[01122408]计算机取证技术的研究

“计算机取证技术的研究”项目为河南省自然科学基础研究项目，项目编号为：0411013600。　　该项目认真分析了当前国内外计算机取证技术研究成果，针对当前计算机犯罪绝大部分都是通过网络实施的趋势，提出了针对网络犯罪的实时取证模型，设计了基于插件的网络取证框架及基于多队列的高速数据缓存算法，邮件关键字模糊查找等关键技术，弥补了当前取证系统大多以主机静态取证为主的缺陷，解决了当前网络数据取证无法“事前”取证的难题。　　该项目的主要创新点如下：　　1)设计了基于插件的网络数据电子取证系统　　电子取证要求原始证据的处理过程是可控、可验证的，而网络证据具有多样性的特点，为此提出了网络数据处理和取证分析相分离的取证模型。基于XML采用插件技术，设计了一个基于插件的网络取证框架，在保证取证过程稳定、可控的同时，使取证系统具有良好的可扩展性，解决了取证系统的稳定性和取证类型多样性之间矛盾。　　2)设计了基于多队列的高速数据缓存算法由于当发现网络数据为需要取证的数据，网络数据已经可能通过取证系统，造成取证数据是不完整的。为此在研究网络数据特点基础上，设计了一个基于多队列二维链表的高速缓存网络数据包算法。算法具有对网络数据高效缓存以及高效插入和删除的特点。算法能够在高速网络下对网络数据包事先缓存，从而实现了“事先取证模型”。　　3) 研究并实现了邮件模糊匹配取证技术　　网络邮件可以采用SMTP、HTTP协议发送和接收，为此设计了模糊匹配算法，解决了由于HTTP协议中网页设计的多样性造成邮件取证关键字无法匹配的问题，同时也可以对SMTP协议格式网络邮件取证。　　4) 实现了与入侵检测系统联动取证　　根据分析和取证相分离的模型，采用协同化和联动模型，利用入侵检测系统分析黑客攻击结果，取证系统对网络数据进行取证。并利用snort的输出插件实现了该模型。　　5) 建立并实现了网络证据的可控、可验证模型　　通过对网络数据证据的取证过程研究分析，提出了符合取证规范的网络取证模型，以保证取证人员对其取证的数据具有法律责任，利用加密技术实现了该模型。　　项目组围绕基于网络的计算机取证技术，遵从国家相关法律法规，开发了用于计算机取证的系统软件“FoundLight计算机取证系统”。　　该系统部署于网关或交换机，能够对网络的多种事件进行追踪，对多种网络数据进行取证。该系统在获知犯罪分子可能的犯罪动机以后，捕获并分析网络数据包，保存犯罪的原始网络证据，属于事前取证或者犯罪进行中取证。　　系统具有取证功能多样、数据存储安全、性能先进、运行可靠等特点，可与其它安全产品进行无缝连接，系统采用了相关安全保密技术，对取证数据进行了数字签名保证了数据的完整性，从而保证了取证数据的法律效力，可以作为法庭有司法效力的证据。