一种路由器日志数据提取及恢复的方法及其系统与流程

本发明属于物联网嵌入设备取证安全，具体涉及一种路由器日志数据提取及恢复的方法及其系统。

背景技术：

1、随着网络技术的发展普及，路由器基本是智能家居中必备的智能设备。路由器作为智能家居流量的出入口，是各类违法入侵的入口，其上存储的一些日志信息、连接记录等信息是关键数据。但往往路由器被入侵后，其存储的数据会被删除，导致取证调查难度复杂。

2、现如今随着路由器设备越来越普及，针对路由器进行取证研究的厂家也越来越多。针对路由器电子数据删除恢复的技术在嵌入式智能设备安全、信息安全领域将是一个备受关注的热点。目前针对路由器电子数据删除恢复的技术还没有成熟的方案，相关的文献也较少，不满足物联网嵌入式取证安全领域发展的需求。

3、有鉴于此，提出一种路由器日志数据提取及恢复的方法及其系统是非常具有意义的。

技术实现思路

1、为了解决现有针对路由器电子数据删除恢复的技术还没有成熟的方案，相关的文献也较少，不满足物联网嵌入式取证安全领域发展的需求的问题，本发明提供一种路由器日志数据提取及恢复的方法及其系统，以解决上述存在的技术缺陷问题。

2、第一方面，本发明提出了一种路由器日志数据提取及恢复的方法，该方法包括如下步骤：

3、响应于将路由器未分配簇文件、路由器删除数据库或log分区的大小设置为filesize，使用变量currentoffset代表当前文件偏移位置，初值为0；

4、对currentoffset位置的数据根据log分区判断原则进行判断，log分区判断原则包括假设集合lpf＝{apt_log,gernal_log,...,lpfn}为路由器日志分区头部标识，对传入的数据块与集合lpf的特征进行匹配，如果存在一个特征与传入的数据相等，则该分区为log分区，如果判断成功，则设置datasize为currentoffset+8开始的4字节数据内容对应的大小，currentoffset＝currentoffset+12，如果不是datasize设置为0，则执行下一步；

5、判断currentoffset是否大于等于fliesize，若是则对日志数据库进行显示并结束流程，若否则对currentoffset数据进行日志特征匹配，匹配成功则对日志进行入库，同时更新currentoffset。

6、优选的，对currentoffset数据进行日志特征匹配包括：

7、判断currentoffset是否大于等于fliesize，若不是则对currentoffset+8位置的数据进行时间信息判断规则的判断，如果判断不成功，则赋值currentoffset＝currentoffset+4继续重复执行判断currentoffset是否大于等于fliesize；

8、其中，时间信息判断规则包括对传入的4个字节的数据块进行时间特征判断，如果同时满足以下条件，则判断该数据块为时间数据，具体条件为：4字节数据通过lta转换算法后，时间小于当前系统的时间，其中假设集合lta＝{lta0,lta1,...,ltan}为日志时间转换算法的集合，其中lta0代表格林威治时间转换算法，lta1代表utc时间转换算法，用于时间转换。

9、进一步优选的，还包括：

10、对currentoffset+8位置的数据进行时间信息判断规则的判断，如果判断成功则对currentoffset+20参数个数位置的数据、currentoffset+22参数数据长度位置的数据及currentoffset+24参数数据位置的数据根据log参数判断规则计算参数个数；

11、进一步判断参数是否正常，如果不正常，则赋值currentoffset＝currentoffset+4继续重复执行判断currentoffset是否大于等于fliesize；

12、其中，log参数判断规则包括对传入参数字节及对应的参数数据如果同时满足以下条件，则判断该参数正常，假设参数个数paramcount，参数数据长度为paramlen，具体条件如下：

13、如果paramcount大于0，则参数数据中的\x00或\x0a或\x0d的分隔符个数与参数个数相等；

14、如果paramcount等于0，则参数数据仅有1个结束符，如\x00或\x0a或\x0d。

15、进一步优选的，还包括：

16、根据log参数判断规则计算参数个数，判断参数是否正常，如果正常则对currentoffset+16位置的数据进行logid映射成功判断规则的判断，如果判断不成功，则赋值currentoffset＝currentoffset+4继续重复执行对currentoffset位置的数据根据log分区判断原则进行判断；

17、其中，logid映射成功判断规则包括对传入的15个字节的数据块进行imei特征及校验的判断，如果同时满足以下条件，则判断该logid映射成功，假设日志id映射模板的算法集合lida＝{lida0,lida1,...,lidan}为路由器id模板常见的映射算法集合，具体条件如下：

18、logid通过lida的映射算法转换后，在各映射表上均能成功匹配；

19、该log记录中的参数个数paramcount和logid映射的模板中的参数个数templogparamcount相等；

20、logid映射的模板存在以\x00或\x0a或\x0d结束符标识。

21、进一步优选的，还包括：

22、对currentoffset+16位置的数据进行logid映射成功判断规则的判断，如果判断成功则对currentoffset位置的数据根据log类型映射规则，输出strlogtype；

23、其中，根据log类型映射规则包括假设集合lt＝{lt0,lt1,...,ltn}为log类型映射方法集合，根据传入log类型数据做映射，输出log类型字符串strlogtype。

24、进一步优选的，还包括：

25、输出strlogtype后对currentoffset+3位置的数据根据log等级映射规则，输出strloglevel；

26、其中，log等级映射规则包括假设集合ll＝{ll0,ll1,...,lln}为log等级映射方法集合，根据传入log等级字节数据做映射，输出log等级字符串strloglevel。

27、进一步优选的，还包括：

28、输出strloglevel后根据log生成方法生成完整的一条log数据，如果currentoffset>datasize，设置该日志为删除状态，并记录到log数据库；

29、进一步赋值logheadlen＝24，赋值currentoffset＝currentoffset+logheadlen+paramlen，继续判断currentoffset是否大于等于fliesize；

30、其中，log生成方法包括通过以下步骤生成完整的一条log数据：

31、将时间信息转换成时间字符串strtime；

32、将logid映射的模板中的参数占位符替换成实际的参数，生成strlogtemp；

33、如果logid未映射到模板，且paramcount等于0，并且参数数据paramlen>0，则将参数数据赋值给strlogtemp；

34、最终输出strlog＝strlogtype+strloglevel+strtime+strlogtemp。

35、第二方面，本发明实施例提供一种路由器日志数据提取及恢复的系统，包括：

36、初始化模块，配置用于将路由器未分配簇文件、路由器删除数据库或log分区的大小设置为filesize，使用变量currentoffset代表当前文件偏移位置，初值为0；

37、log分区判断原则模块，配置用于对currentoffset位置的数据根据log分区判断原则进行判断，log分区判断原则包括假设集合lpf＝{apt_log,gernal_log,...,lpfn}为路由器日志分区头部标识，对传入的数据块与集合lpf的特征进行匹配，如果存在一个特征与传入的数据相等，则该分区为log分区，如果判断成功，则设置datasize为currentoffset+8开始的4字节数据内容对应的大小，currentoffset＝currentoffset+12，如果不是datasize设置为0，则执行下一步；

38、判断模块，配置用于判断currentoffset是否大于等于fliesize，若是则对日志数据库进行显示并结束流程，若否则对currentoffset数据进行日志特征匹配，匹配成功则对日志进行入库，同时更新currentoffset。

39、第三方面，本发明实施例提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。

40、第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。

41、与现有技术相比，本发明的有益成果在于：

42、(1)本发明的方案利用路由器日志模板映射机制、时间、日志类型、日志等级关键特征，对输入的路由器未分配簇、删除块数据以及日志分区进行特征匹配及解析规则算法识别，从而提取恢复未分配簇、删除块及日志分区中的关键的日志数据。

43、(2)本发明提出的基于路由器日志结构特征的数据提取删除恢复方法，该方法能够根据输入特征集合，自动识别路由器未分配簇及删除块中的关键的日志数据，为智能家居中非法入侵排查等复杂场景取证分析提供了有效的分析方法。