吴惠庶

摘要：互联网的快速发展促进了电子信息时代的到来，这是一个全球信息网络共享及肆意传播的互联网系统上的时代，如此开放性、包容性、广泛性极强的网络系统必然会隐藏着巨大的威胁——信息安全问题，将会给国家、社会乃至大量的网友带来不可估量的损失。因此，建立健全保障信息安全的法律法规势在必行，保障信息安全、网络取证或者是电子证据获取的技术也应运而生，电子证据获取的技术发展将直接影响计算机技术的发展以及引发高端科技犯罪行为。文章基于网络协议的分析进行了电子证据获取的研究。

关键词：网络协议；电子证据获取；入侵检测

1 电子证据概述以及获取的难度

1.1电子证据概述

电子汪据由于其表面的多样性以及内在的无形的特点，加之当今电子信息技术的快速发展，以致于一度无电子证据的一个准确定义。我国对电子证据的定义也不统一，大致分为广义和狭义两种，广义上的电子证据认为其功能主要是作为证据使用的一切电子形式的材料或者文本，而狭义上认为电子证据不过是高端科技犯罪分子在计算机亦或是网络中留下的犯罪记录。电子证据具有以下几个特点：（l）易破坏性，因为其在虚拟的互联网系统中非常容易由于修改、丢失、设备故障、病毒等破坏形式而导致电子证据的毁灭。（2）无形性，仍然是处于虚拟的互联网体系中，人们不能很直观地直视电子证据，并且一些高端科技犯罪，其电子证据都不是以某一种形式存在，必须通过一定的技术才可以进行获取。（3）高科技性，互联网技术相关的人才永远都是最匮乏的，黑客预防永远处于警惕状态等，无不反映出其高科技性质。正基于此3个特点，笔者认为，电子证据就是在互联网领域犯罪分子留下的一切能够证明其犯罪的一切电子形式的材料[1]。

1.2电子证据获取的几点难度

1.2.1网络犯罪难以发现并证据难以找到

随着计算机技术的快速发展，犯罪分子的技术水平直接决定了电子证据获取的难度，高科技的网络犯罪可以通过互联网相对隐蔽的方式进行或者只是在网络内部进行盗取、窃听信息等，此类的犯罪行为十分恶劣，但却不会对本身的网络系统或者是硬件造成影响，因而很难被发现，即使发现后犯罪分子也可以及时销毁证据。

1.2.2电子证据与犯罪场地直接联系

即使解决了犯罪分子的犯罪事实，很多时候却无法进行犯罪分子的及时抓捕，因为他们的犯罪只是在网上，这与其本身所处的位置没有任何关系，他只需要一台电脑和互联网就可以操作一切，这也是高科技犯罪的特点之一，就算是通过一些高端科学技术定位到犯罪分子所处位置，但由于地理环境及各种条件的限制，实施抓捕的时间有限，等找到作案地点时候，犯罪分子早己逃之天天。

1.2.3技术障碍与相关经验不足

公安警官是人民的守卫者，但大多数不可能十分熟悉电子证据获取的高端技术，这也给公安警官造成了很大麻烦，有了丰富的经验却没有技术，而有技术的人员却很少有过抓捕网络犯罪分子的经验，网络公安警察队伍的建设难度大、过程慢与当前的公安警官差别很大，电子证据获取技术是建立在计算机网技术的基础之上的。因此，电子证据获取技术永远都是落后于计算机网络技术的发展，这也就间接导致了电子证据获取技术很难有大的突破。

2 电子证据获取技术

电子证据的获取技术主要是指对犯罪分子在互联网领域犯罪时留下的一切电子形式的证据的获取，一般分为两种：计算机取证和手机取证。计算机取证主要包含移动存储介质的数据获取、电子邮件存储数据获取、在线数据的获取和计算机硬盘数据获取；而手机取证主要包括当前流行的普通手机取证和智能机取证。电子证据的获取技术方法主要有数据获取技术（即对数据的篡改、修复和提取）和反取证技术（即对电子证据进行删除、毁灭的方式使得取证工作失去意义）[2]。

2.1数据获取技术

数据获取技术主要是指通过应用并行技术对犯罪分子的证据数据以及被毁灭亦或是被篡改的证据进行高效而准确地获取。并行技术主要是采用串行工作方式提高计算机硬盘的读写效率以及计算机的静态数据分析，而电子取证难度较大一方面很重要的原因就是随着计算机内存逐渐变大，取证的过程、效率变得越来越慢，只有在静态数据分析完成以后才可以进行计算机的动态取汪过程，而且取证过程非常复杂而繁琐，人为干扰的因素太多。同时，数据获取技术分为两路方向即解决硬盘数量多、内存大、复制慢等诸多硬件问题的分析与多路硬盘复制并行技术，以及可以降低分析时间的关键字搜索与复制并行技术，多路硬盘复制并行技术主要是通过结合软硬件，实现多路硬盘复制同步进行并且多路硬盘相互不关联、不干扰，总是处于高速运行的状态下，解决了复制工作慢的问题。而取证过程慢还有一个原因就是在硬盘中或者是网络系统中搜索关键字的速度慢，关键字在硬盘的搜索并不是有规律而是按部就班地全盘搜索，这样会浪费大量的时间在搜索一些没有用的信息上面，而关键字搜索与复制并行技术恰好就可以解决这一问题，关键字搜索与复制并行技术是可以在硬盘进行多路复制的同时也进行关键字的搜索，节约了大量的时间，提高了电子取证的效率。

2.2反取证技术

反取证技术主要是指犯罪分子针对公安部门对其进行的电子取证的反抗，应该说反取证技术是伴随着取证技术发展的，或者说它们是相互依存的，因为它们总是处于相互克制、不断进步的系统中，其实现的反取证的方式也很常见，就是通过删除、篡改以及隐藏他们的犯罪证据，使得公安机关无法或者是短时间不能进行电子证据的获取。因此，研究反取证技术也非常重要，通过反取证技术可以进一步了解犯罪分子进行毁灭证据的方式，也就进一步对取证技术进行改革与发展，反取证技术涉及的领域比较大，因而技术含量也相当高，但却不得不对反取证技术进行研究，因为其是电子证据获取、打击犯罪分子有力的技术方法。

3 基于网络协议的电子证据获取

网络协议分析是网络入侵检测系统中的一种非常重要的技术，网络协议的物理地址以及IP地址是非常规则的，若想在操作中进行数据的盗取或者篡改，就必然会盗用他人的IP地址或者物理地址，而这个过程是可以通过计算机看到网络的物理地址以及IP地址被盗取的时间，这样也可以进一步对网络盗用者进行判断，而这些都可以通过网络协议分析得到。网络协议分析入侵检测系统主要有两种技术，即模式匹配技术和基于协议分析的检测技术，模式匹配技术主要用于入侵的检测，通过从网络中读取数据包而获得字节，同时在特征库中获取字节相对比，对比的字节相同，则代表入侵检测到了；若不相同，则还要继续进行字节的提取。而基于协议分析的检测技术具有一定的层次性，因而可以对网络协议进行层层检测与分析，相对于模式匹配技术来说，大大降低了计算机计算量，从而提高了效率。

本文在基于网络协议的基础上进行电子证据获取，提出了一种新的研究方案，即根据网络协议的高度严谨性和规则性，可以对网络协议进行层层检测与分析，从而获得数据包中的大量的信息，如数据类型与流向、IP地址等，再将数据包的获取结果与网络数据结合实现对其进行分类，则可以实现对电子汪据的初步判断，在分析和判断结束后即可以对电子证据进行保存和获取，最终实现电子证据获取。电子证据获取的过程大致分为网络数据包捕获模块、协议分析模块、窃取行为判别模块、响应模块（报警、阻断、生成日志）等4个主要模块。网络数据包捕获模块主要是应用于捕捉目标机数据包并对其进行分析获取相关信息，使得获取的电子证据更加全面和准确；协议分析模块即上文所介绍的网络协议分析入侵检测系统的机制，逐层进行数据包的分析和解析，使其获得数据类型与流向、IP地址等，并且经网络协议分析后，能实现数据包重组，减少特征值匹配的计算量，还原整个网络行为；窃取行为判别模块主要是针对常见的网络犯罪模式，是根据协议分析模块分析出的数据进行进一步的分析和判断；响应模块主要是根据窃取行为判断模块的判断结果及时作出响应，识别出是犯罪行为立即进行电子证据的取证，并且这一过程是实时进行的，只有这样才能更加全面准确地实现电子证据的获取。

本文提出了电子取证的研究方案，并针对其进行方案的设计，给出电子汪据取汪的工作流程，对于系统中各个模块的功能进行简介。

4结语

本文在研究了电子证据的国内外发展现状以及掌握相关知识的基础上，探究了电子证据获取的方法和技術，分析了其在电子证据获取中应用的优缺点，以及当代电子证据获取所存在的困境及问题，随后提出基于网络协议分析的电子证据获取方案，经分析可以有效地实现快速检测和获取电子证据，当然本方案也有一定的不足，还会继续深入研究。

[参考文献]

[1]许康定电子证据基本问题分析[J]法学评论，2002 （3）：94-99.

[2]李学军电子数据与证据[J]证据学论坛，2001（2）：433-463