網絡在線取證系統的製作方法
2023-08-06 01:31:36
專利名稱:網絡在線取證系統的製作方法
技術領域:
本實用新型涉及在線取證技術的改進,具體指一種網絡在線取證系統,屬於網絡取證和網絡安全技術領域。
背景技術:
近幾年來,隨著計算機及網絡技術的迅速發展,網際網路安全問題日益凸顯,計算機網絡犯罪總量也持續上升,計算機網絡方面的取證工作變得越來越重要。計算機取證可以分為事後取證和實時取證。事後取證,也稱靜態取證,是指計算機在遭受入侵的情況下,運用各種手段對其進行分析取證工作。實時取證,也稱動態取證,指利用相關的網絡安全工具,實時獲取網絡數據並以此分析攻擊者的行為證據。在實際取證過程中,事後取證是在事件發生後,才對攻擊者的遺留痕跡進行分析取證,然而攻擊者往往會儘量消除自己的攻擊痕跡,這一取證的滯後性導致取得的很多證據材料不夠全面,給取證工作帶來了不小難度。同樣,目前大多數的實時取證系統都要先對獲取到的數據進行分析處理,只保留系統本身認為可疑的數據,而一些隱蔽性較好的數據就可能保存不到,這就直接導致取證的數據不夠全面,影響後續的司法鑑定。
實用新型內容針對現有技術存在的上述不足,本實用新型的目的在於提供一種網絡在線取證系統,本系統可以實現全天候記錄所監測網絡的活動情況,並在一定時間內,對相關數據進行保存,實現證據固定。為了實現上述目的,本實用新型採用的技術方案是這樣的網絡在線取證系統,它包括相互連接的交換機和應用伺服器,所述交換機的鏡像埠與數據獲取中心連接,由數據獲取中心對來自應用層以及應用層以下所有經過該網絡的的數據流進行記錄,數據獲取中心再通過數據總線與證據固定盤連接,將該數據流固定保存在證據固定盤中。所述數據獲取中心設有哈希函數計算模塊,用於對數據獲取中心某時間段記錄的數據流進行哈希值計算,並通過數據獲取中心內置模塊對哈希值用兩張數字證書做兩次數字信封處理。所述證據固定盤中設有若干文件夾,每個文件夾保存數據獲取中心一天的數據流。與現有技術相比,本實用新型具有以下有益效果I、本系統彌補了事後取證和安全審計系統的滯後性和片面性,為企事業單位、政府機關等提供安全可靠、方便快捷的證據保存方式,使得在遭受網絡欺詐、網絡侵權時候能及時保存證據,為以後的舉證提供有效的依據,保證網際網路持續有效的發展,具有重大的社會效益。2、雙層數字信封技術能有效檢驗數據的完整性,確保證據的公正性和有效性。3、極大地吸引企業用戶及政府機要部門,解決他們現有的網際網路在線證椐保存的需求,具有非常巨大的市場前景。本實用新型彌補了事後取證及安全審計系統的缺陷。本網絡在線取證屬於實時取證的一種,但它不對所獲取的數據進行任何處理,而是直接完整保存到證據固定盤中,用於針對網絡的所有活動的記錄,進行證據獲取、保存等,以便於在網絡安全事故發生後,提供給司法取證人員。本實用新型可以應用於監控黨政機關、軍隊、科研院所、企事業等單位的各個網絡系統。
圖I-本實用新型結構示意圖。
具體實施方式
以下結合附圖對本實用新型作進一步詳細說明。參見圖I,從圖上可以看出,本實用新型網絡在線取證系統,它包括相互連接的交換機和應用伺服器,所述交換機的鏡像埠與數據獲取中心連接,由數據獲取中心對來自應用層以及應用層以下所有經過該網絡的的數據流進行記錄,數據獲取中心再通過數據總線與證據固定盤連接,將該數據流固定保存在證據固定盤中。所述數據獲取中心設有哈希函數計算模塊,用於對數據獲取中心某時間段記錄的數據流進行哈希值計算,並通過數據獲取中心內置模塊對哈希值(hash值)用兩張數字證書做兩次數字信封處理。所述證據固定盤中設有若干文件夾,每個文件夾保存數據獲取中心一天的數據流。本實用新型具體工作原理如下I、網絡在線取證系統的接入。如圖1,網絡在線取證系統接入到交換機的鏡像埠上。鏡像埠所監聽的埠可根據實際情況自行設定。2、數據採集及處理。數據獲取中心對來自應用層以及應用層以下所有經過該網絡的的數據流進行記錄,保存到一個文件夾中,每天零點對文件夾進行hash(即文件夾保存的是一天的數據流),並通過數據獲取中心內置模塊對hash值用兩張數字證書做兩次數字信封處理,之後將做過加密的hash值連同文件夾傳輸給證據固定盤中相應的文件夾,數據獲取中心的文件夾隨之清空,記錄接下來監測的數據流。3、數據的存儲。證據固定盤內共設置10個文件夾,每天由數據獲取中心傳輸過來的hash值及記錄有數據的文件夾保存在同一個文件夾中。以10天為一個周期,每個文件夾循環覆蓋使用,即證據固定盤可以保留最近10天的數據。當然,如果證據固定盤的容量足夠大,還可以保留更長時間的數據。4、取證。當該網絡發生入侵後,及時將證據固定盤提交給相關司法部門。司法人員在分析數據之前,先需要兩張數字證書持有者先後解開數字信封,獲得hash值,然後再對記錄數據的文件夾進行Hash處理,所得hash值與前面所得到的進行比對,以確認數據的完整性和有效性。在數據採集及處理中,對hash值做兩次數字信封處理時,需保證兩張證書的持有者不是同一個人,這樣能最大限度保證hash值的有效性。最後說明的是,以上實施例僅用以說明本實用新型的技術方案而非限制,儘管參照較佳實施例對本實用新型進行了詳細說明,本領域的普通技術人員應當理解,可以對本實用新型的技術方案進行修改或者等同替換,而不脫離本實用新型技術方案的宗旨和範圍,其均應涵蓋在本實用新型的權利要求範圍當中。
權利要求1.網絡在線取證系統,它包括具有防火牆的網際網路,其特徵在於所述網際網路通過防火牆與交換機連接,交換機與應用伺服器連接,同時交換機的鏡像埠與數據獲取中心連接,數據獲取中心通過數據總線與證據固定盤連接。
專利摘要本實用新型公開了一種網絡在線取證系統,它包括相互連接的交換機和應用伺服器,所述交換機的鏡像埠與數據獲取中心連接,由數據獲取中心對來自應用層以及應用層以下所有經過該網絡的的數據流進行記錄,數據獲取中心再通過數據總線與證據固定盤連接,將該數據流固定保存在證據固定盤中。本系統可以實現全天候記錄所監測網絡的活動情況,並在一定時間內,對相關數據進行保存,實現證據固定,彌補了事後取證和安全審計系統的滯後性和片面性,為企事業單位、政府機關等提供安全可靠、方便快捷的證據保存方式。
文檔編號H04L12/24GK202353577SQ20112051531
公開日2012年7月25日 申請日期2011年12月12日 優先權日2011年12月12日
發明者劉業才, 孟曉琳, 賀前安, 鍾庭威, 韓雄偉 申請人:重慶警官職業學院