首页 理论教育 网络取证技术及数据来源分析

网络取证技术及数据来源分析

时间:2023-08-10 理论教育 版权反馈
【摘要】:网络取证的证据来源主要是由网络中的数据及其依附的电子设备组成,电子设备包括网卡、路由器、网关等网络设备、网络安全设备、应用软件。究竟要捕获什么样的数据是网络取证考虑的首要问题。网络取证的证据获取技术可以分为物理层、TCP/IP层、网络应用层入手。TCP/IP层获取技术是从网络上抓取数据包,调用路由器IP路由表对网络目的地址范围和如何到达路由器的信息进行分析处理。

网络取证技术及数据来源分析

(一)网络取证研究对象

简单地说,网络取证可以看作正在网络上传输的电子数据进行证据取证工作,网络取证主要侧重于对网络流以及其他网络数据的监测、收集以及分析。网络取证的目的是在犯罪事件进行时或网络数据传输过程中捕获数据,并提取和分析数据,用于指导相应的各种案件的侦破或为法庭提供可接受的、足够可靠和有说服性的电子数据。

网络取证的证据来源主要是由网络中的数据及其依附的电子设备组成,电子设备包括网卡、路由器、网关等网络设备、网络安全设备、应用软件。[28]网络中的数据包括网络中运行的数据流、运行中产生的网站服务器日志记录、传统静态数据、动态数据(如寄存器、进程表、ARP缓存等)。

究竟要捕获什么样的数据是网络取证考虑的首要问题。捕获的数据较多,但与案件无关是无用的,捕获的数据太少,提供的信息不足以支持案件的侦查也是无用的。因此,究竟要捕获什么样的数据就变成了对网络流的相关性,对捕获的数据的完整性的把握问题。[29]相关性指在捕获网络流时捕获的数据要与案件相关,要采取一定技术过滤掉不相关的数据,数据的完整性指要求尽可能地捕获有关的网络数据,因为网络数据的传输是不可重复性的。

(二)网络取证的证据获取和存储技术

网络取证中证据的存储可以利用完全备份、差异备份、增量备份等技术存储系统中的所有可能成为证据的数据或是发生改变的数据,对于数据量较小的网络或计算机系统,其可以直接进行完全备份,即提取系统的硬件设备或存储设备,或是将数据备份到安全、稳定的取证设备中;对于大型的网络系统,其往往进行差异备份或增量备份,提取与之前不同的数据,如新产生的网络访问日志等。(www.xing528.com)

网络取证的证据获取技术可以分为物理层、TCP/IP层、网络应用层入手。在物理层,采用混杂模式设置主机网卡,在该网段内,主机就能接受同一物理通道中传输的信息,在此基础上,采用一定的技术或工具截取传输中的主要信息。在物理层采用的证据取证工具有Wireshark、Sniffer、TCP Dump。TCP/IP层获取技术是从网络上抓取数据包,调用路由器IP路由表对网络目的地址范围和如何到达路由器的信息进行分析处理。网络应用层获取技术是面向网络应用实现监控技术,Web浏览,E-mail,NewsGroup,WebChat和Peer-to-Peer网络事件等都是常见的网络应用。例如,电子邮箱是用于双方在网络上发送和接收邮件信息,同时也为双方在网络上提供存储资料,由于其含有丰富的证据来源,利用电子邮件可以获取重要的线索或潜在的证据,也可以追踪犯罪嫌疑人。取证人员可以在电子邮件网关上实施监控技术,设置一定的过滤机制和方法,这样满足条件的电子邮件就可以截取,同时对截取的电子邮件进行进一步的过滤、分类、分析和统计操作,提取需要的证据。[30]

(三)数据挖掘技术

宽带网络应用及网络存储技术的不断发展,以及用户终端越来越广泛、社交网络越来越发达为Web服务带来的以人口基数为基础的可交互的庞大的数据量等,使得网络取证的电子数据是海量数据,使用数据挖掘技术从海量数据中提取所需要的数据是十分重要的。

数据挖掘(Data Mining)是从大量的数据中自动搜索隐藏于其中的有着特殊关系性(属于Association Rule Learning)的信息的过程。数据挖掘也可以认为是采用技术和方法对数据进行规律寻找,用规律表示数据的技术方法。数据挖掘常用的方法有分类、回归分析、聚类、关联规则、神经网络方法、Web数据挖掘等,这些方法从不同的角度对数据进行挖掘。数据挖掘技术的应用会随不同领域的应用而有所变化,每一种数据挖掘技术也会有各自的特性和使用领域,针对不同问题和需求所制定的数据挖掘过程也会存在差异。数据源一般是数据库数据仓库、Web等,得到的数据称为数据集(DataSet)。

合适的数据挖掘技术和方法也能应用于网络取证分析中,不过拟先建立犯罪行为的特征库。犯罪行为特征库可以理解为对不同类型的犯罪行为进行分析,提取该类犯罪行为的特征并建立犯罪行为特征库,其后,在犯罪行为特征库的基础上,使用数据挖掘技术和方法去挖掘数据,比对分析、发现有用的信息,满足案件的侦查需要。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈