写入数据。同时可以提供高效的多路并行的数据传输方式。
[0023]数据存储机(4)用于获取只读控制服务器(3)分发下来的待取证的数据信息,利用数据链路层分组捕获机制快速的获取数据包,把数据包存储到本地磁盘文件中。并且通过第二个交换机(2)与取证分析中心(6)相连接,为取证分析中心(6)提供的待分析数据及存储取证分析中心(6)取证分析结果及生成的报告。
[0024]取证分析中心控制台(7)用于下达指令给取证分析服务器(8)对数据存储机(4)中存储的待取证数据进行取证分析及生成报告,并用来展示取证分析结果及报告。同时可以下达指令给数据存储机(4)调取其存储的所有数据,并进行展示;
[0025]取证分析服务器(8)用于对数据存储机(4)中存储的经由只读控制服务器(3)分发下来的待取证的数据信息,进行多路并行地取证分析,分析结果形成取证分析报告,并由取证分析中心控制台(7)进行展示。单向只读数据确保了被取证计算组(I)内数据不被修改,保证数据源不被破坏。取证分析服务器(8)内可以加载运行不同的取证分析软件。
[0026]取证分析服务器(8)采用多核心原理,多核处理器同时运行取证分析软件,对数据存储机(4)内多组数据或者多个数据存储机(4)进行取证分析时,可并行进行,充分利用设备内部的存储介质I/O数据传输效率,同时与多组数据或者多个数据存储机(4)进行数据传输,有效的提高了分析速度。
[0027]根据本实用新型实施例的基于服务器架构的安全取证系统,通过设置交换机作为中转设备,只读控制服务器、存储机、取证分析服务器与交换机相连,将被取证计算机的相关信息通过交换机传输至取证分析中心,拓扑结构简单,可以实现对被取证计算机的安全取证及分析。
[0028]本实用新型具有以下有益效果:
[0029]1、由于基于服务器架构,可以高效地、全面地、同时地、实现对被取证的计算机组进行并行取证分析,避免取证过程中出现取证设备运行负担过大而导致的取证中断。
[0030]2、由于通过只读服务器对数据进行只读控制读取,完成多路并行地单向数据传输,将被取证的计算机组的数据原样备份。对原始数据进行保护,避免双向数据输入导致被取证计算机原始数据被恶意或误操作而破坏,确保原始数据的完整性。
[0031]3、具备多个数据存储机,实现了同时存储大量原始数据及分析报告数据,提供了原始数据复制与数据分析同时进行的机制,大大提高了取证效率。
[0032]4、实现了对计算机系统和文件的安全获取、对数据和软件的安全搜集、对磁盘或其它存储介质的安全无损伤备份、对已删除文件的恢复及重建、对Slack磁盘空间及未分配空间和自由空间中所含信息的发掘、对交换文件及缓存文件及临时文件中包含的信息的复原等。
[0033]在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本实用新型的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0034]尽管上面已经示出和描述了本实用新型的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本实用新型的限制,本领域的普通技术人员在不脱离本实用新型的原理和宗旨的情况下在本实用新型的范围内可以对上述实施例进行变化、修改、替换和变型。本实用新型的范围由所附权利要求极其等同限定。
【主权项】
1.一种基于服务器架构的安全取证系统,其特征在于,包括: 被取证计算机组(I)、第一个交换机(2)、只读控制服务器(3)、数据存储机(4)、第二个交换机(5)、取证分析中心¢),被取证计算机组(I)与第一个交换机(2)相连、只读控制服务器(3)与第一个交换机(2)相连、数据存储机(4)与只读控制服务器(3)相连、第二个交换机(5)与数据存储机⑷相连、取证分析中心(6)与第二个交换机(5)相连,此结构特征有效保证只能从被取证计算机组(I)中读取数据,而不能写入数据,提供了高效的多路并行数据单向传输方式。2.根据权利要求1所述的一种基于服务器架构的安全取证系统,其特征在于,该系统取证分析中心(6)包括取证分析中心控制台(7)和取证分析服务器(8)。
【专利摘要】本实用新型属于计算机取证技术领域,特别涉及一种基于服务器架构的安全取证系统。该种基于服务器架构的取证分析系统包括被取证计算机组、第一个交换机、只读控制服务器、数据存储机、第二个交换机、取证分析中心。本系统采用基于服务器架构,可以高效地、全面地、同时地、实现对被取证的计算机组进行并行取证分析,避免取证过程中出现取证设备运行负担过大而导致的取证中断。利用只读控制服务器完成多路并行地单向数据传输,将被取证的计算机组的数据原样备份。对原始数据进行保护,避免双向数据输入导致被取证计算机原始数据被恶意或误操作而破坏,确保原始数据的完整性。本系统具备多个数据存储机,实现了同时存储大量原始数据及分析报告数据,提供了原始数据复制与数据分析同时进行的机制,大大提高了取证效率。以解决现有的取证过程中取证设备运行负担过大而导致速度慢、效率低、取证中断及破坏取证数据完整性的问题。
【IPC分类】H04L29/08, G06F11/30
【公开号】CN204650512
【申请号】CN201520186064
【发明人】罗远哲, 刘瑞景, 孟莹, 叶俊卫, 李冠蕊
【申请人】北京中超伟业信息安全技术有限公司
【公开日】2015年9月16日
【申请日】2015年3月31日