仿真试验及分析。4 6 5 4 1 样本的预处理4 6 5 4 2 仿真实验及结果分析4 7 5 5 本章小结4 9 第六章结束语5 l 致谢。5 2 参考文献5 3 附录：作者在攻读硕士学位期间发表的论文5 8 i i 第一章绪论 第一章绪论 1 1 网络犯罪与网络取证 随着计算机网络及其应用技术的发展与普及，人们对网络的依赖程度也在与日俱 增，与此同时，针对计算机系统、计算机网络的网络入侵和网络犯罪也日益严重，网络 犯罪已成为计算机犯罪的重要形式。据最新统计【l 】：截止至u 2 0 l o 年6 月底，我国的网民规 模达4 2 亿，互联网普及率增至3 1 8 ，半年内有5 9 2 的网民在使用互联网时遇到病毒 或木马攻击，遇到该类不安全事件的网民规模达到2 5 亿人。“网络犯罪 ( c y b e rc r i m e ) 的产生是伴随着互联网技术的发展而产生的一种区别于已往任何一种犯罪的具有新的 典型特征和内涵的犯罪形式t 2 。网络犯罪是指：危害计算机系统、计算机网络和计算机 数据的机密性、完整性和可用性的行为，以及对这些系统、网络和数据进行滥用的行为。 网络犯罪已成为现代生活的隐患，轻则干扰人们的日常生活，重则造成巨大的经济 损失，甚至威胁到国家的安全。与传统犯罪相比，网络犯罪具有以下特点p j ： ( 1 ) 具有高技术性、智能性，极具隐蔽性； ( 2 ) 蔓延迅速，涉及面广，冲破了地域限制，国际化趋势日益严重； ( 3 ) 犯罪动机与目的地日益多样化、复杂化； ( 4 ) 犯罪者多为“白领 ，且日益呈现年轻化趋势，攻击的主动性增强。 网络犯罪的形式多种多样，本文仅限于研究发生在网络入侵以后的网络犯罪取证这 一种情况。常见的网络入侵技术如图1 1 所示l 4 j 。 区溢出 化字符串攻击 验证攻击 漏洞攻击 漏洞攻击 图1 - 1 入侵技术的分类 f i g 1 - ic l a s s i f i e a t i o no fi n t r u s i o nt e c h n i q u e s 江南大学硕士学位论文 随着网络入侵的规模和影响也在日益扩大，各种网络安全技术被开发出来打击这些 入侵，如防火墙用来阻止入侵，入侵检测系统用来检测入侵等，然而这些防御机制不足 以消除网络入侵的威胁。因为我们不能阻止所有的网络犯罪的途径，必须借助有效地调 查方法来帮助我们搜集、分析和展示入侵者的证据，以便惩治恶意入侵者，这些调查方 法都属于网络取证的研究领域。 网络取证可描述成这样一组行为：首先工作人员对网络审计线索进行捕获，然后记 录并分析，从结果中发现安全漏洞或其它信息保障问题的根源【5 1 ，因此，可将网络过程 大致划分为：证据获取、分析和法庭展示三个阶段。本文将计算机取证和网络取证的对 象统称为电子证据，电子证据是应用在法律上的“术语 。与传统的数字取证、计算机 取证相比，网络取证具有以下特点【6 】： ( 1 ) 传统的数字取证、计算机取证的取证对象主要是来自主机系统方面，如系统日 志、数据库文件等；而网络取证的对象的来源要包含的范围更为广泛，当网络数据在网 络上进行传输时，也可从网络设备( 交换机、路由器等) 、通信链路中获取电子证据； ( 2 ) 传统的数字取证、计算机取证多为对取证对象的事后静态分析，而网络中的电 子证据具有实时性、连续性的特点，因此，传统的静态分析已不能满足要求，则要求网 络取证必须是动态的，通常情况下，一个完整的取证系统由数据采集、入侵检测、数据 分析、证据提交等子模块组成； ( 3 ) 有时为了保证证据的完整性，网络取证会在多个取证点同时进行取证，而这些 取证点彼此之间又是相互联系的，这种情况下就要求网络取证必须是分布式的。 1 2 网络取证的研究现状 无论是网络取证还是更大概念外延范围的计算机取j 正( c o m p u t e rf o r e n s i c s ) ，目前还 没有形成系统的理论、方法与体系【7 1 ： 在国外，一些计算机技术比较发达的国家( 如美国、英国等) ，针对计算机犯罪方面 的研究已有二三十年的历史，积累了大量的取证方面的经验，并且成立了许多专门的取 证部门、实验室以及公司等。在计算机取证发展过程的重要事件包括1 4 ：1 9 8 4 年，美国 f b i 建立了计算机分析与响应组c a r t ；1 9 9 3 年，举行了第一届计算机取证的国际会议； 1 9 9 5 年，简历计算机取证的国际组织i o c e ；1 9 9 7 年，八国集团在莫斯科宣称：司法部 门的职员应得到新的培训、新装备以应对高科技技术犯罪；1 9 9 8 年，八国集团指定i o c e 组织简历处理数字证据的国际准则；2 0 0 0 年，美国f b i 建立了正式的区域性计算机取 证实验室。很多专门从事计算机取证的公司开发了许多非常实用的取证产品【8 】：美国 g u i d a n c e 软件公司研制的e n c a s e 产品；美国计算机取证公司开发的d i b s 产品：英国 v o g o n 公司开发的基于w i n d o w s 、m a c i n t o s h 和u n i x 等系统的数据收集和分析系统f l i g h t s e r v e r ；美国s a n d s t o r m 公司开发的n e t i n t e r c e p t 网络取证系统。 在国内，计算机相关的取证技术的研究还刚刚起步：文献 5 利用模糊决策树强大的 学习能力及分析结果的易理解性，开发了一种基于模糊决策树的网络取证分析系统。文 献 9 】针对现有网络安全体系中的不足，提出了全新的“网络智能取证”的概念并且具体 2 第一章绪论 实现了智能网络取证系统的各个功能模块。文献【1 0 】 1 1 】依据入侵者有可能在系统日志和 网络通信数据中留下的痕迹，研制出了一个网络入侵取证系统，该系统能有效的解决入 侵取证的难题。文献 1 2 3 对w i n d o w s 和l i n u x 操作系统下常见的系统日志和应用程序日 志作了介绍，针对日志作为电子证据的可行性问题进行了论证分析，最后提出了基于系 统日志的计算机网络取证的实现模型，并分析了计算机日志取证应该注意的问题。文献 7 系统的对网络取证技术的基本概念、方法、技术与研究领域作了介绍，分别从反取 证技术、网络取证系统、外关联规则挖掘、网络协同取证等方面对网络取证作了深入研 究，并针对研究中的发现的问题提出了相应的解决方法。 通过上面介绍可知，网络取证的研究已经取得了一定的成果，其中，网络取证领域 所涉及的主要理论和技术有【7 ，1 3 】： ( 1 ) 取证工具与软件的研究与开发，取证过程、技术、工具、语言和对取证工具测试 的标准化； ( 2 ) 数据恢复，包括对加密数据的恢复； ( 3 ) i p 地址获取技术、针对电子邮件和新闻组的取证技术、网络输入输出系统取证 技术、网络入侵追踪技术和反取证技术的研究等； ( 4 ) 人工智能和数据挖掘技术。 另外，在网络取证的研究过程中，仍面临很多的挑战【5 】： ( 1 ) 网络产生的海量数据； ( 2 ) 从已收集数据中提取的证据的可理解性； ( 3 ) 证据分析方法的有效性等。 1 3 主要研究内容 针对1 2 节所提到目前网络取证所面临的问题，本文拟从以下几个方面来对本课题 进行研究： ( 1 ) 网络取证过程所涉及的概念、原理、方法及模型等基础理论的研究； ( 2 ) 在网络取证的过程中，合理的运用数据预处理方法能使取证过程取得事半功倍的 效果，因此，很有必要对数据的预处理常见方法进行研究； ( 3 ) 网络取证的理论、方法与体系还不是很成熟，因此，需要借助其它发展相对成熟 的防御技术来对其进行研究，如入侵检测技术、入侵容忍技术等； ( 4 ) 电子证据隐匿在海量的网络数据中，如何从海量的网络数据中提取出有效的电子 证据已成为当前研究的热点，由此，本文引出离群数据的概念，并对离群数据的规则挖 掘方法的研究进行展开。 1 4 论文的组织结构 本文共分为六个章节，第一章为绪论，第二至第六章的内容安排如下： 第一章，首先由网络犯罪的概念及特点引出“网络取证 的描述性概念，对取证在 国内外的发展现状及研究成果做了相关介绍，最后针对网络取证目前所面对的挑战，给 出了本文的主要研究内容。 江南大学硕士学位论文 第二章，对网络取证的相关知识进行概述，首先对计算机取证、网络取证及数字取 证的概念进行介绍，并对计算机取证与网络取证的区别与联系做了分析；由于取证的过 程都是围绕电子证据展开的，接下来介绍了电子证据的来源及特点，网络取证的原则、 过程及模型；最后给出了网络取证的发展趋势。 第三章，介绍了数据预处理的常用方法，主要包括数据清洗( d a t ac l e a t i n g ) 、数据集 成( d a t ai n t e g r a t i o n ) 、数据转换( c l a mt r a n s f o r m a t i o n ) 、数据降维( d a t ar e d u c t i o n ) ，并指出， 在取证过程中，运用合理的数据预处理方法不仅能减轻取证人员的工作量，还能提高取 证工具( 算法) 的执行效率。 第四章，首先介绍了一种基于量子聚类的网络入侵检测方法；然后基于该入侵检测 方法提出了一种取证模型：该模型主要由数据采集、数据预处理、入侵检测、取证模块 这四部分组成；最后基于该取证模型提出了一种取证方法。 第五章，通过对电子证据的提取过程及离群数据规则挖掘的过程进行分析，得出结 论，二者在本质上是对同一类问题的研究。因此，通过给出一个平均致密度的新定义和 对离群数据产生机制的深入分析，提出离群数据的致密度往往比正常样本数据高的新认 识，基于此提出了一种自动标记离群数据的新算法，并进一步在该算法和c 4 5 算法部 分功能的基础上提出了一种基于离群数据自动标记的模糊决策树构造方法，并将该方法 应用到网络取证过程中。 第六章，对全文的研究工作做了总结，并指出了进一步的研究方向。 4 第二章网络安全取证综述 第二章网络安全取证综述 2 1 计算机取证和网络取证 随着网络犯罪手段与网络安全防御技术不断升级，传统的安全防御技术已不能满足 当前打击网络犯罪的需求，另外，只有将电子证据提交给司法部门进行诉讼，才能有效 的通过司法程序将犯罪分子绳之以法。网络取证 e t w o r kf o r e n s i c s ) 正是在这种形势下发 展起来的，它强调的是对网络的动态信息收集和网络安全的主动防御。 1 9 6 0 年1 0 月，唐帕克在美国斯坦福研究院调查与计算机有关的事故时，发现一 位工程师通过修改程序在存款余额上动了手脚，这是世界上首例刑事追踪的计算机犯罪 案件【1 2 1 。1 9 6 9 年美国法庭首次接受计算机产生的证据【7 1 ( c o m 】) u t e r d e r i v e de v i d e n c e ) 。 1 9 9 1 年，计算机专家国际联盟( i n t e r n a t i o n a la s s o c i a t i o no fc o m p u t e rs p e c i a l i s t s ，i a c i s ) 在美国俄勒冈州波特兰市举行的第一次培训会中正式提出了计算机取证的概念【1 4 1 。我国 对计算机取证的研究也是近几年的事，2 0 0 1 年，计算机取证技术概念首次引入我国，2 0 0 4 年1 1 月在北京由北京人民警察学院和中国科学院软件研究所联合举办了首届全国计算 机取证技术研讨会。 关于计算机取证方面的研究水平和国外相差很大【8 】：缺乏自主知识产权的优秀的 计算机取证工具：信息安全的意识还停留在被动防护的层面上：缺少专门的调查取 证机构，同时相关的法律法规还不够完善。 虽然计算机取证作为一个专业领域已经存在很多年了，但目前对计算机取证还没有 统一、准确地定义，这是一门介于计算机和法学之间的交叉学科。不少专家学者和研究 机构尝试着给出“计算机取证 的一些描述性定义： ( 1 ) 资深专家r o b b i n s 对于计算机取证方面的定义如下：将计算机调查和分析技术应 用于对潜在的、有法律效力的证据的确定与获取上，即为计算机取证l s j 。 ( 2 ) l e eg a r b e r 在i e e es e c u r i t y 发表的文章中对计算机取证的理解为，分析硬盘、光 盘、软盘、z i p 和j a z z 磁盘、内存缓冲及其他形式的存储介质以发现犯罪证据的过程。 ( 3 ) 计算机紧急事件响应组c e r t 和取证咨询公司n t i ( n e wt e c h n o l o g i e s i n c o r p o r a t e d ) 进一步扩展了计算机取证的定义：认为计算机取证包含了对以磁介质编码 信息方式的计算机证据的保护、确认、提取和归档【l 引。 ( 4 ) 著名的计算机取证工具t c t 的发明人f a r m e r & v e n e m a 也给出了自己的对计算机 取证的理解：以一种尽可能避免扭曲、偏离的方式收集和分析数据以重构数据或重建系 统中过去发生的事件【l 酬。 综上所述，可将计算机取证概述为：针对计算机中非法的入侵行为，运用科学合理 的方法对犯罪过程进行复原，并从中提取中有效地能对犯罪者进行起诉的电子证据，同 时整个取证过程又是能被法律所接受。 计算机安全专家m a r c u sr a r l u n l 于上世纪9 0 年代就提出了“网络取证”这一术语1 5 】， 但至今还没有关于网络取证比较正式的定义，网络取证可描述为：以揭示与犯罪相关的 5 江南大学硕士学位论文 事实或检查出那些意在破坏、误用、或危害系统的未授权行为为目的，并且运用科学的 技术方法，对相关数字证据进行搜集、融合、识别、检查、关联、分析和归档等活动过 程【1 7 1 。 海量的网络数据和网络攻击日益复杂大大增加了取证的难度；电子证据的捕获和解 释则要求取证人员拥有丰富的网络攻击方面的背景知识。现实中主要通过人工检查日志 来进行取证分析，这不仅比较耗时，而且过程中常常会出错。理想的网络取证机制应满 足【1 3 】：反应时间迅速，能自动的去除大量的不相关信息；友好的人机交互界面，入 侵证据和分析结果能比较直观的展示。 2 0 0 1 年，d f r w s ( d i g i t a lf o r e n s i cr e s e a r c hw o r k s ) 在第一届年会上建议将取证领域 的所有内容用“数字取证 来描述，并给出了数字取证的定义【7 】：将那些经过严格科学 推导和证明的方法，运用到数字设备中来提取数字证据( 提取过程包括证据的保存、收 集、确认、识别、分析、解释、文档编码和展示等步骤) ，以便对犯罪事件进行重构， 或者能对未知的非授权行为进行预见。 从某种研究意义上，将数字取证分为计算机取证和网络取证，而网络取证又是计算 机取证在网络意义上的概念延伸。计算机取证是调查那些从计算机硬盘或其他存储介质 中可以恢复的，强调的是对取证对象的事后静态分析；而网络取证则是要找到一个罪犯 或黑客如何访问网络的信息，强调的是主动的防御和动态信息的搜集。 在某些方面，二者又是相辅相成的，随着网络的普及和犯罪手段的日新月异，传统 的取证已不能满足现实的需要，则需要网络取证来对它进行扩展；而网络取证方面现在 还缺乏成熟的方法和产品，对它的研究还要借助计算机取证的方法和理论。 2 2 电子证据 网络取证和计算机取证都是围绕电子证据展开工作的，那么什么是电子证据? 电子 证据是指在计算机或计算机系统运行过程中产生的，存在于计算机及相关外部设备或者 网络介质中的，可用于证明其与案件相关、反映事实的电磁记录物【l9 1 。电子证据表现的 形式是多样的，如文本、图形、图像、音频、视频及动画等。 电子证据的来源与收集是网络犯罪首先要解决的问题。不同于在纸张上的传统证 据，电子证据以一组组电子信息的形式存储在特定的电子介质上，如计算机硬盘和光盘 上等。我们应该在掌握电子证据来源的基础上，采用正确、合理、规范的方法( 工具) 进 行电子证据的收集工作。以下从电子证据的来源、常见的网络包捕获工具和电子证据的 特点这三个方面来介绍电子证据。 电子证据的来源主要来自以下几个方面【4 ，8 】： ( 1 ) 主机系统方面：主机系统方面主要由用户自建的文档、用户保护文档、计算机创 建的文档和其他数据区中可能存在的数据证据这四个部分构成，如i n t e m e t 书签收藏 夹、数据库文件、文档文件、压缩文件、系统日志等： ( 2 ) 网络方面：网络方面主要由网络数据、连接设备和网络安全设备或软件这三部分 构成，如网络监控流( n e t w o r km o n i t o rt r a f f i c ) 、网卡、路由器、防火墙、网络审计记录等； 6 第二章网络安全取证综述 ( 3 ) 其他数字设备方面：其他数字设备，如个人数字助理( p d a ) 、微型摄像头、视频 捕捉卡、掌上电脑等，这些设备中可能还有机主或用户的残留信息，如电话薄、文字信 息、音频信息、指纹等。 网络取证过程主要针对的是来自网络方面的电子信息，要从电子信息中提取出对取 证有效的电子证据，首先要对网络包进行捕获。t c p d u m p 是目前最流行的包捕获工具， 大多数网络分析工具都能解释t c p d u m p 格式的文件，其他常见的捕获工具还有e t h e r e a l 、 n e t i n t e r c e p t 、n c t d c c t o r 。理论上，为了获得电子证据，应捕获网络上所有网络信息，但 由于数据量的巨大，这显然是不科学的，因为大多数的网络信息是无用的，因此，应该 有选择的捕获数据。 电子证据同传统证据一样，必须是可信的、准确的、完整的、符合法律法规的，并 且具有证明案件事实的能力。网络中的电子证据具有以下特点【4 ，8 j ： ( 1 ) 准确性和脆弱易逝性 电子信息的本质就是严格按照计算机上的各种软件和技术标准产生和运行的一组 组二进制编码的结果。从电子信息中所提取的电子证据，由于很少受主观因素的影响所 以能够避免其他证据的一些弊端( 如证言的误传、证书的误记等) ，而且这些证据能准确 反应事件的完整过程和每一个细节，准确度非常高。 传统证据以纸张为载体，如有任何改动，必会留下“蛛丝马迹；电子证据以电磁介 质为载体，一方面，电磁介质本身易受电磁攻击：另一方面存储的数据被修改后不易留 下痕迹，电子证据的这种脆弱而且易逝，将导致网络犯罪的事后追踪和复原比较困难。 ( 2 ) 多媒体性 电子证据具有多媒体性，即电子证据的表现形式是多样的。它不仅超越了以往所有 证据的形式，而且综合了文本、图形、图像、动画、音频及视频等多种多媒体信息。 ( 3 ) 存储介质的电子性 ， 传统的证据( 如笔录) 以纸张为载体，无须依赖其他介质就可以独立重现；电子证据 是以电子信息形式存储在计算机系统或网络设备等特定的电子介质上( 如硬盘、路由器 等) ，缺乏可见的实体，它的产生和重现依赖于这些特定的介质，它的这个特点将会导 致它在法庭上的证明力度会被削弱。 ( 4 ) 较强的隐蔽性 在网络环境中，电子证据可存在的范围比较广，这也使得它易被隐藏。在存储、处 理证据过程中，其信息的表示为二进制编码，不能直接阅读，须借助适当的工具。 ( 5 ) 挥发性 数据的挥发性主要从时间上体现，尤其是一些紧急事件的数据，必须在有效的时间 段内获取，否则，将很难得到该数据，或即使得到这些数据，它也失去了原有的作用。 因此，在对电子证据进行搜集时，要充分考虑到数据挥发性对它的影响，以便选择搜集 证据的最佳的时间段。表2 1 给出了一个描述数据的挥发性的事例。 此外，同传统的证据相比较，电子证据还具有许多优点，如收集速度快、占用较少 的空间就能存储较大的信息量的数据、传送和运输较为方便，并且对于电子证据还可以 7 江南大学硕士学位论文 反复重现，使用或操作起来也很方便。 表2 1 数据的挥发性 t a b 2 - 1v 0 l a t il ed a t a 数据硬件或位置存活时间 c p u 高速缓冲存储器，管道整个时钟周期 系统r a m直至系统关闭 内核表进程中直至系统关闭 固定介质 s w a p t m p 直至被覆盖或抹掉 可移动的介质 c d r o m ，f l o p p y ，h d d直至被覆盖或抹掉 打印输出硬拷贝打印输出直至被破坏 2 3 网络取证的原则及取证过程 由于电子证据的特殊性，网络取证与传统取证相比有其自身的特点，并且这些原则 对取证的工作起着重要的指导作用。由g 8 小组( 加拿大、法国、德国、英国、意大利、 日本、立国和美国) 指定了一系列关于数字证据的标准，并提出了取证过程的6 条原则 2 0 】，在国内，中科院高能物理研究所许榕生对取证原则作了一定程度的研究，指定了一 些原则【2 1 1 ，这些原则概括起来，就是在取证的过程中要保证证据的连续性( c h a i no f c u s t o d y ) 、透明性、可解释性和取证过程及内容的精确性。 网络取证本身是一个长期的、乏味的过程。在网络环境中，同计算机取证一样，不 仅答案不会奇迹般地出现，而且入侵痕迹会消失的更快。 计算机取证的过程可划分为证据获取、证据分析和证据陈述三个阶段i s 】： ( 1 ) 获取阶段：该阶段的主要任务是保存计算机系统的状态，以供日后分析； ( 2 ) 分析阶段：该阶段的主要任务是取得已获取的数据，然后分析这些数据以确定证 据的类型； ( 3 ) 陈述阶段：陈述阶段将给出调查所得结论及相应的证据，这一阶段应依据政策法 规行事，对不同的机构采取不同方式。 网络取证中使用的一种标准流程如下【2 2 j ： ( 1 ) 为网络上的设备准备一个标准镜像，注意，这不是一个比特流镜像，而是一个用 在计算机实验室或办公室的标准应用的镜像； ( 2 ) 当一个入侵检n 预防事件发生时，确保入侵通道已关闭； ( 3 ) 获取已损坏的驱动器； ( 4 ) 制作驱动器的比特流镜像( 位流镜像) ； ( 5 ) 把镜像与原始数据进行比较。 计算机取证的过程和网络取证的过程既有联系又有区别： 同样是对潜在的、有法律效力的证据的确定与获取，前者是一种事后对目标系统的 静态分析，而后者更强调动态信息的搜集，随着黑客技术的提高，传统的静态取证已远 远不能满足网络犯罪取证的要求，现在发展的趋势是将一些传统的取证技术应用到网络 环境中进行动态取证，如将入侵检测技术和网络取证相结合，组成具有取证功能的入侵 检测系统框架【2 3 】，入侵检测系统能为网络取证系统提供实时攻击信息，这样就弥补了静 8 第二章网络安全取证综述 态取证的不足。 反过来，由于对网络取证研究还处在初级阶段，在网络取证的过程中，要借鉴计算 机取证的一些方法和技术。 2 4 取证的模型 2 4 1 计算机取证模型 自2 0 世纪9 0 年代以来，人们相继提出了很多计算机取证的模型，主要包括：基本 过程模型、事件响应过程模型、法律执行过程模型和过程抽象模型等1 2 4 1 。b r i a nc a r r i e r 等人在总结前人模型的基础上提出了综合计算机取证模型【2 5 1 。如图2 - 1 所示。 图2 - 1 综合计算机取证模型 f i g 2 - 1i n t e g r a t e dm o d e lo fc o m p u t e rf o r e n si c s 该模型共分为五个步骤： ( 1 ) 准备阶段( r e a d i n e s sp h a s e s ) ：提供人员准备及基础设备准备，确保当网络事件发 生时能够胜任调查工作。 ( 2 ) 部署阶段( d e p l o y m e n tp h a s e s ) 提供侦查和确认机制，包括侦查和通报阶段、确 认和授权阶段。 ( 3 ) 物理犯罪现场调查阶段( p h y s i c a lc r i m es c e n ei n v e s t i g a t i o np h a s e s ) ：查找、收集和 分析物理证据和事后重构犯罪行为。 ( 4 ) 数字犯罪现场调查阶段( d i g i t a lc r i m es c e n ei n v e s t i g a t i o np h a s e s ) ：对得到的物理 证据进行分析，获取相应的数字证据。 ( 5 ) 总结阶段( r e v i e wp h a s e s ) ：对取证的整个过程进行总结归档。 我国学者对取证模型也做