计算机犯罪取证模型及关键技术研究

2016-11-17陆莉芳

现代交际 2016年7期

陆莉芳

摘要：随着社会经济的快速发展，计算机技术的不断进步，计算机成为了日常生活不可缺少的一部分，有关于计算机的犯罪案件也呈不断上升的态势。要处理这些案件，需要对计算机证据进行取证和分析。计算机犯罪取证成了一门重要的新学科。本文将对计算机犯罪取证技术和模型进行深入的分析和研究。

关键词：计算机犯罪；取证模型；关键技术

中图分类号：文献标识码：A文章编号：1009-5349（2016）07-0247-01

计算机的普及带来了计算机犯罪巨大的破坏性，平均每起计算机犯罪导致的财产损失远远高于其他种类的案件。保护计算机安全不能只靠安全软件，更要依靠法律对犯罪分子的制裁，而制裁犯罪分子需要他们作案的证据，计算机取证技术是制裁犯罪分子的重要工具。

一、现有的计算机取证技术

（一）静态取证技术

静态取证技术是对已经被入侵的设备存储器进行提取和分析，找出其中的犯罪痕迹，抽出有效的计算机证据。不管犯罪人员在计算机设备上做了什么，都会在设备的存储器中留下蛛丝马迹。静态分析技术能够把这些痕迹从存储器中提取出来，作为诉讼的证据。静态取证技术常见的方法有对比分析法、残留数据分析技术、磁盘后备文件分析技术、历史文件分析技术等。

（二）动态取证技术

动态取证技术是对正在运行的计算机系统或者网络进行监视，通过智能追踪来提取数据。如果在运行过程中计算机设备遭受到攻击，将会自动开始取证，记录下系统被攻击的信息，甚至智能分析攻击者的企图。典型的动态取证技术有入侵检测动态取证技术、蜜阱动态取证技术、恶意代码动态取证技术、入侵容忍动态取证技术、网络监控和传感器动态取证技术、网络透视动态取证技术、SVM动态取证技术等。

二、计算机证据及其表示方法

（一）计算机证据的特点

计算机证据指的是一切计算机形式的证据和材料，包括了文档文件、音频文件、图像文件和视频文件等等。计算机证据既包括了电子数据，也包括了设备硬件，涵盖的范围比较广。计算机证据有高科技型、无形性、多媒体性、脆弱性、发展性和客观真实性的特点。

（二）基于Ontology的计算机证据表示

Ontology是在计算机领域使用广泛的一种方法，能够捕获相关知识，提出共同的理解方式，明确不同词汇和术语之间的相互关系。在计算机证据的取证中Ontology有着非常大的优势，在已知系统的集成中，高层次的概念可以通过本体映射的方法进行转换。在分布式动态取证中，对同一事物的描述由于处理域的不同有可能产生不一致，而本体则可以在不同的概念体系中间建立关系映射，以达成知识的共享。

三、基于移动Agent的分布式动态取证系统

（一）动态取证系统及体系结构需求

动态取证系统能够实施监控和分析犯罪者的攻击意图，自动采取相应措施，直接屏蔽攻击或者将对方带入陷阱，在获得了足够数量的证据之后对证据进行鉴定和提交。动态取证系统的达成需要计算机各系统的协调合作，通过这种方法可以对黑客的入侵方法进行技术分析，研究最新的攻击技术和相应的防御攻击的防范。

（二）移动Agent技术的应用

Agent技术是从人工智能领域发展而来的，目前已经在多个领域广泛应用。分布式计算是当今解决计算机和互联网问题的关键技术，移动代理系统是这一技术的核心组成部分。Agent能够模拟人类的行为，能够自主运行和提供服务，具有一定的智能的程序。它可以代替人类进行自主操作，甚至可以相互之间进行合作。

（三）系统实现的关键技术及问题讨论

系统实现的关键技术包括证据完整性保护机制，网络数据可靠、高速获取，动态协调取证等等。每一种技术都有各自的分支技术，比如证据完整性保护就包括了认证注册、加密信息、鉴别密码等技术，网络数据的获取包括了零拷贝技术、存储映射I/O等技术。另外，系统间转型、系统自适应性也是系统实现需要注意的问题。

四、计算机动态取证数据分析推理

（一）数据分析

数据分析是计算机动态取证的最关键的环节，在动态取证的过程中，每分每秒都有大量的数据涌入，只有从这些数据中提炼出有价值的信息，数据才能真正发挥作用，这个过程就是数据分析。动态取证的数据与静态取证不同，是真实、全面、不断更新着的，更加需要强大的分析运算能力。

（二）数据来源

用于分析的动态取证数据有多种来源。首先是基于主机的数据源，与用户相关的信息、与系统进程有关的信息都储存在主机当中。二是数据源是网络，网络数据流、网管日志、联网设备的信息都属于网络信息源。三是网络安全设备的数据源，包括防火墙日志、反病毒软件日志等。