证据图与漏洞推理相结合的网络取证方法及系统技术方案

本发明专利技术涉及数字取证领域，具体而言，涉及证据图与漏洞推理相结合的网络取证方法及系统。该方法包括：从异构数据源中收集原始数据；将所述原始数据进行存储，得到第一存储数据；采用分类识别算法从所述第一存储数据中分离出证据；对所述证据进行标记处理，得到所述证据的事件向量；将所述第一存储数据、所述证据和所述事件向量建立为证据库；根据所述证据库，按照有效时间序列构建证据图；根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。异构数据源保证了数据来源的全面性和完整性，VERA可将所得证据形象的体现出来。该方法解决了现阶段取证过程中缺乏完整性、真实性，所得证据不能形象体现的问题。

【技术实现步骤摘要】

本专利技术涉及数字取证领域，具体而言，涉及证据图与漏洞推理相结合的网络取证方法及系统。
技术介绍
计算机犯罪案件的频繁发生促使取证的出现与发展。在科学和技术研究最具影响力的国家之一的美国，早在1969年就已经有计算机证据出现在法庭上，随后计算机取证研究一直在不断的发展着。如何及时准确地获取犯罪证据，确保证据的合法性、客观性与关联性，为依法威慑和打击计算机网络犯罪行为提供有力武器，是数字取证研究的主要内容。数字取证发展遭遇网络取证，网络取证属于数字取证的一部分，然而网络取证技术不同于传统的数字取证技术，其主要侧重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据检测、整理、收集、认证、识别、检验、分析以及数据证书等方法来积极的处理和传送数字信号源,这样能够发现原本的数据信息及内容,同时能够预测那些疑似破坏和干扰的未经许可的操作,找到那些影响系统的因素,还能提供帮助恢复系统响应的信息和方法。网络取证所必须经历的三个过程即：数据收集、数据处理、证据推理并呈现。在数据收集阶段，必须保证收集到的数据均为真实发生的海清，并且为了保证证据的全面有效性，必须尽可能全面的将数据流中的数据截取捕获保存。Palmer在数字取证研究中提出的使用攻击图重建攻击者攻击路线为数字取证提供证据。Rasmi等人就曾在网络入侵检测中提出利用攻击图辨别攻击者的攻
击意图，为网络入侵检测提供帮助。Liu等提出证据关联性提出重建攻击场景的思路，那么攻击场景便可以作为证据。Wang等人开发了一种新型的基于证据图的网络取证分析方法,并提出一种基于证据图的分层推理框架用于识别重要的实体结构图和提取相关参与者的攻击场景。田志宏等人提出了一种基于证据推理网络的实时网络入侵取证方法NetForensic，将弱点关联性的概念引入网络入侵取证领域。但是，现有的网络取证技术存在以下一些问题：首先，在网络取证的数据收集阶段，采用数据源单一，仅对网络数据流进行捕获或监听，致使证据缺乏完整性。其次，在网络取证的数据预处理阶段，大致分为两种处理方法，一种是沿用入侵检测中所采用的数据挖掘相关算法或者某些分类算法对数据流进行挖掘分类，进而呈现攻击证据，该方法的不足之处在于将入侵检测中的漏报误报现象带入到网络取证中，从而导致网络取证获得的证据缺乏真实性；另一种是直接对捕获的网络数据包直接进行证据图构建，基于构建的证据图进行证据推理从而获取证据，该方法的不足之处在于对刚捕获的数据包进行证据图构建，数据量巨大，构建算法低效从而导致浪费了最佳取证时间。最后，实用性不强，庞大而复杂的网络数据为取证分析带来了巨大的挑战，取证分析不合理，直接在所获取的数据上进行分析，可能导致证据的改变。
技术实现思路
本专利技术的目的在于提供一种证据图与漏洞推理相结合的网络取证方法及系统，以解决现阶段取证过程中缺乏完整性、真实性，所得证据不能形象体现的问题。本专利技术提供了一种证据图与漏洞推理相结合的网络取证方法，其包括：步骤1：从异构数据源中收集原始数据；步骤2：将所述原始数据进行存储，得到第一存储数据；步骤3：采用分类识别算法从所述第一存储数据中分离出证据；步骤4：对所述证据进行标记处理，得到所述证据的事件向量；步骤5：将所述第一存储数据、所述证据和所述事件向量建立为证据库；步骤6：根据所述证据库，按照有效时间序列构建证据图；步骤7：根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。在一些实施例中，优选为，所述步骤1中的异构数据源包括：网络数据包、IDS系统日志文件、杀毒软件日志文件、IIS服务器日志文件、FTP服务器日志文件或防火墙日志文件。在一些实施例中，优选为，所述步骤2中在进行存储之前还包括：将所述原始数据添加时间戳或数字签名。在一些实施例中，优选为，所述步骤3中的分类识别算法为支持向量机SVM算法。在一些实施例中，优选为，所述步骤4为：获取所有证据的地址ID、目标Target、操作Operation或时间属性Timestamp；将地址ID、目标Target、操作Operation或时间属性Timestamp标记为所述证据的事件向量。在一些实施例中，优选为，所述步骤4之后还包括：将所述原始数据进行加密处理后备份存储，得到第一备份数据，并对第一储存数据和第一备份数据添加索引；将已经构建事件向量的证据与所述原始数据进行一一对应处理后进行存储，得到第二存储数据；则，所述步骤5为：将将所述第一存储数据、第二存储数据和所述第一备份数据建立为证据库。在一些实施例中，优选为，上述加密处理为添加数字签名。在一些实施例中，优选为，上述一一对应处理为：将所述证据的ID与所述原始数据的ID进行对应，得到所述证据在所述原始数据中的位置数据；则所述第二存储数据还包括所述位置数据。在一些实施例中，优选为，所述步骤7包括：将所述证据图用邻接矩阵表示，确定所有的主机节点；通过VERA算法推理出嫌疑攻击节点：分别初始化所有主机节点的节点重要度和链接重要度的向量，其中节点重要度是指主机所包含的漏洞重要性，链接重要度是指所有指向主机的链接来源主机的漏洞重要性；根据所述邻接矩阵，经过一步以上的迭代计算，得到收敛的节点重要度和链接重要度的向量；将节点重要度的值按从大到小排列并输出；将链接重要度的值按从小到达排列并输出；根据所述节点重要度的值和链接重要度的值模拟攻击路线。在一些实施例中，优选为，VERA算法推理出嫌疑攻击节点的过程包括：S1：将所述证据图用邻接矩阵表示H，将所有主机节点的集合记为N＝{n1，n2，……，nn本文档来自技高网...

【技术保护点】
一种证据图与漏洞推理相结合的网络取证方法，其特征在于，包括：步骤1：从异构数据源中收集原始数据；步骤2：将所述原始数据进行存储，得到第一存储数据；步骤3：采用分类识别算法从所述第一存储数据中分离出证据；步骤4：对所述证据进行标记处理，得到所述证据的事件向量；步骤5：将所述第一存储数据、所述证据和所述事件向量建立为证据库；步骤6：根据所述证据库，按照有效时间序列构建证据图；步骤7：根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。

【技术特征摘要】
1.一种证据图与漏洞推理相结合的网络取证方法，其特征在于，包括：步骤1：从异构数据源中收集原始数据；步骤2：将所述原始数据进行存储，得到第一存储数据；步骤3：采用分类识别算法从所述第一存储数据中分离出证据；步骤4：对所述证据进行标记处理，得到所述证据的事件向量；步骤5：将所述第一存储数据、所述证据和所述事件向量建立为证据库；步骤6：根据所述证据库，按照有效时间序列构建证据图；步骤7：根据所述证据图，通过VERA算法推理出嫌疑攻击节点，并模拟攻击路线。2.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤1中的异构数据源包括：网络数据包、IDS系统日志文件、杀毒软件日志文件、IIS服务器日志文件、FTP服务器日志文件或防火墙日志文件；和/或，所述步骤2中在进行存储之前还包括：将所述原始数据添加时间戳或数字签名；和/或，所述步骤3中的分类识别算法为支持向量机SVM算法。3.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤4包括：获取所有证据的地址ID、目标Target、操作Operation或时间属性Timestamp；将地址ID、目标Target、操作Operation或时间属性Timestamp标记为所述证据的事件向量。4.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法，其特征在于，所述步骤4之后，步骤5之前还包括：将所述原始数据进行加密处理...

【专利技术属性】
技术研发人员：何泾沙，常成月，肖起，李亚萌，方静，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：北京;11