技術領域

本發明屬于電子取證領域，特別是涉及一種針對網頁數據取證和偵察方法。

背景技術

目前現有的電子取證技術主要集中在主機電子取證，其中屬于主機證據獲取技術有：用于避免對原始介質進行破壞和干擾的對計算機系統文件的安全獲取技術、對磁盤或其他存儲介質的安全無損壞備份技術等。現有的主機電子取證技術存在很大的局限性：大部分方法針對性比較強，缺乏面向不同組織機構的適用性等。特別在直接用于對互聯網網頁內容進行取證時存在如下問題：

1.無法直接獲得互聯網內容提供商的數據存儲介質。很多網站難以獲取直接獲服務器的存儲設備(如有些服務器存放在境外)，難以直接在數據存儲介質上獲取證據并進行取證。

2.網頁內容動態易變，同時用戶可以隨時修改或者刪除網頁內容(如BBS論壇、博客等)。難以對服務器的存儲設備進行固定，也就意味著犯罪分子對于網絡上的數據可以隨時進行修改或者刪除，造成犯罪證據的丟失。

3.網頁電子證據具有脆弱性。電子證據表示為二進制數據，以數字信號的方式存在，而數字信號是非連續的，因此故意或因差錯對電子證據進行的變更、刪除、刪節、剪接、截收和監聽等從技術上難以認定。

發明內容

本發明為克服上述現有技術存在的不足之處，提出一種基于三層可信網頁取證模型的可信網頁取證系統及其取證方法，能對網頁信息進行取證與固定，并對獲得的證據進行可靠的存儲，從而生成法庭證據文檔用于輔助案件偵破。

本發明為解決技術問題采用如下技術方案：

本發明一種基于三層可信網頁取證模型的可信網頁取證系統的特點是組成包括：證據取證服務器、證據存儲服務器和證據呈現服務器；

所述證據取證服務器用于對用戶提交的網頁URL地址進行取證或對監視目標網站的URL地址進行取證和監視，并對所獲得的證據進行分類和固定，形成由二進制數據、原始網頁文件和原始網頁截圖構成的三層電子證據；

所述證據存儲服務器自底向上分為第一層的網絡數據層存儲服務器、第二層的內容爬取層存儲服務器和第三層的截圖取證層存儲服務器，分別用于存儲所述三層電子證據的二進制數據、原始網頁文件和原始網頁截圖，從而形成三層可信網頁取證模型；

所述證據呈現服務器用于對所述三層電子證據進行防篡改驗證并生成法庭證據文檔。

本發明基于三層可信網頁取證模型的可信網頁取證系統的取證方法的特點是按如下步驟進行：

步驟1，所述取證服務器對所接收到的網頁URL地址或監視目標網站的URL地址進行DNS解析，獲得DNS解析結果；并對所述DNS解析結果進行哈希計算，獲得哈希值后進行存儲；

步驟2，所述取證服務器利用網絡爬蟲對所述網頁URL地址或監視目標網站的URL地址進行爬取，分別獲得二進制數據、原始網頁文件和原始網頁截圖并依次存儲到所述證據存儲服務器的網絡數據層存儲服務器、內容爬取層存儲服務器和截圖取證層存儲服務器中，從而在所述證據存儲服務器中形成三層可信網頁取證模型；

步驟3，所述證據呈現服務器根據用戶提交的證據呈現請求，分別從所述證據存儲服務器中獲取所述二進制數據、原始網頁文件和原始網頁截圖后按交叉驗證原則進行防篡改驗證；

所述交叉驗證原則為：

步驟a、將所述二進制數據進行還原，獲得網頁文件后與所述原始網頁文件進行比對；若比對結果一致，則執行步驟b；否則執行步驟c；

步驟b、將所述原始網頁文件進行還原，獲得網頁截圖后并與所述原始網頁截圖進行比對；若比對結果一致，則表示所述電子證據未被篡改并執行步驟4；否則表示所述原始網頁截圖被篡改，將所述網頁截圖替代所述原始網頁截圖后執行步驟4；

步驟c、將所述網頁文件進行還原，獲得驗證網頁截圖后與所述原始網頁截圖進行比對；若比對結果一致，表示原始網頁文件被篡改；丟棄所述原始網頁文件后執行步驟4；否則則表示所述二進制數據被篡改，丟棄所述二進制數據后執行步驟4；

步驟4、所述用戶向證據呈現服務器根據所述原始網頁截圖生成法庭證據文檔。

本發明采用基于三層可信網頁取證模型的可信網頁取證系統，針對特定網頁進行取證。本發明在取證過程中，只需要提供需要取證網頁的URL，而無需獲得存儲該網頁文件的存儲介質，與現有技術相比，本發明的有益效果在于：

1.方案的整體效果：本發明提供的一種基于三層可信網頁取證模型的網頁取證方法，在安全性、魯棒性、敏感性等方面做到很好的平衡，適合在實際網頁犯罪取證中的應用，具有較好的實用性，能提供高可信的網頁內容取證服務。