网站原创摘 要:IT取证技术是法律诉讼环节中的重要组成部分,通过IT取证技术来采集到的电子证据是法庭进行犯罪后果的衡量并进行量刑定罪的根据.随着如今计算机犯罪的增多,传统的IT取证技术仅限于案发后的静态取证,难以满足证据的有效性、真实性和及时性.因此基于网络动态的IT取证技术是非常必要的,它能够防止由于不及时取证而导致的证据缺失,保证取证工作的质量和效率.
摘 要:网络动态IT取证;系统构建;设计方案
中图分类号:TP311文献标识码:A文章编号:1009-3044(2012)30-7201-02
1IT取证技术概述
IT取证技术一般是指对计算机或者其他网络设备中存储的电子数据证据进行一系列的收集、识别、检查、保护和分析工作并最终在法律诉讼中进行出示的技术.IT取证技术是法律诉讼环节中的重要组成部分,法庭根据IT取证技术采集到的电子证据进行犯罪后果的衡量并量刑定罪,这个过程不仅与计算机学科相联系,而且需要满足相关的法律要求,因此在取证过程中需要遵循一定的原则和标准来开展.首先是合法性原则,即IT取证工作的基本要求是符合法律规范,如此才能在证明相关犯罪活动时是有效的,这包括了专业人士见证过程和保护证据的连续性这两方面的合法性;其次是实时性原则,即在取证时要实时快速,这样才能保证有关的证据不会被修改或毁灭;接着是多备份原则,应该对证据进行两个或者以上的备份保存,以防止数据的流失;另外是环境原则,即对计算机相关证据的存储介质或者媒体进行安全标准的规范;最后是全面性原则,要求整个IT过程中最好不要丢失任何有参考价值的信息,要尽可能多的收集比较全面的信息内容.
IT取证技术的对象是电子数据,电子数据证据具有易损坏性、易改性、隐蔽性和存储方式多样性等特点,其在计算机内的存储方式分为易流失的证据和相对较稳定的证据,前者在计算机重新启动或者关机后可能不复存在,后者指临时文件、隐藏文件、普通文件、注册表文件等比较稳定的证据.IT取证工作必须按照规定好的流程进行,才能保证工作的高效性.IT取证工作第一步是对相关犯罪现场进行查看以进行证据的获取;第二步是数据的传输,传输过程要具有保密性,防止数据遭受非法入侵或获取;第三步是证据的保存,可以使用光盘、硬盘或磁带进行数据的备份;第四步是证据的识别,即从众多的数据中识别出可以反映犯罪行为和活动的电子数据;最后一步是数据的分析,即将收集到的数据、备份和程序通过现场重建手段分析它们之间的关联,最后提交给法庭作为诉讼的证据.
2基于网络动态的IT取证系统构建
2.1IT取证技术工作过程
随着计算机网络技术的发展和运用,人们的生活效率提高的同时,利用信息技术进行犯罪的活动也日益增多,因此利用IT取证技术提供有效可靠的电子证据给一些法律诉讼案件是非常必要的.目前在使用的IT证据分析技术是指在已经收集到的信息或数据中寻找或匹配关 键 词和短语,为了保证取证工作的合法有效,必须严格的按照相关流程进行.首先对目标系统进行保护,在此前提上进行电子数据证据的获取和收集,然后将收集到的电子数据证据通过特定的渠道进行传输,传输过程要保密安全,在接收到电子数据证据后对它们进行技术识别,识别通过以后,利用IT技术对这些电子数据证据进行专业的分析,最后将分析后的结果作为法律诉讼的证据提交给法庭.在进行电子证据的获取、传输、识别、分析整个过程中,都需要使用到IT取证工具.只有严格遵循以上的流程开展IT取证工作,才能保证收集到的电子数据的实时性、有效性和合法性.
2.2系统设计方案
针对目前传统的事后取证方法具有数据容易流失、重要文件容易被入侵修改和删除等缺陷,本文进行基于网络动态的IT取证系统的设计,将IT取证工作提前到犯罪活动发生之前和犯罪活动发生时,兼顾来自内部和外部的犯罪活动过程,以尽可能准确的获取相关犯罪的信息.基于网络动态的IT取证系统的设计思想如下:
| 有关论文范文主题研究: | 关于计算机的论文范文资料 | 大学生适用: | 本科论文、研究生论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 89 | 写作解决问题: | 写作技巧 |
| 毕业论文开题报告: | 论文提纲、论文前言 | 职称论文适用: | 核心期刊、职称评中级 |
| 所属大学生专业类别: | 写作技巧 | 论文题目推荐度: | 经典题目 |
1)为了解决一些计算机系统被非法入侵或者非法使用后,造成重要数据容易丢失或者被修改此类问题,系统可以在运行时,将其中一个取证写作技巧进行隐蔽运行,这样可以根据具体的系统取证环境、工作需要和网络环境的要求,对系统中的一些重要数据进行不定时的记录和备份.
2)当计算机的管理员发现系统被非法入侵或者使用时,可以通过隐蔽的取证写作技巧对系统中容易丢失的数据以高速缓存或内存形式进行备份保存.
3)一方面通过网络取证实时的监视网络活动,有选择的进行保存一些有用的电子数据,如内部工作人员将内部信息外传等;另一方面网络取证对来自于网络的一些攻击行为产生的数据进行保存以便分析.
4)针对这些需求进行相关取证以后,可以提供重要的资料给之后的取证工作,包括一些无法在犯罪后由专业人员提取的资料.本系统设计方案考虑围绕两个方面进行取证,第一是攻击目标为计算机系统的犯罪行为,第二是犯罪工具为计算机的犯罪活动,通过网络写作技巧和取证写作技巧对与这两类犯罪活动有关的潜在电子证据进行收集,并通过安全加密传输到怎么写作器进行统一保存,以保证电子数据证据的可靠安全性.
2.3系统实现
本文研究的基于网络动态的IT取证系统是通过client/server结构来实现的,主要包括取证写作技巧、安全怎么写作器、取证分析机、网络取证机、管理控制台几个主要部分:(1)取证写作技巧是指以系统怎么写作的形式在被取证机上长时间运行一个程序,此程序不断的进行日志文件和其他现场证据的收集;(2)安全怎么写作器是一个仅仅开放一部分必要怎么写作的怎么写作器,负责保存网络取证机和取证写作技巧所收集的电子证据数据;(3)取证分析机是指利用数据的挖掘技术对安全怎么写作器上保存的进行更加深入的分析以生成结果;(4)网络取证机通过把网络接口的模式设置为混杂模式,从而监听一些网络数据;管理控制台为安全怎么写作器和取证写作技巧之间提供了认证,以有效管理系统各个部分的运行.
基于网络动态的IT取证系统的实现通过下面几个步骤来完成,首先通过被取证机来启动运行单机进行取证写作技巧,与此同时启动安全怎么写作器和网络取证机;接着通过管理控制模块建立认证于怎么写作器和网络取证机之间;其次网络取证机监听网络上的数据的方法是设置网络接口,并根据分析相关协议来将信息捕获并传输给怎么写作器;然后为达到原始数据的精简而进行数据过滤;接着根据所进行调查的案件具体情况,对电子数据进行深层分析和关联分析,对系统行为或者网络行为进行重建;最后对全部的取证流程进行总结,得到结论并写成报告,提交给法庭作为证据.
IT取证系统的实现实例是用于入侵监测的CIDF模型的运用,CIDF模型方案通过构建比较完善和全面的入侵检测框架来实现取证系统的实际应用.CIDF模型的组成结构为(1)事件产生器(EG):提供从计算环境中采集的事件给系统的其他组成部分.(2)事件分析器(EA):对收集到的数据进行相关分析并得出结果.(3)事件数据库(ED):用来存储不同类型的中间数据以及最终数据.(4)响应单元(RU):将接收到的GIRO进行响应和处理,并采取针对性的措施.
为了确保CIDF入侵检测模型各个组成部分高效和安全的通信功能,CIDF的通信功能的实现由消息层、GIDO层及协商传输层三层结构来协助完成.消息层保证了加密消息在NAT或者防火墙等装置之间传送的安全可靠性;GIDO层对于各类发生事件的语言含义进行了定义并增加了各组成部分的可操作性;协商传输层规定了各个组成部分进行GIDO传送时的机制.CIDF模型使得IT取证系统实现了IDR各个组件的可操作性和软件的复用,通过AIP接口来进行GIDO层的传递、解码和编码,使得计算机人员在对传递过程的细节和编码不了解的状况下,通过一种很简便的方法来传递和构建GIDO.作为IT取证系统为了处理入侵检测系统的互操作性问题和标准化问题的初次尝试,CIDF模型所提出的完整的运行方案为取证系统的开发者和实现者提供了非常大的方便,对IT取证系统的实现具有重大的意义.
3结束语
基于网络动态的IT取证系统的实现,解决了传统的取证技术所面临的难题,有效的弥补了事后取证造成的证据缺失和不足,能够全面的捕获一些潜在的电子证据,并安全传输到怎么写作器进行保存,最终通过深层分析得到相关结论,提交到法庭作为诉讼证据使用,在有助于犯罪案件侦查的同时,提高了网络信息的安全.