CN100414554C - 用于计算机的电子数据取证方法和系统 - Google Patents

Abstract

用于计算机的电子数据取证方法，包括：1)策略生成过程，根据新案件或取证需求，通过多级取证策略生产新案例的取证策略；2)按需定制过程，根据策略生成过程提交的取证策略，对取证系统的取证范围变量进行动态配置；3)实时取证过程，根据按需定制过程设置的取证范围确定证据数据源，然后在系统运行的过程中记录相应的证据数据，最后交给证据存储过程；4)证据存储过程，首先对取证系统的有效性进行检验，然后将已经验证的证据文件写入证据数据库中保存；5)贯穿始终的安全保护过程，过滤整个计算机系统中对取证系统及其相关数据的访问请求。该方法突破了已有的计算机系统取证方法只能事后取证的局限，能够对电子数据进行实时取证。

Description

用于计算机的电子数据取证方法和系统

技术领域

本发明涉及一种对计算机系统进行电子数据取证的技术，特别是一种能够实时对计算机系统进行取证的方法和系统，属于信息安全和计算机系统技术领域。

背景技术

近年来，随着互联网的飞速发展，网络入侵攻击事件的数量也在以惊人的速度逐年增长。根据CERT/CC的统计数据[CERT2006]，从2001年到2003年期间每年的入侵事件都比上一年增长50％以上，其中仅在2003年CERT就处理了137529个入侵事件。

计算机安全保护技术[Bishop2004]从访问控制的角度预防入侵。访问控制策略分为保密性策略和完整性策略两种。保密性策略强调对保密性的保护，用于防止信息的非授权泄漏。著名的Bell-LaPadula模型[Bell1975]用于描述保密性策略，它以格的形式表示安全系统内部的机密性保护机制。Multics系统[Organick1972]实现了Bell-LaPadula模型。完整性策略强调对完整性的保护，用于防止信息的非授权更改。Biba模型[Biba1977]和Clark-Wilson模型[Clark1987]用于保护系统的完整性。安全保护技术的基础是对用户身份的正确识别，根据不同级别的用户赋予相应的权限。一旦入侵者通过缓冲区溢出攻击控制了服务进程，系统无法区分入侵者和服务进程本身，安全保护技术将无法起到作用。

随着互连网的爆炸性扩张，计算机安全问题日益严重，相应的计算机取证技术越来越受到信息安全界的关注。计算机取证的涵义是：为了重构犯罪案件的细节和衡量未授权行为的破坏性，在电子证据的保护、采集、验证、鉴别、分析、转译、记录和陈述的过程中采用的可验证的科学方法。目前通用的取证技术主要通过收集目标计算机硬盘中的数据来进行事件重构以确认入侵实施的时间、地点和方式。在发现系统入侵之后，取证人员才对目标计算机进行证据采集、证据恢复、证据分析等调查工作。然而这种方法具有两个严重的问题，首先硬盘中残留数据的信息量是非常有限的，其次残留数据的本身是不可信的。计算机系统在运行状态中产生的大量信息，包括文件读写操作、进程地址空间、进程间通信等等，不会在硬盘中留下痕迹。此外，入侵者会通过删除或者破坏数据记录来掩盖入侵的痕迹，一些简单的修改足以使硬盘数据失去作为证据的能力。

目前电子证据的采集技术的研究上，取证技术人员发明了各种方法试图在已经停机的可疑系统中发现案件相关的蛛丝马迹。著名的工具包括商用的EnCase[Encase2006]和开源的The Coroner’s Toolkit取证分析工具包[Farmer2004]，Brian Carrier在TCT工具包的基础上，开发了功能更加强大的The Sleuth Kit[Carrier2006]，这个工具包按照不同级别的抽象层次[Carrier2002]，分别提供了对文件、文件系统、数据块、磁盘扇区的证据采集工具。这些自动化分析的工具有效地提高了计算机取证工作的效率，但是它们都仅仅着眼于案发后现场残留的数据，不能提供足够的信息以便重构整个案发过程，而且有经验的入侵者可以通过删除或掩盖敏感数据的方法破坏证据。根据Peter Gutmann的实验结果[Gutmann1996][Gutmann2001]，通过多次反复擦写可以几乎彻底杜绝数据恢复的可能性，甚至使用扫描隧道显微镜都无法探测出磁道原始状态。目前已经有人实现了使用Gutmann擦除方法的安全删除工具[Hauser2003]，这种工具的使用会进一步增加传统事后取证方法的技术难度。这些情况极大限制了计算机取证技术的实际可操作性，迫切需要设计一种新的取证机制加强对入侵攻击的取证能力。

发明内容

针对上述问题，本发明的目的是提供一种对系统进行实时取证的新的计算机取证方法以及相关的各种配套机制，并实现一个采用这种实时取证方法的取证系统。所述的取证方法和取证系统要实现以下目标：

1.实时记录用户和进程的操作，而不局限于操作产生的结果；

2.实施严格的证据保护机制，防止证据被篡改或删除；

3.具有通用性，可以适应对不同种类的入侵攻击的要求。

在入侵攻击的每个阶段，入侵者为了达到他们的目的，必须借助于操作系统提供的系统调用服务。入侵攻击程序在调用操作系统服务的时候，会在内存中生成大量的系统调用信息，这些信息中包括了入侵者的攻击步骤、攻击目标、入侵手段、入侵时间等，甚至可以通过入侵机器的IP确定入侵者的地理位置。实时取证的目的就是要采集这部分系统在运行过程中产生的数据，记录在受保护的证据数据库中，以便将来对入侵攻击事件进行分析重构，获得入侵者的犯罪证据。

技术方案

如图1所示，实时取证方法的总体过程包括5个子过程，分别是策略生成过程、按需定制过程、实时取证过程、证据存储过程和贯穿始终的安全保护过程。首先根据当前入侵事件的实际需求，由策略生成过程产生出取证需求描述；按需定制过程根据这个取证需求描述确定出取证系统运行的配置参数，以这些参数启动实时取证过程；实际的证据采集操作由实时取证过程完成，实时取证过程中系统会记录下用户进程的运行时信息；最后实时取证过程中采集得到的证据数据交由证据存储过程完成证据的保存；在整个取证过程中，有一个安全保护过程负责保护取证过程中涉及到的各个子过程正确有效地完成取证任务。

以下对上述各个子过程内部的机制进行细化描述：

1、策略生成过程：

取证策略所决定的是实时取证过程需要取证的范围。策略生成过程要求系统中保存有一个证据策略库，这个策略库中保存了大量的案件类型和对应的取证策略。当需要对某一种新的案件进行取证策略生成的时候，本过程首先将新案件或取证需求的特点转换成系统可以理解的描述方式，表示成N元组结构；然后根据这个N元组结构中各个分量的取值将当前案件与策略库中保存的所有已知案件类型进行匹配；根据匹配的结果确定相应的取证策略，并作为按需定制过程的输入参数。

2、按需定制过程：

根据策略生成过程提交的取证策略，按需定制过程对取证系统的取证范围变量做出相应的配置。

3、实时取证过程

在实时取证过程中完成实际的电子证据的采集工作。根据预先由按需定制过程设置的系统的取证范围，实时取证过程确定需要系统中的哪些部分进行取证操作，即确定证据数据源，然后在系统运行的过程中将相应的证据数据记录在取证系统内部的证据缓冲区里面，最后将证据缓冲区里的电子证据数据批量地交给证据存储过程。所述的证据数据源包括进程、文件、系统调用、内核中的关键数据和网络数据中的任一项或几项。

4、证据存储过程

证据存储过程负责证据数据的保存。本过程首先对取证系统的有效性进行检验，防止入侵者控制取证系统后向证据数据库中写入伪证，然后将已经验证的证据文件写入证据数据库中保存。

5、安全保护过程

安全保护过程贯穿于整个取证过程，对每个子过程的完整性和有效性进行实时的保护。本过程过滤整个计算机系统中对取证系统及其相关数据的访问请求。首先获取访问主体的权限信息，然后根据这一权限信息确定是否允许此访问请求。

本发明的技术效果在于，突破了已有的计算机系统取证方法只能事后取证的局限，采用按需取证的策略和内核级取证方法，提供了一种可信度高的取证方法，该方法可对所有类型的电子证据进行取证，取证方法和系统容易实现，并且能够及时、准确地获取所需的电子证据，能够有效地预防和打击犯罪。另外，本发明采用的取证策略的定制和生成方法，可灵活地利用同类案件的历史数据，并结合对新案件的需求或针对所需预防的犯罪类型灵活制订取证策略，提高了取证效率和证据的可用性及可靠性。

附图说明

图1是实时取证方法的过程描述示意图；

图2是实时取证系统的模型示意图；

图3是取证策略的生成过程流程图；

图4是案件自动分类器的结构示意图；

图5是动态配置取证范围的流程图；

图6表示证据采集的具体实现；

图7表示对取证模块的保护机制的示意图。

具体实施方式

根据实施取证方法的5个过程，我们决定将每个过程作为取证系统的一个模块来实现。以下将结合附图详细描述本发明的取证方法和系统。

如图2所示，本取证系统主要包括五个部分：策略生成模块、按需定制模块、实时取证模块、证据库模块、安全保护模块，各模块协同完成取证系统的实时取证、动态配置、安全保护设计目标。其中，策略生成模块采用数据挖掘方法确定当前案件的取证策略。按需定制模块以当前的取证策略作为输入，生成当前的取证范围参数，并动态地对实时取证模块的取证范围进行更新。实时取证模块按照当前的取证范围对系统调用实施在线的实时监控，将系统调用的信息记录在证据文件中，同时负责把证据文件转储到证据库；证据库可以是与取证机器相联的另一台单独的数据库服务器，也可以是在本机运行的数据库系统，负责证据文件的后端存储，它首先验证取证机器的有效性，如果验证通过则从实时取证模块接收证据数据，否则拒绝接收数据，并提示管理员取证机器可能被入侵。安全保护模块负责保护整个取证系统和证据数据，防止被入侵者非法操纵或破坏。

以下结合上述取证系统的各个模块，详细描述取证方法的各个子过程，系统中各模块的具体构成也将在各过程中的描述中体现出来。

1、策略生成

1)将新案例和取证需求表示成案例库中的案件的形式，作为策略生成模块的输入参数；

2)案件自动分类器根据新的需求或新的案件的特征，在案例库中找到K个与之同类的案件，其中，本实施例中采用的案件自动分类器为基于kNN的分类器；

3)根据分类器确定的K个案例样本，确定相应的案件类别，在取证策略规则库中匹配出对应的取证策略，从而生成新案例的取证策略，称之为多级取证策略。

如图3所示，根据上述的取证策略生成过程，策略生成模块至少应包括基于kNN的分类器和取证策略规则库。其中，案件自动分类器是实现取证策略生成过程的关键，以下对分类器进行详细介绍。

如图4所示，表示案件自动分类器的结构和处理流程。一般地，分类器的整个工作周期可以分成训练过程和分类过程。在训练过程中，训练集实例经过预处理后被表示成向量形式。该特征向量集用来描述类别模式，在分类过程中使用。校验集是训练集的一部分，通过应用相应的阈值策略来预先确定每个类别的截尾阈值。在案件分类过程中，一个待分类的案件文档经过预处理并表示成向量后，应用分类算法同训练过程得到的类别模式逐一比较，得到候选类别列表。然后，同训练过程中得到的每个类别的阈值相比较，保留大于阈值的类别，并作为该案件的分类结果。

从中可以看出，构建一个分类器的关键因素包括：预处理、训练集、特征选取算法、分类算法和截尾算法等。

案件分类器的具体设计如下：

(1)预处理。预处理可以包括对训练集中的案例进行分词和特征选取处理。例如，根据一般司法调查的案件描述习惯，我们选取了以下的特征项描述案件：Id是案件的编号，Name是案件的名称，如211杀人案、321抢劫案等，Time表示案发时间，Site是发案地点，Suspect是嫌疑人，Type是案件类型，Artifice表示作案手段，Victim表示被害者，Reasons是犯罪原因，Results是危害结果，Receiver是接报案件的民警，Criminal_characters是罪犯的特征，Criminals_number是罪犯数量，Committing_process是犯罪过程描述，Committing_tools是犯罪工具，Committ_motivation是犯罪动机，If_destroy_the_scene表示是否破坏了犯罪现场，Vehicle是犯罪使用的交通工具，Detective means是初步侦查手段，Evidences是需要的证据，Forensics_policy是取证策略，这里用id表示。Lawsuit表示适用的法律条文。采用中文分词处理案件的文字描述，生成案件的特征向量描述。这就是案件的预处理。

(2)分类算法。本实施例选用kNN(k-Nearest Neighbor)分类算法来实现基本的分类器。例如可以选取k＝10，即仅保留相似度最大的10个实例案件。为确定待分类案件的类别，首先需要把具有相同类别的实例与待分类案件之间的相似度相加作为待分类案件的类别相似度，最后把相似度最高的若干个类别(例如3个)作为该案件的结果类别，所以这里每个待分类案件仅取3个结果类别。

(4)截尾算法。采用简单的位置截尾法(rank-based thresholding，记为RCut)。

(5)分类质量的评价指标。

根据上述案件自动分类器的构造，以下分别介绍三种案件自动分类算法：

A.一般的kNN算法：

Step 1.根据特征项集合描述训练案例向量。

Step 2.在新案件到达后，根据案例特征值处理新案例，确定新案例的向量表示。

Step 3.在训练案例集中选出与新案例最相似的K个案例，计算公式为：

$\mathrm{Sim}(d_i,d_j)=\frac{\underset{k=1}{\overset{M}{\mathrm{\Σ}}}{W}_{\mathrm{ik}}\×W_{\mathrm{jk}}}{\sqrt{\left(\underset{k=1}{\overset{M}{\mathrm{\Σ}}}{W}_{\mathrm{ik}}^2\right)\left(\underset{k=1}{\overset{M}{\mathrm{\Σ}}}{W}_{\mathrm{jk}}^2\right)}}$

其中，K值的确定目前没有很好的方法，一般采用先定一个初始值，然后根据实验测试的结果调整K值，一般初始值定为几百到几千之间。

Step 4.在新案件的K个邻居中，依次计算每类的权重，计算公式如下：

$p(\stackrel{\→}{x},C_j)=\underset{{\stackrel{\→}{d}}_i\∈\mathrm{KNN}}{\mathrm{\Σ}}\mathrm{Sim}(\stackrel{\→}{x},{\stackrel{\→}{d}}_i)y({\stackrel{\→}{d}}_i,C_j)$

其中，

为新案件的特征向量，

为相似度计算公式，与上一步骤的计算公式相同，而

为类别属性函数，即，如果属于类C_j，那么函数值为1，否则为0。

Step 5.比较类的权重，将新案件分到权重最大的那k个类别中。

B.权函数的改进：

设案例库(样本空间中)中有M个案件类别C1，C2，…，CM，每类有Ni个样本，假定相同类别的案件具有相同的Forensics_policy。若K1，K2，…Kc分别是未知样本X的K个最近邻中属于C1，C2，…，CM类的样本数，且K个最近邻中最远点和最近点的距离分别为dmax、dmin，则定义权函数为：

${\mathrm{\ω}}_j^i=\frac{d_{\max }-d(X,X_j^i)}{d_{\max }-d_{\min }}$

其中Xji表示第j类第i个样本矢量。判决函数定义为：

$g_j\left(X\right)=\underset{i}{\overset{K_i}{\mathrm{\Σ}}}{\mathrm{\ω}}_j^i$ j＝1，2，…，M

然后，从判决函数值中选择按照大小排在前t位的类别作为未知案件所属的类别

(3)基于加权权函数的kNN案件分类器算法：

C.基于加权kNN分类器的案件分类算法可描述为：

1)输入待分类案件X，设置k值，1≤k≤n，令n＝1；

2)计算分类案件X与Xn之间的距离，IF(n≤k)THEN将Xn归入X的k个近邻中，ELSEIF(Xn比X原来的k个近邻更接近X)，THEN用Xn替换k个最近邻中的最远者，置n＝n+1；

3)IF(n≤k)THEN转至步2)；

4)计算权函数ω_j ⁱ；

5)计算判决函数gj(X)；

6)IFg_m(X)∈{g_j(x)前t个最大值函数}，j＝1，2，…m，

THEN将X分到Cm类；

ELSE IF g_m(X)不存在，则把X单独归为一类。并人工设置Evidences，Forensics_policy等特征值。

7)输出所归类别的Evidences，Forensics_policy两个特征值作为取证策略。

2、按需定制

按需定制模块的任务是根据入侵攻击的特点和系统一些默认参数，生成实时取证模块启动所需的取证范围信息。按需定制模块通过一个安全数据缓冲区向实时取证模块传递信息，这个数据缓冲区处在安全保护模块的监控下，由安全保护模块保证信息传递的机密性和完整性。根据策略生成模块输出的数据，按需定制模块可以动态地配置当前的取证对象包含的范围，即当前案件所关心的系统事件的集合，然后对关心的系统事件进行取证，忽略集合以外的系统事件。

对于取证范围的动态配置，可以采用以下所述的方法，如图5所示：为每个系统调用都设置一个取证开关变量，根据开关变量的当前状态确定是否对此系统调用进行取证。在用户进程从系统调用返回前，取证模块首先判断开关变量状态，如果此系统调用需要取证则将进程结构中的证据记录写入证据文件，否则丢弃证据记录直接返回。

3、实时取证

实时取证功能的实现：把取证模块编译在内核中，该模块随系统启动自动加载，然后以后台进程的形式运行，实时地截取系统调用信息，监控并记录用户进程的执行过程。本实施例的取证系统的数据采集点为系统调用的入口和出口，具体实现方法如图6所示：

Forensic_syscall_enter(int syscall_num，void*args)

在系统调用的入口调用该函数，用于判定是否对该系统调用进行取证和新建取证记录，获取证据信息。syscall_num是系统调用的编号；args是证据信息，此参数为可变参数，不同的事件取不同的值，是一个参数列表。

Forensic_syscall_exit(int value)

在系统调用返回之前调用该函数，其作用是将取证记录进行存储。参数value代表系统调用的返回值，通过这个返回值可以确定系统调用的运行结果。

其中，证据数据的来源包括进程、文件、系统调用、内核中的关键数据和网络数据中的任一项或几项。

1)来自进程的数据

这里的进程是指系统中正在运行的进程组成的集合。进程类证据的特征属性可以用一个向量表示，用于描述各进程的特征值，所述的特征值可以包括如进程的ID、进程占用的内存空间和CPU时间、运行时所在的地址空间和运行权限等。基于进程这一数据源，就可以根据获取的特征值确定进程运行的指定代码空间段的指令序列，确定进程以什么样的权限执行什么样的系统操作。当然，不同的取证策略对于所获取的进程的特征值可能有不同的要求，因此对应不同的取证需求，用于描述进程特征的具体向量是可变的。

2)来自文件系统的数据

文件系统是操作系统的重要组成部分。这里，作为证据数据源的文件是指操作系统中的由取证策略确定的关键文件的集合。文件类证据的特征值也可以用向量表示，用于描述文件的类型和内容、文件被访问的形式和访问权限、以及操作该文件的进程ID等。基于文件这一数据源，我们可以获取有关什么样的文件被什么样的进程以什么样的权限访问过的信息，并且可以确定访问的形式是读、写还是修改。

3)来自系统调用的数据

系统调用是操作系统核心向用户提供的操作硬件设备、请求内核服务的接口。系统调用接口位于用户态与核心态之间。一般的系统调用过程是：用户程序通过系统调用向操作系统内核请求服务，操作系统内核完成服务，将结果返回给用户进程。系统调用提供了访问内核的机制，提高了系统的安全性，保证了应用程序的可移植性。

系统调用相关的数据也可以用向量表示，该向量的特征值包括：系统调用的名称和功能，系统调用的客体及其信息，以及系统调用的入口函数。

系统调用劫持技术通过修改对应系统调用表和中断描述符表的相应表项的值，可以实现系统调用劫持，获取系统调用队列。这里，对于每一个系统调用设置两个钩子函数：在系统调用的入口处设置一个钩子函数，获取有关的参数，在系统调用的结束处插入一个钩子函数获取事件是否成功的信息。

4)来自内核中的其它关键数据

内核管理着所有的系统线程、进程、资源和资源分配。在操作系统中，与进程相关的所有信息都存在该进程的进程控制块中，以便于进程的控制和管理。通过对系统内核资源的取证，我们可以获取和有关事件相关的系统资源分配状况。来自内核的关键数据应能反应CPU负载、内存空间和磁盘空间等系统信息。

5)来自系统的网络数据

网络数据主要包括主机中与网络相关的内核数据，主要特征包括：连接的IP地址、网络协议、主机带宽等信息。系统网络数据的获取可以达到网络证据实时获取的目的。

以上描述了本发明的取证方法和实时可取证操作系统中所使用的证据数据源。这5类数据源所包含的内容有交叉，可以通过设定优先级和标记的方法避免重复采集。

4、证据库

证据库模块是同取证主机相连的一台单独的数据库服务器，它通过一个私有的网络接收来自实时取证模块的证据数据，并按照预设的数据格式存储证据文件。为了防止证据库被入侵者攻击，我们将证据库服务器与网络隔离。同时，在证据库中加入了对于取证模块发送的证据数据的验证机制，以防止入侵者篡改证据后向证据库传送伪证。

证据文件的转储分为两个阶段。第一个阶段是证据文件验证码的传输，取证模块生成了一个证据文件之后，首先为这个证据文件计算验证码并传送给证据库模块，然后再释放文件锁将文件写入磁盘文件系统。为了防止入侵者伪造或窃听验证码，可以采用公钥加密体系来保证验证码的安全传输。首先分别为取证机器和证据库服务器设置密钥，并把公钥发送给对方。取证机器先用证据库服务器的公钥加密验证码，再用自己的私钥对验证码进行二次加密，然后通过私有网络传输加密后的验证码。证据库服务器收到密文后，先用取证机器的公钥解密以证明验证码确实是取证机器发送的，然后再用自己的私钥解密获得验证码的内容，这样又可以防止其他用户窃听验证码。

第二个阶段是证据文件本身的入库，证据库模块从取证模块接收到一个完整的证据文件以后，计算出它的验证码与验证码列表中的当前码值进行比较，两者一致则同意证据入库；否则，说明证据文件已经遭到入侵者的非法修改，证据库模块会拒绝接受证据文件，并向系统管理员发出入侵警报。

5、安全保护

(1)取证模块的保护

由于取证模块往往存在于不安全的系统中，因此取证系统本身的安全性是首先应该考虑的问题。取证安全保护模块就是要保证取证模块在配置和运行的过程中不会被篡改，保证取证功能的正常完成。对于取证模块的保护包括两点：安全配置和安全运行。

A.安全配置：对取证模块的配置文件采用加密和访问控制机制予以保护，防止恶意用户破坏配置文件的完整性。

B.安全运行：取证模块是以系统进程的形式运行的，采用强制访问控制机制可以保证取证进行不被恶意用户影响。

本发明构建了内核中的进程保护，为了防止入侵者对取证进程的破坏，对于取证进程进行了隐藏。如图7所示，该进程保护机制的运行过程为：

a)在无干扰系统环境下，全面地运行系统中的安全进程，分析和搜集系统中这些进程的相关信息：

(Process_Id，Process_Name，Process_exe_mapping，Start_Time，Parent_Process)

其中，Process_Id是进程的ID，Process_Name表示进程的名称，Process_exe_mapping是进程的可执行映像，Start_Time进程的开始时间，Parent_Process代表进程度的父进程信息。这样就形成了一张“系统安全进程列表”，作为进程监控的依据。

b)监控代码在进程调度过程中实时地搜集系统中运行进程的信息。如果发现进程不在“系统安全进程列表”当中，则马上通过终端输出该进程的PID号、名称、进程的可执行映像等信息，或者通过声音向用户报警，等待用户处理，在这个等待的过程中，终止调度该进程，直到用户做出响应(放行该进程或者杀死该进程)。

c)判断报警的进程是否是取证进程。如果是，运行并隐藏该进程。

d)在步骤b)中，如果特别的用户(不同于系统管理员的取证用户)放行了该进程，则可以将该进程加入“系统安全进程列表”，以完善该列表；如果是一般用户在使用过程当中放行了某个进程，那么，需要将该用户的用户名和身份记录下来，并且将放行的进程记录下来存为日志，作为取证用户在审核用户行为或者修改“系统安全进程列表”时的一个有力的依据。

e)在系统运行过程当中，如果发现“系统安全进程列表”当中的某些重要的进程(包括kswapd、bdflush等)不处于运行状态，则马上将该进程“遗失”的信息存入文件，以备在系统的恢复过程当中，对它们进行针对性的恢复，根据不同的情况，有的需要马上停机，恢复进程，有的则可以现场恢复。

(2)证据数据的保护包括以下三个要点：

a.证据的完整性：保证证据的真实性，保证证据在出示的时候能够被证实确实没有被篡改过；

b.证据的机密性：保证证据的内容不会被非法用户获取；

c.证据的可鉴别性：能构识别证据的采集者、处理者以及创建者。

加密是保护证据数据的一种有效手段。由于证据记录需要形成证据监督链，因而，最好采用加密算法对证据数据进行逐条加密，本实施例采用的加密算法是MD5。D5即“Message-Digest Algorithm 5(报文摘要算法)”，它由MD2、MD3、MD4发展而来的一种单向Hash函数算法。MD5是一种不可逆的加密算法，应用极为广泛，主要的应用领域包括数字签名、数据库中的信息加密以及通信信息的加密。

以上通过较佳实施例详细描述了本发明，本领域的技术人员应能理解，在不脱离本发明实质的范围内，可以对本发明的实施例进行各种变形和修改。例如，在策略生成过程中，对训练集和/或待分类案件的预处理不限于进行中文分词，可以根据具体需要应用各种语言进行预处理。又如，证据库模块也可以是运行于本机中的数据库服务程序。

Claims (8)

1. 一种用于计算机的电子数据取证方法，包括：

1)策略生成过程，根据新案件或取证需求，将新案例和取证需求表示成案例库中的案件的形式，作为策略生成模块的输入参数；

案件自动分类器根据新的需求或新的案件的特征，在案例库中找到K个与之同类的案件；

根据分类器确定的K个案例样本，确定相应的案件类别，在取证策略规则库中匹配出对应的取证策略；

2)按需定制过程，根据策略生成过程提交的取证策略，对取证系统的取证范围变量进行动态配置；

3)实时取证过程，根据按需定制过程设置的取证范围确定证据数据源，然后在系统运行的过程中记录相应的证据数据，最后交给证据存储过程；

4)证据存储过程，首先对取证系统的有效性进行检验，然后将已经验证的证据文件写入证据数据库中保存；

5)贯穿始终的安全保护过程，过滤整个计算机系统中对取证系统及其相关数据的访问请求。

2. 如权利要求1所述的方法，其特征在于，所述的案件自动分类器采用基于kNN的分类算法。

3. 如权利要求1所述的方法，其特征在于，所述的动态配置方法为：为每个系统调用都设置一个取证开关变量，根据开关变量的当前状态确定是否对此系统调用进行取证；在用户进程从系统调用返回前，取证模块首先判断开关变量状态，如果此系统调用需要取证则将进程结构中的证据记录写入证据文件，否则丢弃证据记录直接返回。

4. 如权利要求1所述的方法，其特征在于，所述的证据数据源来自：来自进程的数据、来自文件系统的数据、来自系统调用的数据、来自内核中的其它关键数据和来自系统的网络数据。

5. 权利要求1所述的方法，其特征在于，所述的步骤5)采用内核进程保护机制，其具体运行过程是：

a)在无干扰系统环境下，全面地运行系统中的安全进程，分析和搜集系统中这些进程的相关信息，形成一张系统安全进程列表作为进程监控的依据；

b)监控代码在进程调度过程中实时地搜集系统中运行进程的信息，如果发现进程不在系统安全进程列表中，则马上终止调度该进程并报警；

c)判断报警的进程是否是取证进程，如果是，运行并隐藏该进程；

d)在步骤b)中，如果取证用户放行了该进程，则将该进程加入系统安全进程列表；如果是一般用户在使用过程当中放行了某个进程，则进行日志记录，作为审核的依据。

6. 一种用于计算机的电子数据取证系统，包括：

策略生成模块，至少包括基于kNN的案件自动分类器和取证策略规则库，用于采用数据挖掘方法确定当前案件的取证策略；

按需定制模块，用于以当前的取证策略作为输入，生成当前的取证范围参数，并动态地对实时取证模块的取证范围进行更新；

实时取证模块，以后台进程的形式运行，实时地截取系统调用信息，监控并记录用户进程的执行过程；

证据库模块，负责证据文件的后端存储，它首先验证取证机器的有效性，如果验证通过则从实时取证模块接收证据数据，否则拒绝接收数据，并提示管理员取证机器可能被入侵；

安全保护模块，用于对其他各模块的进程进行实时监控。

7. 如权利要求6所述的系统，其特征在于，所述实时取证模块的数据采集点为系统调用的入口和出口。

8. 如权利要求6所述的系统，其特征在于，所述的证据库模块是同取证主机相连的一台单独的数据库服务器或是运行于本机中的数据库服务程序。

Images