基于Web的網頁動態實時取證方法研究

摘 要 為了應對日益增長的互聯網數據取證需求，獲取真實可靠的互聯網證據，提高網絡數據捕獲的效率，本文提出了一種基于Web的網頁動態實時取證方法，并對獲取的證據包進行加密處理，確保獲取證據的有效性，使用第三方保全中心保全確定了證據包的可靠性。經過完整的研究和分析表明，本文研究的取證方法能夠獲取完整的電子證據鏈，滿足當下Web網頁實時取證需求。

【關鍵詞】實時 取證 捕獲 保全

1 電子證據概述

網絡證據（Internet Evidence）就是指能夠證明網絡案件真實性的、被作為證據研究的網絡數據。網頁取證是指運用科學的收集和整理方法，對用戶主動瀏覽的Web頁面資源進行捕獲、固化、分類、存儲和驗證的整個過程。目前已有的取證方式主要是以對瀏覽器緩存日志進行分析的瀏覽器取證技術、以主動誘導目標程序攻擊為核心的密陷取證技術和使用主動誘導攻擊技術為核心的密陷取證技術和使用傳感器進行網絡監控的主動防御技術。這些技術可以通過者誘騙攻擊或主動防御在一定程度上捕獲到用戶感興趣的數據或防止網絡侵權站點的入侵。但是，由于網絡數據復雜多變，而我國法律規定了電子證據必須具備合法性、客觀性和關聯性。因此無論采取何種方式，都需要滿足網頁取證技術的要求，當前技術對于互聯網取證便面臨三個問題：

（1）僅僅是截屏、拍照，所展現的只能是靜態的圖片、視頻信息，這些信息很容易通過PS等技術人為制造出來，無法證明其客觀存在于互聯網之上。

（2）通過主動防御技術只能抵御類似病毒的攻擊，應對侵權犯罪的網頁證據，無法提供根本的解決辦法。

（3）網頁數據時效性強，變化快，傳統的對侵權行為進行事后取證已經無法滿足執法部門的需要。

2 取證流程及模型

由于網頁數據具有很強的時效性，已有的對數據進行靜態分析和捕獲處理已經不能適應當前快速變化的網頁數據。本文設計一種適用于網頁的動態、實時、有序且高效可靠的網頁動態實時取證模型WDRFM（WebpageDynamic Real-time Forensics Model）。通過主動訪問目標Web頁面，向請求域名對應的數據資源服務器發起請求，即可快速獲取請求網頁的表層數據、交互數據和底層數據，包括路由、路徑、IP、ICP、服務器資源分布等信息，并將獲取到的證據進行固化，同時生成數字指紋和國家授時中心授時時間戳發送到具有司法效應的第三方保全中心保全，確保證據的合法性和唯一性。

將WDRFM模型用一個集合packList（W，C，A，R，E，T，EP）表示。其中WP（Webpage）表示取證的目標Web頁面，C（Capture）表示證據包捕獲，A（Analys）表示證據分析，R（Rule）表示取證時和證據分類整理所遵循的規則，S（Solidify）表示證據包的固化，T（Timestamp）表示證據包添加的時間戳，EP（evidence-package）表示最終生成的證據包，如圖1所示。

3 數據包捕獲

對于不同的操作系統，數據捕獲方式也會有所不同，目前，操作系統提供了基于Libcap 的數據捕獲和基于套接字的捕獲兩種方式。與基于套接字的數據捕獲方式復雜且僅僅能適用平臺過于單一相比，Libcap不僅可以存在于多個平臺之上，而且能夠為不同的數據包過濾器提供內在的算法匹配支持，將用戶所需要的數據快速準確的傳輸到系統的應用層。Libcap運行在用戶層中，采用BPF（Berkeley Packet Filter）機制進行數據包的捕獲處理。BPF主要包含，網絡分接頭（Network Tap）和數據包過濾器（Packet Filter）兩個部分。當系統執行數據捕獲命令后，網絡分接頭會在用戶計算機的網卡驅動程序中添加攔截器，并根據需要制定不同的攔截規則，捕獲網絡中傳輸的所有數據信息。

當系統成功獲取網頁數據之后，需要將證據進行固化。由于Web頁面通常包含大量的資源鏈接，在數據還原過程中快速向頁面結構中填充信息，因此需要在對證據進行固化操作之前分析數據，使用I/O流重定向規則將捕獲的證據包生成網頁快照，打包生成數字指紋發送到第三方保全中心保全。其中，假設當前頁面數據為S1，原始頁面數據為S0，被改變過的重定向數據為sys_dir，生成快照的規則如下：

（1）讀取重定向數據：πsys_dir（σflag=1 （S1） ）；

（2）對比分析當前頁面和原始頁面重復數據：{t|t∈S1∧t∈S0}；

（3）生成快照的數據：πsys_dir （σflag=1 （S1） ）∪{t|t∈S1∧t∈S0}。

4 總結

為了應對日益增長的網絡侵權和犯罪行為，彌補現有取證方式無法證明網絡數據來源、獲取證據不可靠等不足，實時獲取真實有效和不被篡改的網頁證據。本文提出了基于Web的在線實時取證概念，構建了適用于線上的高效、及時且符合法律法規的網頁動態實時取證網頁動態實時取證模型，通過Libcap和BPF機制獲取網絡證據包，生成了唯一數字指紋發送到第三方保全中心保全。同時，生成網頁快照提高取證數據在形成網頁過程中的還原效率。本文通過對取證方法的研究，能夠快速獲取違規網頁的數據信息，形成了一條完整的證據鏈，能夠滿足當前法律對于電子證據的所有要求。

參考文獻

[1]熊仕勇，唐浩.網絡實時取證模型的研究初探[J].網絡安全技術與應用，2016（03）：38.

[2]熊志海，王靜.網絡證據之形式問題研究[J].重慶郵電大學學報（社會科學版），2011，23（04）：48-51.

作者簡介

熊仕勇（1974-），男，四川省自貢市人。高級工程師，碩士學歷。研究方向為數字媒體技術、系統架構、互聯網安全。

作者單位

重慶郵電大學軟件工程學院 重慶市 400065