摘 要 为了应对日益增长的互联网数据取证需求，获取真实可靠的互联网证据，提高网络数据捕获的效率，本文提出了一种基于Web的网页动态实时取证方法，并对获取的证据包进行加密处理，确保获取证据的有效性，使用第三方保全中心保全确定了证据包的可靠性。经过完整的研究和分析表明，本文研究的取证方法能够获取完整的电子证据链，满足当下Web网页实时取证需求。

【关键词】实时 取证 捕获 保全

1 电子证据概述

网络证据（Internet Evidence）就是指能够证明网络案件真实性的、被作为证据研究的网络数据。网页取证是指运用科学的收集和整理方法，对用户主动浏览的Web页面资源进行捕获、固化、分类、存储和验证的整个过程。目前已有的取证方式主要是以对浏览器缓存日志进行分析的浏览器取证技术、以主动诱导目标程序攻击为核心的密陷取证技术和使用主动诱导攻击技术为核心的密陷取证技术和使用传感器进行网络监控的主动防御技术。这些技术可以通过者诱骗攻击或主动防御在一定程度上捕获到用户感兴趣的数据或防止网络侵权站点的入侵。但是，由于网络数据复杂多变，而我国法律规定了电子证据必须具备合法性、客观性和关联性。因此无论采取何种方式，都需要满足网页取证技术的要求，当前技术对于互联网取证便面临三个问题：

（1）仅仅是截屏、拍照，所展现的只能是静态的图片、视频信息，这些信息很容易通过PS等技术人为制造出来，无法证明其客观存在于互联网之上。

（2）通过主动防御技术只能抵御类似病毒的攻击，应对侵权犯罪的网页证据，无法提供根本的解决办法。

（3）网页数据时效性强，变化快，传统的对侵权行为进行事后取证已经无法满足执法部门的需要。

2 取证流程及模型

由于网页数据具有很强的时效性，已有的对数据进行静态分析和捕获处理已经不能适应当前快速变化的网页数据。本文设计一种适用于网页的动态、实时、有序且高效可靠的网页动态实时取证模型WDRFM（WebpageDynamic Real-time Forensics Model）。通过主动访问目标Web页面，向请求域名对应的数据资源服务器发起请求，即可快速获取请求网页的表层数据、交互数据和底层数据，包括路由、路径、IP、ICP、服务器资源分布等信息，并将获取到的证据进行固化，同时生成数字指纹和国家授时中心授时时间戳发送到具有司法效应的第三方保全中心保全，确保证据的合法性和唯一性。

将WDRFM模型用一个集合packList（W，C，A，R，E，T，EP）表示。其中WP（Webpage）表示取证的目标Web页面，C（Capture）表示证据包捕获，A（Analys）表示证据分析，R（Rule）表示取证时和证据分类整理所遵循的规则，S（Solidify）表示证据包的固化，T（Timestamp）表示证据包添加的时间戳，EP（evidence-package）表示最終生成的证据包，如图1所示。

3 数据包捕获

对于不同的操作系统，数据捕获方式也会有所不同，目前，操作系统提供了基于Libcap 的数据捕获和基于套接字的捕获两种方式。与基于套接字的数据捕获方式复杂且仅仅能适用平台过于单一相比，Libcap不仅可以存在于多个平台之上，而且能够为不同的数据包过滤器提供内在的算法匹配支持，将用户所需要的数据快速准确的传输到系统的应用层。Libcap运行在用户层中，采用BPF（Berkeley Packet Filter）机制进行数据包的捕获处理。BPF主要包含，网络分接头（Network Tap）和数据包过滤器（Packet Filter）两个部分。当系统执行数据捕获命令后，网络分接头会在用户计算机的网卡驱动程序中添加拦截器，并根据需要制定不同的拦截规则，捕获网络中传输的所有数据信息。

当系统成功获取网页数据之后，需要将证据进行固化。由于Web页面通常包含大量的资源链接，在数据还原过程中快速向页面结构中填充信息，因此需要在对证据进行固化操作之前分析数据，使用I/O流重定向规则将捕获的证据包生成网页快照，打包生成数字指纹发送到第三方保全中心保全。其中，假设当前页面数据为S1，原始页面数据为S0，被改变过的重定向数据为sys_dir，生成快照的规则如下：

（1）读取重定向数据：πsys_dir（σflag=1 （S1） ）；

（2）对比分析当前页面和原始页面重复数据：{t|t∈S1∧t∈S0}；

（3）生成快照的数据：πsys_dir （σflag=1 （S1） ）∪{t|t∈S1∧t∈S0}。

4 总结

为了应对日益增长的网络侵权和犯罪行为，弥补现有取证方式无法证明网络数据来源、获取证据不可靠等不足，实时获取真实有效和不被篡改的网页证据。本文提出了基于Web的在线实时取证概念，构建了适用于线上的高效、及时且符合法律法规的网页动态实时取证网页动态实时取证模型，通过Libcap和BPF机制获取网络证据包，生成了唯一数字指纹发送到第三方保全中心保全。同时，生成网页快照提高取证数据在形成网页过程中的还原效率。本文通过对取证方法的研究，能够快速获取违规网页的数据信息，形成了一条完整的证据链，能够满足当前法律对于电子证据的所有要求。

参考文献

[1]熊仕勇，唐浩.网络实时取证模型的研究初探[J].网络安全技术与应用，2016（03）：38.

[2]熊志海，王静.网络证据之形式问题研究[J].重庆邮电大学学报（社会科学版），2011，23（04）：48-51.

作者简介

熊仕勇（1974-），男，四川省自贡市人。高级工程师，硕士学历。研究方向为数字媒体技术、系统架构、互联网安全。

作者单位

重庆邮电大学软件工程学院 重庆市 400065