论文部分内容阅读
1引言
随着社会的发展和科技的创新,计算机网络技术得到了广泛的利用和发展,各种网络攻击附属在许多网站,因此人们的网络环境并不是十分的安全。这会使得不法分子利用已有的资源,轻松的绕过电脑的防御系统,对网站等进行肆意的攻击。通过计算机进行网络犯罪越来越普遍,其犯罪形式具有很强的隐蔽性,因此不同于传统犯罪的形式,计算机网络的犯罪侦破工作变得十分困难。当前计算机网络犯罪逐渐的趋于国际化,因此对于进行计算机防御工作的成本逐渐增加,而对于网络犯罪的成本逐渐降低。
计算机取证技术是通过搜集大量的计算机网络证据和数据,通过有效的方法对数据进行分析。我国计算机取证技术起步的较晚,现在还处于发展阶段,相关的法律法规正在逐渐的完善。因此我国如今的计算机取证技术存在了一些列的问题。首先,为我国计算机取证技术刚开始起步,现在的工作大多止步于理论研究,而对于取证的方法与工具还没有进一步发展。其次,相关的法律法规不够完善,对于网络犯罪相应的取证技术没有一个共同的文案。同时网络防御系统最终还是要提高人的网络防护意识。
2取证系统的感念
2.1取证概述
所谓的计算机证据是指网络犯罪分子通过运行计算机网络,而产生的一些电子信息以及数据。由于计算机网络存在大量复杂繁琐的数据,因此不能将所有的数据都认为是电子犯罪证据,通常电子证据分为三类:(见表1)。
电子证据有很多特点,通过了解这些特点可以大大提高网络犯罪的侦破效率。首先电子证据与传统意义上的电子记录信息不同,其存在了一定的易毁性,如常见的硬盘,如硬盘内存被毁坏,这会使得电子证据不可修复的,因此这为电子犯罪侦破工作带来困难。其次电子数据的种类繁多,除了其特有的电子数据形式,还包括了所有的传统电子信息类型。
2.2电子证据的信息源
电子信息源通过依附在不同的载体,可以分为软件信息源,硬件信息源。由于获得电子信息源的方式的不同,就是的取证人员熟悉并掌握不同的取证方法,通过这些方法可以有效的取得电子证据,从而不会由于去证时破坏了电子信息而造成侦破工作的难度。表2介绍了三类电子证据的信息源。
3取证技术
3.1取证的静态反应
取证的其中一种方法是静态取证,这种取证方法较为保守,是通过电子信息运行完成后,对计算机进行计算机犯罪信息的恢复,其基本可以概述为,通过法律的有效途径对已经被损坏的电子信息进行有效的恢复的提取的工作。
其基本的取证方式为,在发现案情后,先确认电脑是否处于开机状态,若处于开机状态则进行有效的在线取证,同时要保护好现场。若电脑不处于开机状态,则需要进行离线取证,即进行电脑克隆工作进行取证。这种取证方法,优点是理论和实践经验比较成熟。而缺点是取证途径比较单一,由于如今电子犯罪途径和手段不断更新,这种取证方法可能会导致一部分电子信息的丢失。
3.2取证的动态反应
取证的另一种方法是动态取证,这种取证方法较为多样,这种方法可以有效的将取证技术与防御技术合理的结合,通过电子记录传输的信息,进行智能识别,同时提出一些防御建议,使得网络受到最大程度的保护。
动态取证有很好的实时控制,计算机网络受到攻击时,动态取证能及时的取得受攻击的信息,以避免进一步的损失,同时动态取证的防御系统可以进行有效的防御措施。常见的动态取证技术为入侵检测。这种方法主要以被动的形式进行防御,对于旧的入侵方式可以通过数据库的备案进行有效的防御,但对于新的入侵方式,其抵御能力较低。
随着社会的发展和科技的创新,计算机网络技术得到了广泛的利用和发展,各种网络攻击附属在许多网站,因此人们的网络环境并不是十分的安全。这会使得不法分子利用已有的资源,轻松的绕过电脑的防御系统,对网站等进行肆意的攻击。通过计算机进行网络犯罪越来越普遍,其犯罪形式具有很强的隐蔽性,因此不同于传统犯罪的形式,计算机网络的犯罪侦破工作变得十分困难。当前计算机网络犯罪逐渐的趋于国际化,因此对于进行计算机防御工作的成本逐渐增加,而对于网络犯罪的成本逐渐降低。
计算机取证技术是通过搜集大量的计算机网络证据和数据,通过有效的方法对数据进行分析。我国计算机取证技术起步的较晚,现在还处于发展阶段,相关的法律法规正在逐渐的完善。因此我国如今的计算机取证技术存在了一些列的问题。首先,为我国计算机取证技术刚开始起步,现在的工作大多止步于理论研究,而对于取证的方法与工具还没有进一步发展。其次,相关的法律法规不够完善,对于网络犯罪相应的取证技术没有一个共同的文案。同时网络防御系统最终还是要提高人的网络防护意识。
2取证系统的感念
2.1取证概述
所谓的计算机证据是指网络犯罪分子通过运行计算机网络,而产生的一些电子信息以及数据。由于计算机网络存在大量复杂繁琐的数据,因此不能将所有的数据都认为是电子犯罪证据,通常电子证据分为三类:(见表1)。
电子证据有很多特点,通过了解这些特点可以大大提高网络犯罪的侦破效率。首先电子证据与传统意义上的电子记录信息不同,其存在了一定的易毁性,如常见的硬盘,如硬盘内存被毁坏,这会使得电子证据不可修复的,因此这为电子犯罪侦破工作带来困难。其次电子数据的种类繁多,除了其特有的电子数据形式,还包括了所有的传统电子信息类型。
2.2电子证据的信息源
电子信息源通过依附在不同的载体,可以分为软件信息源,硬件信息源。由于获得电子信息源的方式的不同,就是的取证人员熟悉并掌握不同的取证方法,通过这些方法可以有效的取得电子证据,从而不会由于去证时破坏了电子信息而造成侦破工作的难度。表2介绍了三类电子证据的信息源。
3取证技术
3.1取证的静态反应
取证的其中一种方法是静态取证,这种取证方法较为保守,是通过电子信息运行完成后,对计算机进行计算机犯罪信息的恢复,其基本可以概述为,通过法律的有效途径对已经被损坏的电子信息进行有效的恢复的提取的工作。
其基本的取证方式为,在发现案情后,先确认电脑是否处于开机状态,若处于开机状态则进行有效的在线取证,同时要保护好现场。若电脑不处于开机状态,则需要进行离线取证,即进行电脑克隆工作进行取证。这种取证方法,优点是理论和实践经验比较成熟。而缺点是取证途径比较单一,由于如今电子犯罪途径和手段不断更新,这种取证方法可能会导致一部分电子信息的丢失。
3.2取证的动态反应
取证的另一种方法是动态取证,这种取证方法较为多样,这种方法可以有效的将取证技术与防御技术合理的结合,通过电子记录传输的信息,进行智能识别,同时提出一些防御建议,使得网络受到最大程度的保护。
动态取证有很好的实时控制,计算机网络受到攻击时,动态取证能及时的取得受攻击的信息,以避免进一步的损失,同时动态取证的防御系统可以进行有效的防御措施。常见的动态取证技术为入侵检测。这种方法主要以被动的形式进行防御,对于旧的入侵方式可以通过数据库的备案进行有效的防御,但对于新的入侵方式,其抵御能力较低。