于丽+王亚娟+亚森·艾则孜

摘要：随着科学技术的进步，人们对网络的依赖程度也与日俱增，但网络存在的一些漏洞给使用用户造成极大的困扰，甚至会给人们带来巨大的经济损失。传统的防御机制已经不能完全消除网络入侵这一重大威胁，网络安全取证应运而生。该文针对网络安全取证进行分析，并具体阐述网络取证应用技术。

关键词：网络犯罪；电子证据；应用技术

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）08-0067-02

网络安全取证主要是指利用黑客攻击后的痕迹进行取证，获取网络犯罪的电子证据，从而达到对黑客进行控诉的目的。我国针对网络取证技术研究甚少，尚处于起步阶段，不能完全保证我国网络安全，给计算机网络的机密性以及完整性造成极大的威胁。本文将针对网络安全取证的应用进行分析，营造一个安全的上网环境。

1概述

1.1计算机取证与网络取证

计算机犯罪事件的发生推动了计算机取证的发展，尽管国外对计算机取证有着较为丰富的经验，但我国对该项取证技术的研究仍处于起步阶段。计算机取证一般属于事后措施，主要包括文件的复制、恢复删除文件以及缓冲区内容获取等方式。虽然目前对网络取证的定义还未统一，但从技术和方法上来看与传统的计算机取证差异不大。但与计算机取证不同的是，网络取证主要通过对网络数据流以及主机系统日志等进行监控，从而发现存在于网络系统中的入侵行为，自动记录下犯罪证据，同时还能起到防止进一步入侵的作用。从目前发展来看，网络取证更注重对动态信息的收集和对网络安全的主动防御。

1.2网络取证过程

电子证据与传统的取证过程不同，因其自身的特点在原则和步骤上有所差别，但也符合法学上对证据的定义，即保证电子证据的连续性、透明性以及内容的准确性。一般将计算机取证的过程分为确定、收集、保护、分析以及展示等几个环节。传统的计算机取证是对事件发生后的一种静态分析，随着网络犯罪手段的提高，静态分析已经难以满足犯罪取证的要求，所以如何从静态分析向动态取证转化极为关键。动态取证能够使其过程更加系统化，取证方式更加灵活。

1.3网络证据来源

网络取证的核心环节是电子证据，所有活动都以电子证据展开，而电子证据主要来源于网络数据流、网络安全设备或软件。网络取证的首要任务就是要捕获网络包，目前常用的网络包捕获工具为Tcpdump，但因其自身的特点有很大的局限性，容易占有磁盘空间造成系统崩溃的局面。但其他捕获网络包的工具都有自身的数据格式，不兼容其他捕获工具，不利于电子证据的获取。尽管Tcpdump有较大弊端，但相比其他捕获网络包工具来说Tcpdump是一种很有效的网络包捕获工具。

网络取证主要是对网络数据流进行保存和分析，取证工具将两台机器传输层进行连接，网络包按照传输顺序显示并捕获网络流中的数据。事实上，许多网络监控工具都可以发挥对原始网络包进行选择和搜索的作用，但容易在捕获网络流时丢失非标准端口的协议。为了确保网络取证的有效性，在捕获流量时应该尽量保证数据的完整性，但考虑到捕获速率的影响和数据量的巨大，显然这个想法的可行性不高。且大多数的数据流与网络犯罪无关，所以需要对数据流进行分析和筛选，对数据进行选择性的捕获。

1.4网络证据原则及取证过程

鉴于电子证据的特殊性，在网络取证的过程中应遵守一定的原则。在国际上存在G8小组，即由加拿大、德国、法国等八个国家组成的国际性组织。G8小组给出了网络取证的原则。在国内也有关于网络取证原则的研究。通过对相关文献资料的研究不难发现，在网络取证的过程中应遵守透明性、精准性、连续性的原则。

网络取证是一个长期的过程，在网络取证的过程中如果不能及时获取电子证据，导致电子证据被抹除掉，则很难再恢复电子证据。因此，在网络取证的过程中应按照一定的步骤进行。简单来说，网络取证可以分成三个阶段。第一阶段是获取证据阶段。该阶段的主要任务就是获取电子证据，为了保证电子证据的完整性，应保存计算机系统的状态，不要随意操作计算机。第二阶段是分析证据阶段。该阶段的主要任务是分析获取的电子证据，同时还应确定电子证据的类型。第三阶段是陈述证据阶段。在完成电子证据分析以后，应将最终的结果以及相应的证据陈述一遍。在陈述证据时应根据国家的相关法律政策进行，确保陈述过程的合理性。

需要注意的是网络取证和计算机取证不完全相同。虽然二者均是搜集潜在的证据，但计算机取证属于静态取证，而网络取证则属于动态取证。随着网络技术的发展，电子证据的范畴远远超出了计算机取证的范畴。在这种情况下，必须要采用网络取证的方式。但目前关于网络取证的研究还处于起步阶段，网络取证技术还不成熟，还有很大的提升空间。在实际使用的过程中，需要和计算机取证技术结合在一起使用。

2网络电子证据的特点

除了传统意义上证据所具备的基本特点外，由于电子证据存在形式的不同，也有着与传统证据不同的特点。

第一电子证据表现形式的多样性。电子证据是以往证据形式的突破，不仅可以表现为文字、声音以及图像等，甚至还可以以多媒体的形式存在，多种表现形式的融合是电子证据的最大特点。

第二是储存介质的电子性。电子证据以特定的形式储存在特定的电子介质中，所以无论是电子证据的产生还是重现都必须依赖于特定的电子介质。传统证据可以独立于其他介质中，不需要依赖其他个体，但电子证据不同，有着较弱的独立性，这也是目前电子证据证明力度较低的主要原因。

第三是准确性。电子证据是严格按照计算机多个软件和技术标准产生和运行，其结果不会受到主观因素的影响，完全是编码运行的结果。如果在运行过程中没有遭到人为的破坏和修改，则电子证据能直接反映整个事件发展过程乃至每一环节，具有高度的准确性和完整性，是对传统证据的巨大突破。

第四是脆弱性。传统证据以纸张为载体，可以详细真实记录涉案人的笔迹，同时也可以进行长期保存，一旦发生改动会有迹可循。但电子证据则不同，数据一旦被修改或毁坏则很难留下痕迹，甚至当受到电磁攻击时都会对电子证据造成不可挽回的局面。电子证据的这一特性使得计算机犯罪率增高，事后追查和对数据的还原难度也更大。

第五是数据的挥发性。计算机数据的保存有一定时间的限制，一旦超过规定时间数据则可能无效，这对电子证据会产生严重的不利影响。所以在收集电子数据时应该注意数据的有效期限，避免收集到的数据出现失效的情况。另一方面，电子数据的易逝性与挥发性相似，数据流并不是长久地保存于网络当中，如果不对这些数据流进行特殊储存，在一段时间后这些数据流则不会被重现。

3网络安全取证的应用技术

3.1IDS取证技术

IDS取证技术主要是指在检验到非法入侵时进行电子证据收集，该技术自1999年应用网络安全取证以来，在网络安全领域扮演重要角色。目前该项技术的应用范围较小，未来会有巨大的发展空间。对该项技术目前提出一种比较新颖的想法，将电子证据的收集与系统保护相结合，但相比之下入侵检测系统更能提供实时攻击信息。所以将网络取证与入侵检测系统结合能够实现对网络体系的动态取证，能对取证过程中发生的突发情况进行及时处理，同时取证方式更加灵活多样。

3.2蜜阱取证技术

蜜阱取证技术主要由蜜罐和蜜网两种诱骗技术组成，作为一种现代化精心设计的诱骗系统，能够对黑客攻击时的行径、策略以及工具进行监视，并在监视的过程中收集电子证据，真正做到了实时网络取证。但由于该项技术提供信息的真实性无法进行有效的确认，所以也不能作为传统意义上的电子证据将犯罪分子绳之以法。如果一些技术较高的黑客利用该项技术的漏洞攻击其他系统的引擎，则会对网络系统造成不可挽回的损失，所以该项技术的应用范围较小，不能大范围地应用于网络安全取证当中。

3.3恶意代码技术

上述两种网络安全取证技术存在交互性问题，如果黑客对网络拓扑结构以及安全防御的布置充分了解，则能通过一系列技术措施进行反取证活动，不仅能够逃避实时监控，同时还会干扰系统工作。针对这个问题就研发出了恶意代码技术能够进行隐蔽取证，有效避免了上述问题。该项技术能够对一些敏感信息或有害代码程序进行监控，一定程度上也可以用来网络安全取证。且这项技术具有动态取证、速度快以及灵活性高等多种优势，同时还能进行远程信息传送，目前在网络安全取证方面有着较为广泛的应用。

3.4入侵容忍技术

虽然防火墙和IDS能够作为两种防御网络攻击的安全技术应用于网络安全取证当中，但存在的问题也显而易见。防火墙技术只能防御一些简单的网络攻击，IDS技术也只能根据已入侵的特征来识别其他入侵，这种安全技术一般都发生在入侵后，入侵前有较小的安全防御功能。针对以上两种技术的不足，出现了一种更深层次的抗攻击的技术——入侵容忍技术。该项技术不仅能保证数据的完整性和真实性，同时也能保证数据的秘密性，确保系统能够顺利运行。该项技术与其他技术不同，当系统存在入侵情况时，不是分析入侵的原因，而是评估入侵会对系统造成多大的影响。保证系统即便在遭受攻击时也不会出现完全崩溃的局面，而是能在有危险的环境下依然有运行和组织的能力。总体来说入侵容忍技术是防火墙和IDS技术的补充和完善。

同时应用入侵容忍技术也可以进行网络安全取证，操作步骤主要如下：首先应该利用该技术对数据的秘密性来保证电子证据的合法性。其次可将入侵容忍技术分为不同的状态，一旦入侵容忍技术的状态达到取证标准时，就要对被攻击状态进行取证。最后入侵容忍技术可以在系统没有完全崩溃前进行系统状态的记录，并通过分析反映系统受到破坏的程度，并将分析出的结果以电子证据的形式保存下来。

3.5网络监控和传感器技术

主机传感器、网络摄像机、网络传感器以及专家系统等部分可以构成一个网络监控系统，这个系统不仅能够对数据进行收集和分析，同时还具备实时监控、网页监督等多项功能。如果事先对网络监控系统进行情况分类，该系统则会根据网络的实际情况进行不同的报警和追踪，同时还能自行的报告网络运行状况。如果将网络监控和传感器技术进行有机的结合，并将收集到的信息进行筛选和总结，则其结果可直接作为电子证据。

4结束语

网络取证作为一门近年来才兴起的学科，对网络取证技术了解和熟悉的人较少，尽管目前在网络取证技术上我国已经取得了一些突破和成就，但该领域还有巨大的发展空间和前景。网络是动态的，同时数据也是巨大的，单靠人工进行取证是不现实的，所以如何高效地利用电子证据是网络取证目前面临的主要难题。我国要加大对网络安全取证研究的支持力度，研发出更多的技术支持网络安全取证。

参考文献：

[1] 范一乐.主动防御网络安全配置技术在计算机取证中的应用探讨[J].软件导刊，2011，10（6）：133-133.

[2] 徐峰.网络安全取证技术探析[J].数字技术与应用，2012（11）：187.

[3] 许榕生.网络犯罪取证技术面临新挑战[J].信息安全与通信保密，2010（12）：13，15.