就目前而言，由于计算机法律、技术等原因限制，国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后，但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中；另外，黑客入侵等非法网络犯罪过程中，入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时，2004年FBI/CSI的年度计算机报告也显示，企业的内部职员是计算机安全的最大威胁，因职员位置是在入侵检测及防火墙防护的系统内的，他们不需要很高的权限更改就可以从事犯罪活动。
　　2.2 基于网络动态的计算机入侵取证系统设计
　　根据上文所提及的计算机入侵的取证缺陷及无法满足实际需要的现状，我们设计出新的网络动态状况下的计算机入侵的取证系统。此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时，还能够同时兼顾来自于计算机内、外犯罪的活动，获得尽可能多的相关犯罪信息。基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同，基于分布式策略的动态取证系统，可获得全面、及时的证据，并且可为证据的安全性提供更加有效的保障。
　　此外，基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作。其一是攻击计算机本原系统的犯罪行为，信捷职称论文写作发表网，其二是以计算机为工具的犯罪行为（或说是计算机系统越权使用的犯罪行为）。系统采集网络取证和代理取证两个方面涉及的这两个犯罪的电子证据，并通过加密传输的模块将采集到的电子证据传送至安全的服务器上，进行统一妥善保存，按其关键性的级别进行分类，以方便后续的分析查询活动。并对已获电子证据以分析模块进行分析并生成报告备用。通过管理控制模块完成对整个系统的统一管理，来确保系统可稳定持久的运行。
　　2.3 网络动态状况下的计算机入侵取证系统实现
　　基于网络动态计算机的入侵取证系统，主要是通过网络取证机、取证代理、管理控制台、安全服务器、取证分析机等部分组成。整个系统的结构取证代理，是以被取证机器上运行的一个长期服务的守护程序的方式来实现的。该程序将对被监测取证的机器的系统日志文件长期进行不间断采集，并配套相应得键盘操作和他类现场的证据采集。最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器，管理控制台会即刻发送指令知道操作。
　　网络取证机使用混杂模式的网络接口，监听所有通过的网络数据报。经协议分析，可捕获、汇总并存储潜在证据的数据报。并同时添加“蜜罐”系统，发现攻击行为便即可转移进行持续的证据获取。安全服务器是构建了一个开放必要服务器的系统进行取证代理并以网络取证机将获取的电子证据进行统一保存。并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性。而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据，以此获取犯罪活动的相关信息及直接证据，并同时生成报告提交法庭。管理控制台为安全服务器及取证代理提供认证，以此来管理系统各个部分的运行。
　　基于网络动态的计算机入侵取证系统，不仅涉及本网络所涵盖的计算机的目前犯罪行为及传统计算机的外部网络的犯罪行为，同时也获取网络内部的、将计算机系统作为犯罪工具或越权滥用等犯罪行为的证据。即取证入侵系统从功能上开始可以兼顾内外部两方面。基于网络动态的计算机入侵取证系统，分为证据获取、传输、存储、分析、管理等五大模块。通过各个模块间相互紧密协作，真正良好实现网络动态的计算机入侵取证系统。
　　3 结束语
　　随着信息科学技术的迅猛发展，给人们的生活和工作方式都带来了巨大的变化，也给犯罪活动提供了更广阔的空间和各种新手段。而基于网络动态的计算机入侵取证系统，则通过解决传统计算机的入侵取证系统瓶颈技术的完善，在犯罪活动发生前或进行中便展开电子取证工作，有效弥补了计算机网络犯罪案件中存在的因事后取证导致的证据链不足或缺失。全面捕获证据，安全传输至远程安全服务器并统一妥善保存，且最终分析获得结论以报告的形式用于法律诉讼中。但是作为一门新兴的学科，关于计算机取证的具体标准及相关流程尚未完善，取证工作因涉及学科多且涵盖技术项目广，仍需不断的深入研究。
　　参考文献：
　　[1] 魏士靖.计算机网络取证分析系统[D].无锡:江南大学,2006.
　　[2] 李晓秋.基于特征的高性能网络入侵检测系统[D].郑州:中国人民解放军信息工程大学,2003.
　　[3] 史光坤.基于网络的动态计算机取证系统设计与实现[D].长春:吉林大学,2007.
　　[4] 张俊安.网络入侵检测系统研究与实现[D].成都:西南交通大学,2003.
　　[5] 戴江山,肖军模,张增军.分布式网络实时取证系统研究与设计[J].电子科技大学学报,2005(3).