本发明专利技术提供了一种电子取证方法,涉及网络信息安全技术领域,方法包括:从需要进行取证的网络设备收集数据包;按照需要进行取证的数据包的类型设置对应过滤规则对收集到的数据包进行过滤,将过滤后剩余的数据包作为需要进行取证的数据包;通过需要进行取证的数据包的数据格式判断该数据包使用的协议类型;采用与需要进行取证的数据包的协议类型对应的方法对数据包进行解析,查找需要进行取证的数据包中涉及攻击行为的信息;保存包含有涉及攻击行为的信息的数据包。在获得数据包后,对该数据包进行协议分析,辨别数据包的类型,再通过模式匹配进行电子取证,从而大大提高了即电子证据获取的效率。
【技术实现步骤摘要】
本专利技术涉及网络信息安全
,具体而言,涉及。
技术介绍
在计算机犯罪是一种与时代同步发展的高科技犯罪。然而,由于计算机犯罪的隐 蔽性和匿名性等特点使得对计算机犯罪的侦查非常困难。依靠法律、利用法律手段对计算 机攻击行为予以制裁,是解决计算机系统安全问题的有效途径。其中关键的问题之一就是 取证技术。 目前的计算机取证过程也存在很多的问题,最为明显的是大多数计算机取证过程 模型都针对于某种特定的环境而制定,注重环境中的细节,缺乏通用性,造成对于新出现的 计算机取证调查环境缺乏灵活性;而且由于针对性比较强,使得计算机取证过程无法形成 统一的标准。也很难将其它领域中的方法(如传统取证中的方法)结合进来。 目前常用的电子数据证据分析技术越来越不适应愈发复杂的取证环境,如何对大 数量级的取证数据进行整理和裁减,从而确立重点调查范围,集中使用取证资源;如何在被 收集信息中分析各个数据证据间的关联,发现潜在的异常行为等都是亟待解决的问题。
技术实现思路
本专利技术的目的在于提供,以使从大数量级的数据中不能进行高 效取证的问题得到改善。 为了实现上述目的,本专利技术实施例采用的技术方案如下: 本专利技术提供了,所述方法包括: 从需要进行取证的网络设备收集数据包; 按照需要进行取证的数据包的类型设置对应过滤规则对收集到的数据包进行过 滤,将过滤后剩余的数据包作为需要进行取证的数据包; 通过所述需要进行取证的数据包的数据格式判断该数据包使用的协议类型; 采用与所述需要进行取证的数据包的协议类型对应的方法对所述数据包进行解 析,查找所述需要进行取证的数据包中涉及攻击行为的信息; 保存包含有涉及攻击行为的信息的数据包。 进一步地,所述按照需要进行取证的数据包的类型设置对应过滤规则对收集到的 数据包进行过滤,包括: 根据所述数据包的数据格式识别所述收集到的数据包的网络层协议类型; 保留收集到的数据包中的IP数据包; 根据所述IP数据包的数据格式识别所述IP数据包的传输层协议类型; 保留收集到的IP数据包中的TCP数据包。 进一步地,所述通过所述需要进行取证的数据包的数据格式判断该数据包使用的 协议类型,包括: 根据所述TCP数据包的网络层协议类型选择与该传输层协议类型对应的字节判断 所述TCP数据包的应用层协议类型。 进一步地,所述查找所述需要进行取证的数据包中涉及攻击行为的信息,包括: 如果所述需要进行取证的数据包的应用层协议类型为HTTP协议,根据该数据包的 第55字节的内容,查找该数据包中请求URL地址;将查找出的请求URL地址与预先保存的攻击特征库中的攻击特征字符串进行模式 匹配,所述请求URL地址为主串,所述攻击特征字符串为模式;如果匹配成功,则判定该请求URL为涉及攻击行为的信息。进一步地,所述查找所述需要进行取证的数据包中涉及攻击行为的信息,包括: 如果所述需要进行取证的数据包的应用层协议类型为SMTP协议或POP3协议,根据 所述数据包形成email数据包;将所述email数据包与预先设置的对应攻击行为的关键字进行模式匹配,所述 email数据包的内容为主串,所述关键字为模式;如果匹配成功,则判定该email数据包包含涉及攻击行为的信息。进一步地,所述查找所述需要进行取证的数据包中涉及攻击行为的信息,包括: 如果所述需要进行取证的数据包的应用层协议类型为telnet协议或ftp协议, 将所述数据包与预先保存于所述电子取证装置的规则特征库中的规则特征字符 串进行模式匹配,所述数据包的内容为主串,所述规则特征字符串为模式; 如果匹配成功,则判定该数据包包含涉及攻击行为的信息。进一步地,所述进行模式匹配包括: 令主串的字符串长度为t,主串的字符表示为T(i),其中1 < i < t,模式的字符串长 度为1,模式的字符表示为P(i),其中1 < i < 1,将模式的字符串划分为长度为η的1/n个组,η 与1/η均为正整数,依次从模式的1/η个组中分别随机选定一个字符形成1/η维行矩阵Q,矩 阵Q的元素表示为Q( j),其中1 < j < 1/η, 令P(1)与Τ(i)对齐,依次将矩阵Q的元素Q( j)与Q( j)在模式字符串中的位置对应 的主串的字符T(k)进行比较; 如果Q(j)与T(k)不匹配,则判断模式的字符串中是否存在与T(k)相同的字符; 如果不存在,将模式的字符串右移k-i + Ι位,即令i = k+l,再执行所述令P(l)与T (i)对齐,将矩阵Q的元素Q (j)与Q (j)在模式字符串中的位置对应的主串的字符T (k)进行比 较,直到主串T(i)开始的字符串长度小于1; 如果存在P(m)使得P(m)=T(k),其中1 1,右移模式的字符串,使得P(m)与T (k) 对齐,即令i = k-m+l,再执行所述令P(l)与T(i)对齐,将矩阵Q的元素Q(j)与Q(j)在模式 字符串中的位置对应的主串的字符T(k)进行比较,直到主串从T(i)开始的字符串长度小于 1 ; 判断矩阵Q的元素与主串中对应位置上的字符是否全部匹配;如果是,按照当前的对齐方式,依次将模式每一个字符与主串中对应位置上的字 符进行匹配;如果出现不匹配的字符,将模式的字符串右移一位,即令i = i + l,再执行所述令P (l) 与T (i)对齐,将矩阵Q的元素Q (j)与Q (j)在模式字符串中的位置对应的主串的字符T (k) 进行比较,直到主串从T(i)开始的字符串长度小于1; 如果全部匹配,则认为匹配成功。进一步地,η为使得I n-l/n I取值为最小值的正整数。进一步地,所述主串的字符串长度t远大所述模式的字符串长度1。 进一步地,首次令P(l)与T(i)对齐时,取i = l。 本专利技术提供的电子取证方法,在获得数据包后,对该数据包进行协议分析,辨别数 据包的类型,再通过模式匹配进行电子取证,从而大大提高了信息(即电子证据)获取的效 率。此外,本专利技术通过利用协议分析,大大减少了模式匹配的计算量,提高了捕获网络数据 证据的效率。为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合 所附附图,作详细说明如下。【附图说明】为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附 图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对 范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这 些附图获得其他相关的附图。通过附图所示,本专利技术的上述及其它目的、特征和优势将更加 清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘 制附图,重点在于示出本专利技术的主旨。图1示出了本专利技术实施例提供的的流程图; 图2示出了本专利技术实施例提供的另的流程图; 图3示出了本专利技术实施例提供的一种查找所述数据包中涉及攻击行为的信息的方 法流程图; 图4示出了本专利技术实施例提供的另一种查找所述数据包中涉及攻击行为的信息的 方法流程图;图5示出了本专利技术实施例提供的再一种查找所述数据包中涉及攻击行为的信息的 方法流程图;图6示出了本专利技术实施例提供的电子取证方法的整体流程示意图;图7示出了本专利技术实施例提供的一种模式匹本文档来自技高网...
【技术保护点】
一种电子取证方法,其特征在于,所述方法包括:从需要进行取证的网络设备收集数据包;按照需要进行取证的数据包的类型设置对应过滤规则对收集到的数据包进行过滤,将过滤后剩余的数据包作为需要进行取证的数据包;通过所述需要进行取证的数据包的数据格式判断该数据包使用的协议类型;采用与所述需要进行取证的数据包的协议类型对应的方法对所述数据包进行解析,查找所述需要进行取证的数据包中涉及攻击行为的信息;保存包含有涉及攻击行为的信息的数据包。
【技术特征摘要】
【专利技术属性】
技术研发人员:顾广宇,张淑娟,蔡翔,易庆,
申请(专利权)人:国家电网公司,国网安徽省电力公司电力科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。