计算机动态取证.docx

上传人:太** 文档编号:93441864 上传时间:2023-07-05 格式:DOCX 页数:8 大小:62.20KB
返回 下载 相关 举报
计算机动态取证.docx_第1页
第1页 / 共8页
计算机动态取证.docx_第2页
第2页 / 共8页
点击查看更多>>
资源描述

《计算机动态取证.docx》由会员分享,可在线阅读,更多相关《计算机动态取证.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、计算机动态取证摘要随着计算机的快速进展和网络技术的广泛应用,极大的促进了社会的进展,改善了人们 的生活和工作方式。但是,采用或以计算机为目标的犯罪大事频繁发生,犯罪现象日趋严峻, 危害性也越来越大,现在每年由于计算机犯罪照成的损失高达几百亿。由于政法机关在采用 高技术手段应付这种高技术犯罪方面缺乏必要的技术保障和支持,现在如何有效的猎取计算 机犯罪的电子证据,将犯罪嫌疑人绳之于法,已经成为司法界和计算机科学领域亟待解决的 新课题。在研读了大量文献的基础上,本文对计算机犯罪进行了总结性描述,对计算机动态取 证进行了具体的描述,并对计算机动态取证系统进行了深化的分析。由于国内计算机动态取 证方面的

2、讨论起步较晚,在计算机动态取证程序和系统的讨论方面较为欠缺。针对我们我国 现阶段存在的问题,应学习西方在计算机动态取证系统方面的先进技术,并通过完善现有的 法律和制定其他与之相关的法律或法律文件来法律规范计算机取证。关键词:计算机取证、动态取证、取证系统、数据平安一、引言(一)、计算机犯罪现状计算机犯罪开头于六十年月,七十年月快速进展,八十年月形成威逼,现在已经对全 球造成巨大的损失。计算机犯罪具有的特点有:隐蔽性强、破坏性大、犯罪客体和手段多样 化、侦查诉讼定罪难、犯罪呈增长趋势。计算机犯罪的形式主要有:黑客入侵、不法信息的 进入、网络资源的破坏、破坏计算机系统、窃取我国机密、电子商务诈骗等

3、。从技术角度看,目前计算机取证的最大的障碍就是证据的真实性、有效性和准时性。 由于计算机犯罪的电子证据提取难,易篡改、销毁,黑客在攻击目标时会尽可能销毁各种证 据,所以计算机犯罪案件办理特别困难。目前还没有能够全面鉴定电子数据证据设施来源、 地址来源、软件来源的工具。为此将取证技术结合到防火墙、入侵监测系统中,对全部可能 的计算机犯罪行为进行实时的动态取证显得尤为重要。(二)、计算机动态取证技术的提出由于现有的解决网络平安问题的大多数技术只是从防备的角度来防止各种入侵,不能 从根本上解决问题。1例如防火墙和入侵检测系统,防火墙和入侵检测系统都是应用最广 泛和最成熟的网络平安系统,但是它们都有缺

4、点,如TCP暗藏通道技术和反向连接技术就 可以绕过防火墙的限制,入侵检测系统(IDS)的漏报和误报率较高,IDS系统的管理和维 护较难,而且IDS系统是被动工作的,它只能检测攻击不能阻挡攻击。事实证明现有的防备工具并不能解决网络平安问题。所以需要发挥社会和法律的来应 付计算机犯罪,计算机动态取证就是在这种形势下产生和进展起来的,计算机动态取证的目 的和其他网络平安技术一样,都是为了保障网络平安。它主要是收集电子证据、重构犯罪现 场为诉讼案件供应有效证据。计算机动态取证能纪录系统工作、尤其是黑客入侵的全过程,截取入侵者得信息,对 黑客入侵方法进行技术分析,通过分析和讨论,牵制和转移黑客的攻击,取

5、得最新的攻击技 术资料,产生防备攻击的方法。计算机动态取证有别于传统取证,对法学领域和计算机领域 提出了新的挑战。目前的网络平安形势严峻计算机动态取证讨论具有特别重要的意义。(三)、论文讨论的内容本文讨论的内容主要是计算机动态取证的技术以及计算机动态取证系统,阐述了计算 机动态取证讨论现状以及存在的问题,并对计算机动态取证的特点进行分析,电子证据猎取、 保存的步骤,以及计算机动态取证相对于静态取证的优势进行了研讨与分析。最终提出了一 个计算机动态取证系统的设计方案。该系统讨论和设计的方面主要有:如何供应一个高效可 用的计算机动态取证系统,系统程序的功能分析,系统的隐蔽和自我爱护,系统的监控和动

6、 态取证,程序的掌握。(四,论文的组织结构论文的组织结构如下:一、引言。主要介绍了计算机犯罪的现状以及在这现状下计算机动态取证技术的提出,分析 了计算机动态取证系统的讨论与设计。二、计算机动态取证概述。介绍了计算机动态取证的概念、工作流程、基本原理。三、计算机动态取证技术。介绍了计算机动态取证的现状,对计算机动态取证进行了具体的 描述,指出了计算机动态取证与静态取证相比较的优势所在,讲诉了计算机动态取证的 步骤和特点。四、计算机动态取证综合系统。描述了计算机动态取证系统的功能、设计目标,系统的总体 结构,计算机动态取证系统的程序方面的具体分析,以及数据的平安传输与储存。五、总结。对论文进行概括

7、总局。二、计算机动态取证概述(一)、对计算机动态取证的描述计算机动态取证是将取证技术结合到防火墙和入侵检测技术中,对全部可能进行犯罪 的计算机进行实时数据猎取和分析,智能分析入侵者的企图,实行肯定的措施切断链接或诱 敌深化,在确保系统平安的状况下猎取最大量的证据。并向法庭提交全面真实、具有说服性 的证据的过程。由此可见,计算机动态取证在准时猎取有效证据的同时,还能分析犯罪动机, 拟出应对方略,指导相应的防备、应对措施。计算机动态取证还能通过纪录系统工作,截取 入侵工具,分析入侵方法及技术,取得入侵资料,最终得出防备攻击的方法。(二)、计算机动态取证的工作流程计算机动态取证一般可以按如下流程进行

8、2。第一,爱护现场。在检查取证的过程中,第一件要做的就是爱护封存目标计算机系统, 避开消失更改系统、损坏硬件和破坏数据的状况。而且每次处理任何设施之前都必需存档。其次,采集数据。数据采集是实时取证的基本前提。基于证据的精确性和完整性,在猎取网络数据的过程中,网络取证系统必需保持数据的完整性不能对猎取的网络 数据进行修改或破坏,还要尽可能的使网络流量对系统性能产生的影响降到最小,必需不影 响被测网络。第三,数据存储。对于猎取的网络数据,只需对含有攻击特征的报文进行摘录,由于动 态取证系统出于证据猎取完整性的缘由,要求纪录的网络报文数据必需是完整的,以便借助 数据分析模块对报文进行还原,追查到具体

9、的内容。目前主要有将这些报文全部保存下来, 形成一个完整的网络流量纪录的方法和采纳某种过滤机制排解不相关的网络报文,保存需要 的网络报文。第一种方式能保证系统不丢失任何潜在的信息,能最大限度地恢复黑客攻击时 的现场,这对于讨论新的攻击技术,进行平安风险评估都有很大的价值,但这种方式对系统 存储容量的要求特别高;其次种方式可以削减系统的存储容量需求,但有可能丢失一些潜在 的信息,同时过滤进程还会增加系统负荷。这两种方式都需要引入淘汰机制来掌握存储空间 的增长。同时,系统还应采纳诸如计算校验和的方式来检验数据的完整性。第四,数据分析。数据分析是动态取证关键,目的是识别入侵企图,并尽可能地还原 网络

10、中发生的入侵大事。网络数据的分析分为基本分析和深化分析两个阶段。基本分析能解 决一般性的取证问题,同时为深化分析做预备。它包括对网络数据进行查询、分类、解码、 简化等操作。其中,解码包括解密和合同分析。在动态取证系统中,合同分析是一种重要的 现场重现手段。深化分析则包括对网络数据进行重组、查找数据的来源、网络数据间的关联 性分析、重建网络大事、图形化网络关系等。动态取证技术也会有误报和漏报,但原始数据 的存在,供应了充分、完全的现场资料,允许人们对之进行更深层次的分析和验证。第五,过程纪录。是为了保证计算机取证中“证据的连续性”这一个重要原则,动态取 证系统还应当具有贯穿全过程的纪录功能,纪录

11、内容主要包括网络取证系统当时的状态及性 能状况,报文丢失情,丢失的时间,由哪个组件丢失,操作人员在使用网络取证系统过程中 的全部动作,这样有利于对猎取的数据及相关的分析进行正确评价;此外动态取证系统一般 还应具备报警功能,能准时通知平安人员进行大事处理,从而防止入侵大事的发生或削减相 应损失。(三)、计算机动态取证的基本原理计算机动态取证所提取证据涉及电子证据的问题,电子证据具有特别高的技术要求, 因此,电子证据的提取必需严格遵循如下原则3;第一,必需保持数据的原始性:取证过程中分析的数据是从原始数据复制的。第二,必需保持数据在分析和传递过程中的完整性:在分析和传递的过程中数 据不会被转变。第

12、三,必需保持证据的连续性:提取的证据必需环环相扣、紧密联系,在提交 法庭时必需能将证据的演化过程完整陈述。第四,必需保证取证过程的合法性:取证过程中全部的程序方法都必需合法, 由特定的机构组织专家监督。第五,取证的过程和结论必需可重现:取证分析的结果可以通过肯定的技术操 作重现。计算机动态取证技术(一)、计算机动态取证的现状由于计算机动态取证的特别性和简单性,计算机动态取证面临着种种难题。一方面是 现代计算机网络高速进展,计算机黑客技术也快速进展,犯罪嫌疑人采用各种技术手段清除 犯罪痕迹、更改犯罪证据。这一来犯罪分子的犯罪证据就很难被把握。另一方面是各国现有 的针对计算机犯罪的法律法规不完善,

13、也是造成取证困难的缘由。现在世界各国都在全力研 制和开发相关的计算机动态取证工具,加快相关法律法规的制定,使计算机犯罪分子受到应 有的制裁,爱护公民的合法权益。(二)、对计算机动态取证的具体描述动态取证是对网络数据流和启动的计算机系统中的数据进行检测证据,提取犯罪的。 动态取证是将取证技术结合到防火墙和入侵检测技术中,对全部的可能实施犯罪的计算机的 数据进行提取和分析,动态分析入侵者的具体信息或通过切断链接或诱敌深化的方式提取实 时电子证据,猎取全面真实的电子证据,并对证据进行鉴定、保全并提交的一个系统过程。 同时通过动态取证还可以分析嫌疑人的犯罪手段、作案动机,为调查工作的深化开展供应更 多

14、的线索。由于自身的特别性,动态取证技术性要求高,存在证据易丢失、易破坏的风险。动态的电子证据是被动的靠攻击时的网络数据实时捕获来实现的,但是网络数据是不行 能完全捕获的,软硬件也不能承受完全捕获所带来的负荷。可见,计算机动态取证在全面猎 取证据时还是存在肯定的缺陷的。(三)、与静态取证比较计算机动态取证的优势静态取证是针对未运作的计算机系统以及相关设施中的静态数据的取证。而动态取证 是针对网络数据流和启动的计算机系统中的数据进行检测证据,提取犯罪的。静态取证是通过相关的文件、日志分析工具对嫌疑人在犯罪现场系统内的遗留信息进 行分析和提取,因此静态取证受制于嫌疑人所留下的犯罪现场,猎取的证据往往

15、不完整。而 动态取证是将取证技术结合到防火墙和入侵检测技术中,智能的对网络数据流和计算机系统 的运行进行实时的动态监控。计算机动态取证还能纪录系统的工作、黑客入侵的全过程,截 取入侵者得相关数据,对入侵的方法进行技术分析,讨论防备进攻的方法,解决消失的问题。又由于网络监控系统一旦发觉入侵行为,就会立即启动取证系统进行动态取证,这样 可以完整地纪录入侵大事的全部过程。所以动态的取证技术在取证的时机、地点、环境等方 面,较静态取证技术更具有优越性。四、计算机动态取证综合系统(一)、系统的功能描述与设计目标1、总体目标本项目的总体目标是开发一套适合计算机犯罪的动态取证软件,主要包括服务端程序和 管理

16、掌握台程序。系统必需从猎取的信息中提取出有效的电子证据,系统必需对计算机进行 实时的监控,还必需保证系统能适应环境的变化状况,同时还必需要保证系统牢靠性、可用性。这样才能有效的提取犯罪证据,快速的侦破案件。2、服务端程序功能分析服务端程序,主要负责数据的监控和取证工作。并且对系统的操作状况进行实时纪录, 包括纪录软件安装、程序运行、邮件收发、扫瞄器历史、键盘纪录和重要文件的操作等信息。 爱护所猎取的数据不被窃取和破坏,并从猎取的数据中提取有效的证据。程序还能和入侵检 测程序结合达到爱护目标机不被黑客和病毒程序破坏的目的。3、管理掌握台程序功能分析当目标机上消失需要人工介入的状况时,管理掌握台应

17、能准时的对目标机器进行远程 掌握和取证,从而敏捷地应对自动取证功能所不及的情形,准时的猎取更多有效证据。管理 掌握台还可以为取证系统供应支持,准时更新规章、策略等信息、。友好的人机交互界面是软 件与外界进行沟通的窗口,也直接关系到软件系统的可用性和有效性。(二)、系统的总体结构计算机动态取证系统的总体结构为分层的体系结构,依据取证系统的工作需要,还可 以把取证系统依据其功能的不同分为业务层、连接认证层和数据加密层三个功能层次。4 业务层供应与计算机取证最直接的功能,如数据猎取、数据实时分析与猎取、证据保全功能, 以及管理掌握台端的取证策略管理、远程掌握、数据分析和报告生成等;认证层则对出入计

18、算机的网络连接进行身份认证,确保所建立的连接是平安合法的;加密层则是对上层传来的 数据进行加密,对下层传来的数据进行解密,从而保证数据在传输过程中的不被窃取或篡改。 有了各功能层之间的相互连接协作为系统供应牢靠的服务,系统才能平安有效的运行。系统的各层之间都是相互独立的,而且各层的敏捷性较好,结构上可分割开又能很好联 系。尽管各个层之间有的联肯定系,但是各层之间不需要知道其他层是如何实现的,而仅仅 需要知道该层通过层间的接口所供应的服务。由于每一层只实现一些相对独立的功能,因而 可将一个难以处理的简单问题分解为若干个较简单处理的更小一些的问题。这样,整个问题 的简单程度将下降了。当任何一层发生

19、变化时,只要层间的接口关系保持不变,则在这层以 上或以下各层均不受影响。并且各层都可以采纳最适合的技术来实现。这种结构是为了实现 和调试一个浩大而又简单的系统变得易于处理,由于整个的系统已被分解为若干个相对独立 的子系统。原型系统分层体系结构图(三)、数据平安传输与储存计算机动态取证系统提取的数据能否平安有效地传送到数据存储库,就取决于系统数 据存储中心的平安传输力量了。而且,在平安有效的猎取数据是还需要有效的储存和组织数 据。这个过程不仅要数据的平安性,还需要保证数据的原始想,不能对数据进行更改、删除、 添加。在这过程中我们可以使用加密插件来进行加密、解密,传出数据时进行加密,传入数 据时解

20、密,这样便爱护了数据在分析的过程中不被窃取或删改。由于电子证据本身的特别性, 可以采用数据库的数据挖掘进行存储和组织,便于数据的处理,猎取有效的电子证据。(四)、系统的模型5计算机动态取证系统由数据猎取模块、数据挖掘模块、数据分析模块、证据鉴定模 块、证据保全模块、证据提交模块构成。取证系统结合入侵检测系统全面监测系统活动,一旦有非法入侵者进入系统,入侵检 测系统准时报警;数据猎取模块快速的从系统和日志文件、周边数据、网络数据包等平安依 法提取动态数据外,并将数据处理成符合数据仓库存储格式后存入数据仓库;数据挖掘模块 对数据仓库的数据进行一系列处理、使用关联规章分析,、分类、联系分析技术方法发

21、觉大事 之间的时间和空间的联系,找到用于数据分析的特征、模式、规章与学问,应用于数据分析 模块;运用数据挖掘模块和数据分析模块对数据仓库中的数据的分析,提取出反映客观事实 的、与案件相关的电子证据,同时通过分析入侵来源、入侵方法,取得最新的攻击技术资料, 产生防备攻击的方法,指导入侵检测,做好防备工作;鉴定模块对搜集来的电子证据进行硬 件设施来源和软件来源鉴定发觉电子证据与犯罪事实之间的联系,从而更加有效的定位犯 罪,为案件的侦破供应有力证据;数据保全模块将数据分析、鉴定出来的证据使用数据加密、 数据摘要和签名技术加密传送到数据库;最终将犯罪证据生成完整的报告,以法律程序提交 法庭。整个取证过

22、程数据仓库、学问库和证据库不断更新,入侵监测系统与动态取证系统互 动。计算机动态取证模型I入侵检测kI入侵检测kA数据挖掘数据数据获取证据库数据仓库证据鉴定证据保全计算机动态取证模型五、总结文章首先总结了计算机取证技术的进展历程、讨论现状、进展趋势,分析了现有的计算 机取证技术存在的突出问题。针对现有的网络平安技术存在的问题,指出要解决日益猖狂的 计算机网络犯罪,关键是借助完善取证系统和法律手段进行计算机取证。并且对静态计算机 取证技术和动态计算机取证技术进行了分析。随着社会的进展,信息化和网络化大潮的快速推动,计算机犯罪层出无穷,数不胜数, 在社会上造成严峻的损失。由于目前绝大多数涉及计算机

23、犯罪的案件,都因无法供应有效的 证据而使犯罪分子逍遥法外。如何采用计算机取证来打击和遏制计算机犯罪,正成为信息平 安专家和法学专家共同关注的热点。虽然计算机动态取证已经有肯定的讨论成果,但是还不 够完善。随着网络技术的飞速进展、计算机犯罪技术手段的不断提高、反取证技术的消失, 计算机动态取证仍将面临新的挑战。为了提高实时动态取证的力量,将入侵检测系统和防火墙系统引入计算机取证系统,在 被爱护主机上对流经的网络数据和系统中的用户行为进行实时监视,识别并猎取入侵者的数 据,提取有效的证据。弥补了静态取证技术缺乏取证准时性的缺点,实现了系统的敏捷性、 扩展性、牢靠性,提高了计算机网络系统的自我爱护力量和取证的效率。参考文献1蔡耿平.网络取证系统的讨论与设计:硕士学位论文.中山高校2005【2】徐宏斌.计算机动态取证技术讨论.贵州警官职业学院学报1671-5195(2(X)7)01-0087-03【3】刘东辉.计算机动态取证的技术讨论.长春吉林公安高等专科学校,2005,94刘德.开放网络环境下动态计算机取证技术讨论:硕士学位论文.华中科技高校20075谭敏.计算机动态取证关键技术讨论:硕士学位论文.中南高校,2007

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 解决方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁