摘  要： 介紹了網(wǎng)絡(luò)取證的概念、網(wǎng)絡(luò)證據(jù)的特點(diǎn)、與傳統(tǒng)靜態(tài)取證的比較及研究現(xiàn)狀，詳細(xì)分析了數(shù)據(jù)捕獲、數(shù)據(jù)分析技術(shù)、專家系統(tǒng)和數(shù)據(jù)挖掘技術(shù)等在網(wǎng)絡(luò)取證中的應(yīng)用，并分析了目前網(wǎng)絡(luò)取證存在的問(wèn)題和發(fā)展趨勢(shì)。
關(guān)鍵詞： 實(shí)時(shí)；網(wǎng)絡(luò)取證；計(jì)算機(jī)取證

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展和普及，網(wǎng)絡(luò)安全變得日益重要和復(fù)雜。網(wǎng)絡(luò)入侵、計(jì)算機(jī)犯罪問(wèn)題也越來(lái)越嚴(yán)重，攻擊和入侵事件甚至直接威脅到國(guó)家的安全，信息安全問(wèn)題日益嚴(yán)峻，在犯罪事件發(fā)生后對(duì)犯罪行為進(jìn)行事后的取證，存在著證據(jù)的真實(shí)性、有效性和及時(shí)性等問(wèn)題。如何及時(shí)準(zhǔn)確地從網(wǎng)絡(luò)中獲取計(jì)算機(jī)證據(jù)，打擊和遏制網(wǎng)絡(luò)犯罪正日益成為計(jì)算機(jī)網(wǎng)絡(luò)安全的研究熱點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)取證是計(jì)算機(jī)科學(xué)與法學(xué)交叉的一門新興學(xué)科，是伴隨著計(jì)算機(jī)技術(shù)的發(fā)展和普及以及計(jì)算機(jī)犯罪這一新的犯罪形式出現(xiàn)而出現(xiàn)的。
1 網(wǎng)絡(luò)取證概述
1.1 概念
　　網(wǎng)絡(luò)取證（network forensics)概念最早是在20世紀(jì)90年代美國(guó)防火墻專家Marcus Ranum[1]提出的，借用了法律和犯罪學(xué)領(lǐng)域中用來(lái)表示犯罪調(diào)查的詞匯“forensics”，網(wǎng)絡(luò)取證是指捕獲、記錄和分析網(wǎng)絡(luò)事件以發(fā)現(xiàn)安全攻擊或其他的問(wèn)題事件的來(lái)源。在2001年數(shù)字取證研究工作組DFRWS[2]（Digital Forensic Research Workshop)的會(huì)議上，明確將網(wǎng)絡(luò)取證作為會(huì)議的4個(gè)主題之一進(jìn)行討論，并給出了網(wǎng)絡(luò)取證的定義：“為了揭示與陰謀相關(guān)的事實(shí)，或者為了成功地檢測(cè)出那些意在破壞、誤用或危及系統(tǒng)構(gòu)成的未授權(quán)行為，使用科學(xué)的技術(shù)，對(duì)來(lái)自各種活動(dòng)事件和傳輸實(shí)體的數(shù)字證據(jù)進(jìn)行收集、融合、識(shí)別、檢查、關(guān)聯(lián)、分析和歸檔等活動(dòng)過(guò)程”。
　　按照Simson Garfinkel[3]的觀點(diǎn)，網(wǎng)絡(luò)取證包括2種方式：(1)“catch it as you can”(盡可能地捕捉)。這種方式中所有的包都經(jīng)過(guò)一定的節(jié)點(diǎn)來(lái)捕獲，將報(bào)文全部保存下來(lái)，形成一個(gè)完整的網(wǎng)絡(luò)流量記錄，把分析的結(jié)果按照批量方式寫入存儲(chǔ)器。這種方式能保證系統(tǒng)不丟失任何潛在的信息，最大限度地恢復(fù)黑客攻擊時(shí)的現(xiàn)場(chǎng)，但對(duì)系統(tǒng)存儲(chǔ)容量的要求非常高，通常會(huì)用到獨(dú)立冗余磁盤陣列(RAID)系統(tǒng)。(2)“stop look and listen”(停、看、聽)。這種方式中每個(gè)包都經(jīng)過(guò)基本的分析，為以后的分析留下基本信息，對(duì)存儲(chǔ)的要求比較小，但需要一個(gè)較快的處理器，以便速度能跟得上輸入的網(wǎng)絡(luò)流。這種方式能減少系統(tǒng)存儲(chǔ)容量的需求，但有可能丟失一些潛在的信息，同時(shí)過(guò)濾進(jìn)程還會(huì)增加系統(tǒng)負(fù)荷。
　　中科院學(xué)者指出：“網(wǎng)絡(luò)取證技術(shù)指在網(wǎng)上跟蹤犯罪分子或通過(guò)網(wǎng)絡(luò)通信的數(shù)據(jù)信息資料獲取證據(jù)的技術(shù)，包括IP 地址和MAC 地址的獲取和識(shí)別技術(shù)、身份認(rèn)證技術(shù)、電子郵件的取證和鑒定技術(shù)、網(wǎng)絡(luò)偵聽和監(jiān)視技術(shù)、數(shù)據(jù)過(guò)濾技術(shù)及漏洞掃描技術(shù)等”[4] 。
　　目前還沒(méi)有網(wǎng)絡(luò)取證的統(tǒng)一標(biāo)準(zhǔn)定義，綜上所述，筆者認(rèn)為，網(wǎng)絡(luò)取證是指通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，按照符合法律規(guī)范的方式，對(duì)網(wǎng)絡(luò)事件進(jìn)行可靠的分析和記錄，并以此作為法律證據(jù)的過(guò)程。
1.2 網(wǎng)絡(luò)證據(jù)的特點(diǎn)
　　網(wǎng)絡(luò)證據(jù)是正在網(wǎng)上傳輸?shù)挠?jì)算機(jī)證據(jù)，其實(shí)質(zhì)是網(wǎng)絡(luò)流[5]。網(wǎng)絡(luò)證據(jù)的獲取屬于事中取證，即在犯罪事件進(jìn)行或證據(jù)數(shù)據(jù)的傳輸途中進(jìn)行截獲。網(wǎng)絡(luò)流的存在形式依賴于網(wǎng)絡(luò)傳輸協(xié)議，采用不同的傳輸協(xié)議，網(wǎng)絡(luò)流的格式也不相同。網(wǎng)絡(luò)取證的目標(biāo)就是對(duì)網(wǎng)絡(luò)流進(jìn)行正確地提取和分析，真實(shí)全面地將發(fā)生在網(wǎng)絡(luò)上的所有事件記錄下來(lái)，為事后的追查提供完整準(zhǔn)確的資料，將證據(jù)提交給法庭。網(wǎng)絡(luò)證據(jù)具有以下特點(diǎn)：
　　(1)動(dòng)態(tài)：不同于存儲(chǔ)在硬盤等存儲(chǔ)設(shè)備中的數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)是正在網(wǎng)上傳輸?shù)臄?shù)據(jù)，是“流動(dòng)”的數(shù)據(jù)。
　　(2)實(shí)時(shí)：就網(wǎng)絡(luò)上傳輸?shù)囊粋€(gè)數(shù)據(jù)包而言，其傳輸?shù)倪^(guò)程是有時(shí)間限制的，從源地址經(jīng)由傳輸介質(zhì)到達(dá)目的地址后就不再屬于網(wǎng)絡(luò)流了。
　　(3)海量：隨著網(wǎng)絡(luò)帶寬的不斷增加，網(wǎng)上傳輸?shù)臄?shù)據(jù)越來(lái)越多，形成了海量數(shù)據(jù)。
　　(4)多態(tài)：網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流有的是文本，有的是視頻，有的是音頻，其表現(xiàn)形式呈多態(tài)性。
1.3 與傳統(tǒng)靜態(tài)取證的比較
　　計(jì)算機(jī)取證就是對(duì)計(jì)算機(jī)犯罪的證據(jù)進(jìn)行獲取保存分析和出示，它實(shí)質(zhì)上是一個(gè)詳細(xì)掃描計(jì)算機(jī)系統(tǒng)以及重建入侵事件的過(guò)程[6]。傳統(tǒng)的計(jì)算機(jī)取證主要是靜態(tài)取證，即在計(jì)算機(jī)犯罪發(fā)生后，有時(shí)甚至?xí)r間間隔很長(zhǎng)。主要集中在計(jì)算機(jī)磁盤的分析，通過(guò)克隆存儲(chǔ)介質(zhì)生成鏡像文件、恢復(fù)刪除的文件和關(guān)鍵字查找有關(guān)證據(jù)。由于事后的靜態(tài)取證處于被動(dòng)狀態(tài)，取證工作受計(jì)算機(jī)犯罪分子留下現(xiàn)場(chǎng)的制約，電子證據(jù)的證明力相對(duì)較弱，對(duì)于證據(jù)的提取很不充分，而且不能保證所獲得的證據(jù)一定有效。另一方面，靜態(tài)取證過(guò)多地依賴人為經(jīng)驗(yàn)，從海量的數(shù)據(jù)中根據(jù)經(jīng)驗(yàn)來(lái)提取分析。靜態(tài)在事件發(fā)生后借助手工分析網(wǎng)絡(luò)數(shù)據(jù)包和主機(jī)日志，并利用這些數(shù)據(jù)重建攻擊事件，所涉及的數(shù)據(jù)量大，數(shù)據(jù)包和日志的格式復(fù)雜，收集和分析這些網(wǎng)絡(luò)信息非常困難。因此，這種手工分析方式的效率通常很低。另外，這種獲取和分析證據(jù)的方法通常不嚴(yán)格，從而導(dǎo)致所獲得的證據(jù)的可信度不高。
 　　網(wǎng)絡(luò)取證專門針對(duì)網(wǎng)絡(luò)證據(jù)的獲取與分析，是計(jì)算機(jī)靜態(tài)取證的補(bǔ)充。網(wǎng)絡(luò)取證對(duì)所有可能的計(jì)算機(jī)網(wǎng)絡(luò)犯罪行為進(jìn)行實(shí)時(shí)數(shù)據(jù)獲取和分析，在確保系統(tǒng)安全的情況下獲取最大量的證據(jù)，并將證據(jù)保全、分析和提交的過(guò)程。網(wǎng)絡(luò)取證的數(shù)據(jù)源是全面、真實(shí)地反映客觀事實(shí)的、海量的且不斷更新的。網(wǎng)絡(luò)取證主要通過(guò)對(duì)網(wǎng)絡(luò)流、審計(jì)跡、主機(jī)系統(tǒng)日志等的實(shí)時(shí)監(jiān)控和分析，發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵行為，自動(dòng)記錄犯罪證據(jù)，并阻止對(duì)網(wǎng)絡(luò)系統(tǒng)的進(jìn)一步入侵。
1.4 研究現(xiàn)狀
　　在學(xué)術(shù)界，近幾年每年都會(huì)有討論計(jì)算機(jī)取證為主題的學(xué)術(shù)會(huì)議召開：應(yīng)急響應(yīng)和安全小組論壇FIRST[7]（Forum of Incident Response and Security Teams)年會(huì)、數(shù)字取證研究工作組DFRWS[2]（Digital Forensic Research Workshop)會(huì)議、e-forensics電子取證會(huì)議[8]。參考文獻(xiàn)[9]討論了自動(dòng)網(wǎng)絡(luò)取證分析技術(shù)，參考文獻(xiàn)[10]提出了基于證據(jù)圖形推理方法的網(wǎng)絡(luò)取證技術(shù)，參考文獻(xiàn)[11]提出了幾種高速有效的網(wǎng)絡(luò)取證分析方法。
　　  國(guó)外打擊計(jì)算機(jī)犯罪有著20~30年的歷史，有許多專門的計(jì)算機(jī)取證部門、實(shí)驗(yàn)室和咨詢服務(wù)公司，開發(fā)了許多非常實(shí)用的取證產(chǎn)品。雖然我國(guó)在計(jì)算機(jī)取證方面的研究起步較晚，但是經(jīng)過(guò)國(guó)家有關(guān)部門的不懈努力，我國(guó)在計(jì)算機(jī)取證方面也取得了一定成果，開發(fā)出了不少計(jì)算機(jī)取證工具和系統(tǒng)。中科院高能物理研究所提出了網(wǎng)絡(luò)取證與分析系統(tǒng)模型[12]、參考文獻(xiàn)[13] 提出了一種基于模糊決策樹的網(wǎng)絡(luò)取證分析方法、浙江大學(xué)和復(fù)旦大學(xué)在取證技術(shù)、吉林大學(xué)在網(wǎng)絡(luò)逆向追蹤、電子科技大學(xué)在網(wǎng)絡(luò)誘騙、北京航空航天大學(xué)在入侵誘騙模型等方面展開了研究工作。
2 網(wǎng)絡(luò)取證技術(shù)
　　網(wǎng)絡(luò)取證作為全新的信息安全技術(shù)，不同于已有的網(wǎng)絡(luò)安全系統(tǒng)的實(shí)現(xiàn)技術(shù)，網(wǎng)絡(luò)取證過(guò)程充滿了復(fù)雜性和多樣性，使得相關(guān)技術(shù)既復(fù)雜又多樣。主要包括：
　　(1)捕獲網(wǎng)絡(luò)數(shù)據(jù)：高效截包技術(shù)
　　Libpcap是網(wǎng)絡(luò)截包最通用的函數(shù)庫(kù)，適合于多種操作系統(tǒng)平臺(tái)。目前有許多著名的截包分析程序都建立在Libpcap的基礎(chǔ)上，如tcpdump、wireshark、snort等。這種基于網(wǎng)絡(luò)數(shù)據(jù)包的取證系統(tǒng)，如果丟包率太高，后面的會(huì)話重建、協(xié)議分析將無(wú)法進(jìn)行，取證將失去意義。所以，能否高效截取所有數(shù)據(jù)包是整個(gè)網(wǎng)絡(luò)取證的基礎(chǔ)。
　　(2)分析獲取的數(shù)據(jù)：會(huì)話重建技術(shù)
　　會(huì)話重建是網(wǎng)絡(luò)取證中的重要環(huán)節(jié)。分析數(shù)據(jù)包的特征，并基于會(huì)話對(duì)數(shù)據(jù)包進(jìn)行重組，去除協(xié)商、應(yīng)答、重傳、包頭等網(wǎng)絡(luò)信息，以獲取一條基于完整會(huì)話的記錄?；贚ibpcap的截包應(yīng)用程序截獲原始的網(wǎng)絡(luò)數(shù)據(jù)包，把捕獲到的數(shù)據(jù)包分離，逐層分析協(xié)議和內(nèi)容，在傳輸層將其組裝起來(lái)，在重新組合的過(guò)程中可以發(fā)現(xiàn)很多有用的證據(jù)。例如，數(shù)據(jù)傳輸錯(cuò)誤，數(shù)據(jù)丟失，網(wǎng)絡(luò)的聯(lián)結(jié)方式等等。
　　(3)專家系統(tǒng)
　　　網(wǎng)絡(luò)的傳輸速度越來(lái)越快，對(duì)于計(jì)算機(jī)內(nèi)存儲(chǔ)的和網(wǎng)絡(luò)中傳輸?shù)拇罅繑?shù)據(jù)，可以應(yīng)用數(shù)據(jù)挖掘技術(shù)以發(fā)現(xiàn)與特定的犯罪有關(guān)的數(shù)據(jù)。有專家提出了NFAT（Network Forensics Analysis Tools)[14]的設(shè)計(jì)框架和標(biāo)準(zhǔn)，核心是開發(fā)專家系統(tǒng)ES（Expert System)并配合入侵檢測(cè)系統(tǒng)或防火墻，對(duì)網(wǎng)絡(luò)流進(jìn)行實(shí)時(shí)提取和分析，對(duì)發(fā)現(xiàn)的異常情況進(jìn)行可視化報(bào)告。
　　典型的專家系統(tǒng)包括知識(shí)庫(kù)和推理機(jī)，將有關(guān)的證據(jù)知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則，當(dāng)檢測(cè)到當(dāng)前的數(shù)據(jù)包符合知識(shí)庫(kù)中的1個(gè)或幾個(gè)條件時(shí)，就將該數(shù)據(jù)包存入原始證據(jù)庫(kù)以備進(jìn)一步處理和分析。采用專家系統(tǒng)的優(yōu)勢(shì)在于靈活性和可擴(kuò)充性，在基于規(guī)則的系統(tǒng)中很容易使系統(tǒng)的性能和正確性得到持續(xù)地檢查。專家系統(tǒng)的難點(diǎn)在于知識(shí)庫(kù)的建立，很難全面地從各種犯罪手段中抽象出能夠規(guī)則化的知識(shí)。
　　(4)數(shù)據(jù)挖掘技術(shù)
　　實(shí)時(shí)網(wǎng)絡(luò)取證不同于靜態(tài)取證的關(guān)鍵在于它事前就進(jìn)行實(shí)時(shí)數(shù)據(jù)獲取，這要求實(shí)時(shí)網(wǎng)絡(luò)取證要從海量的數(shù)據(jù)中及時(shí)分析出具有網(wǎng)絡(luò)犯罪特征的數(shù)據(jù)，并對(duì)具有新特征的數(shù)據(jù)進(jìn)行分析判斷。這一階段需要將數(shù)據(jù)挖掘技術(shù)引入數(shù)據(jù)的分析中。數(shù)據(jù)挖掘技術(shù)主要包括關(guān)聯(lián)規(guī)則分析、分類和聯(lián)系分析等。運(yùn)用關(guān)聯(lián)規(guī)則分析方法可以提取犯罪行為之間的關(guān)聯(lián)特征，挖掘不同犯罪形式的特征、同一事件的不同證據(jù)之間的聯(lián)系；運(yùn)用分類方法可以從獲取的海量數(shù)據(jù)中找出可能的非法行為，發(fā)現(xiàn)各種事件在時(shí)間上的先后關(guān)系。
3 存在的問(wèn)題和發(fā)展趨勢(shì)
3.1 存在的問(wèn)題
　　網(wǎng)絡(luò)取證目前在國(guó)內(nèi)剛剛興起，人們的網(wǎng)絡(luò)安全意識(shí)和法律觀念較淡薄，取證技術(shù)相對(duì)滯后，使得網(wǎng)絡(luò)取證還面臨著一些困難和挑戰(zhàn)，主要表現(xiàn)在：
　　(1)海量的計(jì)算機(jī)數(shù)據(jù)給證據(jù)收集和分析帶來(lái)困難
　　計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)中每天產(chǎn)生的數(shù)據(jù)復(fù)雜而龐大，如何及時(shí)獲取和保存這些海量數(shù)據(jù)給人們提出了巨大的挑戰(zhàn)。如何在海量的數(shù)據(jù)中審查判斷出與案件關(guān)聯(lián)的、反映案件客觀事實(shí)的計(jì)算機(jī)證據(jù)更是一項(xiàng)艱巨任務(wù)。由于計(jì)算機(jī)數(shù)據(jù)自身容易修改且不留任何痕跡的特性，使得信息的完整性保護(hù)變得非常困難。
　　(2)沒(méi)有標(biāo)準(zhǔn)的網(wǎng)絡(luò)取證流程
　　由于計(jì)算機(jī)取證是一門新興的學(xué)科，發(fā)展還不完善，還沒(méi)有統(tǒng)一的、科學(xué)的計(jì)算機(jī)取證過(guò)程和步驟，沒(méi)有統(tǒng)一的、科學(xué)的計(jì)算機(jī)取證工具的評(píng)判標(biāo)準(zhǔn)和評(píng)判機(jī)構(gòu)；商用和個(gè)人的計(jì)算機(jī)取證工具側(cè)重于事后取證。
　　(3)相關(guān)的法律法規(guī)還不完善
　　 現(xiàn)在美國(guó)至少有70%的法律部門擁有自己的計(jì)算機(jī)取證實(shí)驗(yàn)室[6]。而目前我國(guó)還沒(méi)有設(shè)立計(jì)算機(jī)取證方面專門的法律法規(guī)，還沒(méi)有專門的取證機(jī)構(gòu)，計(jì)算機(jī)取證人員的認(rèn)證也沒(méi)有實(shí)行，律師界對(duì)計(jì)算機(jī)證據(jù)的認(rèn)識(shí)還很模糊和膚淺。還需要繼續(xù)加強(qiáng)計(jì)算機(jī)和網(wǎng)絡(luò)安全相關(guān)的立法工作。
　　(4)用戶網(wǎng)絡(luò)安全意識(shí)和法律觀念淡薄
　　目前大部分政府部門、企事業(yè)單位、學(xué)校、中小型公司等聯(lián)網(wǎng)單位沒(méi)有經(jīng)過(guò)專業(yè)培訓(xùn)的計(jì)算機(jī)安全技術(shù)人員，用戶網(wǎng)絡(luò)安全觀念非常淡薄。另外，一些單位為了自身的聲譽(yù)，在遭受網(wǎng)絡(luò)攻擊或者其他網(wǎng)絡(luò)違法犯罪侵犯時(shí)，沒(méi)有及時(shí)向公安機(jī)關(guān)報(bào)案，使得違法犯罪分子逃避打擊，導(dǎo)致更多的網(wǎng)絡(luò)犯罪發(fā)生。
    　(5)取證專業(yè)技術(shù)人才嚴(yán)重匱乏
　　網(wǎng)絡(luò)取證是一門新興的交叉學(xué)科，涉及法律和計(jì)算機(jī)專業(yè)知識(shí)，這就造成網(wǎng)絡(luò)取證專業(yè)人嚴(yán)重匱乏。因此，必須培養(yǎng)這方面的人才，建立相關(guān)的資格認(rèn)證機(jī)制，對(duì)該類人員進(jìn)行審核和認(rèn)證。目前還沒(méi)有機(jī)構(gòu)對(duì)計(jì)算機(jī)取證人員的資質(zhì)進(jìn)行認(rèn)證，使得取證結(jié)果的權(quán)威性受到質(zhì)疑。
　　(6)反取證技術(shù)的發(fā)展
    　目前有不少的黑客從事反取證技術(shù)的研究，通過(guò)刪除、篡改或隱藏證據(jù)使得取證失效。例如用數(shù)據(jù)隱藏技術(shù)、數(shù)據(jù)擦除技術(shù)和數(shù)據(jù)加密等技術(shù)削弱取證工作的效果。
3.2 發(fā)展趨勢(shì)
　　 未來(lái)網(wǎng)絡(luò)取證技術(shù)的發(fā)展主要有以下幾個(gè)方向：
　　  (1)網(wǎng)絡(luò)取證方法與工具的研究
　　  數(shù)據(jù)獲取技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、數(shù)據(jù)分析技術(shù)、數(shù)據(jù)保存技術(shù)、基于數(shù)據(jù)挖掘的海量數(shù)據(jù)取證技術(shù)。
　　  (2)網(wǎng)絡(luò)取證規(guī)范和標(biāo)準(zhǔn)的研究與制定
　　  研究和制定科學(xué)的網(wǎng)絡(luò)取證步驟和流程，為了保證數(shù)字證據(jù)在收集、保存、檢查和轉(zhuǎn)移等過(guò)程中的準(zhǔn)確性和可靠性，法律實(shí)施組織和取證組織必須建立并維護(hù)一個(gè)高質(zhì)量的系統(tǒng)，建立規(guī)范的文檔、使用廣為認(rèn)可的設(shè)備和材料、取證人員的資質(zhì)認(rèn)定等。
　　  (3)網(wǎng)絡(luò)取證相關(guān)法律法規(guī)的健全
　　  研究網(wǎng)絡(luò)取證的合法性標(biāo)準(zhǔn)，制定和健全與信息安全、計(jì)算機(jī)基礎(chǔ)設(shè)施保護(hù)等相關(guān)的法律法規(guī)，為計(jì)算機(jī)取證和電子證據(jù)的應(yīng)用打下法律基礎(chǔ)。
　　  (4)網(wǎng)絡(luò)取證機(jī)構(gòu)的設(shè)立和認(rèn)證
　　  取證機(jī)構(gòu)的配置、取證機(jī)構(gòu)的管理、取證機(jī)構(gòu)的資質(zhì)認(rèn)證、取證人員的培訓(xùn)和認(rèn)證等。
  　　(5)無(wú)線網(wǎng)絡(luò)取證技術(shù)
　　  隨著手機(jī)上網(wǎng)、無(wú)線上網(wǎng)、3G網(wǎng)絡(luò)越來(lái)越普及，利用手機(jī)和無(wú)線局域網(wǎng)、CDMA無(wú)線上網(wǎng)犯罪的案件逐年上升，目前涉及無(wú)線網(wǎng)絡(luò)取證的技術(shù)正在開發(fā)和完善中，已取得了階段性的成果。
    網(wǎng)絡(luò)取證是一個(gè)迅速發(fā)展的研究領(lǐng)域，是一門有待標(biāo)準(zhǔn)化和探討、不斷發(fā)展的學(xué)科，它在網(wǎng)絡(luò)信息安全和犯罪調(diào)查方面有著重要的應(yīng)用前景。我國(guó)在網(wǎng)絡(luò)取證研究上剛剛起步，這更加顯示了網(wǎng)絡(luò)取證研究的緊迫性，也為今后的研究提供了機(jī)遇和空間。
參考文獻(xiàn)
[1] RANUM M J. Network forensics and traffic monitoring[J]. Computer Security Journal，1997，13(2):35-39.
[2] PALMER G. A road map for digital forensic research[R]. Report from the First Digital Forensic Research Workshop(DFRWS)， Utica， New York， August 7-8. 2001: 27-30.
[3] GARFINKEL S. Network forensics:tapping the internet[EB/OL].http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html. 2002.
[4] 丁麗萍，王永吉.計(jì)算機(jī)取證的相關(guān)法律技術(shù)問(wèn)題研究[J].軟件學(xué)報(bào)，2005，16(2):260-275.
[5] 丁麗萍.基于網(wǎng)絡(luò)數(shù)據(jù)流的計(jì)算機(jī)取證技術(shù)[J].信息網(wǎng)絡(luò)安全，2005(6):74-76.
[6] 王玲，錢華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].軟件學(xué)報(bào)，2003，14(9):1635-1644.
[7] The forum of incident response and security team[Z].http://www.first.org. 2009.
[8] e-forensics conference[Z].http://www.e-forensics.eu/.2009.
[9] MERKLE L D. Automated network forensics[C]. Atlanta， GA， USA: Proceedings of the 2008 GECCO conference companion on Genetic and evolutionary computation. ACM， 2008.
[10] WANG W， DANIELS T E. A graph based approach toward network forensics analysis[J]. ACM Trans Inf Syst Secur 2008，12(1):1-33.
[11] PONEC M， HERV G P. Highly efficient techniques for network forensics[C]. Alexandria， Virginia， USA: Proceedings of the 14th ACM conference on Computer and communications security. ACM， 2007.
[12] 楊澤明，許榕生，曹愛娟.網(wǎng)絡(luò)取證與分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2004，30(13):72-74.
[13] 劉在強(qiáng)，林東岱，馮登國(guó).一種用于網(wǎng)絡(luò)取證分析的模糊決策樹推理方法[J].軟件學(xué)報(bào)，2007，18(10):2635-2644.
[14] COREY V， PETERMAN C， SHEARINS S， et al. Network forensics analysis[J]. IEEE Internet Computing， 2002，
6(6):60-66.