自适应动态网络取证方法研究 绪论

　　1 绪论
　　
　　1.1 研究背景
　　
　　因特网的高速发展极大地促进了社会信息化的发展，人类的各项活动都越来越离不开因特网。由于网络具有虚拟性和开放性的特点，出现了大量以计算机和互联网为工具或以计算机和互联网应用及数据为对象的犯罪活动。而与计算机犯罪相关的立法工作存在一定的滞后性，这些都使得计算机犯罪活动呈快速上升趋势。

　　FBFCSI2008计算机犯罪及安全调查报告表明：大部分企业都遭受过来自企业网内部和外部的双重攻击，企业所遭受的最为严重的经济损失均来自对私密信息的窃取以及财务欺诈等行为。目前的网络安全的研究主要集中于安全防御方面，主要包括：数据加密、身份鉴别、访问控制、安全审计、入侵检测等，具体的技术手段有防火墙、虚拟专用网VPN、入侵检测系统IDS等。由于网络环境具有动态变化特点，入侵手段也不断升级换代，这些安全防御技术和手段常常难以防止住所有的入侵。在很多企业网络中，即使有防火墙，来自于外部和内部的入侵还是在发生；尽管数据都经过加密，窃取贸易机密的信息也还是层出不穷；即便企业都制定了相关的规定，网络资源的滥用仍然存在。

　　因此，人们逐渐意识到仅仅依赖预先设置的被动安全防御技术不可能对计算机犯罪进行非常有效地打击，必须将计算机犯罪诉诸法律，利用法律手段对计算机犯罪行为予以制裁才是解决网络安全问题的有效方法。计算机取证技术在这种形势下应运而生并得以快速发展。网络取证是计算机取证领域中非常重要的一个内容。

　　计算机取证属于一种主动安全防御技术，从PZDR安全模型的角度来看，计算机取证可以归属到Response响应部分，该部分是指导安全策略制定和调整的基础，是网络安全中非常重要的环节。因此，计算机取证，特别是更贴合实时性及动态性需求的网络取证，是对现有安全防护手段的有效增强和补充，是主动防御技术的重要延伸，具有十分重要的研究意义。

　　1.2 国内外研究现状
　　1.2.1 相关概念
　　“计算机取证（Computer Forensies）”一词由计算机调查专家国际联盟IACIS在1991年举行的会议中首次提出。计算机取证方面的资深专家JuddRobbinS对计算机取证的定义如下：“计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上”.SANS公司对计算机取证给出的定义是：“计算机取证是按照一些预先定义的过程，使用软件和工具全面地检查计算机系统，以提取和保护有关计算机犯罪的证据”.

　　“网络取证（NetworkForensicS）”这个概念最早是由计算机安全专家MareusRanum于上世纪90年代提出的.数字取证研究工作组DFRWS在2001年会上明确将“网络取证”作为会议的四个主题之一，会上讨论并给出了网络取证的定义：使用科学的被证明合理的方法来收集、融合、发现、检查、关联、分析以及存档数字证据，这些证据涉及多层次的主动处理过程以及数据的传递过程，其目的是发现有预谋的破坏行为或已经成功的非授权的行为，并为事件应急响应和系统恢复提供有用的信息.

　　通过上述定义我们可以了解到，网络取证主要表现为对网络活动数据或流量的研究，发现违反安全策略的行为，防止下一步可能的具有危害性的动作。

　　取证是围绕证据而展开的，证据可以看做是取证的本质和核心。1969年，计算机产生的证据（ComputerDerivedEvidenee）首次被美国法庭接受。

　　计算机取证中使用到的关于证据的术语有：电子证据（E1ectronic Evidence）、数字证据（Digita1 Evidenee）和计算机证据（Computer Evidenee）等，本文统一使用电子证据这个术语，电子证据是指与案件有关的，存在于作为犯罪工具或犯罪目标的计算机系统中的电子数据，从广义上说该术语包括了任何以电子形式存在的信息。
　　
　　1.2.2 计算机取证学科的发展
　　
　　计算机取证是一门计算机科学与法学的交叉学科。在上个世纪八十年代，美国军方己经认识到计算机取证的重要性，1984年FBI成立了计算机分析响应组CARI，逐步开始对计算机取证的基本思想、技术和方法进行探索。由此，计算机取证作为一门新兴的学科开始起步并逐渐发展。

　　1998年数字证据科学工作组SWGDE成立了，该工作组专门负责研究数字证据检查指南和标准，他们最早提出了“计算机潜在证据”的概念，这实际上就是计算机取证概念的雏形。同年，“数字证据（Digita1Evidence）”的概念在美国联邦犯罪调查实验室研讨会上被首次正式提出，在这次会议上，数字音视频类型的数据被认可为属于数字证据的范畴。针对数字取证进行研究的数字取证技术工作组TWGDE也在这一年成立，该工作组主要在技术层面上对数字取证技术进行研究。随后，取证学科逐步细化产生了多个团体，分别从事标准、实践、协议等方向的研究。

　　我国关于计算机取证的研究工作开展较晚。2001年才从国外引入了计算机取证的概念，2004年成立了计算机取证体系架构组CFAT,同年11月，我国首届全国计算机取证技术峰会在北京召开，研讨会在计算机取证技术的学科划分、电子证据分析、取证系统体系结构和电子证据立法等方面进行了广泛深入的讨论，大大推动了我国的计算机取证研究进程。但当前我国的计算机取证无论在立法还是技术方面的研究与发达国家相比都还有比较大的差距。

　　1.2.3 取证过程模型的研究
　　
　　计算机取证相关标准的制订工作从上世纪九十年代初期开始。1998年3月，负责对取证协议和操作规程进行标准化的计算机证据国际组织IOCE开始着手规划关于获取电子证据的相关规则。2000年3月，IOCE提出了计算机取证过程中应该遵守的一般原则：

　　1.处理电子证据时，必须遵守标准取证步骤和原则；
　　2.获取电子证据时，必须保证证据的不变性；
　　3.接触原始证据的取证人员应该受过专业培训；
　　4.任何获取、访问、存储或转移的活动都必须有完整的一记录，且一记录应保存良好；
　　5.任何个人在使用和案例相关的电子证据时，应该对其在电子证据上所进行的所有操作负责；
　　6.任何负责获取、访问、存储或转移电子证据的机构都必须遵守上述原则。

　　上述基本原则对计算机取证的整个过程都有指导意义，这是由法律对技术的特殊性决定的。任何取证工具、系统或方法都应遵循以上原则，包括本文讨论的网络取证。

　　由于电子证据的特殊性，计算机取证既涉及到技术问题又受相关法律的约束，计算机取证必须遵循严格的过程和程序，否则，其获取的证据会因缺乏可靠性和合法性而不能被采用。

　　计算机取证发展初期，取证过程一直没有一个可以遵循的标准，一直到九十年代后期才相继有计算机取证的模型被提出。一个好的计算机取证模型非常重要，可以为计算机犯罪的调查取证提供一个高度抽象的参考过程而不会依赖特定的技术或环境，而且即使有新技术出现也不会影响模型的根本结构。关于取证过程的模型比较知名的大致有以下几个：

　　1.基本过程模型（BasieProeesSMode1）
　　该模型的代表人物是Fariner和Venema.他们以UNIX系统之上的一次取证过程为实例，描述整个取证过程，并指出每个步骤应遵循的标准，提出了基本取证过程模型.基本取证过程的步骤包括：安全保护并隔离现场（Secureandiso1ate），记录现场信息（reeordtheseene），系统搜索证据（eonduetasystematiesearehforevidenee），收集并将证据打包（eo11eetandpaek眼eevidenee），维护监督链（maintainehainofeustody）。该模型属于取证过程模型发展中的一个初级阶段，所描述的取证过程比较粗略。该模型第一次提出了“maintainchainofcustody”的理念，强调了电子证据从提取到最后出示的过程必须是受到保护的。该模型是计算机取证过程模型研究的一个基础，为计算机取证的标准化和理论化指出了方向。

　　2.事件响应过程模型（hieidentResponseProeessMode1）
　　该模型的代表人物是C丽5Prosise和KevinMandia.他们在着作中提出了事件响应过程模型，该模型把计算机取证划分为以下阶段：事件前的准备阶段（Pre一incidentPreParation）：准备好设备，并进行有关技术培训；事件检测阶段（DcteetionofIncideni）：检测异常事件；初始响应阶段（hiitia1ResPonse）：证实入侵己经发生，必须尽快收集易被破坏的证据；响应策略表述（ResponsestrategyFormu1ation）：制定响应策略；备份：对系统进行备份；调查（hivestigation）：对入侵进行调查，目的是识别入侵者身份、入侵方法及入侵过程；安全方案实施（SeeureMeasureImp1ementation）：隔离被入侵的系统，保护证据；网络监控（NetworkMonitoring）：监控目标网络；恢复（Reeovery）将系统恢复到初始状态，并设置安全设施；报告（Reporting）：记录整个过程中的步骤及方法；补充（Fo11ow-uP）：对响应过程及方法进行回顾审查，对不足的地方加以补充调整。

　　该模型将取证工作延伸至计算机犯罪之前，从入侵事件发生之前就开始进行取证准备，并加入了应急响应的思想，对系统进行监控，一旦发现入侵就按照应急响应方案进行系统的入侵调查及备份，并强调了发现被入侵后将系统恢复到初始状态。

　　该模型和基本过程模型都是技术人员根据实际技术经验积累提出的模型，没有太多考虑法律方面的要求，因此取证过程及提取的证据不一定能被法庭所承认。鉴于此，2001年美国司法部DOJ（Theu.s.DepartmentofJustiee）联合一些计算机取证专家共同制定了“电子犯罪现场调查指南”,其中提出了一个计算机取证程序调查模型）法律执行过程模型.

　　3.法律执行过程模型（1awEnforeementProeesSMode1）
　　该模型以法律为指导，参考了标准物理现场的调查模型，更侧重于司法实践，因此获得了美国大多数法庭采信，但该模型对于如何进行分析讨论较少。该模型基本步骤为：准备（PreParation）：在调查前，准备好所需设备和工具；收集（Co11eetion）：搜索、定位并提取电子证据；检验（Examination）：对可能的证据进行检验与分析；分析（Ana1ysis）：对检验分析的结果进行复审和再分析，提取与对案件侦破有价值的信息，这是整个过程中的关键步骤；报告（RePorting）：对案件的分析检验过程及结果进行汇总并提交。

　　该模型与前面两个模型在技术方面没有很大差别，主要是从法律的角度对电子证据的提取过程进行了更为严格的规范，对于计算机取证从特殊技术到一般程序的发展有重要的意义。

　　4.抽象过程模型（A8IAbstraetProeesSMode1）
　　在法律执行过程模型的基础上，DOJ又联合美国空军研究院等机构提出了抽象过程模型的思想：不同的取证过程模型都存在共同的特性，因此可将这些模型抽象为一个通用的模型。他们对取证过程进行抽象的过程包含：收集（Co11eetion）、检验（Examination）、分析（Ana1ysis）、报告（Reporting）等过程。该模型为数字取证工具的开发提供了一个统一的、标准化的框架。

　　5.DFRW模型
　　DFRWS是2001年由美国空军研究实验室和信息部防御信息战分部发起成立的一个由学术机构和应用机构组成的专家组织，主要任务是研究取证中的核心技术，定义通用的取证术语，参与一般的取证工作。DFRW提出了一个初步的计算机取证科学的基本框架，框架包括“证据识别、证据保存、证据收集、证据检验、证据分析、证据出示”I3].基于这个框架，数字取证基本理论和基本方法得到进一步的发展和完善。该框架也是目前取证过程所遵循的一个基本步骤。该模型描述的是一个线性步骤，但可以在其中加入反馈因素，从而扩展称为更详细的取证过程。

　　把上述模型做一下归纳，可以看出，计算机取证的基本步骤如图1一1所示。2.4电子证据的研究按照来源不同，电子证据可以分为以下两种类型：

　　1.来自于单机系统的证据：
　　（1）硬盘的交换分区（SWapFi1e）、S1ack空间、未分配的空间（ErasedFi1es）、系统恢复文件（RecoveryFi1e）等（2）进程信息、脚本、内存映像、BIOS、注册表等（3）系统缓冲区、Cookies、历史文件、临时文件等（4）加密及隐藏的文件等
　　
　　2.来自于网络系统的证据：（1）网络上传输的网络通信数据包（2）网络设备（网络适配器、路由器、交换机等）、网络安全设备（防火墙、ros、安全网关等）及网络软件（W亡b服务器、FTP服务器、邮件网关、流量监控软件、网络审计软件等）的日志。

　　采用来自网络系统的证据作为证据的来源，可以发现对主机系统来说不易发现的某些种类攻击的证据。

　　电子证据与传统证据的不同之处在于它是以电子介质为载体的，因此，它的存在形式直接决定了收集证据以及分析证据的方式。与传统证据相比，电子证据具有技术性、精密性、脆弱性、无形性和多态性的特点。电子证据虽然在形式上不同于传统证据，但是，电子证据具有和传统证据一样的证明能力，RFc3227[8]给出了计算机信息作为法律证据的标准：

　　1.可接受性（Admissib1e）：电子证据要能够递交法庭必须符合一定的法律准则，即证据的提取方法和收集程序以及证据的表现形式必须符合有关的法律规定，该标准也称为合法性标准。
　　2.可信性（Authentic）：电子证据要能够证明与案件事实或其他有争议的事实具有一定的关联，也叫关联性标准。3.完全性（ComP1ete）：电子证据必须能够全面证明犯罪事件，而不只是犯罪事件的一部分。
　　4,可靠性（Re1iab1e）：电子证据收集和处理的过程不存在真实性和准确性方面的怀疑，该标准也称为客观性标准。
　　5.有说服力（Be1ievabte）：电子证据必须能够被法官理解并且能够说服法官和陪审团对案件作出正确判决。

　　在各种类型的电子证据当中，日志文件是用于记录在计算机本地或者网络系统中发生过的事件的重要审计凭据。通常日志内容记录了用户、进程、任务的关键信息，通过查看日志，可以发现曾经发生的一些事件或者入侵者留下的一些痕迹。因此，日志文件也就成了计算机犯罪线索勘查取证的重要对象，在电子证据中有着不可忽视的重要地位。

　　从技术角度来看，日志文件通常会对发生在计算机和网络系统的各种事件进行比较详细的记录，对大量相关的日志文件进行综合分析可以识别攻击过程，用户和管理员往往也是通过查看日志文件发现被攻击的事实，安全人员可以借助日志所记录的信息以及其他辅助手段来对攻击源进行追踪。从法律角度来看，多个独立的数据源所产生的日志可以对同一个事件从不同角度进行体现和反映，综合分析这些日志得到的结论可以比单一类型的描述更具有说服力，以之作为证据可以具有更高的可信度。因此，我们完全可以将日志文件作为有效证据，对其进行实时的收集和分析，从中发现计算机犯罪事实。国内外的大量司法实践均表明，日志文件是最主要的电子证据或线索来源之一。所以本文特别对日志证据进行了更多的研究。

　　把日志文件作为电子证据时，有三个基本的要求必须要得到满足：
　　1.日志文件的真实性能够得到证明；（用一定的方式保护日志文件，确保不被丢失、毁坏或修改）
　　2.必须在日志文件里发现证据；
　　3.处理原始日志文件时要对其归档并给出证明，使得提交的证据经得起司法程序的详细审查。

　　目前，我国公安和司法机关认为：经过MDS散列算法生成的128位散列码验证有效的电子数据都可以作为证据。因此，只要日志文件的原始性和完整性能够得到证明，日志文件完全可以作为重要的证据来源。

返回本篇论文目录查看全文    上一章：自适应动态网络取证方法研究 摘要   下一章：自适应动态网络取证方法研究 绪论