專利名稱：一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明屬于信息技術(shù)領(lǐng)域，尤其是涉及一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)。
背景技術(shù)：
Internet的迅速發(fā)展和網(wǎng)絡(luò)社會化的到來，網(wǎng)絡(luò)已無所不在地影響著社會、政治、經(jīng)濟、文化、軍事和人們的日常生活等各個方面。人們在享受網(wǎng)絡(luò)帶來的便利的同時，網(wǎng)絡(luò)與信息安全問題也成為人們關(guān)注和研究的焦點。美國卡內(nèi)基 梅隆大學(xué)(Carnegie MellonUniversity) CERT (Computer Emergency Response Team)發(fā)布的 1988-2003 年信息安全事故統(tǒng)計報告中稱，1988年報告的安全事故僅有6起，1990年增長到252起，2000年已經(jīng)增加21，756 起，2001 年 52，658 起，2002 年增加到 82，094 起，而 2003 年則高達 137,529 起。04 年英政府網(wǎng)絡(luò)造攻擊8萬臺電腦崩潰。我國04年7-10月發(fā)生網(wǎng)絡(luò)欺詐110起?？梢娋W(wǎng)絡(luò)安全事故呈迅速增長的態(tài)勢。傳統(tǒng)的安全措施，如加密認(rèn)證、防火墻和入侵檢測系統(tǒng)等，在保護信息的機密性、完整性和鑒別、控制訪問方面雖然非常有效，但由于Internet網(wǎng)本身的不足，以及新的攻擊方式層出不窮，網(wǎng)絡(luò)安全仍受到多方面的威脅，因此，網(wǎng)絡(luò)安全防御新模型、新方法的研究成為十分緊迫的任務(wù)。
實用新新型內(nèi)容本發(fā)明所要解決的技術(shù)問題在于針對網(wǎng)絡(luò)入侵行為進行取證，，提供一種技術(shù)先進、功能強大、高安全性、高適應(yīng)性、易于配置和管理的靈活的電子取證防衛(wèi)系體系，能有效解決現(xiàn)在的信息安全防衛(wèi)系統(tǒng)的存在的多種實際問題。為解決上述問題，本發(fā)明采用的技術(shù)方案是將諸如攻擊時間、攻擊內(nèi)容、攻擊來源等入侵信息進行記錄，保留入侵證據(jù)，使其具有不可否認(rèn)性。其目的是通過審計與入侵檢測得到的有關(guān)信息，發(fā)現(xiàn)攻擊者的特征或身份，供事后分析攻擊者的行為、追究攻擊者的責(zé)任。具體包括電子證據(jù)的描述與表示、電子證據(jù)的可靠性以及協(xié)同電子取證的實現(xiàn)技術(shù)、代理第三方簽名的網(wǎng)絡(luò)電子取證過程，以及網(wǎng)絡(luò)電子取證系統(tǒng)。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是制定一個嚴(yán)格的取證過程模型。模型基于需求分析的思想，從問題出發(fā)，瞄準(zhǔn)網(wǎng)絡(luò)電子取證中突出存在的兩個問題，較好的解決了網(wǎng)絡(luò)電子取證中存在的證據(jù)完整性、真實性、抗抵賴性等問題。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是取證工作人員在工具軟件的配合下保護現(xiàn)場環(huán)境并進行主機取證，以便相互印證。事后分析階段驗證取證軟件取得網(wǎng)絡(luò)數(shù)據(jù)包并根據(jù)取得的攻擊現(xiàn)場的情況，分析攻擊行為，產(chǎn)生攻擊事件報告，并重構(gòu)攻擊發(fā)生現(xiàn)場。結(jié)果提交階段參照司法訴訟的要求向司法機關(guān)提交最后的攻擊事件調(diào)查報告，并進行攻擊現(xiàn)場的可視化描述，消除非專業(yè)人員理解上的障礙。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是取證時需要取證服務(wù)器向取證代理提供具有法定效力的時間戳，在交互過程中通過并加入公鑰認(rèn)證機制，防止黑客欺騙攻擊，有效的保證標(biāo)準(zhǔn)時間的可靠性。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是取證代理取證代理部署在受保護網(wǎng)絡(luò)的網(wǎng)關(guān)處，任何與受保護網(wǎng)絡(luò)交互的數(shù)據(jù)都需要通過取證代理轉(zhuǎn)發(fā)。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是證據(jù)分析回放系統(tǒng)回放系統(tǒng)通過構(gòu)造數(shù)據(jù)包的方法將取證系統(tǒng)取得的網(wǎng)絡(luò)數(shù)據(jù)包重新發(fā)送到用戶網(wǎng)絡(luò)，通過觀察用戶系統(tǒng)的反應(yīng)，直觀再現(xiàn)網(wǎng)絡(luò)入侵行為及其造成的危害，給法庭審判帶來幫助。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是采用VisualStudio. Net 開發(fā)。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是通過安全通信模塊在線監(jiān)聽取證的服務(wù)請求，并調(diào)用相關(guān)模塊為取證代理提供服務(wù)。
上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是在取證服務(wù)器的操作界面上，經(jīng)過身份認(rèn)證的取證工作人員可以對日志進行維護和查詢。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是密鑰發(fā)布模塊設(shè)計上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是時間戳發(fā)布模塊的設(shè)計上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是面向取證代理和取證服務(wù)器提供安全通信接口，它將取證代理和取證服務(wù)器間交換的信息包裝成統(tǒng)一的格式，采用SSL協(xié)議進行傳輸。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是采用了一種雙端口網(wǎng)橋的接入模式上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是緩存區(qū)的數(shù)據(jù)結(jié)構(gòu)是按照循環(huán)隊列的方式組織的，以原始網(wǎng)絡(luò)數(shù)據(jù)包為基本單元，并在其上附加控制字節(jié)，形成一個可以循環(huán)使用的緩存區(qū)。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是與用戶安全系統(tǒng)聯(lián)動模塊負(fù)責(zé)攻擊特征信息的提取。該模塊接受用戶安全系統(tǒng)的報警信息，從中分析歸納出攻擊特征。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是從緩存區(qū)內(nèi)提取數(shù)據(jù)包作為電子證據(jù)。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是通過對會話摘要的查詢，可以獲得關(guān)于會話的絕大部分有用信息。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是證據(jù)簽名模塊對證據(jù)提取模塊和會話摘要模塊的結(jié)果進行簽名，保證這些數(shù)據(jù)不會被篡改，確認(rèn)這些數(shù)據(jù)的法律地位。上述一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，其特征是事后分析并對入侵行為進行回放。
測試內(nèi)容I :協(xié)同電子取證部分針對網(wǎng)絡(luò)入侵行為進行取證，將諸如攻擊時間、攻擊內(nèi)容、攻擊來源等入侵信息進行記錄，保留入侵證據(jù)，使其具有不可否認(rèn)性。
實例I :取證數(shù)據(jù)獲取。將數(shù)據(jù)緩沖區(qū)設(shè)置成10M，由模擬Internet的主機發(fā)送一個帶有明顯特征的數(shù)據(jù)包，10秒后由取證信號源將此特征傳給取證服務(wù)器，同時要求模擬Internet的主機繼續(xù)與intranet通信，以保證在一定時間內(nèi)能夠填滿緩沖區(qū)。緩沖區(qū)滿后，取證代理此時根據(jù)規(guī)則鏈對數(shù)據(jù)進行過濾，得到待取證數(shù)據(jù)。信號源發(fā)送停止信號，取證代理將證據(jù)加密保存在相關(guān)文件中。實例2 :證據(jù)提取及分析。將加密文件拷貝到取證服務(wù)器，取證服務(wù)器根據(jù)協(xié)商的密鑰對該文件進行解密，還原出原始的網(wǎng)絡(luò)數(shù)據(jù)包，并可以對其進行解析和統(tǒng)計。實例3 :代理第三方簽名電子取證。取證服務(wù)器是第三方取證機構(gòu)提供的在線服務(wù)器，通過互聯(lián)網(wǎng)向取證代理系統(tǒng)提供時間戳、簽名密鑰發(fā)放等服務(wù)，并具有對取證代理身份認(rèn)證以及取證信息維護等功能。
·
測試內(nèi)容2:電子取證取證的測試，實時檢測數(shù)據(jù)截獲模塊被動的復(fù)制網(wǎng)絡(luò)上的數(shù)據(jù)流，并監(jiān)測數(shù)據(jù)流量的異常(IDS和協(xié)同審計的激勵)，保存可能的電子證據(jù)數(shù)據(jù)流。
預(yù)警系統(tǒng)檢測到黑客攻擊時，通過記錄黑客的來源IP地址、攻擊方式、攻擊時間、被攻擊計算機IP地址等來跟蹤黑客的攻擊行為。黑客發(fā)動一次攻擊時記錄的所有內(nèi)容作為研究黑客攻擊方式及對目標(biāo)計算機被攻擊的電子證據(jù)。上述這部分的具體功能包括I)預(yù)警檢測引擎根據(jù)檢測規(guī)則，實時檢測網(wǎng)絡(luò)攻擊行為；2)對黑客攻擊進行實時報警，并記錄檢測到的攻擊警告；3)對警告信息管理，增加、刪除、修改、清除警告組；4)通過快速瀏覽和查找警告能夠快速找到指定條件的警告，并可以警告進行瀏覽及歸檔、刪除操作等；5)對具體的攻擊進行協(xié)議分析，如查看黑客的攻擊時間、黑客來源、攻擊目標(biāo)主機、攻擊類型、攻擊所攜帶的數(shù)據(jù)、網(wǎng)絡(luò)層/傳輸層的標(biāo)志信息等；所有記錄的這些信息可以作為跟蹤黑客的依據(jù)和作為黑客攻擊目標(biāo)主機的電子證據(jù)。6)攻擊警告統(tǒng)計7)顯示各種統(tǒng)計內(nèi)容的柱狀圖、線圖和餅圖；8)不同時間段內(nèi)按不同步長統(tǒng)計的警告數(shù)目圖；9)對傳感器、端口、單一連接等的簡單統(tǒng)計信息；10)總的警告發(fā)生情況的統(tǒng)計信息；


圖I為本發(fā)明的取證服務(wù)器結(jié)構(gòu)Ι-a為本發(fā)明的密鑰發(fā)布模塊設(shè)計流程圖Ι-b為本發(fā)明的時間戳發(fā)布模塊的設(shè)計流程圖2為本發(fā)明的取證代理結(jié)構(gòu)2_a為本發(fā)明的雙端口網(wǎng)橋數(shù)據(jù)捕獲模型圖
具體實施方式
代理第三方簽名網(wǎng)絡(luò)電子取證系統(tǒng)由3個子系統(tǒng)組成圖1，圖2和證據(jù)分析回放系統(tǒng)。圖I是第三方取證機構(gòu)提供的在線服務(wù)器，通過互聯(lián)網(wǎng)向取證代理系統(tǒng)提供時間戳、簽名密鑰發(fā)放等服務(wù)，并具有對取證代理身份認(rèn)證以及取證信息維護等功能。如圖I以上所述，取證時需要取證服務(wù)器向取證代理提供具有法定效力的時間戳，在交互過程中通過并加入公鑰認(rèn)證機制，防止黑客欺騙攻擊，有效的保證標(biāo)準(zhǔn)時間的可靠性。其中，圖I中隨機密鑰發(fā)布模塊是通過圖l_a完成的圖I中時間戳簽發(fā)模塊是通過圖l_b完成的圖2主要包括以下幾個模塊(系統(tǒng)的核心)數(shù)據(jù)獲取，緩存區(qū)管理，證據(jù)提取，特征提取，加密簽名，時間戳申請，安全通信以及與用戶的安全系統(tǒng)聯(lián)動。圖2可以看作是一個雙端口透明網(wǎng)橋(如圖2-a)，在數(shù)據(jù)鏈路層提供數(shù)據(jù)轉(zhuǎn)發(fā)的功能。取證代理部署在受保護網(wǎng)絡(luò)的網(wǎng)關(guān)處，任何與受保護網(wǎng)絡(luò)交互的數(shù)據(jù)都需要通過取證代理轉(zhuǎn)發(fā)。圖2中，為了證明入侵發(fā)生的準(zhǔn)確時間，取證代理在對某一攻擊取證結(jié)束或者對完成對某一時段的網(wǎng)絡(luò)會話摘要后，通過安全通信模塊向取證服務(wù)器申請時間戳。圖2中上述，根據(jù)時間戳及電子證據(jù)中記錄的有關(guān)時間的信息，可以準(zhǔn)確地推算出每一個數(shù)據(jù)包經(jīng)過取證代理的時間。圖2上述，所生成的電子證據(jù)和會話摘要將分別存入安全的數(shù)據(jù)庫，等待取證調(diào)查人員提取。綜上所述，實際工作過程中，每個子系統(tǒng)和子系統(tǒng)的每個模塊協(xié)同工作，形成了一套最佳的一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù).以上所述，僅是本發(fā)明的較佳實施例，并非對本發(fā)明作任何限制，凡是根據(jù)本發(fā)明技術(shù)實質(zhì)對以上實施例所作的任何簡單修改、變更以及等效結(jié)構(gòu)變化，均仍屬于本發(fā)明技術(shù)方案的保護范圍內(nèi)。
權(quán)利要求
1.一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，制定一個嚴(yán)格的網(wǎng)絡(luò)電子取證模型表。代理第三方簽名網(wǎng)絡(luò)電子取證系統(tǒng)模型基于需求分析的思想，從問題出發(fā)，瞄準(zhǔn)網(wǎng)絡(luò)電子取證中突出存在的兩個問題，該系統(tǒng)由3個子系統(tǒng)組成取證服務(wù)器子系統(tǒng)，取證代理子系統(tǒng)，和證據(jù)分析回放系統(tǒng)子系統(tǒng)。
2.取證服務(wù)器是第三方取證機構(gòu)提供的在線服務(wù)器，通過互聯(lián)網(wǎng)向取證代理系統(tǒng)提供時間戳、簽名密鑰發(fā)放等服務(wù)，并具有對取證代理身份認(rèn)證以及取證信息維護等功能。取證時需要取證服務(wù)器向取證代理提供具有法定效力的時間戳，在交互過程中通過并加入公鑰認(rèn)證機制，防止黑客欺騙攻擊，有效的保證標(biāo)準(zhǔn)時間的可靠性。
3.取證代理可以看作是一個雙端口透明網(wǎng)橋，在數(shù)據(jù)鏈路層提供數(shù)據(jù)轉(zhuǎn)發(fā)的功能。取證代理部署在受保護網(wǎng)絡(luò)的網(wǎng)關(guān)處，任何與受保護網(wǎng)絡(luò)交互的數(shù)據(jù)都需要通過取證代理轉(zhuǎn)發(fā)。取證代理是整個取證系統(tǒng)的核心，主要包括以下幾個模塊數(shù)據(jù)獲取，緩存區(qū)管理，證據(jù)提取，特征提取，加密簽名，時間戳申請，安全通信以及與用戶的安全系統(tǒng)聯(lián)動。
4.回放系統(tǒng)通過構(gòu)造數(shù)據(jù)包的方法將取證系統(tǒng)取得的網(wǎng)絡(luò)數(shù)據(jù)包重新發(fā)送到用戶網(wǎng)絡(luò)，通過觀察用戶系統(tǒng)的反應(yīng)，直觀再現(xiàn)網(wǎng)絡(luò)入侵行為及其造成的危害，給法庭審判帶來幫助。
5.取證服務(wù)器運行在Windows平臺，基于微軟MFC類庫,采用VisualStudio. Net開發(fā)。作為服務(wù)端，為取證代理提供簽名密鑰發(fā)放和時間戳服務(wù)。取證服務(wù)器后臺運行數(shù)據(jù)庫，用于保存密鑰發(fā)放和時間戳簽發(fā)的日志。取證服務(wù)器運行后通過安全通信模塊在線監(jiān)聽取證的服務(wù)請求，并調(diào)用相關(guān)模塊為取證代理提供服務(wù)。在取證服務(wù)器的操作界面上，經(jīng)過身份認(rèn)證的取證工作人員可以對日志進行維護和查詢。
6.取證代理在該取證系統(tǒng)中設(shè)計為一個專用的硬件設(shè)備，由取證機構(gòu)授權(quán)，安放在用戶的網(wǎng)絡(luò)上。在現(xiàn)階段，取證代理的硬件架構(gòu)采用了 PC的標(biāo)準(zhǔn)架構(gòu)，操作系統(tǒng)采用經(jīng)過精簡定制的Linux操作系統(tǒng)，內(nèi)核版本為2. 4. 6。取證代理的軟件部分分別工作在系統(tǒng)內(nèi)核層和用戶層兩個不同的層次，之間用共享內(nèi)存的方式進行通信。
全文摘要
一種基于第三方簽名的協(xié)同網(wǎng)絡(luò)電子取證技術(shù)，屬于網(wǎng)絡(luò)信息領(lǐng)域，針對網(wǎng)絡(luò)入侵行為進行取證，將諸如攻擊時間、攻擊內(nèi)容、攻擊來源等入侵信息進行記錄，保留入侵證據(jù)，使其具有不可否認(rèn)性。其目的是通過審計與入侵檢測得到的有關(guān)信息，發(fā)現(xiàn)攻擊者的特征或身份，供事后分析攻擊者的行為、追究攻擊者的責(zé)任。具體包括電子證據(jù)的描述與表示、電子證據(jù)的可靠性以及協(xié)同電子取證的實現(xiàn)技術(shù)、代理第三方簽名的網(wǎng)絡(luò)電子取證過程，以及網(wǎng)絡(luò)電子取證系統(tǒng)。
文檔編號H04L9/32GK102932145SQ201110232008
公開日2013年2月13日 申請日期2011年8月12日 優(yōu)先權(quán)日2011年8月12日
發(fā)明者鄧正宏, 鄭玉山, 夏杰 申請人:西安秦碼軟件科技有限公司