第一章 绪论
网络技术犯罪作为一种高科技犯罪手段,其犯罪手段层出不穷,方法隐蔽,构成了对信息网络安全的重要威胁。网络技术给青少年的道德教育造成了更为严峻的消极影响。因此,打击网络犯罪、净化网络环境是一项刻不容缓的任务。而遏制和制止这种网络犯罪关键在于取得强有力的证据和可靠的犯罪痕迹[5]。因为,当前一方面信息网络安全问题日益严峻,而另一方面网络技术犯罪证据的取证却缺乏标准的流程,其合法性也容易受到质疑,这对侦查工作提出了新的挑战。有大量的犯罪案例由于无法取得可靠的证据而被迫放弃审理甚至起诉。因此,尽快解决计算机取证技术,是开展对网络技术犯罪行为进行制裁的有效途径。由于法律和技术等因素的制约,事后取证仍然是目前公安机关开展取证工作的主要方式。事后取证就是在犯罪事件发生才开展原始证据的搜集和保存。这种取证方式一方面是网络入侵活动已经产生,危害已经造成,而且对一些重要的网络文件来说具有不可恢复性,另一方面,犯罪采用反取证技术,掩盖犯罪行为,使静态计算机取证技术无法符合完整证据要求。为解决这一棘手问题,网络证据[5]成为新的诉讼证据的发展趋势。网络证据是指借助于网络体系结构、互联网工具和网络安全信息系统,实施实时的计算机取证[6]。网络证据的研究最早由美国信息部防御信息战分部和空军研究试验室组织开展,该联合组织建立了第一个数字取证研究部门,致力于研究取证中的核心技术,界定通用取证术语,并开展实践取证工作。从此,计算机取证作为法学领域和计算机领域的一门新兴学科,越来越受到人们的关注[8]。作为一个具有跨国性、高效性、兼容性、开放性的信心传播平台,互联网络也为犯罪活动提供了便利。
国家网络立法正在逐步确立,计算机取证是未来司法取证的一种重要技术手段。计算机取证技术使司法侦查从被动转向主动,主动地侦查攻击行为,及时获得网络原始数字信息,检测攻击行为,克服防火墙的被动防御缺陷。计算机取证技术手段获取的网络数字信息完整和原始,完全可作为第一手原始证据并具备说服力。借助计算机取证技术,还可以入侵追踪,并与入侵检测系统和防火墙结合,形成完善的网络安全体系结构。因此研究分析计算机取证技术,不仅有利于完善互联网络信息安全技术体系,更有利于互联网的健康发展,有利于制止有害信息的制造和传播,有效打击网络技术犯罪,保证企业和社会的信息安全与发展。
计算机技术取证作为一个融合了法律、互联网络和计算机技术的交叉学科和新兴领域。本文突破了静态取证模式,从网络技术的角度,建立了一套计算机技术取证模型软件系统,通过定义数据报文类型的方式,定义了报文特征库,然后利用匹配模式设计来实现捕获的数据报文与现有的特征库进行对比分析,达到对数据报文类型进行判断的目的,实现证据保存。其中主要功能有,特征库模块、数据捕获模块、取证模块以及危险判断模块等。通过这些模块实施实时而全面的、主动的、动态的取证工作,为实践和司法部门开发了新的计算机技术取证工具。本文针对计算机技术取证中的若干技术问题,分析了其详细情况并制定了解决策略,并阐明了技术发展的方向。本文分为五个部分:第一章 首先对研究背景和意义进行了阐述,接着对国内外研究现状和计算机技术取证存在的问题和发展趋势以及论文的内容和结构进行了阐述。第二章 对计算机技术取证的相关理论方法进行分析。该部分包括现有计算机技术取证方法的研究,现有计算机技术取证的相关技术研究,计算机技术取证应遵循的基本原则和步骤,计算机技术取证的定义和网络证据的来源和特点。第三章计算机技术取证软件系统模型的设计,计算机技术取证软件系统模型是实现计算机技术取证的基础,按照计算机技术取证的步骤和网络证据的采用标准,完善了改进的计算机技术取证软件系统。接着,详细地分析了模型软件系统的特点、逻辑架构、总体结构。第四章 详细研究了计算机技术取证的相关技术实现,开发了一个基于Windows 平台的包捕获程序,以获取网络封包为基础,采用模式匹配和协议分析相结合的分析方法,对入侵检测模块、数字证据分析、网络数字信息获取实施技术升级,使证据分析模块准确实施 UDP、TCP、ICMP、IP、ARP 和以太网等多种网络协议解码,使网络数字信息获取模块及时获取网络底层的封包,满足计算机技术取证的需要。第五章 对本文研究工作进行总结,并对未来研究方向进行了展望。
第三章 网络取证系统系统设计.................................................................................. 15
3.1 现有取证系统系统概述 .................................................................................. 15
3.1.1 现有取证系统分析 ................................................................................ 15
3.1.2 对这些软件系统的分析 ........................................................................ 16
3.2 基于主动的网络取证软件设计系统的设计 ................................................... 18
3.2.1 基于主动的网络取证系统概要设计 .................................................... 18
3.2.2 基于主动的网络取证系统设计过程 .................................................... 19
3.3 与其它取证系统软件的比较 .......................................................................... 24
3.4 基于主动的网络取证系统的部署拓扑架构设计 .......................................... 25
第四章 基于主动的网络技术取证系统的实现.......................................................... 37
4.1 网络数字信息获取模块的实现 ...................................................................... 37
4.1.1 数字信息包获取 .................................................................................... 37
4.1.2 数字信息包过滤 .................................................................................... 41
4.2 证据分析模块的实现 ...................................................................................... 42
4.2.1 模式匹配模块的实现 ............................................................................ 43
4.2.2 网络协议分析模块的实现 .................................................................... 45
4.2.2.1 应用层网络协议解析的实现 ......................................................47
4.2.2.2 底层网络协议解析实现 ...............................................................484
.3 入侵事件检测模块 .......................................................................................... 53
4.4 系统功能实验结果 .......................................................................................... 55
4.4.1 行为模式匹配模块的实现 .................................................................... 56
4.4.2 网路取证模块的实现 ............................................................................ 57
4.4.3 行为类型判断功能的实现 .................................................................... 59
4.4.4 电子邮件取证的实现 ............................................................................ 60
结论
本文总体上对网络技术取证进行了比较详细的研究分析。其主要内容分为以下几个组成部分。第一,本文首先对网络技术取证技术进行了详细研究,在此前提下,针对现今现今网络技术取证工作面临的主要问题进行了详细的分析。同时,还对网络证据的概念、来源和特点,以及获取原始数据信息提供法律效力的网络技术取证软件系统进行了总体上的概括。第二,在分析网络证据特点的基础上,对网络技术取证和网络技术取证标准等问题进行了研究分析。同时借助在网络技术取证实践中面临的普遍需求,开发出了一个网络技术取证系统软件,并指导当前的网络技术取证工作。此项工作使网络技术取证理论方法走向完善。本文对调查取证人员的调查方法和手段进行了限制。指出调查取证人员进行网络取证工作的原则和指导思想。同时,研究认为调查人员应该通过网络数字信息与网络环境相结合的方法开展工作,这样可以更加全面更加有利地把握网络技术犯罪调查工作。第三,网络技术取证系统软件包含了三个模块,它们是网络数字信息获取、证据研究、入侵事件检测模块。本文研究网络数字证据是基于 Wnidows 平台的基础上,通过包捕获程序,再加上网络封包等开展研究,目的是为了设计网络协议研究与模式匹配相结合的研究方法。通过这种方法捕获网络入侵事件证据。论文的最后借助实验,用相关数据表明网络数字信息获取模块能够对网络底层的封包实施捕获,而通过证据研究模块能够对以太网、ARP、TCP、IP、ICMP、与 UDP等多种网络协议进行解码,并满足网络技术取证。
参考文献
[1] 王丽娜. 数字信息安全导论 武汉: 武汉大学出版社, 2008.
[2] 贾学胜, 孙春雨. 计算机与网络犯罪专题整理,北京: 中国人民公安大学出版社, 2007. 407
[3] 国 家 网 络 技 术 应 急 技 术 处 理 协 调 中 心 《 2008 年 上 半 年 网 络 安 全 工 作 报 告 》http://www.cert.org.cn/articles/docs/common/2008112124134.shtml: 2008
[4] 谭浩等译 美 Charles P. Pfleeger. 数字信息安全技术原理与应用,第 4 版北京: 电子工业出版社, 2007.
[5] 孙波, 孙玉芳. 电子数字信息证据搜集和保存软件系统的研究与保护. 计算机研究与发展,2005, 42(8): 1422~1426
[6] Corey V, Peterman C, Shearins S, Greenberg MS, Van Bokkelen J. Network forensics analysis.IEEE Internet Computing, 2002 6(6):60-66.:
[7] Merkle L D. Automated network forhttp://www.1daixie.com/dxjsjlw/ensics. Atlanta, GA, USA : ACM, 2008
[8] Wang W, Daniels T E. A Graph Based Approach Toward Network Forensics Analysis. ACM
[9] Ponec M, Giura P, Herv, et al. Highly efficient techniques for network forensics. Alexandria,Virginia, USA : ACM, 2007
[10] Park T, Ra I. Design and evaluation of a network forensic logging system. Busan, Korea,Republic of: Inst. of Elec. and Elec. Eng. Computer Society, 2008