网络取证原理与实战
一、分析背景
网络取证技术通过技术手段，提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据，形成证据链，根据证据链对网络犯罪行为进行调查、分析、识别，是解决网络安全问题的有效途径之一。目前，传统的计算机取证模型和方法比较成熟，而应用于大数据时代则需要OSSIM等集成分析平台对海量数据尽心网络取证分析。
二、取证分析特点
网络取证不同于传统的计算机取证，主要侧重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据的检测、整理、收集与分析，主要针对攻击网络服务（Web服务等）的网络犯罪。计算机取证属于典型的事后取证，当事件发生后，才会对相关的计算机或电子设备有针对性的进行调查取证工作。而网络取证技术则属于事前或事件发生中的取证，在入侵行为发生前，网络取证技术可以监测、评估异常的数据流与非法访问；由于网络取证中的电子证据具有多样性、易破坏性等特点，网络取证过程中需要考虑一下问题：
（1）按照一定的计划与步骤及时采集证据，防止电子证据的更改或破坏。网络取证针对的是网络多个数据源中的电子数据，可以被新数据覆盖或影响，极易随着网络环境的变更或者人为破坏等因素发生改变，这就要求取证人员迅速按照数据源的稳定性从弱到强的顺序进行取证。
（2）不要在要被取证的网络或磁盘上直接进行数据采集。根据诺卡德交换原理，当两个对象接触时，物质就会在这两个对象之间产生交换或传送。取证人员与被取证设备的交互（如网络连接的建立）越多、越频繁，系统发生更改的概率越高，电子证据被更改或覆盖的几率越大。这就要求在进行取证时不要随意更改目标机器或者目标网络环境，做好相关的备份
（3）使用的取证工具必须得到规范认证。网络取证可以借助OSSIM这种安全分析平台。
由于业内水平不一且没有统一的行业标准，对取证结果的可信性产生了一定的影响。这就要求取证人员使用规范的取证工具。四处在网上下载的小工具是没有说服力的。
&&& 网络取证的重点是证据链的生成，其过程一般都是层次性的或基于对象的，一般可分为证据的确定、收集、保护、分析和报告等阶段，每个阶段完成后都会为下一个阶段提供信息，下一个阶段得到的结果又为前一个阶段的取证提供佐证。网络取证的每一个阶段都是相互联系的，这就需要这些信息相互关联，主要由关联分析引擎实现。
三、网络证据的数据源
网络取证的对象是可能记录了网络犯罪过程中遗留下来的数据的多个网络数据源。人们不管是使用Web 服务、云服务或社交网络服务，都需要包含服务提供端（如云服务器）、客户端（PC、手机等智能终端设备）以及网络数据流。
在网络取证证据的提取的过程中，首要的问题就是确定捕获什么样的数据。按照计算机取证的方法，为了准确地构造证据链，需要捕获网络环境中所有的数据（通过SPAN实现）。
四、网络证据分析
网络取证中证据链的开端是被入侵网站记录的非法访问数据。由于针对网络服务的犯罪往往是以窃取网络服务管理员的权限为突破口的，因此，进行网络取证工作时，首先就是针对用户权限以及用户访问点的调查。
取证者在可以进入程序管理模块调查用户账户的可疑记录，例如是否有管理员账户是用万能密码登陆的，后台是否有错误的管理账户登录记录以及可疑的文件记录，是否有用户加载了 跨站session 脚本等异常脚本，进行边界数据监测如文件的上传与下载等用户活动。在进行证据收集的过程中，分析电子证据体现的可疑行为，从而推断犯罪者的攻击方式与信息，以作为下一步的取证活动的指导。
发现有可疑行为的用户记录后，收集该用户访问点的所有访问记录，包括认证用户的权限与对应的会话管理等，记录该用户的所有会话ID。对于可疑的行为记录，以截图、录屏、存储等方式将证据固化到取证设备中，并使用Hash函数对数据进行计算得到信息摘要并保存在基准数据库中。在证据分析之前，对要分析的证据再做一次Hash 计算，比较两者的结果，如果相同则说明数据完整性未被破坏。分析并对应用户与会话ID 之后，则以其作为指示信息收集网络服务器及应用服务器日志中有关该用户及其所有的会话信息记录。
如果后台应用管理模块中的可疑已经被攻击者删除而无法取得可疑会话信息时，则以收集与分析可疑访问的日志作为取证主体。可疑的访问包括记录的访问频率异常、错误信息处理记录、日志审核报告、网站重定向、管理员监控警报、收集站点信息的爬虫记录以及表单隐藏域等。
收集分析日志信息的最大难点在于如何在网站庞大的数据中检索出需要的信息，网络取证技术主要采用日志精简与人工忽略两种思想进行筛选。日志精简主要是根据例如犯罪发生的时间等犯罪信息作为筛选信息进行日志筛选。另外，可以有针对性的查找特定的攻击手段
留下的痕迹。当攻击时间前后公布了某一系统漏洞或者在当时某种攻击手法正在流行时，用这种针对性比较强的调查手段会取得更好的效果。
针对网站日志的分析是Web 取证在网站服务器端的主要应用，除此之外，取证者还可以应用其他技术作为辅助手段协助完成证据链。
五、针对网络数据流的取证
网络取证需要监测网络环境信息与网络流，进行数据包的捕获与分析。网络环境的相关信息主要依靠OSSIM系统中的IDS等进行获取。这一系列的工具可以用来进行网络信息收集与网络安全监测、IP/MAC 地址的分析与定位、监测TCP/UDP 端口与DHCP 列表、SMTP 活动记录等。在进行网络包捕获方面，使用的技术包括基于Libpcap 库、PF_RING 接口、直接使用系统调用等多种。
在被捕获的网络流中，网络包会按照其在网络上传输的顺序显示，相关网络取证工具可以对这些包进行重组，即将这些包组织成两个网络连接点之间的传输层连接。虽然很多取证工具可以对未重组的原始数据进行分析，但是这样会造成非标准端口协议的丢失以及无法应对数据编码与加密传输干扰的问题。
网络取证中的相关性分析研究主要因为网络攻击行为往往是分布、多变的，因此对结果的认定需要将各个取证设施和取证手法得到的数据结合起来进行关联分析以了解其中的相关性以及对结果产生的因果关系和相互确证，才可以重构过程。[1]&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】网络犯罪的调查取证初探--《中国科技信息》2005年23期
网络犯罪的调查取证初探
【摘要】：由于网络犯罪的高技术性和隐蔽性等特点,使网络犯罪的调查取证一直是侦办此类案件的重点和难点。本文从侦查角度出发,对计算机网络犯罪的特点,取证方法和取证步骤,以及网络犯罪的取证技术发展方向等问题进行研究和探讨。
【作者单位】：
【关键词】：
【分类号】：D917;D918【正文快照】：
随着全球社会信息化、网络化大潮的推进,以计算机网络为代表的信息技术日益走进人类的工作、学习和生活,成为我们各个方面都不可缺少的一部分。我国大量建设的各种信息化网络系统也已成为国家关键基础设施。但由于信息技术本身的特殊性,在整个信息化进程中,也同时带来了巨大
欢迎：、、)
支持CAJ、PDF文件格式，仅支持PDF格式
【同被引文献】
中国期刊全文数据库
熊小敏;何细根;;[J];江西公安专科学校学报;2005年06期
屈学武;[J];法学研究;2000年04期
赵秉志,于志刚;[J];中国法学;2001年01期
【相似文献】
中国期刊全文数据库
汪洋;;[J];现代经济信息;2006年11期
黄毓毅;;[J];赤峰学院学报(科学教育版);2011年04期
宋瑜;;[J];市场周刊(理论研究);2011年07期
卢晓丽;;[J];太原城市职业技术学院学报;2011年06期
吴刚;;[J];法制与社会;2011年26期
张玉芳;;[J];互联网天地;2011年08期
;[J];信息安全与通信保密;2011年08期
罗欣;;[J];法制与经济(下旬);2011年08期
杨燮蛟;魏彬;赵雪;;[J];行政与法;2011年08期
崔洁;肖水金;朱琳;;[J];政府法制;2011年19期
中国重要会议论文全文数据库
李成;;[A];中国犯罪学研究会第十四届学术研讨会论文集（上册）[C];2005年
陈建民;;[A];第十六次全国计算机安全学术交流会论文集[C];2001年
沈惠芳;;[A];中国犯罪学学会第十八届学术研讨会论文集（上册）[C];2009年
徐蕾;;[A];“高教强省”探索与实践——高教科研2008[C];2009年
卓翔;;[A];中国犯罪学研究会第三届会员代表会议——暨第十一届学术研讨会会议论文[C];2002年
邓小刚;;[A];中国犯罪学研究会第十四届学术研讨会论文集（上册）[C];2005年
李双其;;[A];中国犯罪学研究会第三届会员代表会议——暨第十一届学术研讨会会议论文[C];2002年
滑建忠;温晋英;;[A];全国计算机安全学术交流会论文集（第二十二卷）[C];2007年
聂里宁;;[A];第十九次全国计算机安全学术交流会论文集[C];2004年
宫厚军;;[A];中国犯罪学研究会第十四届学术研讨会论文集（上册）[C];2005年
中国重要报纸全文数据库
;[N];中国质量报;2008年
王丕屹;[N];人民日报海外版;2008年
吕鸿　丁大伟;[N];人民日报;2009年
赵明;[N];中国经济时报;2009年
赵枫;[N];西部法制报;2009年
刘倩茹;[N];西藏日报;2009年
李学梅;[N];中国社会报;2010年
马薇;[N];贵州政协报;2010年
钱堃;[N];人民公安报;2010年
陈丽平;[N];法制日报;2010年
中国博士学位论文全文数据库
卓翔;[D];中国政法大学;2004年
中国硕士学位论文全文数据库
张文静;[D];中国政法大学;2010年
丛艳华;[D];哈尔滨工程大学;2003年
谢志涛;[D];华东政法学院;2002年
汪剑歆;[D];华东政法学院;2003年
郑怀瑾;[D];福州大学;2005年
孙立智;[D];四川大学;2004年
刘宇萍;[D];中国政法大学;2001年
王立东;[D];中国政法大学;2010年
夏菲;[D];华东政法学院;2003年
李学刚;[D];西南政法大学;2006年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊（光盘版）》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址：北京清华大学 84-48信箱 大众知识服务
出版物经营许可证 新出发京批字第直0595号
订购热线：400-819-82499
服务热线：010--
在线咨询：
传真：010-
京公网安备75号503 Service Temporarily Unavailable
503 Service Temporarily Unavailable
openresty/1.9.7.4网络犯罪取证 必须主动出击 - 谷普下载┆┆┆┆┆站内软件文章
| 当前位置： →
→ 网络犯罪取证 必须主动出击编辑：佚名　来源：本站整理　更新： 19:34:04分享到空间： 有一群人，当你打开qq聊得天花乱坠时，他躲在你的背后偷窥着你的聊天记录；无论是你的存储还是删除，无论是你上网，还是在潜水，你的每一个行踪，你的每一个私密的文件，他都了如指掌，甚至引诱着你进入一个罪恶的陷阱……　　网络江湖险恶，魔高一尺；　　有一群人，守望在你背后的背后，当你的计算机受到骚扰、你的利益受到侵犯的时候，他们用超强的技术为你挽回损失；当国家的重要机密被他人窃取时，他们会在第一时间为国家找回被盗的内容……　　他们莫测高深，道高一丈。　　□锋芒毕露　　黑客峰会四川小伙赢得掌声　　―18日，全球300多位超级黑客精英会聚北京化工大学会议中心，应邀参加“CCFC2006第二届中国计算机取证技术峰会”，他们是揭开黑客取证技术神秘面纱的幕后高人。　　而在这次被称为“黑客峰会”的会议上，最年轻的一名计算机取证专家陈虹宇，幸运的成为了中国计算机取证技术峰会四川惟一的特邀嘉宾，他也是全国最早提出计算机取证主、被动体系的专业人士。　　取证必须主动出击　　“一旦网络安全出了问题，资源受到破坏的时候，我们应该如何取证？如果按照以前的操作模式，那就只能等到出了事后再采用被动举证。试想如果能够提前对这些可能出现的事故，进行预先监控和防范，那结果又将是如何的？”谈到计算机取证的发展，陈虹宇在作报告时表示，希望我们的取证不要停留在被动取证的时代，而是能够防患于未然的采用主动取证的方式，这样虽然采用提前监控的方式会增加一些成本的投入，不过这和被破坏之后需要恢复所需的成本相比，是微不足道的。这就当相于在每条马路的十字路口装一个摄像头，之后发生了任何交通事故，都可以实时的还原当时的情况，比之后寻找逃逸车辆信息等要容易得多了。最后，他肯定地称，不久后，主动取证将会替代被动取证，其精彩的报告引来了300余名参会“黑客”的热烈掌声。　　现状取证专家紧缺　　“计算机取证技术的地位就犹如打击街面　　犯罪，全球统一战线！”陈虹宇在接受记者采访时表示，在一个计算机领域，如果没有专门的取证技术，计算机行业也不可能顺利的发展以及　　良好的运行，但在取证方面也存在着相当大的　　难度。　　随着计算机技术应用的普及，网络犯罪也逐渐发生在人们身边。特别是通过“黑客”谋取利益的事情已不足为奇，为了抑制计算机犯罪，除了通过公安机关的监督制止以外，还需要一批专门针对计算机犯罪的事件进行取证调查的专家，但目前这方面的人才不是很多。　　□网络警察　　现实犯罪与虚拟犯罪相关联　　据四川省公安厅公共信息网络安全监查处透露，至1996年深圳发生一起计算机犯罪案以后，每年计算机犯罪案件都在以30%的增长率在递增。省公安厅网监处相关负责人表示，虚拟犯罪与现实犯罪是联系在一起的。　　“其实计算机犯罪和现实生活的犯罪是密不可分的，计算机犯罪最终还是要还原到现实生活中去。”网监处副处长张光峰表示，计算机犯罪与现实犯罪的目的是一样的，都是为了谋取某种利益而实施的犯罪，比如通过计算机将某公司的重要客户资料盗走后，再拿这份重要资料来对该公司实施敲诈。　　□专家呼吁　　计算机法律还需健全　　对于计算机犯罪，记者采访了四川省社会科学院社会研究所副所长胡光伟，他表示，自从计算机诞生以来，就颠覆了人类的生活，让人类完全走向了计算机时代，同时，更促进了科技的进步。但在目前，我国对计算机犯罪的准备工作还做得不够。　　“比如在计算机未面世以前，偷东西还得跑到别人家里来偷，可是现在的犯罪，逐步走到直接运用计算机就可以实施犯罪了，所以我国对计算机犯罪方面还得加强研究。”对于计算机取证，胡教授认为，现阶段，我国关于计算机犯罪、取证等方面的法律还不太健全，要想完善计算机的各种管理，法制建设必须要跟上。
　　★　　黑客案例　　摄像头自动开启隐私遭偷窥　　2006年2月，中央电视台就曾经报道过这样一件离奇的事情，蒙城的杨某夫妇都喜欢上网聊天，2005年9月的一天晚上，杨某夫妇像往常一样打开电脑，眼前的情形却让两人大惊失色―――在一个网名叫“坏脾气”的人发来的电子邮件中，内容竟然是他们在家过夫妻生活的镜头！于是夫妻俩随即报了警，经过蒙城县公安局民警现场勘察，排除了其他人在其家中安装摄像头进行偷拍的行为。　　一家人私密的活动是如何被偷拍的？就在警方继续调查的时候，“坏脾气”又在网上出现了，并向夫妻俩敲诈5000元现金。通过网上留下的线索，警方锁定了“坏脾气”，在一系列网络技术手段的帮助下，蒙城警方在日将“坏脾气”抓获归案。　　原来，在案发一个月前，张某就通过网络下载了一个木马程序，并把这个木马程序挂在一个游戏论坛的网页上面等待网民下载。一旦网民下载并点击的话，木马程序就会自动解压安装到点击人的电脑上面，让张某可以远程控制自己的电脑。“我正好在那个时间段上网，然后浏览那个机器，一台一台看过去，谁会知道那边正好电脑开着，而且正好床对着摄像头，正好他们夫妻正在做这件事，完全是一种巧合。”张某表示。　　28万工资被员工盗走　　深圳某公司天津分公司负责人肖某的太太到银行取丈夫当月的工资，但银行显示钱并没有到账。肖太太于是打电话回公司查询，财务人员到银行查询后得知该公司从董事长到中、高层管理人员共19人的7月份工资，一共28万余元全都无影无踪了！　　警方综合各方面的线索判定，犯罪嫌疑人极有可能是该公司内部员工，并且有很高的电脑网络水平。最后，警方将曾在该公司工作过的、一名叫杜某的男子锁定为重大嫌疑人。此人今年26岁，毕业于某重点大学计算机系，电脑水平高超，获得过美国微软公司的特别认证。12月18日，在摸清犯罪嫌疑人的情况后，专案组千里奔赴长沙，并于当日上午11时将正要外出的杜某堵在了门口。　　美国防部遭袭击　　1994年，格里菲斯空军基地和美国航空航天局的电脑网络受到两名黑客的攻击。同年，一名黑客用一个很容易得到的密码发现了英国女王、梅杰首相和其他几位军情五处高官的电话号码，并把这些号码公布在互联网上。　　1995年，“世界头号电脑黑客”凯文?米特尼克被捕。他被指控闯入许多电脑网络，包括入侵北美空中防务体系、美国国防部，偷窃了2万个信用号卡和复制软件。同年，俄罗斯黑客列文在英国被捕。他被控用笔记本电脑从纽约花旗银行非法转移至少370万美元到世界各地由他和他的同党控制的账户。　　早报记者肖蜀韵摄影向宁
　　F B I 公布2005年度计算机犯罪调查结果　　●攻击频率九成企业遭受过计算机安全事件，两成企业声称次数在20次以上。　　●攻击类型病毒(83.7%)和间谍软件(79.5%)为主。　　●经济损失超过六成的企业声称有经济损失，病毒和蠕虫导致了1200万美元的损失，是总共3200美元总损失的大头。●攻击来源来自36个不同的国家，其中来自美国的占(26.1%)。●安全防范大多数企业都说已经安装了最新的安全补丁，但是更高级的安全技术比如生物技术和智能卡认证等用的很少，另外44％的入侵来自企业内部。
[] []文章栏目导航 |
按字母检索：
按声母检索：
站内网页 |
| CopyRight(c)2007-
谷普下载 All Rights Reserved.