CN112507264A - 一种可溯源自动实现网络电子取证的系统及方法 - Google Patents

一种可溯源自动实现网络电子取证的系统及方法 Download PDF

Info

Publication number
CN112507264A
CN112507264A CN202011251998.4A CN202011251998A CN112507264A CN 112507264 A CN112507264 A CN 112507264A CN 202011251998 A CN202011251998 A CN 202011251998A CN 112507264 A CN112507264 A CN 112507264A
Authority
CN
China
Prior art keywords
evidence
evidence obtaining
terminal system
network
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011251998.4A
Other languages
English (en)
Inventor
邓昌智
魏友平
郑红艳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongke Jinsheng Beijing Technology Co ltd
Original Assignee
Zhongke Jinsheng Beijing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongke Jinsheng Beijing Technology Co ltd filed Critical Zhongke Jinsheng Beijing Technology Co ltd
Priority to CN202011251998.4A priority Critical patent/CN112507264A/zh
Publication of CN112507264A publication Critical patent/CN112507264A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/957Browsing optimisation, e.g. caching or content distillation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/18Legal services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Tourism & Hospitality (AREA)
  • General Physics & Mathematics (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • General Business, Economics & Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Technology Law (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种可溯源自动实现网络电子取证的系统及方法,包括前端子系统、中端子系统和后端子系统;前端子系统用于提供注册和登录验证的功能,同时用于提交取证的网址;中端子系统用于根据提交的用于取证的网址生成订单,并进行订单审核,审核通过后开启取证流程;后端子系统用于执行取证流程,生成并输出鉴定报告;与现有取证技术相比,本发明提出的技术方案中对取证操作步骤做到了可追溯,为司法部门高效的出具定制化且具有法律效力的鉴定报告,及时有效的保护了用户的合法权益。

Description

一种可溯源自动实现网络电子取证的系统及方法
技术领域
本发明涉及无线通信技术领域,具体是一种可溯源自动实现网络电子取证的系统及方法。
背景技术
随着互联网的不断发展普及,人们可以随时随地在互联网上发表文章、发布作品或分享其他资源等,但在互联网越来越便利的同时,由于对互联网管理的不规范等问题,导致随之而来的侵权问题也越来越严重,越来越多的人在未经授权的情况下,将他人的专利、作品著作权或其他资源在互联网中进行传播,从而对资源持有人造成了极大的经济损失。
如何及时准确地获取犯罪证据,确保证据的合法性、客观性与关联性,为依法威慑和打击网络犯罪行为提供有力武器,是网络电子取证研究的主要内容。网络取证属于数字取证的一部分,然而网络取证技术不同于传统的数字取证技术,其主要侧重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据检测、整理、收集、认证、识别、检验、分析以及数据证书等方法来积极的处理和传送数字信号源,这样能够发现原本的数据信息及内容,同时能够预测那些疑似破坏和干扰的未经许可的操作,找到那些影响系统的因素,还能提供帮助恢复系统响应的信息和方法。
网络取证所必须经历的三个过程即:数据收集、数据处理、证据推理并呈现。在数据收集阶段,必须保证收集到的数据均为真实发生的数据,并且为了保证证据的全面有效性,必须尽可能全面的将数据流中的数据截取捕获保存。
但是,现有的网络取证技术存在以下一些问题:首先,在网络取证的数据收集阶段,数据源单一,仅对网络数据流进行捕获或监听,致使证据缺乏完整性。其次,在网络取证的数据预处理阶段,大致分为两种处理方法,一种是沿用入侵检测中所采用的数据挖掘相关算法或者某些分类算法对数据流进行挖掘分类,进而呈现攻击证据,该方法的不足之处在于将入侵检测中的漏报误报现象带入到网络取证中,从而导致网络取证获得的证据缺乏真实性;另一种是直接对捕获的网络数据包直接进行证据图构建,基于构建的证据图进行证据推理从而获取证据,该方法的不足之处在于对刚捕获的数据包进行证据图构建,数据量巨大,构建算法低效从而导致浪费了最佳取证时间。最后,实用性不强,庞大而复杂的网络数据为取证分析带来了巨大的挑战,取证分析不合理,直接在所获取的数据上进行分析,可能导致证据的改变。
发明内容
有鉴于此,本发明的目的是提供一种可溯源自动实现网络电子取证的系统及方法,能够解决背景技术中的问题。
本发明的一种可溯源自动实现网络电子取证的系统,包括前端子系统、中端子系统和后端子系统;
前端子系统用于提供注册和登录验证的功能,同时用于提交取证的网址;
中端子系统用于根据提交的用于取证的网址生成订单,并进行订单审核,审核通过后开启取证流程;
后端子系统用于执行取证流程,生成并输出鉴定报告。
进一步地,所述后端子系统中包括用于监控取证过程的监控服务器和用于执行取证流程的取证机器,监控服务器与取证机器数据通讯连接。
本发明还提供一种可溯源自动实现网络电子取证的方法,包括步骤:
S101,在前端子系统中提交一个或者多个用于取证的网址;
S102,中端子系统根据提交的网址生成对应数量的订单,并进行订单审核,审核通过后执行取证流程;
S103,后端子系统开始执行取证流程并生成鉴定报告,具体流程包括:
S10301,对监控服务器状态和浏览器进行验证,如果监控服务器和浏览器正常则在初始化后执行下一步;
S10302,将网址提交至取证机器的浏览器中,由监控服务器进行全局抓包,从而对网络取证过程中交互传输数据进行实时监控;
S10303,监控服务器对取证机器的浏览器进行录屏监控并保存;
S10304,取证机器对网页页面进行截图、下载页面的源代码和提取文本,同时结束全局抓包并保存;
S10305,对取证过程中的数据及结果进行打包加密,并压缩保存。
进一步地,所述步骤S10303中录屏过程需要所述监控服务器对网页执行从上到下,再从下到上的自动翻阅,并记录翻阅时的时间,保证翻阅过程中时间不中断。
进一步地,所述步骤S10305中,对取证过程中的数据的加密算法为SHA256。
进一步地,所述步骤S10303中,所述监控服务器对取证机器的网络IP和网络寻址的地址进行监控和记录,并打包保存至取证过程中的数据和结果中。
进一步地,所述步骤S10304中,取证机器对网页页面进行截图、下载页面的源代码和提取文本的同时,生成日志文件,用于记录取证过程的步骤流程数据日志。
本发明的有益效果是:本发明的一种可溯源自动实现网络电子取证的系统及方法,与现有取证技术相比,本发明提出的技术方案中对取证操作步骤做到了可追溯、为司法部门高效的出具定制化且具有法律效力的鉴定报告,及时有效的保护了用户的合法权益。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本发明的流程示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示:本实施例的一种可溯源自动实现网络电子取证的系统及方法,包括前端子系统、中端子系统和后端子系统;
前端子系统用于提供注册和登录验证的功能,同时用于提交取证的网址,实际使用时,前端子系统为验证服务器,使用验证服务器提供注册、验证登录和网址提交的功能;
中端子系统用于根据提交的用于取证的网址生成订单,并进行订单审核,审核通过后开启取证流程,同时具有取证订单管理、鉴定报告管理、财务管理、系统管理等功能;
后端子系统用于执行取证流程,生成并输出鉴定报告,后端子系统中包括用于监控取证过程的监控服务器和用于执行取证流程的取证机器,监控服务器与取证机器数据通讯连接。
本发明还提供一种可溯源自动实现网络电子取证的方法,具体过程包括步骤:
S101,委托人在前端子系统中提交一个或者多个用于取证的网址;
S102,中端子系统根据提交的网址生成对应数量的订单,并进行订单审核,审核通过后执行取证流程,取证流程参照《法庭科学网站数据获取技术规范》GA/T1478-2018文件执行;
S103,后端子系统开始执行取证流程并生成鉴定报告,具体流程包括:
S10301,对监控服务器状态和浏览器进行验证,
(1)利用第三方的判断工具先对监控服务器进行判断状态是否正常,同时会把监控结果等信息写入文件log.txt中进行记录,如:“2020-05-1316:31:46服务器进程监控正常,无异常进程”;
(2)后端子系统初始化:监控系统的版本:如时间点和系统信息;
如:“2020-05-1316:31:46系统初始化正常”;
(3)浏览器监控:监控当前进行取证的浏览器信息和浏览器是否正常情况的反馈;
如:“2020-05-1316:31:46浏览器正常”;
如果监控服务器和浏览器均正常则在初始化后执行下一步;
S10302,将网址提交至取证机器的浏览器中,由监控服务器进行全局抓包,从而对网络取证过程中交互传输数据进行实时监控,同时生成抓包文件路径为/process/network.cap;
S10303,监控服务器对取证机器的浏览器进行录屏监控并保存,同时记录网络IP:具体为:
(1)记录取证机器ip信息和网络环境信息。
(2)网络寻址:记录取证网址信息,针对取证网址例如:
https://hao.XXX.com/?src=lm&ls=n071a76f595的:
traceroute to hao.XXX.com(36.110.236.68),30hops max,60bytepackets
(3)域名查询:记录取证域名信息等。
例如:Domain Name:XXX.COM
Registry Domain ID:21707349_DOMAIN_COM-VRSN;
(4)视频监控:可以生成高清mkv格式的视频1280x1024分辨率。通过视频就对取证网址进行录制,视频内容包括当前时间查询,取证网页翻阅上下翻阅;
(5)时钟查询:录制视频时使用。通过时间校准网,启动时钟查询(http://time.YYY.com,https://time.is/zh/);
(6)网页翻阅:录制视频时使用,针对取证的目标网址,进行自动翻阅,从上到下,再从下到上翻阅;
(7)视频监控保存:通过查询时间、翻阅取证网址的过程,生成视频保存,完成录制过程。
S10304,取证机器对网页页面进行截图、下载页面的源代码和提取文本,同时结束全局抓包并保存,具体过程为:
(1)浏览上述页面并截图:开启截屏操作,针对取证网址,生成/result/screenshot.png取证图片,供前端用户展示等,并生成日志文件;
(2)下载页面源代码:生成取证网址的/process/page_source.html文件,记录当前取证网址里面的网页脚本内容信息,并生成日志文件;
(3)提取文本:生成取证网址的/process/page_text.txt文件,记录当前取证网址中的网页文字信息,并生成日志文件。
S10305,对取证过程中的数据及结果进行固定,并打包加密,固定的标准参照《数字化设备证据发现提取固定方法》GA/T756-2008文件进行执行,取证结果数据和过程数据分别计算SHA256:将上述所有取证结果数据和过程数据分别计算SHA256,生成64位码,并将取证过程中生成的文件生成zip文件保存,保存的结果根据文件《电子数据司法鉴定通用实施规范》SF/ZJD0100000-2014生成鉴定报告,鉴定报告可以直接输出进行参考使用。
本发明的一种可溯源自动实现网络电子取证的系统及方法,与现有取证技术相比,本发明提出的技术方案中对取证操作步骤做到了可追溯、为司法部门高效的出具定制化且具有法律效力的鉴定报告,及时有效的保护了用户的合法权益。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种可溯源自动实现网络电子取证的系统,其特征在于:包括前端子系统、中端子系统和后端子系统;
前端子系统用于提供注册和登录验证的功能,同时用于提交取证的网址;
中端子系统用于根据提交的用于取证的网址生成订单,并进行订单审核,审核通过后开启取证流程;
后端子系统用于执行取证流程,生成并输出鉴定报告。
2.根据权利要求1所述的一种可溯源自动实现网络电子取证的系统,其特征在于:所述后端子系统中包括用于监控取证过程的监控服务器和用于执行取证流程的取证机器,监控服务器与取证机器数据通讯连接。
3.一种可溯源自动实现网络电子取证的方法,其特征在于:包括步骤:
S101,在前端子系统中提交一个或者多个用于取证的网址;
S102,中端子系统根据提交的网址生成对应数量的订单,并进行订单审核,审核通过后执行取证流程;
S103,后端子系统开始执行取证流程并生成鉴定报告,具体流程包括:
S10301,对监控服务器状态和浏览器进行验证,如果监控服务器和浏览器正常则在初始化后执行下一步;
S10302,将网址提交至取证机器的浏览器中,由监控服务器进行全局抓包,从而对网络取证过程中交互传输数据进行实时监控;
S10303,监控服务器对取证机器的浏览器进行录屏监控并保存;
S10304,取证机器对网页页面进行截图、下载页面的源代码和提取文本,同时结束全局抓包并保存;
S10305,对取证过程中的数据及结果进行打包加密,并压缩保存。
4.根据权利要求3所述的一种可溯源自动实现网络电子取证的方法,其特征在于:所述步骤S10303中录屏过程需要所述监控服务器对网页执行从上到下,再从下到上的自动翻阅,并记录翻阅时的时间,保证翻阅过程中时间不中断。
5.根据权利要求3所述的一种可溯源自动实现网络电子取证的方法,其特征在于:所述步骤S10305中,对取证过程中的数据的加密算法为SHA256。
6.根据权利要求3所述的一种可溯源自动实现网络电子取证的方法,其特征在于:所述步骤S10303中,所述监控服务器对取证机器的网络IP和网络寻址的地址进行监控和记录,并打包保存至取证过程中的数据和结果中。
7.根据权利要求3所述的一种可溯源自动实现网络电子取证的系统及方法,其特征在于:所述步骤S10304中,取证机器对网页页面进行截图、下载页面的源代码和提取文本的同时,生成日志文件,用于记录取证过程的步骤流程数据日志。
CN202011251998.4A 2020-11-11 2020-11-11 一种可溯源自动实现网络电子取证的系统及方法 Pending CN112507264A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011251998.4A CN112507264A (zh) 2020-11-11 2020-11-11 一种可溯源自动实现网络电子取证的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011251998.4A CN112507264A (zh) 2020-11-11 2020-11-11 一种可溯源自动实现网络电子取证的系统及方法

Publications (1)

Publication Number Publication Date
CN112507264A true CN112507264A (zh) 2021-03-16

Family

ID=74957840

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011251998.4A Pending CN112507264A (zh) 2020-11-11 2020-11-11 一种可溯源自动实现网络电子取证的系统及方法

Country Status (1)

Country Link
CN (1) CN112507264A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113360824A (zh) * 2021-06-30 2021-09-07 四川效率源信息安全技术股份有限公司 一种基于Chrome浏览器调试协议的网页取证及数据提取的方法
CN113569120A (zh) * 2021-08-04 2021-10-29 成都安恒信息技术有限公司 一种通过原始数据来实现网页不可抵赖性的系统和方法
CN114257408A (zh) * 2021-11-18 2022-03-29 珠海金智维信息科技有限公司 网络空间数据获取方法、系统及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070090460A (ko) * 2006-03-03 2007-09-06 최용락 컴퓨터·네트워크 통합 포렌식스 시스템
CN107666460A (zh) * 2016-07-27 2018-02-06 真相网络科技(北京)有限公司 基于移动互联网的远程智能取证系统及方法
CN107682734A (zh) * 2017-10-20 2018-02-09 国信嘉宁数据技术有限公司 一种电子证据的取证方法及相关装置和可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070090460A (ko) * 2006-03-03 2007-09-06 최용락 컴퓨터·네트워크 통합 포렌식스 시스템
CN107666460A (zh) * 2016-07-27 2018-02-06 真相网络科技(北京)有限公司 基于移动互联网的远程智能取证系统及方法
CN107682734A (zh) * 2017-10-20 2018-02-09 国信嘉宁数据技术有限公司 一种电子证据的取证方法及相关装置和可读存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113360824A (zh) * 2021-06-30 2021-09-07 四川效率源信息安全技术股份有限公司 一种基于Chrome浏览器调试协议的网页取证及数据提取的方法
CN113569120A (zh) * 2021-08-04 2021-10-29 成都安恒信息技术有限公司 一种通过原始数据来实现网页不可抵赖性的系统和方法
CN114257408A (zh) * 2021-11-18 2022-03-29 珠海金智维信息科技有限公司 网络空间数据获取方法、系统及介质

Similar Documents

Publication Publication Date Title
CN107729352B (zh) 页面资源加载方法及终端设备
CN112507264A (zh) 一种可溯源自动实现网络电子取证的系统及方法
US9300682B2 (en) Composite analysis of executable content across enterprise network
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
CN109194671B (zh) 一种异常访问行为的识别方法及服务器
US8544100B2 (en) Detecting secure or encrypted tunneling in a computer network
CN103888490A (zh) 一种全自动的web客户端人机识别的方法
WO2015139507A1 (zh) 一种检测下载文件安全性的方法及装置
CN108337269B (zh) 一种WebShell检测方法
CN112822147B (zh) 一种用于分析攻击链的方法、系统及设备
CN101639880A (zh) 一种文件检测方法和装置
CN110782374A (zh) 基于区块链的电子取证方法及系统
CN108040045B (zh) 访问流量文件的生成方法、装置、服务器及存储介质
CN113014549B (zh) 基于http的恶意流量分类方法及相关设备
CN110138731B (zh) 一种基于大数据的网络防攻击方法
CN112565226A (zh) 请求处理方法、装置、设备及系统和用户画像生成方法
WO2020016906A1 (en) Method and system for intrusion detection in an enterprise
CN112131571B (zh) 威胁溯源方法及相关设备
CN111625837A (zh) 识别系统漏洞的方法、装置和服务器
CN114157568B (zh) 一种浏览器安全访问方法、装置、设备及存储介质
WO2011110847A1 (en) Data capture tool and method
CN107454080A (zh) 一种基于互联网数据保全方法及系统
CN111459577B (zh) 应用安装来源跟踪方法、装置、设备及存储介质
CN113392297A (zh) 一种爬取数据的方法、系统及设备
KR101436114B1 (ko) 디지털 컨텐츠의 다운로드 감지 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination