CN102932145A - 一种基于第三方签名的协同网络电子取证技术 - Google Patents
一种基于第三方签名的协同网络电子取证技术 Download PDFInfo
- Publication number
- CN102932145A CN102932145A CN2011102320087A CN201110232008A CN102932145A CN 102932145 A CN102932145 A CN 102932145A CN 2011102320087 A CN2011102320087 A CN 2011102320087A CN 201110232008 A CN201110232008 A CN 201110232008A CN 102932145 A CN102932145 A CN 102932145A
- Authority
- CN
- China
- Prior art keywords
- evidence
- evidence obtaining
- obtaining
- network
- agency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
一种基于第三方签名的协同网络电子取证技术,属于网络信息领域,针对网络入侵行为进行取证,将诸如攻击时间、攻击内容、攻击来源等入侵信息进行记录,保留入侵证据,使其具有不可否认性。其目的是通过审计与入侵检测得到的有关信息,发现攻击者的特征或身份,供事后分析攻击者的行为、追究攻击者的责任。具体包括电子证据的描述与表示、电子证据的可靠性以及协同电子取证的实现技术、代理第三方签名的网络电子取证过程,以及网络电子取证系统。
Description
技术领域
本发明属于信息技术领域,尤其是涉及一种基于第三方签名的协同网络电子取证技术。
背景技术
Internet的迅速发展和网络社会化的到来,网络已无所不在地影响着社会、政治、经济、文化、军事和人们的日常生活等各个方面。人们在享受网络带来的便利的同时,网络与信息安全问题也成为人们关注和研究的焦点。美国卡内基·梅隆大学(Carnegie Mellon University)CERT(Computer Emergency Response Team)发布的1988-2003年信息安全事故统计报告中称,1988年报告的安全事故仅有6起,1990年增长到252起,2000年已经增加21,756起,2001年52,658起,2002年增加到82,094起,而2003年则高达137,529起。04年英政府网络造攻击8万台电脑崩溃。我国04年7-10月发生网络欺诈110起。可见网络安全事故呈迅速增长的态势。传统的安全措施,如加密认证、防火墙和入侵检测系统等,在保护信息的机密性、完整性和鉴别、控制访问方面虽然非常有效,但由于Internet网本身的不足,以及新的攻击方式层出不穷,网络安全仍受到多方面的威胁,因此,网络安全防御新模型、新方法的研究成为十分紧迫的任务。
实用新新型内容
本发明所要解决的技术问题在于针对网络入侵行为进行取证,,提供一种技术先进、功能强大、高安全性、高适应性、易于配置和管理的灵活的电子取证防卫系体系,能有效解决现在的信息安全防卫系统的存在的多种实际问题。
为解决上述问题,本发明采用的技术方案是:将诸如攻击时间、攻击内容、攻击来源等入侵信息进行记录,保留入侵证据,使其具有不可否认性。其目的是通过审计与入侵检测得到的有关信息,发现攻击者的特征或身份,供事后分析攻击者的行为、追究攻击者的责任。具体包括电子证据的描述与表示、电子证据的可靠性以及协同电子取证的实现技术、代理第三方签名的网络电子取证过程,以及网络电子取证系统。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:制定一个严格的取证过程模型。模型基于需求分析的思想,从问题出发,瞄准网络电子取证中突出存在的两个问题,较好的解决了网络电子取证中存在的证据完整性、真实性、抗抵赖性等问题。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:取证工作人员在工具软件的配合下保护现场环境并进行主机取证,以便相互印证。事后分析阶段验证取证软件取得网络数据包并根据取得的攻击现场的情况,分析攻击行为,产生攻击事件报告,并重构攻击发生现场。结果提交阶段参照司法诉讼的要求向司法机关提交最后的攻击事件调查报告,并进行攻击现场的可视化描述,消除非专业人员理解上的障碍。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:取证时需要取证服务器向取证代理提供具有法定效力的时间戳,在交互过程中通过并加入公钥认证机制,防止黑客欺骗攻击,有效的保证标准时间的可靠性。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:取证代理:取证代理部署在受保护网络的网关处,任何与受保护网络交互的数据都需要通过取证代理转发。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:证据分析回放系统:回放系统通过构造数据包的方法将取证系统取得的网络数据包重新发送到用户网络,通过观察用户系统的反应,直观再现网络入侵行为及其造成的危害,给法庭审判带来帮助。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:采用Visual Studio.Net开发。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:通过安全通信模块在线监听取证的服务请求,并调用相关模块为取证代理提供服务。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:在取证服务器的操作界面上,经过身份认证的取证工作人员可以对日志进行维护和查询。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:密钥发布模块设计
上述一种基于第三方签名的协同网络电子取证技术,其特征是:时间戳发布模块的设计
上述一种基于第三方签名的协同网络电子取证技术,其特征是:面向取证代理和取证服务器提供安全通信接口,它将取证代理和取证服务器间交换的信息包装成统一的格式,采用SSL协议进行传输。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:采用了一种双端口网桥的接入模式
上述一种基于第三方签名的协同网络电子取证技术,其特征是:缓存区的数据结构是按照循环队列的方式组织的,以原始网络数据包为基本单元,并在其上附加控制字节,形成一个可以循环使用的缓存区。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:与用户安全系统联动模块负责攻击特征信息的提取。该模块接受用户安全系统的报警信息,从中分析归纳出攻击特征。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:从缓存区内提取数据包作为电子证据。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:通过对会话摘要的查询,可以获得关于会话的绝大部分有用信息。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:证据签名模块对证据提取模块和会话摘要模块的结果进行签名,保证这些数据不会被篡改,确认这些数据的法律地位。
上述一种基于第三方签名的协同网络电子取证技术,其特征是:事后分析并对入侵行为进行回放。
测试内容1:协同电子取证部分针对网络入侵行为进行取证,将诸如攻击时间、攻击内容、攻击来源等入侵信息进行记录,保留入侵证据,使其具有不可否认性。
实例1:取证数据获取。将数据缓冲区设置成10M,由模拟Internet的主机发送一个带有明显特征的数据包,10秒后由取证信号源将此特征传给取证服务器,同时要求模拟Internet的主机继续与intranet通信,以保证在一定时间内能够填满缓冲区。缓冲区满后,取证代理此时根据规则链对数据进行过滤,得到待取证数据。信号源发送停止信号,取证代理将证据加密保存在相关文件中。
实例2:证据提取及分析。将加密文件拷贝到取证服务器,取证服务器根据协商的密钥对该文件进行解密,还原出原始的网络数据包,并可以对其进行解析和统计。
实例3:代理第三方签名电子取证。取证服务器是第三方取证机构提供的在线服务器,通过互联网向取证代理系统提供时间戳、签名密钥发放等服务,并具有对取证代理身份认证以及取证信息维护等功能。
测试内容2:
电子取证取证的测试,实时检测数据截获模块被动的复制网络上的数据流,并监测数据流量的异常(IDS和协同审计的激励),保存可能的电子证据数据流。
预警系统检测到黑客攻击时,通过记录黑客的来源IP地址、攻击方式、攻击时间、被攻击计算机IP地址等来跟踪黑客的攻击行为。黑客发动一次攻击时记录的所有内容作为研究黑客攻击方式及对目标计算机被攻击的电子证据。
上述这部分的具体功能包括:
1)预警检测引擎根据检测规则,实时检测网络攻击行为;
2)对黑客攻击进行实时报警,并记录检测到的攻击警告;
3)对警告信息管理,增加、删除、修改、清除警告组;
4)通过快速浏览和查找警告能够快速找到指定条件的警告,并可以警告进行浏览及归档、删除操作等;
5)对具体的攻击进行协议分析,如查看黑客的攻击时间、黑客来源、攻击目标主机、攻击类型、攻击所携带的数据、网络层/传输层的标志信息等;所有记录的这些信息可以作为跟踪黑客的依据和作为黑客攻击目标主机的电子证据。
6)攻击警告统计:
7)显示各种统计内容的柱状图、线图和饼图;
8)不同时间段内按不同步长统计的警告数目图;
9)对传感器、端口、单一连接等的简单统计信息;
10)总的警告发生情况的统计信息;
附图说明
图1为本发明的取证服务器结构图
图1-a为本发明的密钥发布模块设计流程
图1-b为本发明的时间戳发布模块的设计流程
图2为本发明的取证代理结构图
图2-a为本发明的双端口网桥数据捕获模型图
具体实施方式
代理第三方签名网络电子取证系统由3个子系统组成:图1,图2和证据分析回放系统。
图1是第三方取证机构提供的在线服务器,通过互联网向取证代理系统提供时间戳、签名密钥发放等服务,并具有对取证代理身份认证以及取证信息维护等功能。
如图1以上所述,取证时需要取证服务器向取证代理提供具有法定效力的时间戳,在交互过程中通过并加入公钥认证机制,防止黑客欺骗攻击,有效的保证标准时间的可靠性。
其中,图1中随机密钥发布模块是通过图1-a完成的
图1中时间戳签发模块是通过图1-b完成的
图2主要包括以下几个模块(系统的核心):数据获取,缓存区管理,证据提取,特征提取,加密签名,时间戳申请,安全通信以及与用户的安全系统联动。
图2可以看作是一个双端口透明网桥(如图2-a),在数据链路层提供数据转发的功能。取证代理部署在受保护网络的网关处,任何与受保护网络交互的数据都需要通过取证代理转发。
图2中,为了证明入侵发生的准确时间,取证代理在对某一攻击取证结束或者对完成对某一时段的网络会话摘要后,通过安全通信模块向取证服务器申请时间戳。
图2中上述,根据时间戳及电子证据中记录的有关时间的信息,可以准确地推算出每一个数据包经过取证代理的时间。
图2上述,所生成的电子证据和会话摘要将分别存入安全的数据库,等待取证调查人员提取。
综上所述,实际工作过程中,每个子系统和子系统的每个模块协同工作,形成了一套最佳的一种基于第三方签名的协同网络电子取证技术.
以上所述,仅是本发明的较佳实施例,并非对本发明作任何限制,凡是根据本发明技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化,均仍属于本发明技术方案的保护范围内。
Claims (6)
1.一种基于第三方签名的协同网络电子取证技术,制定一个严格的网络电子取证模型表。代理第三方签名网络电子取证系统模型基于需求分析的思想,从问题出发,瞄准网络电子取证中突出存在的两个问题,该系统由3个子系统组成:取证服务器子系统,取证代理子系统,和证据分析回放系统子系统。
2.取证服务器是第三方取证机构提供的在线服务器,通过互联网向取证代理系统提供时间戳、签名密钥发放等服务,并具有对取证代理身份认证以及取证信息维护等功能。取证时需要取证服务器向取证代理提供具有法定效力的时间戳,在交互过程中通过并加入公钥认证机制,防止黑客欺骗攻击,有效的保证标准时间的可靠性。
3.取证代理可以看作是一个双端口透明网桥,在数据链路层提供数据转发的功能。取证代理部署在受保护网络的网关处,任何与受保护网络交互的数据都需要通过取证代理转发。取证代理是整个取证系统的核心,主要包括以下几个模块:数据获取,缓存区管理,证据提取,特征提取,加密签名,时间戳申请,安全通信以及与用户的安全系统联动。
4.回放系统通过构造数据包的方法将取证系统取得的网络数据包重新发送到用户网络,通过观察用户系统的反应,直观再现网络入侵行为及其造成的危害,给法庭审判带来帮助。
5.取证服务器运行在Windows平台,基于微软MFC类库,采用Visual Studio.Net开发。作为服务端,为取证代理提供签名密钥发放和时间戳服务。取证服务器后台运行数据库,用于保存密钥发放和时间戳签发的日志。取证服务器运行后通过安全通信模块在线监听取证的服务请求,并调用相关模块为取证代理提供服务。在取证服务器的操作界面上,经过身份认证的取证工作人员可以对日志进行维护和查询。
6.取证代理在该取证系统中设计为一个专用的硬件设备,由取证机构授权,安放在用户的网络上。在现阶段,取证代理的硬件架构采用了PC的标准架构,操作系统采用经过精简定制的Linux操作系统,内核版本为2.4.6。取证代理的软件部分分别工作在系统内核层和用户层两个不同的层次,之间用共享内存的方式进行通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102320087A CN102932145A (zh) | 2011-08-12 | 2011-08-12 | 一种基于第三方签名的协同网络电子取证技术 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102320087A CN102932145A (zh) | 2011-08-12 | 2011-08-12 | 一种基于第三方签名的协同网络电子取证技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102932145A true CN102932145A (zh) | 2013-02-13 |
Family
ID=47646852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102320087A Pending CN102932145A (zh) | 2011-08-12 | 2011-08-12 | 一种基于第三方签名的协同网络电子取证技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932145A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103810410A (zh) * | 2014-03-10 | 2014-05-21 | 辽宁科技大学 | 一种物联网信息取证方法 |
| CN106169954A (zh) * | 2016-08-01 | 2016-11-30 | 浪潮集团有限公司 | 一种基于数字签名和时间戳的云服务审计系统及方法 |
| CN110995441A (zh) * | 2019-11-25 | 2020-04-10 | 武汉大学 | 一种多方协同EdDSA数字签名生成方法与介质 |
| CN111786811A (zh) * | 2020-05-25 | 2020-10-16 | 福建中锐电子科技有限公司 | 一种便携式现场电子数据取证终端与装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159069A1 (en) * | 2002-02-19 | 2003-08-21 | Byeong Cheol Choi | Network-based attack tracing system and method using distributed agent and manager system |
-
2011
- 2011-08-12 CN CN2011102320087A patent/CN102932145A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159069A1 (en) * | 2002-02-19 | 2003-08-21 | Byeong Cheol Choi | Network-based attack tracing system and method using distributed agent and manager system |
Non-Patent Citations (1)
| Title |
|---|
| 刘尊: "网络电子取证技术研究", 《中国优秀博硕士学位论文全文数据库(硕士)社会科学Ⅰ辑(经济政治与法律)》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103810410A (zh) * | 2014-03-10 | 2014-05-21 | 辽宁科技大学 | 一种物联网信息取证方法 |
| CN106169954A (zh) * | 2016-08-01 | 2016-11-30 | 浪潮集团有限公司 | 一种基于数字签名和时间戳的云服务审计系统及方法 |
| CN110995441A (zh) * | 2019-11-25 | 2020-04-10 | 武汉大学 | 一种多方协同EdDSA数字签名生成方法与介质 |
| CN111786811A (zh) * | 2020-05-25 | 2020-10-16 | 福建中锐电子科技有限公司 | 一种便携式现场电子数据取证终端与装置 |
| CN111786811B (zh) * | 2020-05-25 | 2022-07-08 | 福建中锐电子科技有限公司 | 一种便携式现场电子数据取证终端与装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ryu et al. | A blockchain-based decentralized efficient investigation framework for IoT digital forensics | |
| Yılmaz et al. | Attack detection/prevention system against cyber attack in industrial control systems | |
| CN101262351B (zh) | 一种网络追踪系统 | |
| JP2006504178A (ja) | Itインフラにおける総合侵害事故対応システムおよびその動作方法 | |
| Singh et al. | An approach to understand the end user behavior through log analysis | |
| Karyda et al. | Internet forensics: Legal and technical issues | |
| Savona et al. | The fox and the hunters: How IC technologies change the crime race | |
| CN107154939A (zh) | 一种数据追踪的方法及系统 | |
| CN102932145A (zh) | 一种基于第三方签名的协同网络电子取证技术 | |
| Chhabra et al. | Distributed network forensics framework: A systematic review | |
| Caesarano et al. | Network forensics for detecting SQL injection attacks using NIST method | |
| Dorri et al. | Device identification in blockchain-based internet of things | |
| Wang et al. | Catching the wily hacker: A multilayer deception system | |
| Nada et al. | A proposed wireless intrusion detection prevention and attack system | |
| KR102013415B1 (ko) | 개인정보 접속기록 무결성 검증시스템 및 검증방법 | |
| Miloslavskaya et al. | New SIEM system for the internet of things | |
| CN115114677B (zh) | 基于区块链取存证技术的网络犯罪服务平台及应用方法 | |
| Govil et al. | Ramifications of cyber crime and suggestive preventive measures | |
| Nehinbe et al. | An exhaustive study of DDOS attacks and DDOS datasets | |
| Kao | Using the actionable intelligence approach for the dpi of cybercrime insider investigation | |
| Wen | Research on system design and implementation of computer forensics based on log | |
| Khyavi | ISMS role in the improvement of digital forensics related process in SOC's | |
| Da-Yu | Cybercrime countermeasure of insider threat investigation | |
| Lin et al. | Automated analysis of multi-source logs for network forensics | |
| Wang et al. | Research on some relevant problems in computer forensics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Xi'an Qinma Software Technology Co., Ltd. Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 710077, block 13, building A, Jiayu building, No. 58, Kam Yip Road, Xi'an hi tech Zone, Shaanxi, China Applicant after: Xi'an Qinma Software Technology Co., Ltd. Address before: 710077 Shaanxi city of Xi'an province high tech Zone Jinye Road No. 69 C District No. 1 gazelle Valley E Room 501 Applicant before: Xi'an Qinma Software Technology Co., Ltd. |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130213 |