CN105959328A - 证据图与漏洞推理相结合的网络取证方法及系统 - Google Patents

Abstract

本发明涉及数字取证领域，具体而言，涉及证据图与漏洞推理相结合的网络取证方法及系统。该方法包括：从异构数据源中收集原始数据；将所述原始数据进行存储，得到第一存储数据；采用分类识别算法从所述第一存储数据中分离出证据；对所述证据进行标记处理，得到所述证据的事件向量；将所述第一存储数据、所述证据和所述事件向量建立为证据库；根据所述证据库，按照有效时间序列构建证据图；根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。异构数据源保证了数据来源的全面性和完整性，VERA可将所得证据形象的体现出来。该方法解决了现阶段取证过程中缺乏完整性、真实性，所得证据不能形象体现的问题。

Description

证据图与漏洞推理相结合的网络取证方法及系统

技术领域

本发明涉及数字取证领域，具体而言，涉及证据图与漏洞推理相结合的网络取证方法及系统。

背景技术

计算机犯罪案件的频繁发生促使取证的出现与发展。在科学和技术研究最具影响力的国家之一的美国，早在1969年就已经有计算机证据出现在法庭上，随后计算机取证研究一直在不断的发展着。如何及时准确地获取犯罪证据，确保证据的合法性、客观性与关联性，为依法威慑和打击计算机网络犯罪行为提供有力武器，是数字取证研究的主要内容。数字取证发展遭遇网络取证，网络取证属于数字取证的一部分，然而网络取证技术不同于传统的数字取证技术，其主要侧重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据检测、整理、收集、认证、识别、检验、分析以及数据证书等方法来积极的处理和传送数字信号源,这样能够发现原本的数据信息及内容,同时能够预测那些疑似破坏和干扰的未经许可的操作,找到那些影响系统的因素,还能提供帮助恢复系统响应的信息和方法。

网络取证所必须经历的三个过程即：数据收集、数据处理、证据推理并呈现。在数据收集阶段，必须保证收集到的数据均为真实发生的海清，并且为了保证证据的全面有效性，必须尽可能全面的将数据流中的数据截取捕获保存。

Palmer在数字取证研究中提出的使用攻击图重建攻击者攻击路线为数字取证提供证据。Rasmi等人就曾在网络入侵检测中提出利用攻击图辨别攻击者的攻击意图，为网络入侵检测提供帮助。Liu等提出证据关联性提出重建攻击场景的思路，那么攻击场景便可以作为证据。Wang等人开发了一种新型的基于证据图的网络取证分析方法,并提出一种基于证据图的分层推理框架用于识别重要的实体结构图和提取相关参与者的攻击场景。田志宏等人提出了一种基于证据推理网络的实时网络入侵取证方法NetForensic，将弱点关联性的概念引入网络入侵取证领域。

但是，现有的网络取证技术存在以下一些问题：首先，在网络取证的数据收集阶段，采用数据源单一，仅对网络数据流进行捕获或监听，致使证据缺乏完整性。其次，在网络取证的数据预处理阶段，大致分为两种处理方法，一种是沿用入侵检测中所采用的数据挖掘相关算法或者某些分类算法对数据流进行挖掘分类，进而呈现攻击证据，该方法的不足之处在于将入侵检测中的漏报误报现象带入到网络取证中，从而导致网络取证获得的证据缺乏真实性；另一种是直接对捕获的网络数据包直接进行证据图构建，基于构建的证据图进行证据推理从而获取证据，该方法的不足之处在于对刚捕获的数据包进行证据图构建，数据量巨大，构建算法低效从而导致浪费了最佳取证时间。最后，实用性不强，庞大而复杂的网络数据为取证分析带来了巨大的挑战，取证分析不合理，直接在所获取的数据上进行分析，可能导致证据的改变。

发明内容

本发明的目的在于提供一种证据图与漏洞推理相结合的网络取证方法及系统，以解决现阶段取证过程中缺乏完整性、真实性，所得证据不能形象体现的问题。

本发明提供了一种证据图与漏洞推理相结合的网络取证方法，其包括：

步骤1：从异构数据源中收集原始数据；

步骤2：将所述原始数据进行存储，得到第一存储数据；

步骤3：采用分类识别算法从所述第一存储数据中分离出证据；

步骤4：对所述证据进行标记处理，得到所述证据的事件向量；

步骤5：将所述第一存储数据、所述证据和所述事件向量建立为证据库；

步骤6：根据所述证据库，按照有效时间序列构建证据图；

步骤7：根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。

在一些实施例中，优选为，所述步骤1中的异构数据源包括：网络数据包、IDS系统日志文件、杀毒软件日志文件、IIS服务器日志文件、FTP服务器日志文件或防火墙日志文件。

在一些实施例中，优选为，所述步骤2中在进行存储之前还包括：将所述原始数据添加时间戳或数字签名。

在一些实施例中，优选为，所述步骤3中的分类识别算法为支持向量机SVM算法。

在一些实施例中，优选为，所述步骤4为：获取所有证据的地址ID、目标Target、操作Operation或时间属性Timestamp；将地址ID、目标Target、操作Operation或时间属性Timestamp标记为所述证据的事件向量。

在一些实施例中，优选为，所述步骤4之后还包括：将所述原始数据进行加密处理后备份存储，得到第一备份数据，并对第一储存数据和第一备份数据添加索引；将已经构建事件向量的证据与所述原始数据进行一一对应处理后进行存储，得到第二存储数据；则，所述步骤5为：将将所述第一存储数据、第二存储数据和所述第一备份数据建立为证据库。

在一些实施例中，优选为，上述加密处理为添加数字签名。

在一些实施例中，优选为，上述一一对应处理为：将所述证据的ID与所述原始数据的ID进行对应，得到所述证据在所述原始数据中的位置数据；则所述第二存储数据还包括所述位置数据。

在一些实施例中，优选为，所述步骤7包括：

将所述证据图用邻接矩阵表示，确定所有的主机节点；

通过VERA算法推理出嫌疑攻击节点：分别初始化所有主机节点的节点重要度和链接重要度的向量，其中节点重要度是指主机所包含的漏洞重要性，链接重要度是指所有指向主机的链接来源主机的漏洞重要性；根据所述邻接矩阵，经过一步以上的迭代计算，得到收敛的节点重要度和链接重要度的向量；将节点重要度的值按从大到小排列并输出；将链接重要度的值按从小到达排列并输出；

根据所述节点重要度的值和链接重要度的值模拟攻击路线。

在一些实施例中，优选为，VERA算法推理出嫌疑攻击节点的过程包括：

S1：将所述证据图用邻接矩阵表示H，将所有主机节点的集合记为N＝{n₁，n₂，……，n_n}；

S2：将主机节点n_i的节点重要度记为y_i、链接重要度记为z_i；

S3：初始化节点重要度向量y＝{y₁，y₂，……，y_n}和链接重要度z＝{z₁，z₂，……，z_n}，分别使得其平方和为1；

S4：第k步迭代时，主机节点n_i的主机重要度为：

即y＝H^Tz；

S5：新的节点重要度向量y之后，主机节点的链接重要度z_i为：

即z＝Hy；

S6：将所得的向量y和z进行单位化处理，分别使得其平方和为1；

S7：判断向量y和z是否收敛，若不收敛，则重复S4-S6，否则结束；

S8：将节点重要度向量中y的值按从大到小排列并输出；将链接重要度向量中z的值按从小到达排列并输出。

本发明还提供了一种执行上述方法的证据图与漏洞推理相结合的网络取证系统，其特征在于，包括：

收集模块，所述收集模块用于从异构数据源中收集原始数据；

存储模块，所述存储模块用于将所述原始数据进行存储，得到第一存储数据；

规范化模块，所述规范化模块用于采用分类识别算法从所述第一存储数据中分离出证据，以及对所述证据进行标记处理，得到所述证据的事件向量；

构建模块：所述构建模块用于将所述第一存储数据、所述证据和所述事件向量建立为证据库，以及根据所述证据库，按照有效时间序列构建证据图；

推理模块：所述推理模块用于根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。

在一些实施例中，优选为，所述收集模块、规范化模块、构建模块和推理模块均包括显示单元，显示单元用于将处理所得的数据进行可视化显示。

本发明实施例提供的证据图与漏洞推理相结合的网络取证方法，与现有技术相比，将原始数据从异构数据源中收集到以后进行存储，其中，异构数据源保证了数据来源的全面性和完整性。然后，通过分类识别算法分离出证据，并对证据进行标记处理，得到证据的事件向量，其中事件向量与其相应的证据为一对一关系。进而，在后续证据分析处理的过程中，可直接通过证据的事件向量即可。之后，将存储数据、证据和事件向量建立为证据库，并根据证据库，按照有效时间序列构建证据图。得到证据图之后，根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线，因此，可将所得证据形象的体现出来。从而，该方法有效的解决了现阶段取证过程中缺乏完整性、真实性，所得证据不能形象体现的问题。

附图说明

图1为本发明一个实施例中证据图与漏洞推理相结合的网络取证方法的流程图；

图2为本发明一个实施例中证据图与漏洞推理相结合的网络取证系统的结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对现阶段的取证过程中缺乏完整性、真实性，所得证据不能形象体现的问题，本发明提出了一种证据图与漏洞推理相结合的网络取证方法。如图1所示，其具体包括：

步骤1：从异构数据源中收集原始数据，异构数据源包括：网络数据包、IDS系统日志文件、杀毒软件日志文件、IIS服务器日志文件、FTP服务器日志文件或防火墙日志文件等；

步骤2：将原始数据添加时间戳或数字签名后进行存储，得到第一存储数据；

步骤3：采用支持向量机SVM算法从第一存储数据中分离出证据；

步骤4：对证据进行标记处理，得到证据的事件向量，事件向量(EventVector)定义为：EV(Event Vector)＝<ID,Source,Target,Operation,Timestamp>；

步骤5：将第一存储数据、第二存储数据和第一备份数据建立为证据库；

步骤6：根据证据库，按照有效时间序列构建证据图，证据图定义为EG(Evidence Graph)是一个有向图，定义为二元组EG＝<V,E>,其中定点集合V包括事件向量中的所有对象，是一个有穷非空集合，E是边集合，E＝{<S,T,Timestamp|S,T∈V&&Path(S,T)>}是顶点间关系的有穷集合，Path(S,T)表示从顶点S到顶点T的一条单向通路。；

步骤7：根据证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。

在上述步骤1中，通过异构数据源收集原始数据，以此保证网络取证数据源的广泛性，由此可见网络取证数据主要采取网络数据包，再结合诸如日志的其他数据源构成了异构数据源。

为确保原始证据的权威性和不可抵赖性，增加法律效力，一方面是需将收集到的原始证据添加数字签名后存储备份。所以在上述步骤2中，将原始数据添加时间戳或数字签名后进行存储，是为了对原始数据进行加密，保证原始数据不被篡改，所以其他保证原始数据不被篡改的方法仍然在本申请的技术范围内。

上述步骤3中，采用支持向量机SVM算法从第一存储数据中分离出证据，是为了能够有效删除冗余数据，进而便于后继处理生成证据图。

上述步骤4中，是为了将证据统一格式，因为从异构数据源中获得的数据格式会发现网络数据包与应用程序日志文件格式不同，但是可以将其统一成事件向量的格式。则将数据进行标记处理，统一证据的格式。在本实施例中，将事件向量定义为：EV(Event Vector)＝<ID,Source,Target,Operation,Timestamp>，记为Source–>Target，Target称为目标，Source依赖于目标Target，Source表示主体即入侵事件的实施者，Target表示客体即入侵者所针对的目标，Operation是入侵者对目标所做的操作，Timestamp是Operation所具备的时间属性。因而，通过分析证据的ID,Source,Target,Operation,Timestamp，则可了解其事件向量指向的证据的信息。

上述步骤4之后还包括：将原始数据进行加密处理后备份存储，得到第一备份数据，并对第一储存数据和第一备份数据添加索引，加以唯一索引便于证据分析时证据回溯。将已经构建事件向量的证据与原始数据进行一一对应处理后进行存储，得到第二存储数据。其中，一一对应处理为：将证据的ID与原始数据的ID进行对应，得到证据在原始数据中的位置数据；则第二存储数据还包括位置数据。通过一一对应处理后，则可通过得到的位置信息掌握证据的来源以及其在原始数据中的具体位置，同样是方便证据分析过程中证据回溯。

进一步，上述所有步骤中得到的数据都可以是可视的。

上述步骤5中证据图构建算法为：

输入：收集到的所有事件向量集合Set(EV)

输出：证据图EG

证据推理阶段主要是根据上面生成的证据图，结合VERA算法推理出攻击节点，并将攻击场景重现。VERA算法是由HITS算法部分优化而来，HITS算法最先由Jon Kleinberg博士于1997年提出，是一个网页重要性分析的算法，HITS算法的基本思想是在网页中识别出一个子图，该子图的选择依赖于用户的查询，然后对该子图进行链接分析，从中找出权威网页和目录网页。在本发明中，将VERA算法应用在基于证据图的网络取证中。

在证据图的VERA算法中，设定每个网络节点都具有两个重要度：节点重要度(NodeWorth)与链接重要度(LinkWorth)。节点重要度是指该主机所包含的漏洞重要性，链接重要度是指所有指向该主机的链接来源主机的漏洞重要性。某网络节点越重要就会被多个重要连接所连接，重要的链接是因为连接了多个重要节点。因为网络主机中包含比较重大的漏洞，就会致使攻击者更加容易的利用漏洞攻击，因此在VERA算法中便将网络主机中的网络漏洞重要性充分利用进而推算出攻击者以及攻击路线。

VERA算法如下：

输入：证据图EG//与所有主机节点集合N＝{n1，n2，……，nn}

输出：节点重要度向量Y和链接重要度向量Z

Y＝DescendSort(Y)；//降序排列节点重要度向量

Z＝AscendSort(Z)；//升序排列节点链接重要度向量

VERA算法应用在基于证据图的网络取证中的具体应用为：

1、将生成的证据图用邻接矩阵表示记为H，假设有所有主机节点集合N＝{n₁，n₂，……，n_n}，对于任意主机节点n_i均有n_i∈N，记y_i为该主机节点的节点重要度(NodeWorth)，z_i为该主机节点的链接重要度(LinkWorth)，A_i为指向该主机节点的所有主机集合，B_i为被该主机指向的所有主机集合。

2、初始化节点重要度向量y和链接重要度z，使得

$y^0={({\mathrm{Vul}}_1/\sqrt{n},{\mathrm{Vul}}_2/\sqrt{n},\mathrm{...},{\mathrm{Vul}}_n/\sqrt{n})}^T,z^0={(1/\sqrt{n},1/\sqrt{n},\mathrm{...},1/\sqrt{n})}^r,$

$\underset{i=1}{\overset{n}{\&Sigma;}}{y}_i^2=1,\underset{i=1}{\overset{n}{\&Sigma;}}{z}_i^2=1.$

(Vul₁,Vul₂,…,Vul_n)为各个主机节点的漏洞平均分。

3、在第k步迭代时，主机节点ni的主机重要度为由所有指向该主机的所有主机(A_i)链接重要度组成，即

$y_i^k=\underset{i\&SubsetEqual;A_i}{\&Sigma;}{z}_i$

矩阵表达式为：y＝H^TZ；

4、在上一步中得到的新的节点重要度向量y之后，主机节点的链接重要度由它所指向的所有主机节点(Bi)的主机重要度所组成，即

$z_i^k=\underset{i\&SubsetEqual;B_i}{\&Sigma;}{y}_i$

矩阵表达式为：z＝Hy；

5、单位化由第三步和第四步计算得来的向量y，z，使得

$\underset{i=1}{\overset{n}{\&Sigma;}}{y}_i^2=1,\underset{i=1}{\overset{n}{\&Sigma;}}{z}_i^2=1.$

然后，进一步说明VERA算法的原理，记第K步得到的节点重要度向量和链接重点值向量分别为y^k和z^k，其中:

$y^k={(y_1^k,y_2^k,\mathrm{...},y_n^k)}^T,z^k={(z_1^k,z_2^k,\mathrm{...},z_n^k)}^T,$

在此处，VERA算法应用于网络取证时，将y，z的初始向量赋值与网络漏洞相关联，采用网络主机漏洞数据库中漏洞评分计算平均分作为y，z的初始向量。然后根据算法步骤3，4，5计算得出y^k，z^k。

y^k中存放的是所有网络主机的节点重要度，将y^k中的值从小到大排列，既是节点重要度的从小到大排列。正如上文提到的，节点重要度与该节点中存在的漏洞有直接联系，节点(即网络主机)中存在漏洞越多，评分越高，则说明该节点越脆弱，因此该节点也越重要。z^k中存放的是所有网络主机节点的链接重要度，将z^k中的值从小到大排列既是链接重要度的从小到大排列顺序。链接重要度越高表明该节点被多个重要主机相连接，即代表该主机被攻击的可能性越大。根据节点重要度与链接重要度的定义可知：理论上节点重要度最高的主机代表攻击者，连接重要度最高的主机代表受害者，将攻击者与受害者带入证据图，排列之后的y^k，z^k以及弱点关联性理论上即可得出攻击路线，由此重建攻击场景，将其作为证据链提供给相关部门。

针对上述方法，本发明还公开了一种证据图与漏洞推理相结合的网络取证系统，如图2所示，其包括收集模块，收集模块用于从异构数据源中收集原始数据；存储模块，存储模块用于将原始数据进行存储，得到第一存储数据；规范化模块，规范化模块用于采用分类识别算法从第一存储数据中分离出证据，以及对证据进行标记处理，得到证据的事件向量；构建模块：构建模块用于将第一存储数据、证据和事件向量建立为证据库，以及根据证据库，按照有效时间序列构建证据图；推理模块：推理模块用于根据证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。并且，上述各个模块不单单具有上述功能，其中，收集模块可执行权利要求1-7任一项的步骤1；存储模块可执行权利要求1-7任一项的步骤2；规范化模块可执行权利要求1-7任一项的步骤3和步骤4；构建模块可执行权利要求1-7任一项的步骤5和步骤6；推理模块可执行权利要求1-7任一项的步骤7。其中，规范化模块还可将原始数据进行加密处理后备份存储，得到第一备份数据，并对第一储存数据和第一备份数据添加索引；并将已经构建事件向量的证据与原始数据进行一一对应处理后进行存储，得到第二存储数据。

进一步，收集模块、规范化模块、构建模块和推理模块均包括显示单元，显示单元用于将处理所得的数据进行可视化显示。对于该系统的工作原理同上述方法的原理相同，故不再作详细陈述。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种证据图与漏洞推理相结合的网络取证方法，其特征在于，包括：

步骤1：从异构数据源中收集原始数据；

步骤2：将所述原始数据进行存储，得到第一存储数据；

步骤3：采用分类识别算法从所述第一存储数据中分离出证据；

步骤4：对所述证据进行标记处理，得到所述证据的事件向量；

步骤5：将所述第一存储数据、所述证据和所述事件向量建立为证据库；

步骤6：根据所述证据库，按照有效时间序列构建证据图；

步骤7：根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。

2.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤1中的异构数据源包括：网络数据包、IDS系统日志文件、杀毒软件日志文件、IIS服务器日志文件、FTP服务器日志文件或防火墙日志文件；

和/或，

所述步骤2中在进行存储之前还包括：将所述原始数据添加时间戳或数字签名；和/或，

所述步骤3中的分类识别算法为支持向量机SVM算法。

3.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤4包括：

获取所有证据的地址ID、目标Target、操作Operation或时间属性Timestamp；

将地址ID、目标Target、操作Operation或时间属性Timestamp标记为所述证据的事件向量。

4.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤4之后，步骤5之前还包括：

将所述原始数据进行加密处理后备份存储，得到第一备份数据，并对第一储存数据和第一备份数据添加索引；

将已经构建事件向量的证据与所述原始数据进行一一对应处理后进行存储，得到第二存储数据；

则，所述步骤5为：将将所述第一存储数据、第二存储数据和所述第一备份数据建立为证据库。

5.如权利要求6所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述加密处理为添加数字签名；和/或，

所述一一对应处理为：将所述证据的ID与所述原始数据的ID进行对应，得到所述证据在所述原始数据中的位置数据；则所述第二存储数据还包括所述位置数据。

6.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤7包括：

将所述证据图用邻接矩阵表示，确定所有的主机节点；

通过VERA算法推理出嫌疑攻击节点：分别初始化所有主机节点的节点重要度和链接重要度的向量，其中节点重要度是指主机所包含的漏洞重要性，链接重要度是指所有指向主机的链接来源主机的漏洞重要性；根据所述邻接矩阵，经过一步以上的迭代计算，得到收敛的节点重要度和链接重要度的向量；将节点重要度的值按从大到小排列并输出；将链接重要度的值按从小到达排列并输出；

根据所述节点重要度的值和链接重要度的值模拟攻击路线。

7.如权利要求6所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，VERA算法推理出嫌疑攻击节点的过程包括：

S1：将所述证据图用邻接矩阵表示H，将所有主机节点的集合记为N＝{n₁，n₂，……，n_n}；

S2：将主机节点n_i的节点重要度记为y_i、链接重要度记为z_i；

S3：初始化节点重要度向量y⁰＝{y⁰ ₁，y⁰ ₂，……，y⁰ _n}和链接重要度z⁰＝{z⁰ ₁，z⁰ ₂，……，z⁰ _n}，分别使得其平方和为1；

S4：第k步迭代时，主机节点n_i的主机重要度为：

即y＝H^Tz；

S5：新的节点重要度向量y之后，主机节点的链接重要度z_i为：

即z＝Hy；

S6：将所得的向量y和z进行单位化处理，分别使得其平方和为1；

S7：判断向量y和z是否收敛，若不收敛，则重复S4-S6，否则结束；

S8：将节点重要度向量中y的值按从大到小排列并输出；将链接重要度向量中z的值按从小到达排列并输出。

8.一种证据图与漏洞推理相结合的网络取证系统，其特征在于，包括：

收集模块，所述收集模块用于从异构数据源中收集原始数据；

存储模块，所述存储模块用于将所述原始数据进行存储，得到第一存储数据；

规范化模块，所述规范化模块用于采用分类识别算法从所述第一存储数据中分离出证据，以及对所述证据进行标记处理，得到所述证据的事件向量；

构建模块：所述构建模块用于将所述第一存储数据、所述证据和所述事件向量建立为证据库，以及根据所述证据库，按照有效时间序列构建证据图；

推理模块：所述推理模块用于根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。

9.如权利要求8所述的证据图与漏洞推理相结合的网络取证系统，其特征在于，所述收集模块、规范化模块、构建模块和推理模块均包括显示单元，显示单元用于将处理所得的数据进行可视化显示。