一种集中管控可信数据采集的验证方法技术

本发明专利技术公开了一种集中管控可信数据采集的验证方法，其特征在于，验证采集数据被算法1加密之后的不可否认性，基于过程管控模型，将黑客攻击的全过程，分为侦察、交付、安装、权限提升、横向移动、操作目标和撤出7个阶段，分别采集7个阶段对应的日志数据，使用α和β两种不同的存储设备来分别存储采集数据，β是采集数据的外部存储设备，被断开物理连接，存放在安全的地方，在α和β上都被初始化为零，生成的密钥流K存储在α和β两个设备中，当开始验证时，连接上β设备，验证成功，则审计员将在侦察、交付、安装、权限提升、横向移动5个阶段生成的日志条目中查找黑客入侵的证据。通过本发明专利技术，能够找到黑客发起攻击的真实痕迹。能够找到黑客发起攻击的真实痕迹。能够找到黑客发起攻击的真实痕迹。

【技术实现步骤摘要】
一种集中管控可信数据采集的验证方法


[0001]本专利技术涉及网络安全、SOC(Security operation center)、可信数据采集、操作系统、文件系统和数据加密的
，尤其涉及到一种集中管控可信数据采集的验证方法。

技术介绍

[0002]作为安全运维服务平台的集中管控的可信数据采集，就是要维护所采集的日志数据的可用性和完整性，以及不可否认性。这意味着日志可验证地对应于特定系统上发生的事件。在安全日志中，验证发生在争议解决期间。也就是说，当发生入侵攻击并记录在日志文件中时，就会发生争议，入侵者和受害者都可能试图否认证据的真实性，然后，审计员必须能够验证日志是否在生成之后未被任何人修改过。
[0003]为此，如何保障日志数据不被否认；仅仅对采集数据加密还不够，还需要研究出一种对采集数据加密的验证算法，以实现集中管控的真实可信的数据采集。

技术实现思路

[0004]为了解决上述技术问题，本专利技术提供了一种集中管控可信数据采集的验证方法，基于过程管控模型，对加密采集数据进行验证，以保障采集数据的不可否认性。
[0005]一种集中管控可信数据采集的验证方法，其特征在于，验证采集数据被算法1加密之后的不可否认性，基于过程管控模型，将黑客攻击的全过程，分为侦察、交付、安装、权限提升、横向移动、操作目标和撤出7个阶段，分别采集7个阶段对应的日志数据，使用α和β两种不同的存储设备来分别存储采集数据，β是采集数据的外部存储设备，被断开物理连接，存放在安全的地方，在α和β上都被初始化为零，生成的密钥流K存储在α和β两个设备中，K
α
密钥流被存储在α中，K
β
密钥流被存储在β中，K
α
header.id表示密钥流的ID，K
α
header.off表示密钥流的当前偏移量，文件ASEAL
log
用来存储日志的身份认证数据和元数据，字段R.Loff表示日志文件L的记录R的偏移量，当开始验证时，连接上β设备，所述方法，包括以下步骤：
[0006](1)密钥流的大小和ID均匹配，其烧毁区域在K
α
header.off处结束，否则，验证失败；
[0007](2)密钥流烧毁区域，在K
α
header.off之前和在K
α
header.off之后，均不同于在K
α
和K
β
之间，否则，验证失败；
[0008](3)给定两个连续的ASEAL
log
记录，它们对应的分块是连续的，否则，验证失败；
[0009](4)日志文件L的记录R通过R.Loff来排序文件ASEAL
log
，则由文件ASEAAL
log
记录R定义的数据区域是连续的，否则，存在空隙，验证失败；
[0010](5)上述皆为真，验证成功，则审计员将在侦察、交付、安装、权限提升、横向移动5个阶段生成的日志条目中查找黑客入侵的证据。
[0011]本专利技术的技术效果在于：
[0012]在本专利技术中，提供了一种集中管控可信数据采集的验证方法，其特征在于，验证采集数据被算法1加密之后的不可否认性，基于过程管控模型，将黑客攻击的全过程，分为侦
察、交付、安装、权限提升、横向移动、操作目标和撤出7个阶段，分别采集7个阶段对应的日志数据，使用α和β两种不同的存储设备来分别存储采集数据，β是采集数据的外部存储设备，被断开物理连接，存放在安全的地方，在α和β上都被初始化为零，生成的密钥流K存储在α和β两个设备中，当开始验证时，连接上β设备，所述方法，包括步骤：(1)密钥流的大小和ID均匹配，其烧毁区域在K
α
header.off处结束；(2)密钥流烧毁区域，在K
α
header.off之前和在K
α
header.off之后，均不同于在K
α
和K
β
之间；(3)给定两个连续的ASEAL
log
记录，它们对应的分块是连续的；(4)日志文件L的记录通过R.Loff来排序文件ASEAL
log
，则由文件ASEAL
log
记录定义的数据区域是连续的；(5)上述皆为真，验证成功，则审计员将在侦察、交付、安装、权限提升、横向移动5个阶段生成的日志条目中查找黑客入侵的证据。通过本专利技术，能够找到黑客发起攻击的真实痕迹。
附图说明
[0013]图1是一种集中管控可信数据采集的验证方法的过程管控模型的示意图；
[0014]图2是一种集中管控可信数据采集的验证方法的算法1的加密示意图；
[0015]图3是一种集中管控可信数据采集的验证方法的算法2的验证示意图；
[0016]图4是一种集中管控可信数据采集的验证方法的算法2的步骤示意图。
具体实施方式
[0017]下面是根据附图和实例对本专利技术的进一步详细说明：
[0018]作为安全运维服务平台的集中管控的可信数据采集的需求，就是维护所采集的日志数据的可用性和完整性，以及不可否认性。这意味着日志可验证地对应于特定系统上发生的事件。在安全日志中，验证发生在争议解决期间。也就是说，当发生入侵并记录在日志文件中时，就会发生争议，入侵者和受害者都可能试图否认证据的真实性，然后，审计员必须能够验证日志是否在生成之后未被任何人修改过。
[0019]图1是一种集中管控可信数据采集的验证方法的过程管控模型的示意图。所述集中管控，它采用了一种新颖的针对入侵的过程管控模型。在已有模型中，没有一个是适合人类安全运维过程、自动化关联和预测预警的理想模型。所述过程管控模型，将黑客发起攻击的全过程，分为四个逻辑域：网络阶段、端点阶段、域阶段和撤离阶段。进一步地，这四个阶段包括侦察、交付、安装、权限提升、横向移动、操作目标和撤出7个阶段，并分别定义如下：
[0020]侦察：研究、识别和选择目标，通常表现为在互联网网站上爬行，如会议记录和邮件列表，以获取电子邮件地址、社会关系或特定技术信息。
[0021]交付：将武器传输到目标环境；根据有关观察，APT参与者对武器化有效载荷的三种最普遍的交付载体是电子邮件附件、网站和USB可移动媒体；所述武器，将远程访问特洛伊木马程序与漏洞等耦合到可交付负载中，通常通过自动化工具实现，常用的方法包括钓鱼邮件(phishing emai l)。越来越多的客户端应用程序数据(如Adobe可移植文档格式(PDF)或Microsoft Office文档)成为武器化的可交付成果。例如，钓鱼邮件包括一个良性PDF和一个可移植可执行(Portable Executable PE)后门安装文件，且这些文件用一个普通的算法加密的，这个算法的shellcode中存储了一个8位密钥。打开PDF后，利用CVE
‑
2009
‑
0658的shellcode将本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种集中管控可信数据采集的验证方法，其特征在于，验证采集数据被算法1加密之后的不可否认性，基于过程管控模型，将黑客攻击的全过程，分为侦察、交付、安装、权限提升、横向移动、操作目标和撤出7个阶段，分别采集7个阶段对应的日志数据，使用α和β两种不同的存储设备来分别存储采集数据，β是采集数据的外部存储设备，被断开物理连接，在α和β上都被初始化为零，生成的密钥流K存储在α和β两个设备中，K
α
密钥流被存储在α中，K
β
密钥流被存储在β中，K
α
header.id表示密钥流的ID，K
α
header.off表示密钥流的当前偏移量，文件ASEAL
log
用来存储日志的身份认证数据和元数据，字段R.Loff表示日志文件L的记录R的偏移量，当开始验证时，连接上β设备，所述方法，包括以下...

【专利技术属性】
技术研发人员：林薇，
申请(专利权)人：南京联成科技发展股份有限公司，
类型：发明
国别省市：