浅谈建设网络IT取证系统

  • 格式:doc
  • 大小:24.50 KB
  • 文档页数:5

浅谈建设网络IT取证系统
【摘要】随着计算机网络技术的发展和运用,人们的生活效率提高的同时,利用信息技术进行犯罪的活动也日益增多,因此利用it取证技术提供有效可靠的电子证据给一些法律诉讼案件是非常必要的。

【关键词】网络;it取证;系统构建
一、it取证技术概述
it取证技术一般是指对计算机或者其他网络设备中存储的电子数据证据进行一系列的收集、识别、检查、保护和分析工作并最终在法律诉讼中进行出示的技术。

it取证技术是法律诉讼环节中的重要组成部分,法庭根据it取证技术采集到的电子证据进行犯罪后果的衡量并量刑定罪,这个过程不仅与计算机学科相联系,而且需要满足相关的法律要求,因此在取证过程中需要遵循一定的原则和标准来开展。

首先是合法性原则,即it取证工作的基本要求是符合法律规范,如此才能在证明相关犯罪活动时是有效的,这包括了专业人士见证过程和保护证据的连续性这两方面的合法性;其次是实时性原则,即在取证时要实时快速,这样才能保证有关的证据不会被修改或毁灭;接着是多备份原则,应该对证据进行两个或者以上的备份保存,以防止数据的流失;另外是环境原则,即对计算机相关证据的存储介质或者媒体进行安全标准的规范;最后是全面性原则,要求整个it过程中最好不要丢失任何有参考价值的信息,要尽可能多的收集比较全面的信息内容。

it取证技术的对象是电子数据,电子数据证据具有易损坏性、易改性、隐蔽性和存储方式多样性等特点,其在计算机内的存储方式分为易流失的证据和相对较稳定的证据,前者在计算机重新启动或者关机后可能不复存在,后者指临时文件、隐藏文件、普通文件、注册表文件等比较稳定的证据。

it取证工作必须按照规定好的流程进行,才能保证工作的高效性。

it取证工作第一步是对相关犯罪现场进行查看以进行证据的获取;第二步是数据的传输,传输过程要具有保密性,防止数据遭受非法入侵或获取;第三步是证据的保存,可以使用光盘、硬盘或磁带进行数据的备份;第四步是证据的识别,即从众多的数据中识别出可以反映犯罪行为和活动的电子数据;最后一步是数据的分析,即将收集到的数据、备份和程序通过现场重建手段分析它们之间的关联,最后提交给法庭作为诉讼的证据。

二、建设网络的it取证系统构建
2.1 it取证技术工作过程
目前在使用的it证据分析技术是指在已经收集到的信息或数据中寻找或匹配关键词和短语,为了保证取证工作的合法有效,必须严格的按照相关流程进行。

首先对目标系统进行保护,在此前提上进行电子数据证据的获取和收集,然后将收集到的电子数据证据通过特定的渠道进行传输,传输过程要保密安全,在接收到电子数据证据后对它们进行技术识别,识别通过以后,利用it技术对这些电子数据证据进行专业的分析,最后将分析后的结果作为法律诉讼的证据提交给法庭。

在进行电子证据的获取、传输、识别、分析整
个过程中,都需要使用到it取证工具。

只有严格遵循以上的流程开展it取证工作,才能保证收集到的电子数据的实时性、有效性和合法性。

2.2 系统设计方案
针对目前传统的事后取证方法具有数据容易流失、重要文件容易被黑客入侵修改和删除等缺陷,本文进行基于网络动态的it取证系统的设计,将it取证工作提前到犯罪活动发生之前和犯罪活动发生时,兼顾来自内部和外部的犯罪活动过程,以尽可能准确的获取相关犯罪的信息。

2.3 系统实现
本文研究的基于网络动态的it取证系统是通过client/server 结构来实现的,主要包括取证代理、安全服务器、取证分析机、网络取证机、管理控制台几个主要部分:(1)取证代理是指以系统服务的形式在被取证机上长时间运行一个程序,此程序不断的进行日志文件和其他现场证据的收集;(2)安全服务器是一个仅仅开放一部分必要服务的服务器,负责保存网络取证机和取证代理所收集的电子证据数据;(3)取证分析机是指利用数据的挖掘技术对安全服务器上保存的进行更加深入的分析以生成结果;(4)网络取证机通过把网络接口的模式设置为混杂模式,从而监听一些网络数据;管理控制台为安全服务器和取证代理之间提供了认证,以有效管理系统各个部分的运行。

基于网络动态的it取证系统的实现通过下面几个步骤来完成,
首先通过被取证机来启动运行单机进行取证代理,与此同时启动安全服务器和网络取证机;接着通过管理控制模块建立认证于服务器和网络取证机之间;其次网络取证机监听网络上的数据的方法是设置网络接口,并根据分析相关协议来将信息捕获并传输给服务器;然后为达到原始数据的精简而进行数据过滤;接着根据所进行调查的案件具体情况,对电子数据进行深层分析和关联分析,对系统行为或者网络行为进行重建;最后对全部的取证流程进行总结,得到结论并写成报告,提交给法庭作为证据。

it取证系统的实现实例是用于入侵监测的cidf模型的运用,cidf模型方案通过构建比较完善和全面的入侵检测框架来实现取
证系统的实际应用。

cidf模型的组成结构为(1)事件产生器(eg):提供从计算环境中采集的事件给系统的其他组成部分。

(2)事件分析器(ea):对收集到的数据进行相关分析并得出结果。

(3)事件数据库(ed):用来存储不同类型的中间数据以及最终数据。

(4)响应单元(ru):将接收到的giro进行响应和处理,并采取针对性的措施。

三、结束语
基于网络动态的it取证系统的实现,解决了传统的取证技术所面临的难题,有效的弥补了事后取证造成的证据缺失和不足,能够全面的捕获一些潜在的电子证据,并安全传输到服务器进行保存,最终通过深层分析得到相关结论,提交到法庭作为诉讼证据使用,在有助于犯罪案件侦查的同时,提高了网络信息的安全。

参考文献:
[1]郭建明.计算机取证技术的应用研究[d].兰州大学,2007.
[2]陈龙,赵国胤.计算机取证技术综述[j].重庆邮电学院学报,2005,12.
[3]许榕生,吴海燕.计算机取证概述[j].计算机工程与运用,2006,7.。