一种电子取证方法
【技术领域】
[0001] 本发明涉及网络信息安全技术领域,具体而言,涉及一种电子取证方法。
【背景技术】
[0002] 在计算机犯罪是一种与时代同步发展的高科技犯罪。然而,由于计算机犯罪的隐 蔽性和匿名性等特点使得对计算机犯罪的侦查非常困难。依靠法律、利用法律手段对计算 机攻击行为予以制裁,是解决计算机系统安全问题的有效途径。其中关键的问题之一就是 取证技术。
[0003] 目前的计算机取证过程也存在很多的问题,最为明显的是大多数计算机取证过程 模型都针对于某种特定的环境而制定,注重环境中的细节,缺乏通用性,造成对于新出现的 计算机取证调查环境缺乏灵活性;而且由于针对性比较强,使得计算机取证过程无法形成 统一的标准。也很难将其它领域中的方法(如传统取证中的方法)结合进来。
[0004] 目前常用的电子数据证据分析技术越来越不适应愈发复杂的取证环境,如何对大 数量级的取证数据进行整理和裁减,从而确立重点调查范围,集中使用取证资源;如何在被 收集信息中分析各个数据证据间的关联,发现潜在的异常行为等都是亟待解决的问题。
【发明内容】
[0005] 本发明的目的在于提供一种电子取证方法,以使从大数量级的数据中不能进行高 效取证的问题得到改善。
[0006] 为了实现上述目的,本发明实施例采用的技术方案如下:
[0007] 本发明提供了一种电子取证方法,所述方法包括:
[0008] 从需要进行取证的网络设备收集数据包;
[0009] 按照需要进行取证的数据包的类型设置对应过滤规则对收集到的数据包进行过 滤,将过滤后剩余的数据包作为需要进行取证的数据包;
[0010] 通过所述需要进行取证的数据包的数据格式判断该数据包使用的协议类型;
[0011] 采用与所述需要进行取证的数据包的协议类型对应的方法对所述数据包进行解 析,查找所述需要进行取证的数据包中涉及攻击行为的信息;
[0012] 保存包含有涉及攻击行为的信息的数据包。
[0013] 进一步地,所述按照需要进行取证的数据包的类型设置对应过滤规则对收集到的 数据包进行过滤,包括:
[0014] 根据所述数据包的数据格式识别所述收集到的数据包的网络层协议类型;
[0015] 保留收集到的数据包中的IP数据包;
[0016] 根据所述IP数据包的数据格式识别所述IP数据包的传输层协议类型;
[0017] 保留收集到的IP数据包中的TCP数据包。
[0018] 进一步地,所述通过所述需要进行取证的数据包的数据格式判断该数据包使用的 协议类型,包括:
[0019] 根据所述TCP数据包的网络层协议类型选择与该传输层协议类型对应的字节判断 所述TCP数据包的应用层协议类型。
[0020] 进一步地,所述查找所述需要进行取证的数据包中涉及攻击行为的信息,包括:
[0021] 如果所述需要进行取证的数据包的应用层协议类型为HTTP协议,根据该数据包的 第55字节的内容,查找该数据包中请求URL地址;
[0022 ]将查找出的请求URL地址与预先保存的攻击特征库中的攻击特征字符串进行模式 匹配,所述请求URL地址为主串,所述攻击特征字符串为模式;
[0023]如果匹配成功,则判定该请求URL为涉及攻击行为的信息。
[0024]进一步地,所述查找所述需要进行取证的数据包中涉及攻击行为的信息,包括: [0025]如果所述需要进行取证的数据包的应用层协议类型为SMTP协议或POP3协议,根据 所述数据包形成email数据包;
[0026]将所述email数据包与预先设置的对应攻击行为的关键字进行模式匹配,所述 email数据包的内容为主串,所述关键字为模式;
[0027]如果匹配成功,则判定该email数据包包含涉及攻击行为的信息。
[0028]进一步地,所述查找所述需要进行取证的数据包中涉及攻击行为的信息,包括: [0029]如果所述需要进行取证的数据包的应用层协议类型为telnet协议或ftp协议,
[0030] 将所述数据包与预先保存于所述电子取证装置的规则特征库中的规则特征字符 串进行模式匹配,所述数据包的内容为主串,所述规则特征字符串为模式;
[0031] 如果匹配成功,则判定该数据包包含涉及攻击行为的信息。
[0032]进一步地,所述进行模式匹配包括:
[0033] 令主串的字符串长度为t,主串的字符表示为T(i),其中1 < i < t,模式的字符串长 度为1,模式的字符表示为P(i),其中1 < i < 1,将模式的字符串划分为长度为η的1/n个组,η 与1/η均为正整数,依次从模式的1/η个组中分别随机选定一个字符形成1/η维行矩阵Q,矩 阵Q的元素表示为Q( j),其中1 < j < 1/η,
[0034] 令P(1)与Τ(i)对齐,依次将矩阵Q的元素Q( j)与Q( j)在模式字符串中的位置对应 的主串的字符T(k)进行比较;
[0035] 如果Q(j)与T(k)不匹配,则判断模式的字符串中是否存在与T(k)相同的字符; [0036]如果不存在,将模式的字符串右移k-i + Ι位,即令i = k+l,再执行所述令P(l)与T (i)对齐,将矩阵Q的元素Q (j)与Q (j)在模式字符串中的位置对应的主串的字符T (k)进行比 较,直到主串T(i)开始的字符串长度小于1;
[0037] 如果存在P(m)使得P(m)=T(k),其中1 1,右移模式的字符串,使得P(m)与T (k) 对齐,即令i = k-m+l,再执行所述令P(l)与T(i)对齐,将矩阵Q的元素Q(j)与Q(j)在模式 字符串中的位置对应的主串的字符T(k)进行比较,直到主串从T(i)开始的字符串长度小于 1 ;
[0038] 判断矩阵Q的元素与主串中对应位置上的字符是否全部匹配;
[0039]如果是,按照当前的对齐方式,依次将模式每一个字符与主串中对应位置上的字 符进行匹配;
[0040]如果出现不匹配的字符,将模式的字符串右移一位,即令i = i + l,再执行所述令P (l) 与T (i)对齐,将矩阵Q的元素Q (j)与Q (j)在模式字符串中的位置对应的主串的字符T (k) 进行比较,直到主串从T(i)开始的字符串长度小于1;
[0041] 如果全部匹配,则认为匹配成功。
[0042]进一步地,η为使得I n-l/n I取值为最小值的正整数。
[0043]进一步地,所述主串的字符串长度t远大所述模式的字符串长度1。
[0044] 进一步地,首次令P(l)与T(i)对齐时,取i = l。
[0045] 本发明提供的电子取证方法,在获得数据包后,对该数据包进行协议分析,辨别数 据包的类型,再通过模式匹配进行电子取证,从而大大提高了信息(即电子证据)获取的效 率。此外,本发明通过利用协议分析,大大减少了模式匹配的计算量,提高了捕获网络数据 证据的效率。
[0046]为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合 所附附图,作详细说明如下。
【附图说明】
[0047]为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附 图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对 范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这 些附图获得其他相关的附图。通过附图所示,本发明的上述及其它目的、特征和优势将更加 清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘 制附图,重点在于示出本发明的主旨。
[0048]图1示出了本发明实施例提供的一种电子取证方法的流程图;
[0049] 图2示出了本发明实施例提供的另一种电子取证方法的流程图;
[0050] 图3示出了本发明实施例提供的一种查找所述数据包中涉及攻击行为的信息的方 法流程图;
[0051] 图4示出了本发明实施例提供的另一种查找所述数据包中涉及攻击行为的信息的 方法流程图;
[0052]图5示出了本发明实施例提供的再一种查找所述数据包中涉及攻击行为的信息的 方法流程图;
[0053]图6示出了本发明实施例提供的电子取证方法的整体流程示意图;
[0054]图7示出了本发明实施例提供的一种模式匹配的方法流程图。
【具体实施方式】
[0055]下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整 地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在 此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因 此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的 范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做 出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0056]参阅图1,本发明实施提供的一种电子取证方法,所述方法包括:
[0057]步骤S101,从需要进行取证的网络设备收集数据包;
[0058]步骤S102,按照需要进行取证的数据包的类型设置对应过滤规则对收集到的数据 包进行过滤,将过滤后剩余的数据包作为需要进行取证的数据包;
[0059]步骤S103,通过所述需要进行取证的数据包的数据格式判断该数据包使用的协议 类型;
[0060]步骤S104,采用与所述需要进行取证的数据包的协议类型对应的方法对所述数据 包进行解析,查找所述需要进行取证的数据包中涉及攻击行为的信息;
[0061 ]步骤S105,保存包含有涉及攻击行为的信息的数据包。
[0062] 进行计算机犯罪是,其攻击行为都是通过网络进行的,因此在开始进行电子取证 时,首先要从网络设备收集数据包。
[0063] 以目前常见的计算机使用的是windows操作系统为例,从网络设备处收集数据包 时,首先打开网卡并将其设置为混杂模式,当网卡(即网络适配器)设置为混杂模式 Promiscuous(即监听模式)时,由于采用以太网广播信道采用的方式,使得监听系统与正常 通信的网络能够并联连接,从而可以准确捕捉到任何一个在同一个冲突域上传输的