一種電子取證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,具體而言���,涉及一種電子取證方法�����。
【背景技術(shù)】
[0002] 在計(jì)算機(jī)犯罪是一種與時(shí)代同步發(fā)展的高科技犯罪。然而,由于計(jì)算機(jī)犯罪的隱 蔽性和匿名性等特點(diǎn)使得對(duì)計(jì)算機(jī)犯罪的偵查非常困難����。依靠法律��、利用法律手段對(duì)計(jì)算 機(jī)攻擊行為予以制裁�����,是解決計(jì)算機(jī)系統(tǒng)安全問題的有效途徑��。其中關(guān)鍵的問題之一就是 取證技術(shù)����。
[0003] 目前的計(jì)算機(jī)取證過程也存在很多的問題,最為明顯的是大多數(shù)計(jì)算機(jī)取證過程 模型都針對(duì)于某種特定的環(huán)境而制定��,注重環(huán)境中的細(xì)節(jié)����,缺乏通用性,造成對(duì)于新出現(xiàn)的 計(jì)算機(jī)取證調(diào)查環(huán)境缺乏靈活性;而且由于針對(duì)性比較強(qiáng)�����,使得計(jì)算機(jī)取證過程無法形成 統(tǒng)一的標(biāo)準(zhǔn)。也很難將其它領(lǐng)域中的方法(如傳統(tǒng)取證中的方法)結(jié)合進(jìn)來。
[0004] 目前常用的電子數(shù)據(jù)證據(jù)分析技術(shù)越來越不適應(yīng)愈發(fā)復(fù)雜的取證環(huán)境,如何對(duì)大 數(shù)量級(jí)的取證數(shù)據(jù)進(jìn)行整理和裁減�����,從而確立重點(diǎn)調(diào)查范圍��,集中使用取證資源;如何在被 收集信息中分析各個(gè)數(shù)據(jù)證據(jù)間的關(guān)聯(lián)����,發(fā)現(xiàn)潛在的異常行為等都是亟待解決的問題�。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的在于提供一種電子取證方法,以使從大數(shù)量級(jí)的數(shù)據(jù)中不能進(jìn)行高 效取證的問題得到改善。
[0006] 為了實(shí)現(xiàn)上述目的�,本發(fā)明實(shí)施例采用的技術(shù)方案如下:
[0007] 本發(fā)明提供了一種電子取證方法�,所述方法包括:
[0008] 從需要進(jìn)行取證的網(wǎng)絡(luò)設(shè)備收集數(shù)據(jù)包;
[0009] 按照需要進(jìn)行取證的數(shù)據(jù)包的類型設(shè)置對(duì)應(yīng)過濾規(guī)則對(duì)收集到的數(shù)據(jù)包進(jìn)行過 濾���,將過濾后剩余的數(shù)據(jù)包作為需要進(jìn)行取證的數(shù)據(jù)包���;
[0010] 通過所述需要進(jìn)行取證的數(shù)據(jù)包的數(shù)據(jù)格式判斷該數(shù)據(jù)包使用的協(xié)議類型�����;
[0011] 采用與所述需要進(jìn)行取證的數(shù)據(jù)包的協(xié)議類型對(duì)應(yīng)的方法對(duì)所述數(shù)據(jù)包進(jìn)行解 析����,查找所述需要進(jìn)行取證的數(shù)據(jù)包中涉及攻擊行為的信息����;
[0012] 保存包含有涉及攻擊行為的信息的數(shù)據(jù)包����。
[0013] 進(jìn)一步地,所述按照需要進(jìn)行取證的數(shù)據(jù)包的類型設(shè)置對(duì)應(yīng)過濾規(guī)則對(duì)收集到的 數(shù)據(jù)包進(jìn)行過濾,包括:
[0014] 根據(jù)所述數(shù)據(jù)包的數(shù)據(jù)格式識(shí)別所述收集到的數(shù)據(jù)包的網(wǎng)絡(luò)層協(xié)議類型;
[0015] 保留收集到的數(shù)據(jù)包中的IP數(shù)據(jù)包;
[0016] 根據(jù)所述IP數(shù)據(jù)包的數(shù)據(jù)格式識(shí)別所述IP數(shù)據(jù)包的傳輸層協(xié)議類型�;
[0017] 保留收集到的IP數(shù)據(jù)包中的TCP數(shù)據(jù)包�。
[0018] 進(jìn)一步地��,所述通過所述需要進(jìn)行取證的數(shù)據(jù)包的數(shù)據(jù)格式判斷該數(shù)據(jù)包使用的 協(xié)議類型���,包括:
[0019] 根據(jù)所述TCP數(shù)據(jù)包的網(wǎng)絡(luò)層協(xié)議類型選擇與該傳輸層協(xié)議類型對(duì)應(yīng)的字節(jié)判斷 所述TCP數(shù)據(jù)包的應(yīng)用層協(xié)議類型�。
[0020] 進(jìn)一步地�,所述查找所述需要進(jìn)行取證的數(shù)據(jù)包中涉及攻擊行為的信息,包括:
[0021] 如果所述需要進(jìn)行取證的數(shù)據(jù)包的應(yīng)用層協(xié)議類型為HTTP協(xié)議����,根據(jù)該數(shù)據(jù)包的 第55字節(jié)的內(nèi)容,查找該數(shù)據(jù)包中請求URL地址�����;
[0022 ]將查找出的請求URL地址與預(yù)先保存的攻擊特征庫中的攻擊特征字符串進(jìn)行模式 匹配��,所述請求URL地址為主串,所述攻擊特征字符串為模式��;
[0023]如果匹配成功,則判定該請求URL為涉及攻擊行為的信息�。
[0024]進(jìn)一步地,所述查找所述需要進(jìn)行取證的數(shù)據(jù)包中涉及攻擊行為的信息�����,包括: [0025]如果所述需要進(jìn)行取證的數(shù)據(jù)包的應(yīng)用層協(xié)議類型為SMTP協(xié)議或POP3協(xié)議����,根據(jù) 所述數(shù)據(jù)包形成email數(shù)據(jù)包�����;
[0026]將所述email數(shù)據(jù)包與預(yù)先設(shè)置的對(duì)應(yīng)攻擊行為的關(guān)鍵字進(jìn)行模式匹配�����,所述 email數(shù)據(jù)包的內(nèi)容為主串,所述關(guān)鍵字為模式;
[0027]如果匹配成功���,則判定該email數(shù)據(jù)包包含涉及攻擊行為的信息���。
[0028]進(jìn)一步地,所述查找所述需要進(jìn)行取證的數(shù)據(jù)包中涉及攻擊行為的信息��,包括: [0029]如果所述需要進(jìn)行取證的數(shù)據(jù)包的應(yīng)用層協(xié)議類型為telnet協(xié)議或ftp協(xié)議,
[0030] 將所述數(shù)據(jù)包與預(yù)先保存于所述電子取證裝置的規(guī)則特征庫中的規(guī)則特征字符 串進(jìn)行模式匹配����,所述數(shù)據(jù)包的內(nèi)容為主串,所述規(guī)則特征字符串為模式;
[0031] 如果匹配成功���,則判定該數(shù)據(jù)包包含涉及攻擊行為的信息�����。
[0032]進(jìn)一步地����,所述進(jìn)行模式匹配包括:
[0033] 令主串的字符串長度為t�,主串的字符表示為T(i)�����,其中1 < i < t��,模式的字符串長 度為1,模式的字符表示為P(i)���,其中1 < i < 1�,將模式的字符串劃分為長度為η的1/n個(gè)組�����,η 與1/η均為正整數(shù),依次從模式的1/η個(gè)組中分別隨機(jī)選定一個(gè)字符形成1/η維行矩陣Q�����,矩 陣Q的元素表示為Q( j)�����,其中1 < j < 1/η,
[0034] 令P(1)與Τ(i)對(duì)齊,依次將矩陣Q的元素Q( j)與Q( j)在模式字符串中的位置對(duì)應(yīng) 的主串的字符T(k)進(jìn)行比較��;
[0035] 如果Q(j)與T(k)不匹配,則判斷模式的字符串中是否存在與T(k)相同的字符; [0036]如果不存在�,將模式的字符串右移k-i + Ι位��,即令i = k+l��,再執(zhí)行所述令P(l)與T (i)對(duì)齊�����,將矩陣Q的元素Q (j)與Q (j)在模式字符串中的位置對(duì)應(yīng)的主串的字符T (k)進(jìn)行比 較�,直到主串T(i)開始的字符串長度小于1;
[0037] 如果存在P(m)使得P(m)=T(k)����,其中1 1�����,右移模式的字符串����,使得P(m)與T (k) 對(duì)齊���,即令i = k-m+l,再執(zhí)行所述令P(l)與T(i)對(duì)齊�,將矩陣Q的元素Q(j)與Q(j)在模式 字符串中的位置對(duì)應(yīng)的主串的字符T(k)進(jìn)行比較���,直到主串從T(i)開始的字符串長度小于 1 ����;
[0038] 判斷矩陣Q的元素與主串中對(duì)應(yīng)位置上的字符是否全部匹配����;
[0039]如果是�����,按照當(dāng)前的對(duì)齊方式�,依次將模式每一個(gè)字符與主串中對(duì)應(yīng)位置上的字 符進(jìn)行匹配����;
[0040]如果出現(xiàn)不匹配的字符,將模式的字符串右移一位�,即令i = i + l,再執(zhí)行所述令P (l) 與T (i)對(duì)齊�,將矩陣Q的元素Q (j)與Q (j)在模式字符串中的位置對(duì)應(yīng)的主串的字符T (k) 進(jìn)行比較�����,直到主串從T(i)開始的字符串長度小于1;
[0041] 如果全部匹配,則認(rèn)為匹配成功���。
[0042]進(jìn)一步地�����,η為使得I n-l/n I取值為最小值的正整數(shù)。
[0043]進(jìn)一步地�,所述主串的字符串長度t遠(yuǎn)大所述模式的字符串長度1。
[0044] 進(jìn)一步地�����,首次令P(l)與T(i)對(duì)齊時(shí)��,取i = l�。
[0045] 本發(fā)明提供的電子取證方法��,在獲得數(shù)據(jù)包后�����,對(duì)該數(shù)據(jù)包進(jìn)行協(xié)議分析,辨別數(shù) 據(jù)包的類型����,再通過模式匹配進(jìn)行電子取證���,從而大大提高了信息(即電子證據(jù))獲取的效 率����。此外�����,本發(fā)明通過利用協(xié)議分析����,大大減少了模式匹配的計(jì)算量�,提高了捕獲網(wǎng)絡(luò)數(shù)據(jù) 證據(jù)的效率。
[0046]為使本發(fā)明的上述目的����、特征和優(yōu)點(diǎn)能更明顯易懂,下文特舉較佳實(shí)施例,并配合 所附附圖,作詳細(xì)說明如下�����。
【附圖說明】
[0047]為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案����,下面將對(duì)實(shí)施例中所需要使用的附 圖作簡單地介紹���,應(yīng)當(dāng)理解�����,以下附圖僅示出了本發(fā)明的某些實(shí)施例,因此不應(yīng)被看作是對(duì) 范圍的限定��,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這 些附圖獲得其他相關(guān)的附圖�����。通過附圖所示����,本發(fā)明的上述及其它目的、特征和優(yōu)勢將更加 清晰���。在全部附圖中相同的附圖標(biāo)記指示相同的部分���。并未刻意按實(shí)際尺寸等比例縮放繪 制附圖,重點(diǎn)在于示出本發(fā)明的主旨�����。
[0048]圖1示出了本發(fā)明實(shí)施例提供的一種電子取證方法的流程圖�;
[0049] 圖2示出了本發(fā)明實(shí)施例提供的另一種電子取證方法的流程圖�����;
[0050] 圖3示出了本發(fā)明實(shí)施例提供的一種查找所述數(shù)據(jù)包中涉及攻擊行為的信息的方 法流程圖;
[0051] 圖4示出了本發(fā)明實(shí)施例提供的另一種查找所述數(shù)據(jù)包中涉及攻擊行為的信息的 方法流程圖�����;
[0052]圖5示出了本發(fā)明實(shí)施例提供的再一種查找所述數(shù)據(jù)包中涉及攻擊行為的信息的 方法流程圖���;
[0053]圖6示出了本發(fā)明實(shí)施例提供的電子取證方法的整體流程示意圖�;
[0054]圖7示出了本發(fā)明實(shí)施例提供的一種模式匹配的方法流程圖�����。
【具體實(shí)施方式】
[0055]下面將結(jié)合本發(fā)明實(shí)施例中附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整 地描述�,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例。通常在 此處附圖中描述和示出的本發(fā)明實(shí)施例的組件可以以各種不同的配置來布置和設(shè)計(jì)�。因 此���,以下對(duì)在附圖中提供的本發(fā)明的實(shí)施例的詳細(xì)描述并非旨在限制要求保護(hù)的本發(fā)明的 范圍��,而是僅僅表示本發(fā)明的選定實(shí)施例�����?����;诒景l(fā)明的實(shí)施例,本領(lǐng)域技術(shù)人員在沒有做 出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍��。
[0056]參閱圖1�,本發(fā)明實(shí)施提供的一種電子取證方法���,所述方法包括:
[0057]步驟S101����,從需要進(jìn)行取證的網(wǎng)絡(luò)設(shè)備收集數(shù)據(jù)包����;
[0058]步驟S102,按照需要進(jìn)行取證的數(shù)據(jù)包的類型設(shè)置對(duì)應(yīng)過濾規(guī)則對(duì)收集到的數(shù)據(jù) 包進(jìn)行過濾��,將過濾后剩余的數(shù)據(jù)包作為需要進(jìn)行取證的數(shù)據(jù)包���;
[0059]步驟S103,通過所述需要進(jìn)行取證的數(shù)據(jù)包的數(shù)據(jù)格式判斷該數(shù)據(jù)包使用的協(xié)議 類型�����;
[0060]步驟S104,采用與所述需要進(jìn)行取證的數(shù)據(jù)包的協(xié)議類型對(duì)應(yīng)的方法對(duì)所述數(shù)據(jù) 包進(jìn)行解析���,查找所述需要進(jìn)行取證的數(shù)據(jù)包中涉及攻擊行為的信息����;
[0061 ]步驟S105,保存包含有涉及攻擊行為的信息的數(shù)據(jù)包。
[0062] 進(jìn)行計(jì)算機(jī)犯罪是���,其攻擊行為都是通過網(wǎng)絡(luò)進(jìn)行的,因此在開始進(jìn)行電子取證 時(shí),首先要從網(wǎng)絡(luò)設(shè)備收集數(shù)據(jù)包。
[0063] 以目前常見的計(jì)算機(jī)使用的是windows操作系統(tǒng)為例,從網(wǎng)絡(luò)設(shè)備處收集數(shù)據(jù)包 時(shí),首先打開網(wǎng)卡并將其設(shè)置為混雜模式��,當(dāng)網(wǎng)卡(即網(wǎng)絡(luò)適配器)設(shè)置為混雜模式 Promiscuous(即監(jiān)聽模式)時(shí)���,由于采用以太網(wǎng)廣播信道采用的方式��,使得監(jiān)聽系統(tǒng)與正常 通信的網(wǎng)絡(luò)能夠并聯(lián)連接�����,從而可以準(zhǔn)確捕捉到任何一個(gè)在同一個(gè)沖突域上傳輸?shù)?