信息化警務(wù)模式下網(wǎng)絡(luò)取證技術(shù)完善的研究

劉澤

中國(guó)人民公安大學(xué) 北京 100038

0 前言

目前我國(guó)學(xué)者對(duì)網(wǎng)絡(luò)取證的定義大多限定在事后靜態(tài)取證的范圍內(nèi)，還有些學(xué)者是進(jìn)行實(shí)時(shí)動(dòng)態(tài)取證的界定，而沒(méi)有把實(shí)時(shí)取證與事后取證結(jié)合起來(lái)進(jìn)行界定。筆者認(rèn)為網(wǎng)絡(luò)取證(Network Forensics)可以定義為：使用科學(xué)的技術(shù)證明方法來(lái)收集、融合、發(fā)現(xiàn)、檢查、關(guān)聯(lián)、分析以及存檔保存在計(jì)算機(jī)及其相關(guān)設(shè)備中的信息數(shù)據(jù)和對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)入侵時(shí)存在的相關(guān)信息數(shù)據(jù)，其目的是發(fā)現(xiàn)已經(jīng)成功的非授權(quán)性的攻擊入侵網(wǎng)絡(luò)行為和實(shí)時(shí)動(dòng)態(tài)性的破壞網(wǎng)絡(luò)的行為，進(jìn)而證明各種網(wǎng)絡(luò)違法行為及其造成的損失，并為應(yīng)急事件的響應(yīng)和網(wǎng)絡(luò)系統(tǒng)的恢復(fù)使用提供有用的信息。目前網(wǎng)絡(luò)取證的證據(jù)來(lái)源主要有：網(wǎng)絡(luò)數(shù)據(jù)流、連網(wǎng)設(shè)備(包括調(diào)制解調(diào)器、網(wǎng)卡、路由器、集線器、交換機(jī)、網(wǎng)線、接口等)、網(wǎng)絡(luò)安全設(shè)備或軟件(包括IDS、防火墻、反病毒軟件日志、網(wǎng)絡(luò)系統(tǒng)審計(jì)記錄、網(wǎng)絡(luò)流量監(jiān)控記錄等)。

1 信息化警務(wù)模式的含義及其與網(wǎng)絡(luò)取證的關(guān)系

當(dāng)前，科學(xué)技術(shù)突飛猛進(jìn)，以信息技術(shù)為主要標(biāo)志的高新技術(shù)革命已對(duì)我國(guó)公安機(jī)關(guān)傳統(tǒng)的警務(wù)運(yùn)作模式提出了挑戰(zhàn)，警務(wù)工作信息化已成為警務(wù)工作的重大課題。信息化警務(wù)模式，是指以信息技術(shù)為支撐，以打防控一體化為手段，通過(guò)全面地收集、分析、研判和使用情報(bào)信息，提高警務(wù)決策的科學(xué)性，提升警務(wù)資源的使用效益，以達(dá)到預(yù)防和打擊犯罪、維護(hù)社會(huì)治安秩序的實(shí)現(xiàn)為目的的高效的警務(wù)運(yùn)作模式。

網(wǎng)絡(luò)取證是在信息化背景下產(chǎn)生的，尤其是在信息化警務(wù)模式的推動(dòng)下產(chǎn)生并快速發(fā)展的。網(wǎng)絡(luò)取證是統(tǒng)一于信息化警務(wù)工作的，一方面，信息化警務(wù)模式的應(yīng)用能為網(wǎng)絡(luò)取證提供先進(jìn)的科學(xué)技術(shù)手段和豐富的信息資源，推動(dòng)網(wǎng)絡(luò)取證技術(shù)的快速發(fā)展，信息化警務(wù)模式是網(wǎng)絡(luò)取證的立足之本；另一方面，網(wǎng)絡(luò)取證技術(shù)的發(fā)展有利于提升公安機(jī)關(guān)在新形勢(shì)下運(yùn)用信息化的手段偵破網(wǎng)絡(luò)犯罪案件的能力，切實(shí)發(fā)揮出信息化警務(wù)模式的作用，充分體現(xiàn)出信息化警務(wù)模式的本質(zhì)性。同時(shí)，兩者也是統(tǒng)一服務(wù)于警務(wù)工作的。

2 網(wǎng)絡(luò)取證技術(shù)的研究

2.1 網(wǎng)絡(luò)取證技術(shù)的分析

(1) 蜜罐技術(shù)(Honeypot technique)

目前，對(duì)蜜罐技術(shù)的定義是指一種被偵探、攻擊或緩沖的安全資源。蜜罐技術(shù)的本質(zhì)是通過(guò)設(shè)置看起來(lái)對(duì)入侵者很有用的數(shù)據(jù)和信息的誘騙系統(tǒng)，以此為誘餌來(lái)引誘黑客的攻擊，當(dāng)黑客等攻擊者入侵系統(tǒng)后，系統(tǒng)會(huì)適時(shí)地監(jiān)視和記錄所有的操作行為，蜜罐技術(shù)的管理者就能知道攻擊者的攻擊目標(biāo)、手段，行為等，并能隨時(shí)了解到服務(wù)器所受的攻擊和漏洞等信息，甚至也能通過(guò)發(fā)現(xiàn)黑客之間的聯(lián)系，收集黑客的作案工具，對(duì)網(wǎng)絡(luò)的漏洞等缺陷及時(shí)修復(fù)、修改，對(duì)黑客采取更嚴(yán)密的防護(hù)措施。這是變被動(dòng)防御為主動(dòng)防御、適時(shí)動(dòng)態(tài)取證的技術(shù)。蜜罐技術(shù)在網(wǎng)絡(luò)取證中的運(yùn)用，有利于大幅度地減少網(wǎng)絡(luò)被攻擊時(shí)的數(shù)據(jù)分析，對(duì)所要分析的數(shù)據(jù)實(shí)現(xiàn)定位分析；同時(shí)通過(guò)誘騙系統(tǒng)的設(shè)計(jì)，能適時(shí)跟蹤、監(jiān)控、記錄黑客的行為，實(shí)現(xiàn)網(wǎng)絡(luò)取證的便捷、高效。蜜罐取證技術(shù)模型(如圖 1)主要有取證準(zhǔn)備(控制流采集、入侵檢測(cè)和控制流定向)、蜜罐誘騙系統(tǒng)、證據(jù)處理系統(tǒng)(證據(jù)收集、證據(jù)分析、證據(jù)存儲(chǔ))、威脅評(píng)估系統(tǒng)和網(wǎng)絡(luò)應(yīng)用系統(tǒng)。

圖1 蜜罐取證技術(shù)模型

(2) 入侵檢測(cè)技術(shù)(IDS)

IDS的作用是識(shí)別非法攻擊計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的行為，適時(shí)監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，通過(guò)記錄主機(jī)上的日志信息、變動(dòng)后的信息以及網(wǎng)絡(luò)上的數(shù)據(jù)和流量變化，發(fā)現(xiàn)出各種非法攻擊行為和攻擊結(jié)果，獲取電子證據(jù)。IDS有基于主機(jī)入侵檢測(cè)(HIDS)的和基于網(wǎng)絡(luò)的入侵檢測(cè)(NIDS)。IDS可以通過(guò)兩種途徑檢測(cè)到攻擊行為。①基于簽名的檢測(cè)：將監(jiān)控到的攻擊事件與已經(jīng)建立好的攻擊數(shù)據(jù)進(jìn)行匹配得出檢測(cè)結(jié)果；②基于異常的檢測(cè)：首先建立一個(gè)基于“正?！毙袨榈臄?shù)據(jù)庫(kù)系統(tǒng)，其次當(dāng)檢測(cè)到與“正?！毙袨榈臄?shù)據(jù)有偏差的攻擊行為時(shí)產(chǎn)生報(bào)警。

(3) 人工智能與數(shù)據(jù)挖掘技術(shù)(AIDMT)

針對(duì)計(jì)算機(jī)存儲(chǔ)的和網(wǎng)絡(luò)中與犯罪有關(guān)的數(shù)據(jù)信息，可以用數(shù)據(jù)挖掘技術(shù)來(lái)發(fā)現(xiàn)?？梢酝ㄟ^(guò)開(kāi)發(fā)專家系統(tǒng)(Expert System，ES)并輔助入侵檢測(cè)系統(tǒng)或者防火墻，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行智能化地適時(shí)提取和分析，發(fā)現(xiàn)的異常情況進(jìn)行可視化報(bào)告。

網(wǎng)絡(luò)取證技術(shù)復(fù)雜多樣，此外還有IP地址獲取技術(shù)、電子郵件取證技術(shù)、網(wǎng)絡(luò)入侵追蹤技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)等。

2.2 網(wǎng)絡(luò)取證的過(guò)程及其模型研究

(1) 證據(jù)收集

針對(duì)攻擊后，計(jì)算機(jī)磁盤(pán)上的數(shù)據(jù)會(huì)被攻擊者清除掉而任何攻擊行為都會(huì)在網(wǎng)絡(luò)通信中存在原始數(shù)據(jù)的特點(diǎn)，筆者設(shè)計(jì)的網(wǎng)絡(luò)取證系統(tǒng)將收集過(guò)程劃分為網(wǎng)絡(luò)在線收集與網(wǎng)絡(luò)離線收集。在線收集實(shí)行適時(shí)檢測(cè)收集，離線收集是把攻擊者在網(wǎng)絡(luò)通信中存在的原始數(shù)據(jù)保存下來(lái)，然后再現(xiàn)，實(shí)現(xiàn)證據(jù)收集的原始性、完整性、精確性和可解釋性。

(2) 證據(jù)保存

對(duì)收集到的證據(jù)在確保原始性和完整性后加以簽名，對(duì)簽名后的原始證據(jù)經(jīng)SSl協(xié)議傳送至證據(jù)分析機(jī)，證據(jù)分析機(jī)接收后加上自己的數(shù)字簽名并加蓋時(shí)間戳，實(shí)現(xiàn)原始證據(jù)的從取證機(jī)到分析機(jī)的證明過(guò)程。

(3) 證據(jù)分析(入侵響應(yīng))

證據(jù)分析階段，首先要用物理或技術(shù)手段對(duì)被入侵攻擊的現(xiàn)場(chǎng)進(jìn)行隔離并保護(hù)。在分析的過(guò)程中，主要是對(duì)基于主機(jī)和網(wǎng)絡(luò)的日志以及網(wǎng)絡(luò)數(shù)據(jù)流等進(jìn)行分析，確定攻擊者相關(guān)信息，證明入侵犯罪證據(jù)。當(dāng)危及網(wǎng)絡(luò)安全的事件發(fā)生時(shí)，系統(tǒng)會(huì)作出入侵響應(yīng)，以提醒采取措施保護(hù)現(xiàn)場(chǎng)。

(4) 證據(jù)提交

證據(jù)分析確認(rèn)后，對(duì)入侵者提起訴訟，向法庭提交相應(yīng)的證據(jù)文檔，演示攻擊過(guò)程。要確保證據(jù)的提交符合一定的格式，并具有真實(shí)性和可采用性。

(5) 作出結(jié)論與系統(tǒng)反饋

對(duì)提交后的證據(jù)進(jìn)行法律裁決得出結(jié)論后，針對(duì)獲得的網(wǎng)絡(luò)證據(jù)存在的問(wèn)題，采取措施，并反饋到系統(tǒng)的攻擊開(kāi)始階段，進(jìn)行下一階段的網(wǎng)絡(luò)取證過(guò)程。網(wǎng)絡(luò)取證過(guò)程與模型如圖2所示。

圖2 網(wǎng)絡(luò)取證過(guò)程與模型

3 信息化警務(wù)模式下網(wǎng)絡(luò)取證技術(shù)存在的局限性分析

(1) 網(wǎng)絡(luò)取證的標(biāo)準(zhǔn)與法律法規(guī)的缺失

目前，我國(guó)關(guān)于網(wǎng)絡(luò)取證方面的標(biāo)準(zhǔn)與法律法規(guī)還很缺乏，存在的法律法規(guī)內(nèi)容的規(guī)定也不健全。雖然我國(guó)《刑法》第285、286、287條規(guī)定了網(wǎng)絡(luò)犯罪的定罪量刑，但《刑事訴訟法》并未規(guī)定，造成了法律操作上可行性的降低。1994年《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和 2001年《計(jì)算機(jī)軟件保護(hù)條例》等相關(guān)法規(guī)雖然涉及到網(wǎng)絡(luò)電子證據(jù)，但內(nèi)容規(guī)定的不詳，同樣缺乏操作性。當(dāng)前，我國(guó)對(duì)網(wǎng)絡(luò)證據(jù)規(guī)定的法律法規(guī)比較陳舊、內(nèi)容規(guī)定不詳、操作上缺乏可行性。

(2) 靜態(tài)取證技術(shù)的滯后及反取證技術(shù)發(fā)展的不足

現(xiàn)階段對(duì)網(wǎng)絡(luò)犯罪進(jìn)行取證大多還是事后靜態(tài)取證，集中于網(wǎng)絡(luò)受到入侵攻擊后計(jì)算機(jī)的磁盤(pán)分析，如磁盤(pán)映像拷貝、被刪除數(shù)據(jù)恢復(fù)和查找等技術(shù)。同時(shí)，獲得的證據(jù)不少是入侵攻擊者處理過(guò)的現(xiàn)場(chǎng)的偽裝證據(jù)，還有很多證據(jù)會(huì)被入侵攻擊者在計(jì)算機(jī)磁盤(pán)上消除掉，如入侵攻擊者可以利用Root Kit(系統(tǒng)后門(mén)、木馬程序等)繞開(kāi)系統(tǒng)日志，獲取 Root權(quán)限，進(jìn)而修改或破壞掉操作系統(tǒng)的日志，制約著網(wǎng)絡(luò)證據(jù)的獲取。

(3) 現(xiàn)階段動(dòng)態(tài)取證技術(shù)的不完善

動(dòng)態(tài)取證技術(shù)雖然在現(xiàn)階段網(wǎng)絡(luò)取證中發(fā)揮著重要的作用，但也呈現(xiàn)出一些不完善的方面。動(dòng)態(tài)取證強(qiáng)調(diào)在入侵攻擊之前就開(kāi)始收集證據(jù)，但往往在監(jiān)測(cè)到入侵攻擊行為時(shí)為了系統(tǒng)的安全就把入侵切斷，進(jìn)行取證并分析，這樣不容易全面地分析入侵行為，不利于全面地收集證據(jù)，對(duì)入侵行為的定性也不夠科學(xué)。同時(shí)，針對(duì)入侵行為后網(wǎng)絡(luò)離線的取證，動(dòng)態(tài)取證也無(wú)法得到應(yīng)用。

(4) 網(wǎng)絡(luò)取證程序、入侵后果分析及出示證據(jù)的困難

當(dāng)前，我國(guó)實(shí)體法和程序法對(duì)網(wǎng)絡(luò)取證程序沒(méi)有作出具體規(guī)定，這就導(dǎo)致了在實(shí)踐中取證程序不能順利的開(kāi)展，如收集那些裝有安全軟件人的計(jì)算機(jī)的入侵攻擊的證據(jù)信息，沒(méi)有安裝軟件人的協(xié)助，證據(jù)的進(jìn)行將很難進(jìn)行。把網(wǎng)絡(luò)面臨入侵攻擊時(shí)就切斷入侵進(jìn)行證據(jù)收集，并把這些可疑的入侵攻擊行為定性為網(wǎng)絡(luò)犯罪是不科學(xué)的，網(wǎng)絡(luò)犯罪的界定要基于入侵行為的目的性及其造成的危害性。同時(shí)，有些電子證據(jù)出示要借助于特定的環(huán)境才能顯現(xiàn)，當(dāng)計(jì)算機(jī)所處位置發(fā)生改變，證據(jù)的顯現(xiàn)及出示將會(huì)面臨困境，這些都是亟待我們?nèi)ソ鉀Q的。

4 信息化警務(wù)模式下網(wǎng)絡(luò)取證技術(shù)完善的研究

4.1 構(gòu)建智能動(dòng)態(tài)化的網(wǎng)絡(luò)取證系統(tǒng)

智能動(dòng)態(tài)化的網(wǎng)絡(luò)取證系統(tǒng)，由入侵檢測(cè)系統(tǒng)、入侵誘騙系統(tǒng)(目前可采用蜜罐技術(shù))、網(wǎng)絡(luò)應(yīng)用系統(tǒng)、威脅評(píng)估系統(tǒng)、訪問(wèn)控制與重定向系統(tǒng)、證據(jù)處理系統(tǒng)以及智能控制中心系統(tǒng)所構(gòu)成。智能動(dòng)態(tài)化的網(wǎng)絡(luò)取證系統(tǒng)有助于解決當(dāng)前靜態(tài)取證滯后性和動(dòng)態(tài)取證不全面的特點(diǎn)，實(shí)現(xiàn)信息化警務(wù)模式下網(wǎng)絡(luò)取證系統(tǒng)的全面性、智能性和高效性的特點(diǎn)。

(1) 入侵檢測(cè)系統(tǒng)，由基于主機(jī)入侵檢測(cè)(HIDS)的和基于網(wǎng)絡(luò)的入侵檢測(cè)(NIDS)組成，HIDS負(fù)責(zé)對(duì)主機(jī)的日志、文件、進(jìn)程等進(jìn)行檢測(cè)，NIDS負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，當(dāng)發(fā)現(xiàn)入侵攻擊行為時(shí)IDS會(huì)啟動(dòng)報(bào)警裝置。同時(shí)，把本系統(tǒng)當(dāng)作入侵容忍與網(wǎng)絡(luò)取證的感應(yīng)器。

(2) 入侵誘騙系統(tǒng)，由真實(shí)服務(wù)器的網(wǎng)絡(luò)應(yīng)用系統(tǒng)、影子服務(wù)器的入侵誘騙系統(tǒng)和安全檢測(cè)工具組成。其中影子服務(wù)器的入侵誘騙系統(tǒng)現(xiàn)階段可以采用蜜罐技術(shù)進(jìn)行應(yīng)用。本系統(tǒng)利用具有與真實(shí)服務(wù)器的服務(wù)配置、網(wǎng)絡(luò)流量一致的影子服務(wù)器引誘入侵攻擊者進(jìn)行攻擊，同時(shí)影子服務(wù)器采用入侵容忍技術(shù)以實(shí)現(xiàn)完整地記錄入侵攻擊者的所有行為，收集到完整的攻擊數(shù)據(jù)，解決現(xiàn)階段動(dòng)態(tài)取證技術(shù)取證不完整的缺陷。同時(shí)安裝相關(guān)安全檢測(cè)工具，對(duì)所有進(jìn)入入侵誘騙系統(tǒng)的數(shù)據(jù)流進(jìn)行記錄和分析，為下一階段的取證和網(wǎng)絡(luò)的安全防御服務(wù)。

(3) 威脅評(píng)估系統(tǒng)，負(fù)責(zé)對(duì)入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)應(yīng)用系統(tǒng)、入侵誘騙系統(tǒng)和訪問(wèn)控制重定向系統(tǒng)的所有數(shù)據(jù)信息進(jìn)行危險(xiǎn)評(píng)估，確定危險(xiǎn)等級(jí)，把所有的危險(xiǎn)等級(jí)都進(jìn)行存儲(chǔ)并報(bào)送至報(bào)警響應(yīng)器，網(wǎng)絡(luò)取證人員可以根據(jù)入侵攻擊行為的危險(xiǎn)等級(jí)以及是否構(gòu)成犯罪進(jìn)行指控起訴。

(4) 訪問(wèn)控制與重定向系統(tǒng)，當(dāng)入侵檢測(cè)系統(tǒng)和威脅評(píng)估系統(tǒng)發(fā)現(xiàn)無(wú)法確定的入侵攻擊流時(shí)，訪問(wèn)控制器會(huì)把入侵攻擊流報(bào)送至入侵誘騙系統(tǒng)，由入侵誘騙系統(tǒng)中的安全檢測(cè)工具進(jìn)行檢測(cè)，若確定入侵攻擊流具有危險(xiǎn)等級(jí)時(shí)，切斷其流向真實(shí)服務(wù)器的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，并傳送至證據(jù)分析器進(jìn)行分析，以備進(jìn)行證據(jù)存儲(chǔ)。

(5) 網(wǎng)絡(luò)取證處理系統(tǒng)，由證據(jù)收集器、證據(jù)分析器、證據(jù)安全存儲(chǔ)器組成。證據(jù)收集器分布在入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)應(yīng)用系統(tǒng)、入侵誘騙系統(tǒng)、訪問(wèn)控制與重定向系統(tǒng)里，負(fù)責(zé)收集日志信息、變動(dòng)后的信息以及網(wǎng)絡(luò)上的數(shù)據(jù)和流量變化等；證據(jù)分析器對(duì)收集到的日志信息等予以分析，確認(rèn)是否為證據(jù)；證據(jù)安全存儲(chǔ)器負(fù)責(zé)把證據(jù)分析器確定的證據(jù)進(jìn)行存儲(chǔ)。

(6) 智能控制中心系統(tǒng)，是智能動(dòng)態(tài)化網(wǎng)絡(luò)取證系統(tǒng)的中樞神經(jīng)和決策機(jī)構(gòu)，負(fù)責(zé)把各個(gè)系統(tǒng)的動(dòng)態(tài)進(jìn)行相互間的反饋，以實(shí)現(xiàn)整個(gè)系統(tǒng)新一步的動(dòng)態(tài)化運(yùn)轉(zhuǎn)。如把威脅評(píng)估系統(tǒng)對(duì)入侵信息流的評(píng)估等級(jí)反饋給入侵檢測(cè)系統(tǒng)和訪問(wèn)控制與重定向系統(tǒng)，實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)和訪問(wèn)控制與重定向系統(tǒng)的規(guī)則調(diào)整或系統(tǒng)升級(jí)，保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)轉(zhuǎn)。

4.2 開(kāi)創(chuàng)網(wǎng)絡(luò)公證的證據(jù)保全的新方法

網(wǎng)絡(luò)公證是新形勢(shì)下證明網(wǎng)絡(luò)取證效力的重要途徑，其基于先進(jìn)的網(wǎng)絡(luò)信息技術(shù)和軟件程序，能快速地實(shí)現(xiàn)遠(yuǎn)程證據(jù)的保全。網(wǎng)絡(luò)公證是指計(jì)算機(jī)當(dāng)事人與網(wǎng)絡(luò)取證人員在計(jì)算機(jī)中下達(dá)指令，數(shù)據(jù)證據(jù)就會(huì)被加密并傳送到網(wǎng)絡(luò)公正機(jī)構(gòu)，網(wǎng)絡(luò)公證人員對(duì)數(shù)據(jù)證據(jù)進(jìn)行核實(shí)確認(rèn)準(zhǔn)確性后，加上網(wǎng)絡(luò)公證機(jī)構(gòu)的數(shù)字簽章并進(jìn)行存檔備查，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)證據(jù)的公證。網(wǎng)絡(luò)公證的實(shí)現(xiàn)包括三方面內(nèi)容：(1)實(shí)現(xiàn)身份的認(rèn)證，如資格、信用等；(2)實(shí)現(xiàn)數(shù)據(jù)證據(jù)的保全，如網(wǎng)絡(luò)日志記錄、網(wǎng)上交易記錄、電子文件等；(3)實(shí)現(xiàn)網(wǎng)上交易活動(dòng)中支付過(guò)程中安全信任問(wèn)題的網(wǎng)絡(luò)提存。當(dāng)前，應(yīng)加強(qiáng)網(wǎng)絡(luò)公證程序的立法以及網(wǎng)絡(luò)公證軟件的開(kāi)發(fā)，積極解決網(wǎng)絡(luò)取證程序與證據(jù)出示的困境。

4.3 健全網(wǎng)絡(luò)取證標(biāo)準(zhǔn)化的法律法規(guī)及其配套制度

當(dāng)前，我國(guó)應(yīng)積極加強(qiáng)對(duì)網(wǎng)絡(luò)取證標(biāo)準(zhǔn)化的研究，尤其是加強(qiáng)科研機(jī)構(gòu)和高校對(duì)網(wǎng)絡(luò)取證標(biāo)準(zhǔn)化的研究。在網(wǎng)絡(luò)取證標(biāo)準(zhǔn)化方面，我國(guó)可以借鑒美國(guó)1998年《跨世紀(jì)數(shù)字化版權(quán)法》，設(shè)計(jì)符合我國(guó)國(guó)情的網(wǎng)絡(luò)服務(wù)提供者協(xié)助網(wǎng)絡(luò)取證的程序及其法律義務(wù)，健全網(wǎng)絡(luò)取證實(shí)體內(nèi)容、程序操作及證據(jù)出示等方面的立法。同時(shí)，立法完善社會(huì)上的網(wǎng)絡(luò)取證機(jī)構(gòu)和網(wǎng)絡(luò)公證機(jī)構(gòu)的運(yùn)行。

[1] Case A, Cristina A, Marziale L, et al. FACE：Automated digital evidence discovery and correlation [J]. Digital Investigation.2008.

[2] Cohen M. Pyflag-An advanced network forensic framework[J].Digital Investigation.2008.

[3] 文伯聰,王曉雷.一種主動(dòng)型動(dòng)態(tài)網(wǎng)絡(luò)取證模型[J].微計(jì)算機(jī)信息.2010.

[4] 陳琳,李之棠,高翠霞.一種自適應(yīng)的動(dòng)態(tài)取證機(jī)制[J].計(jì)算機(jī)科學(xué).2009.

[5] 陳琳.自適應(yīng)動(dòng)態(tài)網(wǎng)絡(luò)取證方法研究[D]：[博士學(xué)位論文].華中科技大學(xué).2009.

[6] 陳華.高速網(wǎng)絡(luò)取證系統(tǒng)的研究與設(shè)計(jì)[D]：[碩士學(xué)位論文].福州大學(xué).2008.

[7] 都志輝.網(wǎng)格計(jì)算[M].北京：清華大學(xué)出版社.2002.

[8] 郝桂英,劉鳳,李世忠.網(wǎng)絡(luò)實(shí)時(shí)取證模型的研究與設(shè)計(jì)[J].計(jì)算機(jī)時(shí)代.2007.

[9] 李連民,吳慶濤,路凱.Honeypots網(wǎng)絡(luò)取證技術(shù)研究[J].微計(jì)算機(jī)信息.2009.

[10] 高獻(xiàn)偉,鄭捷文,楊澤明.智能網(wǎng)絡(luò)取證系統(tǒng)計(jì)[J].計(jì)算機(jī)仿真.2006.

[11] 周建華,王加陽(yáng),徐聯(lián)華.基于多Agent的網(wǎng)絡(luò)取證自適應(yīng)技術(shù)研究[J].微計(jì)算機(jī)信息.2007.

[12] 戴江山,肖軍模等.基于代理的主動(dòng)型網(wǎng)絡(luò)取證系統(tǒng)[J].解放軍理工大學(xué)學(xué)報(bào).2006.

[13] 張有東,江波,王建東.基于容忍的網(wǎng)絡(luò)取證系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)工程.2007.

[14] 黃明.以公安信息化引領(lǐng)警務(wù)現(xiàn)代化[J].公安研究.2007.

[15] 黃明.以信息化引領(lǐng)警務(wù)改革[Z].江蘇公安信息化經(jīng)驗(yàn)材料.2008.