本站原创摘 要:目前网络安全问题日益成为广大网络用户所关注的,为此网络取证也就成为打击网络犯罪活动的有效办法之一,然而在以前人们的网络安全主要是网络防御为主.本文对网络取证的模型进行了介绍,对网络取证过程中传统的防御技术进行了分析,最后提出了网络取证的发展趋势.
关 键 词:网络犯罪网络取证网络安全
中图分类号:TP399-C2文献标识码:A文章编号:1007-9416(2012)11-0187-01
网络取证的定义就是为了揭露或应急响应发生或已经发生的入侵、破坏、危及网络系统安全的犯罪行为,采用科学的技术手段从多数据源收集、融合、鉴别、检测、关联、分析和建立数字证据应用于法律诉讼的过程[1].
1.网络取证模型
1.1 计算机取证模型
从20世纪末以来,各种计算机取证模型被人们不断提出,主要有基本过程模型、事件响应过程模型、法律执行过程模型和过程抽象模型等.在总结前人成果的基础上Brian Carrier等人提出了传统的计算机取证模型,即综合计算机取证模型[2].见图1.
图1 综合计算机取证模型
1.2 网络取证模型
网络取证模型与传统的取证模型有所不同,传统取证模型搜集证据是在检测到数据攻击之后才开始,网络取证模型搜集证据先于犯罪行为发生前就开始了,如图2所示.
图2 网络取证模型
2.网络取证的网络安全防御技术
网络取证常常要借助一些相对成熟的网络安全防御技术,如入侵检测技术、蜜罐技术、计算机取证技术等.
2.1 入侵检测技术
入侵检测技术是指从计算机网络或计算机系统中收集信息并对其进行分析,并且从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术[2].在取证的过程中入侵检测系统用来触发取证过程,作用与“传感器”相当,它将检测产生的警报作为重要信息来源,帮助我们分析数据的来源.
2.2 蜜罐技术
蜜罐是一种在互联网上运行的计算机系统,目的在于吸引攻击者、然后记录下其一举一动.它是专门为了引诱那些企图非法闯入他人计算机系统的入侵者而设计的.蜜罐好比是情报收集系统,设计蜜罐主要是给攻击者提供一个容易攻击的目标,引诱前来攻击.当攻击者入侵后,该系统能够自动监视和记录其所有的操作行为,了解使取证人员了解到到攻击者的行径、策略、工具和目标,实现实时取证.
3.网络取证的发展趋势
目前我国的网络取证工作虽然取得了一些成绩,但还处于起步阶段,还存在诸多不足有待于进一步完善.
3.1 应不断健全相关的法律法规
目前我国在计算机取证方面的立法工作还存在很多空白,迄今为止还没有制定专门的计算机取证方面的法律法规.计算机取证工作程序也不够规范,获取证据的过程具有较大的随意性,因而获取的计算机证据缺乏足够的法律力度,往往不能够作为一种单独的法庭证据对网络罪犯进行指控.
3.2 应加强取证工作的制度建设
目前我国的网络取证工作缺乏统一的标准和规范,缺少有效的机制对取证人员进行培训和认证,目前我国还没有网络取证机构和从业调查人员的资质的相关认证机构.现阶段开发出的网络取证工具也缺少统一的标准,使用者在在取证时很难确认它们的可靠性及有效性,获得的取证结果往往也缺乏有效的法律效力.因此我国必须加快司法认可的网络取证标准和规范的制定的步伐,从制度上确保取证工作的权威性.