试论基于网络动态的入侵取证系统的设计和实现

摘要：随着计算机的普及，由计算机引发的案件也越来越频繁，本文即针对计算机基于网络动态的入侵取证系统的设计和实现作进一步的探讨。

关键词：网络动态;网络入侵取证系统;设计;实现

信息科技近年来得到迅猛发展，同时带来了日益严重的计算机犯罪问题，静态取证局限着传统计算机的取证技术，使得其证据的真实性、及时性及有效性等实际要求都得不到满足。为此，提出了新的取证设想，即动态取证，来实现网络动态状况下的计算机系统取证。此系统与传统取证工具不同，其在犯罪行为实际进行前和进行中开展取证工作，根本上避免取证不及时可能造成的证据链缺失。基于网络动态的取证系统有效地提高了取证工作效率，增强了数据证据时效性和完整性。

一、 计算机的入侵取证过程

计算机取证，主要就是对计算机证据的采集。计算机证据也被称为电子证据。一般来说，电子证据是指电子化的信息数据和资料，用于证明案件的事实，它只是以数字形式在计算机系统中存在，以证明案件相关的事实数据信息，其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据。

就目前而言，由于计算机法律、技术等原因限制，国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后，但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中；另外，黑客入侵等非法网络犯罪过程中，入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时，2004年FBI/CSI的年度计算机报告也显示，企业的内部职员是计算机安全的最大威胁，因职员位置是在入侵检测及防火墙防护的系统内的，他们不需要很高的权限更改就可以从事犯罪活动。

二、 基于网络动态的计算机入侵取证系统设计

针对目前计算机入侵的存在的取证缺陷和无法满足实际需要的现状，必须设计出新的网络动态状况下的计算机入侵的取证系统。此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时，还能够同时兼顾来自于计算机内、外犯罪的活动，获得尽可能多的相关犯罪信息。基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同，基于分布式策略的动态取证系统，可获得全面、及时的证据，并且可为证据的安全性提供更加有效的保障。此外，基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作。其一是攻击计算机本原系统的犯罪行为，其二是以计算机为工具的犯罪行为（或说是计算机系统越权使用的犯罪行为）。系统采集网络取证和取证两个方面涉及的这两个犯罪的电子证据，并通过加密传输的模块将采集到的电子证据传送至安全的服务器上，进行统一妥善保存，按其关键性的级别进行分类，以方便后续的分析查询活动。并对已获电子证据以分析模块进行分析并生成报告备用。通过管理控制模块完成对整个系统的统一管理，来确保系统可稳定持久的运行。

三、网络动态状况下的计算机入侵取证系统实现

基于网络动态计算机的入侵取证系统，主要是通过网络取证机、取证、管理控制台、安全服务器、取证分析机等部分组成。整个系统的结构取证，是以被取证机器上运行的一个长期服务的守护程序的方式来实现的。该程序将对被监测取证的机器的系统日志文件长期进行不间断采集，并配套相应的键盘操作和他类现场的证据采集。最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器，管理控制台会即刻发送指令知道操作。

网络取证机使用混杂模式的网络接口，监听所有通过的网络数据报。经协议分析，可捕获、汇总并存储潜在证据的数据报。并同时添加“蜜罐”系统，发现攻击行为便即可转移进行持续的证据获取。安全服务器是构建了一个开放必要服务器的系统进行取证并以网络取证机将获取的电子证据进行统一保存。并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性。而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据，以此获取犯罪活动的相关信息及直接证据，并同时生成报告提交法庭。管理控制台为安全服务器及取证提供认证，以此来管理系统各个部分的运行。

3 结束语

随着信息科学技术的迅猛发展，给人们的生活和工作方式都带来了巨大的变化，也给犯罪活动提供了更广阔的空间和各种新手段。而基于网络动态的计算机入侵取证系统，则通过解决传统计算机的入侵取证系统瓶颈技术的完善，在犯罪活动发生前或进行中便展开电子取证工作，有效弥补了计算机网络犯罪案件中存在的因事后取证导致的证据链不足或缺失。全面捕获证据，安全传输至远程安全服务器并统一妥善保存，且最终分析获得结论以报告的形式用于法律诉讼中。但是作为一门新兴的学科，关于计算机取证的具体标准及相关流程尚未完善，取证工作因涉及学科多且涵盖技术项目广，仍需不断的深入研究。

参考文献：

[1] 魏士靖.计算机网络取证分析系统[D].无锡:江南大学,2006.

[2]李晓秋.基于特征的高性能网络入侵检测系统[D].郑州:中国人民信息工程大学,2003.

[3] 史光坤.基于网络的动态计算机取证系统设计与实现[D].长春:吉林大学,2007.

[4] 张俊安.网络入侵检测系统研究与实现[D].成都:西南交通大学,2003.