【技术实现步骤摘要】
本专利技术涉及数字取证领域,具体而言,涉及证据图与漏洞推理相结合的网络取证方法及系统。
技术介绍
计算机犯罪案件的频繁发生促使取证的出现与发展。在科学和技术研究最具影响力的国家之一的美国,早在1969年就已经有计算机证据出现在法庭上,随后计算机取证研究一直在不断的发展着。如何及时准确地获取犯罪证据,确保证据的合法性、客观性与关联性,为依法威慑和打击计算机网络犯罪行为提供有力武器,是数字取证研究的主要内容。数字取证发展遭遇网络取证,网络取证属于数字取证的一部分,然而网络取证技术不同于传统的数字取证技术,其主要侧重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据检测、整理、收集、认证、识别、检验、分析以及数据证书等方法来积极的处理和传送数字信号源,这样能够发现原本的数据信息及内容,同时能够预测那些疑似破坏和干扰的未经许可的操作,找到那些影响系统的因素,还能提供帮助恢复系统响应的信息和方法。网络取证所必须经历的三个过程即:数据收集、数据处理、证据推理并呈现。在数据收集阶段,必须保证收集到的数据均为真实发生的海清,并且为了保证证据的全面有效性,必须尽可能全面的将数据流中的数据截取捕获保存。Palmer在数字取证研究中提出的使用攻击图重建攻击者攻击路线为数字取证提供证据。Rasmi等人就曾在网络入侵检测中提出利用攻击图辨别攻击者的攻
击意图,为网络入侵检测提供帮助。Liu等提出证据关联性提出重建攻击场景的思路,那么攻击场景便可以作为证据。Wang等人开发了一种新型的基于证据图的网络取证分析方法,并提出一种基于证据图的分层推理框架用于识别 ...
【技术保护点】
一种证据图与漏洞推理相结合的网络取证方法,其特征在于,包括:步骤1:从异构数据源中收集原始数据;步骤2:将所述原始数据进行存储,得到第一存储数据;步骤3:采用分类识别算法从所述第一存储数据中分离出证据;步骤4:对所述证据进行标记处理,得到所述证据的事件向量;步骤5:将所述第一存储数据、所述证据和所述事件向量建立为证据库;步骤6:根据所述证据库,按照有效时间序列构建证据图;步骤7:根据所述证据图,通过VERA算法推理出嫌疑攻击节点,并模拟攻击路线。
【技术特征摘要】
1.一种证据图与漏洞推理相结合的网络取证方法,其特征在于,包括:步骤1:从异构数据源中收集原始数据;步骤2:将所述原始数据进行存储,得到第一存储数据;步骤3:采用分类识别算法从所述第一存储数据中分离出证据;步骤4:对所述证据进行标记处理,得到所述证据的事件向量;步骤5:将所述第一存储数据、所述证据和所述事件向量建立为证据库;步骤6:根据所述证据库,按照有效时间序列构建证据图;步骤7:根据所述证据图,通过VERA算法推理出嫌疑攻击节点,并模拟攻击路线。2.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法,其特征在于,所述步骤1中的异构数据源包括:网络数据包、IDS系统日志文件、杀毒软件日志文件、IIS服务器日志文件、FTP服务器日志文件或防火墙日志文件;和/或,所述步骤2中在进行存储之前还包括:将所述原始数据添加时间戳或数字签名;和/或,所述步骤3中的分类识别算法为支持向量机SVM算法。3.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法,其特征在于,所述步骤4包括:获取所有证据的地址ID、目标Target、操作Operation或时间属性Timestamp;将地址ID、目标Target、操作Operation或时间属性Timestamp标记为所述证据的事件向量。4.如权利要求1所述的证据图与漏洞推理相结合的网络取证方法,其特征在于,所述步骤4之后,步骤5之前还包括:将所述原始数据进行加密处理...
【专利技术属性】
技术研发人员:何泾沙,常成月,肖起,李亚萌,方静,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。