试论计算机网络犯罪的技术防范

摘　要：随着网络信息技术的快速发展，人们的生活和工作已经离不开计算机网络，其也扮演着重要作用。然而，人们在享受计算机网络带来的便利的同时，还遭遇了各种网络犯罪的攻击。面对越来越多的计算机网络犯罪，相关部门和人员必须对其进行遏制。本文主要对计算机网络犯罪的种类以及一些技术防范进行了分析。

关键词：计算机；网络犯罪；技术防范
　　所谓计算机网络犯罪就是指利用信息技术通过网络对信息安全造成危害的犯罪。随着网络在人们生活和工作中的普及，计算机网络犯罪也越来越多，为社会以及人们造成了巨大的威胁。本文主要对计算机网络犯罪种类以及从取证技术和相关策略两个方面对计算机网络犯罪的侦查策略进行了重点分析。
1、计算机网络犯罪的种类
　　计算机网络犯罪种类较多，本文主要对集中典型的犯罪进行分析。
1.1 网络入侵犯罪
　　一般情况下，大家对于网络入侵犯罪的重视程度不够。有些人为黑客入侵是正常的，甚至有的人特别崇拜那些黑客入侵犯罪行为。可见，社会上人们并没有真正认识到黑客入侵犯罪行为的严重性，大多数的人只是关心人身、财产和社会秩序，对于网络信息安全没有给予足够的重视。例如，现实中的入室抢劫就会受到刑事处罚，而虚拟中的入室抢劫——网络入侵，则只是被认为是一种不道德的行为，人们不会对此追究法律责任。在信息如此发展的今天，人们应该把对信息安全的保护提升到一个新的高度。加大对黑客入侵犯罪的重视程度，让黑客受到法律的惩罚。
　　网络入侵犯罪侦破是一个难题。有的网络入侵者非法进入网页进行信息篡改，其目的就是想证明自己的能力。例如，一个署名“黑客联盟”黑客组织在每次攻击完后都会留下自己的署名。很多这样的黑客都是跨国作案，根本没有他们的任何真实信息，因此，很难找到攻击者。而我国公安局侦查实力也是有限的，对于数量较大的案件，很难侦破。这样也使黑客觉得自己的这些行为不会违法法律。
　　在我国刑法第二百八十五条明确规定“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”但是这里对某些网络入侵犯罪进行了明确规定，其范围太小。并且刑法的局限性也使司法机关在打击网络入侵犯罪时面临法律问题的困扰。
1.2 网络赌博犯罪
　　网络赌博在有些国家构成犯罪，但是在有些国家不够成犯罪，是光明正大的行为。例如，在中美地区、我国的澳门都设立赌场，这种行为是合法的，只要有合法的手续就可以在网络上开设网站进行赌博。而这些在我国大陆地区都是违法行为。因此，很多人都在这些不够管制的地区开设赌博网站，规避法律管制。网络赌博违法犯罪活动就像一个吸血鬼，不断地抽取本地区资金，使得每年本地区经济损失较高，这对正处于高速发展的区域经济造成了严重危害，对地区正常的市场经济和金融秩序构成了巨大威胁。同时，一些网络赌博违法犯罪活动为黑社会性质组织所操控，成为黑社会性质组织的重要经济来源，从而衍生了一系列的诸如抢劫、绑架、故意伤害、非法拘禁等严重刑事犯罪，严重危害社会稳定。各地、各相关部门要继续保持对网络赌博违法犯罪活动的高压态势，继续完善各种长效工作机制，继续态度坚决、毫不手软的打击各类网络赌博违法犯罪活动。
1.3 网络色情犯罪
　　?网络淫秽、网络欺诈、非法网络寄递等在互联网带给百姓方便快捷生活的同时，日益猖獗的网络犯罪也在侵蚀网络生态、侵害百姓权益，更带来一系列亟待解决的法律问题。“裸聊”作为一种新型社会问题，是网络发展过程中产生的新生事物，在我国制定刑法时尚未出现，因此对这一行为存在着罪与非罪的问题。公民在尝试这些新生事物时，应该提高警惕，防止被犯罪分子不法利用，从而使自己的合法权益受到侵害。
2、计算机网络犯罪的侦查策略
2.1 取证技术
　　目前动态取证常用的技术有入侵检测技术、诱骗技术和Agent技术。（1）入侵检测技术。利用入侵检测系统来对非法的入侵或恶意行为进行检测，对这些行为进行记录日志，并将日志作为网络取证的主要证据源。入侵检测系统为计算机犯罪提供了法律依据。实时或接近实时的网络取证的证据源可以是利用入侵检测系统的告警日志。目前，存在一个入侵管理模型，其能够有效的把取证和入侵检测结合起来。将入侵检测系统应用带网络取证中，这样有助于实现整个取证过程的实时性，可以获得更多全面的证据，并且能够及时响应。（2）诱骗技术。利用蜜罐等诱骗系统来对证据进行收集，可以使取证量减小，直接将取证者的注意力集中在入侵活动上，并且可以拖延攻击者的攻击。诱骗技术有助于识别攻击者的指纹。首先从法律上要对诱骗系统进行肯定。对这样没有实际价值的系统进行取证，其最后获得的取证信息是否被法律所认可，目前为止仍然是个争论点。（3）Agent技术。在网络安全领域，Agent技术应用较广，尤其是在入侵检测领域中，现在为止已经有了很多的研究成果，网络动态取证采用Agent技术，可以从多个网络取证源上进行，对入侵从更全面的视角来进行分析。
　　自适应动态取证机制的系统架构如图1所示。
　　
　　图1 自适应动态取证机制的系统架构
　　有限状态机的模型可以用一个五元组来表示：，其中有限的状态集合用Q来表示，初始状态用q0来表示，其中q0∈Q，输入字母集用Σ来表示，可以对系统接收的所有事件的集合进行表示，状态转移函数用来表示。常用定义式。自适应动态取证系统的有限状态机表示如下：
　　
　　其中， ；初始状态用q0；结束状态用q来表示；，系统接收的可能的事件或动作用Ei来表示。
　　转换图如图2所示。
　　
　　图2 自适应动态取证机制的状态转换图
　　系统初始处于q0状态。如果IDS检测到探测或扫描活动，这意味着可能有人正在对系统进行入侵前的踩点扫描，了解系统开放端口和服务的情况。一般情况下，探测和扫描的告警日志威胁度比较低，此时，系统的状态从q0转为q1。
　　系统处于状态q0或q1时，收到被IDS判断为不正常的流量，入侵可能已经在发起了，这种情况被IDS报告给控制中心，系统状态转换为q2。由于此时流量尚属于疑似攻击，控制中心会通知负载均衡模块将疑似攻击的数据包发送给真实的服务器和影子蜜罐，同时启动实时取证，ECA开始收集IDS以及影子蜜罐上的有关证据。影子蜜罐上 的安全工具进一步分析可疑流量，观察这些流量对蜜罐造成的影响，从而确定其是不是真的恶意流量。
　　当系统处于状态q1时，如果IDS能确认某些流量的确是入侵，或者某些攻击行为达到一定的威胁级别，系统状态就根据重定向成功与否直接转换到q3或q4。当系统处于状态q2时，影子蜜罐会根据可疑流量在蜜罐中造成的后果来判断到底是正常流量被误报还是的确为恶意入侵，并把分析结果报告给控制中心。如果结果是前者，系统状态就从q2转换回初始状态q0，真实服务器仍然继续提供服务，反之，控制中心会立即通知访问控制模块阻止恶意源与真实服务器之间的连接，通知负载均衡模块将所有相关的数据包都重定向到影子蜜罐，由影子蜜罐进一步观察和深入分析，系统状态也相应转换为q3。如果访问控制或者重定向失败，控制中心将会收到告警，系统状态随之转换为q4。此时，控制中心将通知访问控制模块切断流向被保护系统的所有流量，取证模块从系统各个相关模块收集证据，开始事后取证，系统转换到结束状态q。
2.2 相关策略
　　首先，加强专业队伍的建设。侦查计算机网络犯罪是一项要求专业性比较强的工作。因此，侦查工作人员不仅要懂得相关法律知识，而且还必须要有熟练的计算机技能（操作、编程、加密、解码等），这样才能不断提高专业队伍的整体素质。另外，计算机网络是高科技技术，其犯罪也是高科技技术，因此侦查计算机网络犯罪除了必须采用专业的计算机技能外，还必须加强对侦查技术和装备的研发。网络犯罪所采用的技术是很高的，因此要想侦查此犯罪必须具备更高的技术，因此，侦查网络犯罪是一个技术之间的较量，只有较高的技术和较先进的设备，才能在斗争中取得主动权。
　　其次，积极开展技术协助。在对计算机网络犯罪进行侦查时，需要对存储数据的网络服务商提供的技术协助给予进一步的强调。计算机网络犯罪的有关数据都会在网络服务商那里留下记录，无论是已经存储在网络服务商那里的数据，还是通过网络服务商提供的通讯服务正在生成之中的数据。因此，对计算机网络犯罪进行侦查时是需要通过网络服务商那里获得相关信息。另外，对计算机网络犯罪中正在传输的数据进行拦截时还是需要网络服务商的技术协助。例如，在证据的举报和存储方面，虽然已经经过网络服务器过滤和删除，但隐秘的犯罪信息还是会进入网络平台，并传递出去构成犯罪，威胁社会。
　　再次，从立法的规制上取得防范效果。所谓计算机网络犯罪就是指利用信息技术通过网络对信息安全造成危害的犯罪。低有关计算机网络犯罪的立法应该进行适时的修改和完善，并且把“两高”司法解释的功能充分发挥出来。第一，制定专门的反计算机犯罪法，并且相应专门条款制定在刑法上；第二，对计算机犯罪惩治条例进行制定，对网络空间的刑事管辖权进行确定。根据刑法规定，刑法的管辖范围为传统的“四空间”，而自从计算机网络的出现后，有一个全新的虚拟空间诞生了，而在这个空间中，法律并没有对其进行规定，因此，这个区域就成为了法律的盲点，并且也就成为了犯罪分子的集中作案点。
　　最后，积极提倡国际间合作。目前，很多的计算机网络犯罪都是跨国进行的，利用法律上的这一漏洞实施犯罪。因此，应尽快建立和完善与国际间的相互协作，这是急需解决的问题之一。如果这方面不能快速的进行完善，那么不仅会使计算机网络犯罪不被追究，而且很有可能威胁到国家的主权。在计算机网络犯罪中，以为突出的问题可能是引渡，因为犯罪嫌疑人国籍所在出并不一定是事件发生的地方。但是在网络间谍犯罪中，由国家指示或操纵计算机网络犯罪，面临巨大的障碍的就是引渡。同时，网络犯罪具有以下几种特点：即刻性、证据的不稳定性、无国界性，正是由于这些特性使得立案追诉国要想把案件事实查清楚，对不同国家的证据进行收集，对与犯罪有关的物证、书证的扣押或者提取都要向有关国家发出委托，并且请求该国给予司法协助，提供相关的犯罪证据。
3、结语
　　计算机网络犯罪是一种新型的犯罪类型，它是信息网络化发展的必然。总而言之，面对着越来越多、越来越复杂、越来越有技术含量的计算机网络犯罪，公安机关必须采用管理策略的同时加大计算机技术的运用。
参考文献：
[1]赵德新. 网络犯罪问题研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士), 2006,(10) .
[2]吴溪. 网络犯罪相关问题研究[D]. 中国优秀硕士学位论文全文数据库, 2007,(04) .
[3]刘樱. 网络信息安全与计算机犯罪问题探讨[J].重庆交通学院学报(社会科学版), 2004,(02).
[4]张琳. 美国计算机犯罪立法的发展与启示[J].图书与情报, 2006,(05).
[5]秦晓波,高毅,龙刚,柴志成. 论网络犯罪及预防[J].贵阳学院学报(自然科学版), 2008,(04).