信息系统攻击取证的方法与分析

信息系统攻击取证的方法与分析

王文婷

（国网山东省电力公司电力科学研究院250000）

摘要：随着网络科技的发展，与此相关的各种网络犯罪事件也随之增多，这给信息系统带来了很大的影响。为了解决这一纠纷和打击犯罪团伙的势力，网络取证成为了必要的手段，因此对于信息系统攻击的网络取证被社会所关注着。本文分析了网络取证所面临的困境，对此信息系统攻击取证的方法和发展方向做出了总结，具体总结如下。

关键词：信息系统；攻击；取证的方法；分析

网络科技水平的不断的提高，这给人们的生活带了的无限的憧憬与渴望。但是与此同时犯罪分子利用网络从事一些违法的活动的发展趋势越来越严重，造成了不小的经济损失，也是人们不能小觑的。由于许多的网络案件不能提供足够的证据，使犯罪分子至今还在逍遥法外，得不到严惩。而发生这一问题的重要解决途径就是网络取证，打击犯罪分子就是需要找到法庭可接受的、具有说服力的证据。由此得出，解决问题的关键所在在于如何发现犯罪分子在违法犯罪时遗留在网络中的痕迹，作为网络和法学关联的学科就是网络取证。网路取证是最有利的武器保护着人们的财产安全，对犯罪分子绳之以法。

一、网络取证的含义与面临的困境

网络取证(networkforensics)是抓取、记录和分析网络事件以发现安全攻击或其他的问题事件的来源[1]。(这个术语是防火墙专家MarcusRanum从法律的和犯罪学领域引进的)依照SimsonGarfinkel的观点，Networkforensics系统是下面二个类型之一:“尽可能的捕捉”系统，在这个系统里面所有的包都经过一定的节点来捕获并把分析的结果按照批量方式写入存储器。这方式需要大量的储藏空间，通常都会用到RAID系统。“停、看、听”系统，在这个系统里面每个包都经过基本的分析，只为将来的分析留下一些基本的信息。这方式对存储的需要比较小，但是需要一个较快的处理器一边能够跟得上输入的数据流。经过这些年的不断努力，虽然网络取证创新的技术有了不小的提高，但仍然存在这人很大的局限性，难以达到理想的效果。随着网络科技的不断发展，网络犯罪分子也同时掌握了更多的反取证技术，这就大大的降低了网络取证的真实性、可靠性。

二、预防攻击网络并取证的方法

第一，取证机构为了更方便办案，应该及时更新办案所需要的设备和软件，对设备妥善管理，并要对取证人员定期的培训，提高取证人员的综合素质。

第二，为保证网络取证的有效，要通过有关司法部门的批准，并在取证过程中允许司法人员的监督。

在网络取证之前，首先要根据网络的具体情况自定相应的取证策略，为了保证取证的安全性、真实性、可靠性，取证人员要细心的做好紧急预测方案[2]。

第三，网络证据相比于其他的犯罪证据来说最大的难度就是容易被破坏，一旦数据包被传送到目标的系统，被目标处理掉就很难再找回来了，这样就给取证人员带来的极大的困难，还有可能不能获得证据的可能。及时取证人员得到了证据，但是其证据的不全面性导致说服力降低，所以取证人员应该先在安全的情况下马上安装收集所需要的装置。将网络数据备份，这样就可以最大限度的保证了所需要数据的全面性。

第四，取证人员应该在安全的状态下提前安装好电子自动化取证软件，让电子软件处于准备状态，保证能随时进行取证。

第五，安装报警系统，当发现有黑客入侵的时候能第一时间提醒取证系统进行取证，报警系统应该有检测入侵系统和安全过滤的功能，

三、受攻击时取证

第一，对预先安装的取证系统所搜集的数据进行搜集，然后取证人员在保证现场安全的情况系下，对主机进行取证。

第二，首先搜集证据的软件能够对报警系统做出回应，根据与之相对应的信息分析出攻击软件的特征[3]。然后根据所搜集的网络数据提取出有用的信息作为备案证据。

第三，为了保证网络数据的有说服力，取证过程中所用的软件以及程序应该获得有关法律机构的认可，及时将取得的数据从安全通道传送给法律机构，并且对受攻击方保密。

四、攻击后进行取证

1.网络证据监测技术，由于网络犯罪的案件的不断的增多，网络取证也越来越困难，对于网络犯罪的取证就是指网络证据，网络数据的监测就是指运用网络系统监测各个设备的网络数据，分析出证据的真实性以及安全性。

2.物理证据获取技术当网络系统被入侵时，第一时间的获取物理证据，它是全部取证的重要步骤。并且保证原始的数据不被破坏，不要在提取证据的计算机上打开其他程序，让犯罪分子有机可乘，进一步的破坏原始数据。物理书籍的收集还是比较有困难的，这是由于保存数据的范围广泛，而且极其不稳定，它可以存在系统日志、隐藏文件、数据区等。而且能避免对原始数据的损害，恢复被犯罪分子删除的数据。

3.收集和保全网络数据技术网络数据的搜集是按照授权的方法包括所用到的网络设备等，保全所收集的数据，并且对数据进行处理，然后完整的从安全通道转移到有关司法部门，保全技术是保证所收集到的网络数据的完整性，这需要安全的传输技术、压缩技术、以及恢复技术等相结合。

4.处理与鉴定网络数据通过对网络技术的过滤以及匹配探索挖掘被隐藏的数据。然后对这些数据进行分析，试图对犯罪者的攻击时间、攻击目的、攻击技术以及需要承担的法律责任给予明确并且符合法律的标准。

5.网络技术的提交技术对犯罪分子的网络系统进行全面的分析，将分析的结果按照提交证据的形式递交给法庭。

五、针对反取证技术的应对措施

1.由于网络数据的清除并不是那么的彻底，可以尝试使用网络软件进行恢复，移动终端清理数据是在检测到USB口是自动形成的，可利用窗口时间采取反取证措施。

2.对于更改网络数据或者是隐藏网络数据而言，使用LIveLinux可发现一些痕迹[4]。

3.对于伪造的数据，一般会在系统中留下篡改的信息。可以通过目录等备份信息发现伪造的蛛丝马迹。

4.为了防止取证工具被攻击，网络取证的工作人员不能单一的使用一种工具进行操作，可采取多种工具联合的方式，降低对取证工具的攻击率。

结语：

网络犯罪主要针对的是金融部门，这给企业的利益造成了巨大的损失。为了加大惩治犯罪分子的力度，必须提供给司法部门有效的证据。网络取证是打击网络犯罪的重要依据，本文通过对网络取证中所存在的问题进行分析，给予出相应的对策，保护被侵者的最大利益。

参考文献

[1]王俊.论计算机取证及其规范[D].西南政法大学,2008.

[2]刘尊.网络电子取证技术研究[D].西北工业大学,2005.

[3]王娟.计算机取证综合系统研究[D].电子科技大学,2006.

[4]杜佳颖,陈长松.新型电子数据反取证技术研究[J].信息安全与通信保密,2016(09):59-62.

作者简介：王文婷（1987-），女，济宁人，硕士研究生，中级工程师，研究方向：信息安全。