云計(jì)算下電子數(shù)據(jù)取證技術(shù)的改進(jìn)

牛耕　吳曉濤

摘要：云計(jì)算作為互聯(lián)網(wǎng)環(huán)境下的計(jì)算手段，具有按需分配、存儲(chǔ)計(jì)算、應(yīng)用服務(wù)等能力，在獲取電子數(shù)據(jù)、打擊網(wǎng)絡(luò)犯罪等方面，云計(jì)算擁有得天獨(dú)厚的優(yōu)勢(shì)。基于云計(jì)算手段對(duì)電子數(shù)據(jù)取證技術(shù)的改進(jìn)進(jìn)行研究，分析了電子數(shù)據(jù)取證過(guò)程涉及的技術(shù)手段，給出了電子數(shù)據(jù)取證流程。通過(guò)研究證明新的技術(shù)能夠高效準(zhǔn)確的完成電子數(shù)據(jù)取證，具有極高的使用價(jià)值。

關(guān)鍵詞：云計(jì)算環(huán)境；電子數(shù)據(jù)；取證技術(shù)

中圖分類(lèi)號(hào)：TS211.2 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：1009-3044（2017）33-0059-02

隨著互聯(lián)網(wǎng)的迅速普及，非法入侵系統(tǒng)也在不斷發(fā)展，網(wǎng)絡(luò)色情傳播、網(wǎng)絡(luò)組織洗錢(qián)、網(wǎng)絡(luò)信息盜竊等新型犯罪形式在不斷出現(xiàn)，電子商務(wù)案件與電子政務(wù)案件頻頻發(fā)生。為了有效打擊罪犯，解決網(wǎng)絡(luò)案件，必須要采用有效的數(shù)據(jù)取證技術(shù)將電子郵件交換、電子數(shù)據(jù)傳播、電子聊天記錄以及網(wǎng)頁(yè)中的電子痕跡取出來(lái)，作為犯罪證據(jù)。目前網(wǎng)絡(luò)犯罪在形式和內(nèi)容上越來(lái)越復(fù)雜，計(jì)算機(jī)存儲(chǔ)量越來(lái)越多，原有的關(guān)閉計(jì)算機(jī)來(lái)直接獲取系統(tǒng)硬盤(pán)鏡像的方法已經(jīng)無(wú)法滿足現(xiàn)代提出的取證要求，必須要在原有的基礎(chǔ)上提出新的取證技術(shù)。綜上所述，本文從網(wǎng)絡(luò)電子取證需求出發(fā)，在云計(jì)算環(huán)境下對(duì)電子數(shù)據(jù)取證技術(shù)進(jìn)行研究，介紹了電子取證的基本流程。通過(guò)研究發(fā)現(xiàn)本文給出的技術(shù)能夠確保證據(jù)的真實(shí)性、可靠性、完整性和抗抵賴(lài)性，是一種非?？尚械募夹g(shù)[1]。

1 云計(jì)算下電子數(shù)據(jù)取證技術(shù)的研究

科學(xué)技術(shù)發(fā)展在豐富人們生活的同時(shí)，也帶來(lái)了更多的問(wèn)題和挑戰(zhàn)，目前網(wǎng)絡(luò)入侵的犯罪手段和犯罪技術(shù)更加復(fù)雜和多樣化，電子取證技術(shù)也要不斷更新改變。較為常用的電子數(shù)據(jù)取證技術(shù)有數(shù)據(jù)復(fù)制技術(shù)、信息加密技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)截取技術(shù)等等 [2]。電子取證相關(guān)技術(shù)介紹如表1所示。

在對(duì)電子數(shù)據(jù)進(jìn)行取證時(shí)，數(shù)據(jù)復(fù)制技術(shù)顯得尤為重要。數(shù)據(jù)復(fù)制包括數(shù)據(jù)拍攝、數(shù)據(jù)備份、數(shù)據(jù)鏡像等。一些能夠通過(guò)拍攝記錄下來(lái)的數(shù)據(jù)最好可以全程拍攝，從而增加真實(shí)性和證明力，防止日后犯罪者翻供。在將犯罪證據(jù)復(fù)制之后，要通過(guò)數(shù)據(jù)鏡像將其備份，存放入新的主機(jī)中，在映像上對(duì)證據(jù)進(jìn)行分析，這樣比在原證據(jù)上分析安全性更高。

信息加密技術(shù)也是電子數(shù)據(jù)取證的重要安全措施，加密時(shí)要利用密鑰保護(hù)網(wǎng)絡(luò)中傳遞、交換和存儲(chǔ)的數(shù)據(jù)信息，確保信息可以機(jī)密、完整和安全地傳遞。對(duì)于所有網(wǎng)絡(luò)安全通信來(lái)說(shuō)，數(shù)據(jù)加密是最基礎(chǔ)的技術(shù)。一般較為常用的數(shù)據(jù)信息加密方式有三種，分別為：鏈路加密、節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密和端對(duì)端加密[3]。

在取證時(shí)，一些電子證據(jù)已經(jīng)被破壞，無(wú)法得到完整的數(shù)據(jù)，因此必須要對(duì)這些電子證據(jù)進(jìn)行復(fù)原，最大程度恢復(fù)被破壞的數(shù)據(jù)?，F(xiàn)在科技研發(fā)的計(jì)算機(jī)系統(tǒng)普遍擁有自動(dòng)生成備份數(shù)據(jù)的能力，并對(duì)數(shù)據(jù)進(jìn)行恢復(fù)，一些計(jì)算機(jī)系統(tǒng)還設(shè)有安全系統(tǒng)，專(zhuān)門(mén)對(duì)一些重要的數(shù)據(jù)備份，這些操作通常會(huì)有嚴(yán)格的限制，很難被篡改。所以一旦計(jì)算機(jī)出現(xiàn)犯罪時(shí)，可以恢復(fù)自動(dòng)備份的數(shù)據(jù)，然后和被處理過(guò)的數(shù)據(jù)結(jié)合，從而得到有力的犯罪證據(jù)。

一些犯罪者在襲擊其他計(jì)算機(jī)時(shí)可能會(huì)被偵查到，偵察者利用通訊數(shù)據(jù)截取技術(shù)把罪證據(jù)截取下來(lái)，組織罪犯進(jìn)一步犯罪。罪犯若想入侵其他人的計(jì)算機(jī)，只能通過(guò)兩種方式傳輸木馬病毒：有線傳輸和無(wú)線傳輸，而數(shù)據(jù)截取是對(duì)傳輸介質(zhì)進(jìn)行截取。偵察者會(huì)通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)的方式截取有線傳輸?shù)男畔?，通過(guò)電磁波獲取無(wú)線傳輸?shù)男畔?shù)據(jù)。網(wǎng)絡(luò)監(jiān)聽(tīng)需要將主機(jī)網(wǎng)卡設(shè)置為混雜模式，這樣一來(lái)，網(wǎng)絡(luò)傳輸產(chǎn)生的所有數(shù)據(jù)信息主機(jī)都可以接收到，包括某次涉及犯罪的信息[4]。

數(shù)據(jù)欺騙技術(shù)是一種誘騙犯罪分子的技術(shù)，通過(guò)設(shè)計(jì)一個(gè)虛擬服務(wù)器和虛擬環(huán)境來(lái)構(gòu)造陷阱，誘發(fā)犯罪分子主動(dòng)發(fā)起攻擊，攻擊者在不知情的情況下進(jìn)行完整的攻擊操作，取證系統(tǒng)會(huì)記錄下整個(gè)攻擊流程、攻擊方式和攻擊路徑，從而獲得證實(shí)入侵行為最直接最有力的工具。比較典型的數(shù)據(jù)欺騙工具有蜜罐和蜜網(wǎng)，二者合稱(chēng)為蜜阱，蜜阱內(nèi)部包括各種誘騙系統(tǒng)和偽裝信息，會(huì)偽造成一個(gè)極易受攻擊的主機(jī)電腦，幫助攻擊者實(shí)現(xiàn)攻擊過(guò)程，利用Honcynct系統(tǒng)關(guān)注、捕獲隱藏在防火墻后面的所有攻擊數(shù)據(jù)、攻擊策略、攻擊工具和攻擊目標(biāo)，從而獲取有效的電子數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)取證。

數(shù)字簽名技術(shù)和數(shù)字時(shí)間戳技術(shù)能夠有效記錄數(shù)據(jù)的內(nèi)容，調(diào)查機(jī)器中的硬盤(pán)映像文件，記錄計(jì)算機(jī)關(guān)機(jī)前所有數(shù)據(jù)信息，幫助調(diào)查者獲取有效證據(jù)。掃描技術(shù)要對(duì)主機(jī)網(wǎng)絡(luò)同時(shí)掃描，利用成熟的網(wǎng)絡(luò)掃描器對(duì)網(wǎng)絡(luò)端口和網(wǎng)絡(luò)漏洞進(jìn)行安全掃描，監(jiān)聽(tīng)系統(tǒng)的運(yùn)行狀態(tài)，檢測(cè)計(jì)算機(jī)內(nèi)部的安全漏洞。入侵檢測(cè)系統(tǒng)（IDS）取證也是一種使用率非常高的技術(shù)，它可以全程監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的運(yùn)行狀態(tài)，收集各種電子證據(jù)，分析網(wǎng)絡(luò)流量變化，根據(jù)流量變化做出快速回應(yīng)[5]。

由于取證時(shí)很容易被外界物質(zhì)干擾，所以相關(guān)領(lǐng)域?qū)W者研究出惡意代碼技術(shù)來(lái)幫助取證方獲取罪證。惡意代碼是具有破壞和擾亂系統(tǒng)特定功能的能力，而且能夠長(zhǎng)期隱伏在網(wǎng)絡(luò)中，在隱伏期可以偷偷盜取到對(duì)方系統(tǒng)中的信息，因此在攻擊時(shí)惡意代碼能夠秘密導(dǎo)入攻擊系統(tǒng)，利用遠(yuǎn)程操控將系統(tǒng)內(nèi)部信息傳遞出來(lái)，從而獲取罪證，惡意代碼技術(shù)的反應(yīng)速度極快，而且取得的證據(jù)多為動(dòng)態(tài)。

由于計(jì)算機(jī)內(nèi)部數(shù)據(jù)龐大，所以必須要采取一定數(shù)據(jù)整理分類(lèi)，人工智能和數(shù)據(jù)挖掘技術(shù)能夠從大量數(shù)據(jù)中發(fā)現(xiàn)并提取出和犯罪有關(guān)的證據(jù)，實(shí)現(xiàn)智能取證。智能技術(shù)是近幾年來(lái)科學(xué)家重點(diǎn)研究的技術(shù)之一，系統(tǒng)能夠在正常數(shù)據(jù)中識(shí)別異常數(shù)據(jù)，從而預(yù)測(cè)一些未知的數(shù)據(jù)是否可以作為犯罪證據(jù)。相較于傳統(tǒng)形式犯罪來(lái)說(shuō)，網(wǎng)絡(luò)犯罪更加復(fù)雜多樣，網(wǎng)絡(luò)動(dòng)態(tài)取證也更加復(fù)雜，通過(guò)挖掘數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)，分析用戶(hù)行為是否合法，進(jìn)而得到有效的犯罪行為證據(jù)[6]。

2 云計(jì)算下電子數(shù)據(jù)取證技術(shù)流程

云計(jì)算為計(jì)算機(jī)取證提供了更加便捷的環(huán)境，基于云計(jì)算的取證步驟共有四步，分別為：數(shù)據(jù)調(diào)查、故障排除、工作日志檢測(cè)、數(shù)據(jù)恢復(fù)，檢測(cè)過(guò)程如下圖1所示：

云計(jì)算環(huán)境重點(diǎn)會(huì)對(duì)違法現(xiàn)象出現(xiàn)多的管轄區(qū)和計(jì)算機(jī)用戶(hù)進(jìn)行調(diào)查，分析是否出現(xiàn)可疑交易、可疑操作和可疑事件，抽取內(nèi)部證據(jù)，一旦發(fā)生有效證據(jù)，就會(huì)遞交給法院。云計(jì)算可以對(duì)數(shù)據(jù)文件追蹤定位，隨著時(shí)間的推移判斷事物的發(fā)展趨勢(shì)，分析出現(xiàn)故障的原因，并制定有效戰(zhàn)略，防止事件二次出現(xiàn)。對(duì)于每次安全故障估計(jì)，計(jì)算機(jī)系統(tǒng)都會(huì)有詳細(xì)的日志檢測(cè)和計(jì)算記錄，云計(jì)算環(huán)境可以將各個(gè)系統(tǒng)關(guān)聯(lián)起來(lái)，對(duì)數(shù)據(jù)收集、分析、審核和記錄[7]。對(duì)于被惡意刪除掉的數(shù)據(jù)，云計(jì)算可以借助加密秘鑰恢復(fù)，保證信息的完整性。云取證的操作步驟如下圖2所示：

<

3 結(jié)束語(yǔ)

通過(guò)本文的研究可以發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪近年來(lái)愈發(fā)嚴(yán)重，云計(jì)算為電子取證提供了更大的發(fā)展空間。 應(yīng)用數(shù)據(jù)復(fù)制技術(shù)、信息加密技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)截取技術(shù)、數(shù)據(jù)欺騙技術(shù)等等，取證時(shí)要對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行調(diào)查，分析異常數(shù)據(jù)，實(shí)時(shí)追蹤，從而獲取有力罪證。

參考文獻(xiàn)：

[1] 閆衛(wèi)剛.云計(jì)算思維模式的電子證據(jù)取證關(guān)鍵技術(shù)分析[J].無(wú)線互聯(lián)科技， 2017，12（4）：141-142.

[2] 何明.云計(jì)算在公安電子數(shù)據(jù)取證技術(shù)中的研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2015，21（7）：88-90.

[3] 楊仕海，翟振興.云環(huán)境下電子數(shù)據(jù)取證方法研究[J]. 軟件導(dǎo)刊，2017，16（2）：192-194.

[4] 路紅，廖龍龍.云計(jì)算支持下的協(xié)作式數(shù)字取證技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用， 2015，24（3）：241-245.

[5] 徐海林.大數(shù)據(jù)背景下電子數(shù)據(jù)取證的應(yīng)用研究——以職務(wù)犯罪偵查為視角[J].計(jì)算機(jī)科學(xué)，2016，43（b12）：130-132.

[6] 金波，楊濤，吳松洋，等.電子數(shù)據(jù)取證與鑒定發(fā)展概述[J].中國(guó)司法鑒定，2016，84（1）：62-74.

[7] 杜翰洋.論新型網(wǎng)絡(luò)技術(shù)對(duì)電子數(shù)據(jù)證據(jù)的影響——以快播案為例[J].廣西青年干部學(xué)院學(xué)報(bào)，2016，26（1）：83-86.