专利名称:一种基于第三方签名的协同网络电子取证技术的制作方法
技术领域:
本发明属于信息技术领域,尤其是涉及一种基于第三方签名的协同网络电子取证技术。
背景技术:
Internet的迅速发展和网络社会化的到来,网络已无所不在地影响着社会、政治、经济、文化、军事和人们的日常生活等各个方面。人们在享受网络带来的便利的同时,网络与信息安全问题也成为人们关注和研究的焦点。美国卡内基 梅隆大学(Carnegie MellonUniversity) CERT (Computer Emergency Response Team)发布的 1988-2003 年信息安全事故统计报告中称,1988年报告的安全事故仅有6起,1990年增长到252起,2000年已经增加21,756 起,2001 年 52,658 起,2002 年增加到 82,094 起,而 2003 年则高达 137,529 起。04 年英政府网络造攻击8万台电脑崩溃。我国04年7-10月发生网络欺诈110起。可见网络安全事故呈迅速增长的态势。传统的安全措施,如加密认证、防火墙和入侵检测系统等,在保护信息的机密性、完整性和鉴别、控制访问方面虽然非常有效,但由于Internet网本身的不足,以及新的攻击方式层出不穷,网络安全仍受到多方面的威胁,因此,网络安全防御新模型、新方法的研究成为十分紧迫的任务。
实用新新型内容本发明所要解决的技术问题在于针对网络入侵行为进行取证,,提供一种技术先进、功能强大、高安全性、高适应性、易于配置和管理的灵活的电子取证防卫系体系,能有效解决现在的信息安全防卫系统的存在的多种实际问题。为解决上述问题,本发明采用的技术方案是将诸如攻击时间、攻击内容、攻击来源等入侵信息进行记录,保留入侵证据,使其具有不可否认性。其目的是通过审计与入侵检测得到的有关信息,发现攻击者的特征或身份,供事后分析攻击者的行为、追究攻击者的责任。具体包括电子证据的描述与表示、电子证据的可靠性以及协同电子取证的实现技术、代理第三方签名的网络电子取证过程,以及网络电子取证系统。上述一种基于第三方签名的协同网络电子取证技术,其特征是制定一个严格的取证过程模型。模型基于需求分析的思想,从问题出发,瞄准网络电子取证中突出存在的两个问题,较好的解决了网络电子取证中存在的证据完整性、真实性、抗抵赖性等问题。上述一种基于第三方签名的协同网络电子取证技术,其特征是取证工作人员在工具软件的配合下保护现场环境并进行主机取证,以便相互印证。事后分析阶段验证取证软件取得网络数据包并根据取得的攻击现场的情况,分析攻击行为,产生攻击事件报告,并重构攻击发生现场。结果提交阶段参照司法诉讼的要求向司法机关提交最后的攻击事件调查报告,并进行攻击现场的可视化描述,消除非专业人员理解上的障碍。上述一种基于第三方签名的协同网络电子取证技术,其特征是取证时需要取证服务器向取证代理提供具有法定效力的时间戳,在交互过程中通过并加入公钥认证机制,防止黑客欺骗攻击,有效的保证标准时间的可靠性。上述一种基于第三方签名的协同网络电子取证技术,其特征是取证代理取证代理部署在受保护网络的网关处,任何与受保护网络交互的数据都需要通过取证代理转发。上述一种基于第三方签名的协同网络电子取证技术,其特征是证据分析回放系统回放系统通过构造数据包的方法将取证系统取得的网络数据包重新发送到用户网络,通过观察用户系统的反应,直观再现网络入侵行为及其造成的危害,给法庭审判带来帮助。上述一种基于第三方签名的协同网络电子取证技术,其特征是采用VisualStudio. Net 开发。上述一种基于第三方签名的协同网络电子取证技术,其特征是通过安全通信模块在线监听取证的服务请求,并调用相关模块为取证代理提供服务。
上述一种基于第三方签名的协同网络电子取证技术,其特征是在取证服务器的操作界面上,经过身份认证的取证工作人员可以对日志进行维护和查询。上述一种基于第三方签名的协同网络电子取证技术,其特征是密钥发布模块设计上述一种基于第三方签名的协同网络电子取证技术,其特征是时间戳发布模块的设计上述一种基于第三方签名的协同网络电子取证技术,其特征是面向取证代理和取证服务器提供安全通信接口,它将取证代理和取证服务器间交换的信息包装成统一的格式,采用SSL协议进行传输。上述一种基于第三方签名的协同网络电子取证技术,其特征是采用了一种双端口网桥的接入模式上述一种基于第三方签名的协同网络电子取证技术,其特征是缓存区的数据结构是按照循环队列的方式组织的,以原始网络数据包为基本单元,并在其上附加控制字节,形成一个可以循环使用的缓存区。上述一种基于第三方签名的协同网络电子取证技术,其特征是与用户安全系统联动模块负责攻击特征信息的提取。该模块接受用户安全系统的报警信息,从中分析归纳出攻击特征。上述一种基于第三方签名的协同网络电子取证技术,其特征是从缓存区内提取数据包作为电子证据。上述一种基于第三方签名的协同网络电子取证技术,其特征是通过对会话摘要的查询,可以获得关于会话的绝大部分有用信息。上述一种基于第三方签名的协同网络电子取证技术,其特征是证据签名模块对证据提取模块和会话摘要模块的结果进行签名,保证这些数据不会被篡改,确认这些数据的法律地位。上述一种基于第三方签名的协同网络电子取证技术,其特征是事后分析并对入侵行为进行回放。
测试内容I :协同电子取证部分针对网络入侵行为进行取证,将诸如攻击时间、攻击内容、攻击来源等入侵信息进行记录,保留入侵证据,使其具有不可否认性。
实例I :取证数据获取。将数据缓冲区设置成10M,由模拟Internet的主机发送一个带有明显特征的数据包,10秒后由取证信号源将此特征传给取证服务器,同时要求模拟Internet的主机继续与intranet通信,以保证在一定时间内能够填满缓冲区。缓冲区满后,取证代理此时根据规则链对数据进行过滤,得到待取证数据。信号源发送停止信号,取证代理将证据加密保存在相关文件中。实例2 :证据提取及分析。将加密文件拷贝到取证服务器,取证服务器根据协商的密钥对该文件进行解密,还原出原始的网络数据包,并可以对其进行解析和统计。实例3 :代理第三方签名电子取证。取证服务器是第三方取证机构提供的在线服务器,通过互联网向取证代理系统提供时间戳、签名密钥发放等服务,并具有对取证代理身份认证以及取证信息维护等功能。
·
测试内容2:电子取证取证的测试,实时检测数据截获模块被动的复制网络上的数据流,并监测数据流量的异常(IDS和协同审计的激励),保存可能的电子证据数据流。
预警系统检测到黑客攻击时,通过记录黑客的来源IP地址、攻击方式、攻击时间、被攻击计算机IP地址等来跟踪黑客的攻击行为。黑客发动一次攻击时记录的所有内容作为研究黑客攻击方式及对目标计算机被攻击的电子证据。上述这部分的具体功能包括I)预警检测引擎根据检测规则,实时检测网络攻击行为;2)对黑客攻击进行实时报警,并记录检测到的攻击警告;3)对警告信息管理,增加、删除、修改、清除警告组;4)通过快速浏览和查找警告能够快速找到指定条件的警告,并可以警告进行浏览及归档、删除操作等;5)对具体的攻击进行协议分析,如查看黑客的攻击时间、黑客来源、攻击目标主机、攻击类型、攻击所携带的数据、网络层/传输层的标志信息等;所有记录的这些信息可以作为跟踪黑客的依据和作为黑客攻击目标主机的电子证据。6)攻击警告统计7)显示各种统计内容的柱状图、线图和饼图;8)不同时间段内按不同步长统计的警告数目图;9)对传感器、端口、单一连接等的简单统计信息;10)总的警告发生情况的统计信息;
图I为本发明的取证服务器结构Ι-a为本发明的密钥发布模块设计流程图Ι-b为本发明的时间戳发布模块的设计流程图2为本发明的取证代理结构2_a为本发明的双端口网桥数据捕获模型图
具体实施方式
代理第三方签名网络电子取证系统由3个子系统组成图1,图2和证据分析回放系统。图I是第三方取证机构提供的在线服务器,通过互联网向取证代理系统提供时间戳、签名密钥发放等服务,并具有对取证代理身份认证以及取证信息维护等功能。如图I以上所述,取证时需要取证服务器向取证代理提供具有法定效力的时间戳,在交互过程中通过并加入公钥认证机制,防止黑客欺骗攻击,有效的保证标准时间的可靠性。其中,图I中随机密钥发布模块是通过图l_a完成的图I中时间戳签发模块是通过图l_b完成的图2主要包括以下几个模块(系统的核心)数据获取,缓存区管理,证据提取,特征提取,加密签名,时间戳申请,安全通信以及与用户的安全系统联动。图2可以看作是一个双端口透明网桥(如图2-a),在数据链路层提供数据转发的功能。取证代理部署在受保护网络的网关处,任何与受保护网络交互的数据都需要通过取证代理转发。图2中,为了证明入侵发生的准确时间,取证代理在对某一攻击取证结束或者对完成对某一时段的网络会话摘要后,通过安全通信模块向取证服务器申请时间戳。图2中上述,根据时间戳及电子证据中记录的有关时间的信息,可以准确地推算出每一个数据包经过取证代理的时间。图2上述,所生成的电子证据和会话摘要将分别存入安全的数据库,等待取证调查人员提取。综上所述,实际工作过程中,每个子系统和子系统的每个模块协同工作,形成了一套最佳的一种基于第三方签名的协同网络电子取证技术.以上所述,仅是本发明的较佳实施例,并非对本发明作任何限制,凡是根据本发明技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化,均仍属于本发明技术方案的保护范围内。
权利要求
1.一种基于第三方签名的协同网络电子取证技术,制定一个严格的网络电子取证模型表。代理第三方签名网络电子取证系统模型基于需求分析的思想,从问题出发,瞄准网络电子取证中突出存在的两个问题,该系统由3个子系统组成取证服务器子系统,取证代理子系统,和证据分析回放系统子系统。
2.取证服务器是第三方取证机构提供的在线服务器,通过互联网向取证代理系统提供时间戳、签名密钥发放等服务,并具有对取证代理身份认证以及取证信息维护等功能。取证时需要取证服务器向取证代理提供具有法定效力的时间戳,在交互过程中通过并加入公钥认证机制,防止黑客欺骗攻击,有效的保证标准时间的可靠性。
3.取证代理可以看作是一个双端口透明网桥,在数据链路层提供数据转发的功能。取证代理部署在受保护网络的网关处,任何与受保护网络交互的数据都需要通过取证代理转发。取证代理是整个取证系统的核心,主要包括以下几个模块数据获取,缓存区管理,证据提取,特征提取,加密签名,时间戳申请,安全通信以及与用户的安全系统联动。
4.回放系统通过构造数据包的方法将取证系统取得的网络数据包重新发送到用户网络,通过观察用户系统的反应,直观再现网络入侵行为及其造成的危害,给法庭审判带来帮助。
5.取证服务器运行在Windows平台,基于微软MFC类库,采用VisualStudio. Net开发。作为服务端,为取证代理提供签名密钥发放和时间戳服务。取证服务器后台运行数据库,用于保存密钥发放和时间戳签发的日志。取证服务器运行后通过安全通信模块在线监听取证的服务请求,并调用相关模块为取证代理提供服务。在取证服务器的操作界面上,经过身份认证的取证工作人员可以对日志进行维护和查询。
6.取证代理在该取证系统中设计为一个专用的硬件设备,由取证机构授权,安放在用户的网络上。在现阶段,取证代理的硬件架构采用了 PC的标准架构,操作系统采用经过精简定制的Linux操作系统,内核版本为2. 4. 6。取证代理的软件部分分别工作在系统内核层和用户层两个不同的层次,之间用共享内存的方式进行通信。
全文摘要
一种基于第三方签名的协同网络电子取证技术,属于网络信息领域,针对网络入侵行为进行取证,将诸如攻击时间、攻击内容、攻击来源等入侵信息进行记录,保留入侵证据,使其具有不可否认性。其目的是通过审计与入侵检测得到的有关信息,发现攻击者的特征或身份,供事后分析攻击者的行为、追究攻击者的责任。具体包括电子证据的描述与表示、电子证据的可靠性以及协同电子取证的实现技术、代理第三方签名的网络电子取证过程,以及网络电子取证系统。
文档编号H04L9/32GK102932145SQ201110232008
公开日2013年2月13日 申请日期2011年8月12日 优先权日2011年8月12日
发明者邓正宏, 郑玉山, 夏杰 申请人:西安秦码软件科技有限公司