專利名稱:網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域����。具體涉及信息安全技術(shù)中的網(wǎng)絡(luò)監(jiān)控、入侵檢測��、計(jì)算機(jī)取證技術(shù)、數(shù)字簽名技術(shù)���、虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)以及安全日志技術(shù)����。
背景技術(shù):
傳統(tǒng)的計(jì)算機(jī)取證手段是一種靜態(tài)方法���,在事件發(fā)生后對(duì)數(shù)據(jù)進(jìn)行提取、分析����、抽取有效證據(jù),這種方法費(fèi)時(shí)且對(duì)取證人員有很高要求�,并且不能對(duì)付高明的黑客攻擊,這些黑客在完成攻擊后會(huì)全面徹底銷毀證據(jù)或者竄改證據(jù)�,事后即便使用最好的數(shù)據(jù)分析工具也無能為力,因此���,缺乏對(duì)證據(jù)的及時(shí)處理和有效保護(hù)�����。
另外��,中國專利公開號(hào)為CN1310526的申請(qǐng)案���,該發(fā)明原理為利用現(xiàn)有網(wǎng)絡(luò)安防產(chǎn)品收集網(wǎng)絡(luò)安全相關(guān)信息���,并生成標(biāo)準(zhǔn)格式信息,通過專用通道向網(wǎng)絡(luò)監(jiān)控中心傳輸采集的信息����,監(jiān)控中心向下傳給客戶端反控指令。不足之處在于該方法不能對(duì)大規(guī)模的網(wǎng)絡(luò)活動(dòng)實(shí)施有效的實(shí)時(shí)監(jiān)控�����,嚴(yán)重依賴市場上現(xiàn)有安全產(chǎn)品和防火墻����、IDS系統(tǒng)的能力,且搜集到的信息由于缺乏不可抵賴性等嚴(yán)格的安全措施����,因此導(dǎo)致其不具備權(quán)威性,因而無法作為呈堂證據(jù)���。
發(fā)明內(nèi)容
本發(fā)明提供一種網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)及方法��,可以對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)中每臺(tái)主機(jī)進(jìn)行實(shí)時(shí)監(jiān)控����,收集監(jiān)控時(shí)產(chǎn)生的信息,記錄外來非法入侵�����,并實(shí)時(shí)提取攻擊證據(jù)����,同時(shí)將收集到的證據(jù)進(jìn)行安全處理���,妥善存放��。
本發(fā)明利用了生物免疫學(xué)基本原理���,通過模擬人體免疫細(xì)胞對(duì)病原體的識(shí)別和分類作用,從而達(dá)到對(duì)外來網(wǎng)絡(luò)入侵的識(shí)別并進(jìn)行在線實(shí)時(shí)取證的功能�。
本發(fā)明所述的網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)由免疫細(xì)胞、動(dòng)態(tài)取證細(xì)胞以及證據(jù)服務(wù)器等組成��。系統(tǒng)中執(zhí)行實(shí)時(shí)監(jiān)控功能的模塊為免疫細(xì)胞�����,執(zhí)行證據(jù)提取工作的模塊為動(dòng)態(tài)取證細(xì)胞。這兩種細(xì)胞分布于內(nèi)部網(wǎng)絡(luò)里每一臺(tái)主機(jī)����,形成一個(gè)分布式網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)。系統(tǒng)中定義抗原為網(wǎng)絡(luò)請(qǐng)求��,自體為正常網(wǎng)絡(luò)請(qǐng)求�����,非自體為異常網(wǎng)絡(luò)活動(dòng)(網(wǎng)絡(luò)攻擊)����。自體和非自體構(gòu)成了抗原集合,且自體與非自體中不可能存在相同的網(wǎng)絡(luò)活動(dòng)�����。系統(tǒng)中還定義了抗體�����,抗體存在于免疫細(xì)胞中,用于檢測和匹配抗原����。系統(tǒng)首先對(duì)網(wǎng)絡(luò)活動(dòng)信息進(jìn)行抗原提呈(特征提取),得到抗原決定基(特征)����。當(dāng)實(shí)施免疫執(zhí)行過程(抗體對(duì)抗原進(jìn)行匹配)時(shí),一旦匹配成功����,則發(fā)現(xiàn)網(wǎng)絡(luò)入侵,立即分泌激素刺激動(dòng)態(tài)取證細(xì)胞���,這些激素包括當(dāng)前主機(jī)環(huán)境,攻擊類型���、攻擊主機(jī)地址和端口號(hào)等���。動(dòng)態(tài)取證細(xì)胞執(zhí)行證據(jù)提取功能,所取得的證據(jù)包括截獲的抗原信息和攻擊時(shí)的周圍環(huán)境信息�����。之后對(duì)獲得的證據(jù)進(jìn)行數(shù)字簽名處理����,簽名過程中加蓋了時(shí)間戳�����;簽名后的證據(jù)經(jīng)安全VPN傳輸至證據(jù)服務(wù)器中���,并以數(shù)字水印日志(本人申請(qǐng)的另一項(xiàng)專利數(shù)字水印日志構(gòu)造方法,申請(qǐng)?zhí)枮?3117842.1)的形式存放于證據(jù)服務(wù)器中�����。免疫細(xì)胞和動(dòng)態(tài)取證細(xì)胞完成網(wǎng)絡(luò)入侵的一次監(jiān)控以及取證過程�����,取證的同時(shí)完成入侵檢測功能���。
在詳細(xì)說明之前����,首先定義系統(tǒng)中使用的一些名詞�����、符號(hào)以及一些公式1)定義字符串集合為 IP包的集合為ψ,并且ψΩ�;定義集合R={<a,b>|a∈D∧|a|=l���,b∈ψ}����,其中D={0��,1}l���,l為常自然數(shù)���,|a|表示字符串a(chǎn)的長度��。
2)抗原集合AgAgR�����,為二進(jìn)制串集合。對(duì)任意的抗原x∈Ag���,x.b為原始的IP包����,x.a為對(duì)原始IP包經(jīng)過類似抗原提呈細(xì)胞(antigen presenting cells,APCs)后得到的特征(抗原決定基�����,antigenic determinant)�����,有x.a=APCs(x.b)�,x.a主要由源、目的IP地址�、端口號(hào)、協(xié)議類型���、協(xié)議狀態(tài)等網(wǎng)絡(luò)事務(wù)特征的二進(jìn)制串組成�。
3)自體���、非自體集合自體集合SelfAg���,非自體集合NonselfAg���。并且有Self∪Nonself=Ag,Self∩Nonself=φ���。Self為正常網(wǎng)絡(luò)服務(wù)�,Nonself為來自網(wǎng)絡(luò)的攻擊����。
4)定義sAgAg,且|sAg|=η*|Ag|����,(0<η<1)。
5)定義自體的屬于運(yùn)算∈APCs����,如下 其中x∈Ag,x.a為抗原決定基����。
6)定義免疫細(xì)胞集合B,且B={<d�,age��,count>|d∈D,age�����,count∈N}�����,其中d為抗體����,它與抗原決定基具有同樣的表達(dá)形式,age為抗體年齡����,count為匹配數(shù),N為自然數(shù)集合��。免疫細(xì)胞包括成熟免疫細(xì)胞Tb和記憶免疫細(xì)胞Mb��,即B=Mb∪Tb���,且Mb∩Tb=φ�����,這兩種免疫細(xì)胞參與免疫執(zhí)行過程�。
7)親和力(affinity)計(jì)算函數(shù)fr_con(x,y)這里采用r連續(xù)位(r-contiguous bits)匹配函數(shù)����,計(jì)算公式見公式(2) 另外,親和力計(jì)算函數(shù)也可采用其他函數(shù)�����,例如海明距離����、歐拉距離等計(jì)算函數(shù)。
8)抗原與抗體的匹配當(dāng)抗原決定基與抗體的二進(jìn)制串從某一位開始��,有連續(xù)r位相同�����,則稱抗原與抗體是匹配的�,得到的值是1;反之�����,不匹配�����,得到的值是0��。
9)定義未成熟免疫細(xì)胞IbIb={<d���,age>|d∈D�,age∈N}����,其中d,age的意義同免疫細(xì)胞中d���,age的定義����。
10)定義證據(jù)集合Γ{<t���,x�����,y��,s>|t∈N�,x∈Ag,y∈Ω�����,s∈Ω}����。其中t為提取證據(jù)的時(shí)刻(發(fā)生網(wǎng)絡(luò)入侵的時(shí)刻);x為捕獲的侵入網(wǎng)絡(luò)的IP包�,x.b為原始證據(jù)(原始的IP包),x.a相當(dāng)于對(duì)原始證據(jù)進(jìn)行初步分析提取(抗原提呈)的證據(jù)��;y為t時(shí)刻網(wǎng)絡(luò)環(huán)境現(xiàn)狀���,類似免疫系統(tǒng)中被捕獲抗原周圍的細(xì)胞狀態(tài)���,可以是當(dāng)時(shí)CPU的利用率、系統(tǒng)進(jìn)程狀況�����、網(wǎng)絡(luò)帶寬的使用情況、內(nèi)存狀態(tài)等等�;s為對(duì)<t,x���,y>的數(shù)字簽名。
為了進(jìn)一步說明本發(fā)明的原理及特征����,以下結(jié)合附圖進(jìn)行詳細(xì)說明。
圖1是系統(tǒng)體系結(jié)構(gòu)圖���。
圖1顯示了整個(gè)系統(tǒng)在網(wǎng)絡(luò)中的分布內(nèi)部網(wǎng)絡(luò)通過網(wǎng)關(guān)與Internet相連����,免疫細(xì)胞和動(dòng)態(tài)取證細(xì)胞分布于內(nèi)部網(wǎng)絡(luò)里的每一臺(tái)主機(jī)中�����,從而形成一個(gè)分布式網(wǎng)絡(luò)入侵監(jiān)控取證系統(tǒng)���;證據(jù)服務(wù)器則通過VPN與內(nèi)部網(wǎng)相連�����,確保其安全性和獨(dú)立性����。
圖2是系統(tǒng)的工作流程圖。
免疫細(xì)胞為系統(tǒng)定義的執(zhí)行實(shí)時(shí)監(jiān)控功能的模塊�����,動(dòng)態(tài)取證細(xì)胞為執(zhí)行動(dòng)態(tài)取證功能的模塊��,證據(jù)服務(wù)器為系統(tǒng)的硬件設(shè)備部分�����,用于存放取得的證據(jù)�����。系統(tǒng)的任務(wù)是對(duì)一個(gè)輸入的抗原集合(IP包)Ag�����,分δ代(δ為常數(shù))��,每代選出一定數(shù)量的抗原組成sAg抗原集合,通過B集合的檢測把它分類為自體和非自體���。整個(gè)過程分為三個(gè)階段第一階段為0時(shí)刻到一個(gè)耐受期α結(jié)束的時(shí)刻��,需要定義初始的自體集合Self(0)和未成熟細(xì)胞集合Ib(0)�����,后者經(jīng)前者耐受后成為成熟細(xì)胞����。第二階段從α+1時(shí)刻到記憶細(xì)胞產(chǎn)生的時(shí)刻��,為自學(xué)習(xí)階段����,成熟細(xì)胞通過克隆選擇產(chǎn)生能識(shí)別大量不同非自體抗原的記憶細(xì)胞���,而通過檢測被分類為自體的抗原最后送給未成熟細(xì)胞進(jìn)行耐受�����。第三階段從記憶細(xì)胞產(chǎn)生到系統(tǒng)終止�����,免疫系統(tǒng)各部件產(chǎn)生完畢�����,進(jìn)行實(shí)際環(huán)境中的檢測首先由記憶細(xì)胞檢測��,然后成熟細(xì)胞對(duì)剩下的抗原進(jìn)行檢測��,最后未成熟細(xì)胞以剩余抗原為自體進(jìn)行耐受訓(xùn)練�����。在第二���、三階段中��,當(dāng)其免疫細(xì)胞識(shí)別非自體抗原時(shí)����,亦即發(fā)現(xiàn)一個(gè)網(wǎng)絡(luò)入侵時(shí)�����,立刻提取證據(jù)τ,同時(shí)將τ利用安全的傳輸方式(VPN)��,送達(dá)證據(jù)服務(wù)器�,完成證據(jù)的存檔工作。
其中����,系統(tǒng)中自體的產(chǎn)生過程是初始自體集由系統(tǒng)管理員定義,也可以通過離線學(xué)習(xí)黑客攻擊模式得到�����。以后則來自經(jīng)過免疫執(zhí)行過程存活的抗原�����。自體的動(dòng)態(tài)演化用方程描述為 Selfnew(t)={y|y為t時(shí)刻新增加的自體串} (5) B(t)=Mb(t)∪Tb(t)���,t≥0 (8)方程(3)模擬了自體的動(dòng)態(tài)演化情況,其中xi∈R(i≥1���,i∈N)為初始自體集合�����,Selfnew為t時(shí)刻系統(tǒng)新增的自體串���。Selfvariationf為t時(shí)刻發(fā)生變異的自體���,即刪除自體集合中不再是自體的元素。fcheck(y���,x)(y∈B�����,x∈Ag)模擬免疫細(xì)胞對(duì)抗原的分類作用若免疫細(xì)胞匹配了抗原��,且抗原屬于Self(t-1)�����,即檢測到一個(gè)曾經(jīng)是自體的抗原則返回2�����;若匹配但不屬于Self(t-1)��,即檢測到一個(gè)非自體抗原則返回1�����;若未匹配�,則該抗原為已知的自體抗原,返回0���。fcostimulation模擬免疫系統(tǒng)的協(xié)同刺激���,指示當(dāng)前抗原是否為自體抗原,外部信號(hào)可以是系統(tǒng)管理員的應(yīng)答等�。
自體的動(dòng)態(tài)演化主要關(guān)鍵有兩點(diǎn)①自身的免疫監(jiān)視,隨時(shí)清除發(fā)生變異的自體(Selfvariation)���,從而消除錯(cuò)誤否定(false negative)將非自體認(rèn)為是自體����。錯(cuò)誤否定率的增加將導(dǎo)致漏報(bào)率的增加���,自身免疫監(jiān)視能很好地解決自體隨時(shí)間變異的問題。②自身的動(dòng)態(tài)生長�����,例如隨著時(shí)間的推移,網(wǎng)絡(luò)將提供新的服務(wù)���,開放新的端口等�,即原來不允許的網(wǎng)絡(luò)訪問���,現(xiàn)在開放了�����。通過及時(shí)地增加自體元素(Selfnew)����,擴(kuò)大自體的描述范圍���,可以有效地降低錯(cuò)誤肯定(false positive)率將自體認(rèn)為是非自體��,產(chǎn)生誤報(bào)���。自身的動(dòng)態(tài)再生機(jī)制可以較好地解決目前IDS誤報(bào)率較高這一嚴(yán)重問題。
系統(tǒng)中抗原的收集過程為將網(wǎng)絡(luò)活動(dòng)表示為抗原表達(dá)式——二進(jìn)制串��。網(wǎng)絡(luò)請(qǐng)求中包含的信息有源地址�����、目的地址、端口號(hào)�����、服務(wù)類型����、協(xié)議類型等?�?乖瓌?dòng)態(tài)演化過程用方程描述為
sAg(t)Ag(t)���,|sAg(t)|=η*|Ag(t)|����,t≥0 (10) 其中sAg為系統(tǒng)每次進(jìn)行處理的抗原�,其元素按比例η(0<η<1)隨機(jī)從Ag(由自體和非自體元素組成)中抽取,η為檢測系數(shù)�。Agnonself為t時(shí)刻被檢測出來的非自體抗原。初始時(shí)刻抗原集合為初始自體集合(此時(shí)B為空)�����。δ為抗原更新周期�,表示每δ代,就把Ag換為全新的抗原集合(Agnew)����。更新周期內(nèi)抗原集合的變化只是刪除掉被檢測出來的非自體抗原,以完成把剩下的自體抗原送給未成熟免疫細(xì)胞Ib進(jìn)行耐受的工作���。
圖3是記憶免疫細(xì)胞檢測抗原流程圖����。
記憶免疫細(xì)胞對(duì)抗原進(jìn)行匹配�����。將記憶免疫細(xì)胞的抗體與待處理抗原之決定基進(jìn)行匹配���,匹配時(shí)采用r連續(xù)位匹配規(guī)則�����。
(1)匹配成功���,判斷檢測到的抗原為上一時(shí)刻自體��,則刪除該免疫細(xì)胞���;判斷檢測到的抗原為非自體,刪除被檢測抗原��,并分泌激素��。
(2)匹配不成功����,將待處理抗原交與成熟免疫細(xì)胞檢測。
用方程來刻畫記憶免疫細(xì)胞的記憶過程為 圖4是成熟免疫細(xì)胞檢測抗原流程圖����。
經(jīng)記憶免疫細(xì)胞檢測后的抗原交給成熟免疫細(xì)胞檢測,過程為(1)判斷成熟免疫細(xì)胞匹配數(shù)是否大于閾值��;(2)大于閾值�,升級(jí)為記憶免疫細(xì)胞;(3)小于閾值�����,判斷其是否年齡大于年齡閾值;(4)年齡大于年齡閾值��,則刪除該成熟免疫細(xì)胞�����;(5)年齡小于大于年齡閾值�����,則開始與抗原匹配�����;(6)匹配成功�����,若檢測到的抗原是上一時(shí)刻自體�,則刪除該免疫細(xì)胞����,若檢測到的抗原是非自體,則刪除該抗原�����,并分泌激素;(7)匹配不成功��,將這些剩余的抗原送到骨髓模型中參加耐受過程����。
成熟免疫細(xì)胞的生命周期用方程刻畫為 Tb′(t)=Tb″(t)-P(t)∪Tclone(t) (15)Tb″(t)={y|y.d=x.d,y.age=x.age+1��,y.count=x.count�����,x∈Tb(t-1)}(16)P(t)={x|x∈Tb′′(t),∃y∈sAg(t-1)(fcheck(x,y)=1]]> Tclone(t)={y|y.d=x.d�����,y.age=x.age��,y.count=x.count+1��,x∈P(t)} (18)Tnew(t)={y|y.d=x.d�,y.age=0,y.count=0�����,x∈Imaturation(t)} (19)Tmemory(t)={x|x∈Tb′(t)(x.count≥β)} (20)Tdead(t)={x|x∈Tb′(t)(x.age>λ∧x.count<β)} (21)圖5是未成熟免疫細(xì)胞自體耐受流程圖(骨髓模型)。
被檢測抗原在經(jīng)過記憶免疫細(xì)胞和成熟免疫細(xì)胞兩個(gè)階段的檢測之后剩下的均認(rèn)為是自體抗原�,未成熟免疫細(xì)胞與這些自體抗原進(jìn)行耐受訓(xùn)練。
(1)新的自體抗原添加進(jìn)骨髓模型中���,同時(shí)隨機(jī)生成一定數(shù)目的未成熟免疫細(xì)胞;(2)未成熟免疫細(xì)胞與骨髓模型中的自體抗原匹配����;(3)匹配成功,刪除該未成熟免疫細(xì)胞���,即耐受失?��。?4)匹配不成功����,返回到(1),進(jìn)行下一次耐受�����,整個(gè)過程循環(huán)α次(α為耐受期)。
(5)循環(huán)結(jié)束�����,存活的未成熟免疫細(xì)胞(即未成熟免疫細(xì)胞年齡大于α)升級(jí)為成熟免疫細(xì)胞�,參與到免疫執(zhí)行過程中。
用方程來刻畫該過程為 Itolerance(t)={y|y.d=x.d��,y.age=x.age+1����,x∈(Ib(t-1)-{x|x∈Ib(t-1),∃y∈sAg(t-1)(fr_con(x,y)=1)})---(23)]]>Imaturatiio n(t)={x|x∈Itolerance(t),x.age>α}(24)Inew(t)={y1��,y2����,…,yk}(25)圖6是證據(jù)封裝圖��。
●提取證據(jù)包括(1)截獲匹配的抗原�����,其上包含原始IP包和經(jīng)抗原提呈出的決定基(特征值)�,抗原決定基可視為對(duì)原始IP包的初步分析�����。
(2)快照攻擊現(xiàn)場�����。得到的證據(jù)包括系統(tǒng)日志文件����、內(nèi)外存狀況����、swap狀況����、進(jìn)程類型、進(jìn)程狀態(tài)�、攻擊方源地址、目的地址�、端口,使用協(xié)議���、網(wǎng)絡(luò)連接數(shù)量����、連接時(shí)間、連接類型以及平均發(fā)送包數(shù)等�����。
用方程來刻畫該過程為 Γnew(t)={τ|τ∈Γ�,τ.t=t,τ.x=x����,τ.y=y(tǒng)′,τ.s=s′���,s′=Ekpv(H(τ.t+τ.x+τ.y)),x∈Agnonself(t)}]]>(27)其中Γnew(t)為t時(shí)刻面臨網(wǎng)絡(luò)入侵實(shí)時(shí)收集的證據(jù)�����;x為被截獲的攻擊數(shù)據(jù)���,包含兩個(gè)部分①x.b為原始的IP包,作為原始證據(jù)�����。②x.a相當(dāng)于對(duì)原始證據(jù)進(jìn)行抗原提呈后得到的原始證據(jù)的基本特征,作為直接證據(jù)呈供�;y′為收集證據(jù)時(shí)網(wǎng)絡(luò)環(huán)境的一個(gè)快照,如CPU的使用情況�、系統(tǒng)日志文件、內(nèi)外存狀況�����、swap狀況�、文件系統(tǒng)的變化情況、進(jìn)程狀態(tài)�����、網(wǎng)絡(luò)連接數(shù)量���、連接時(shí)間、連接類型以及平均發(fā)送包數(shù)等�����,作為間接證據(jù)呈供�����;s′如前所述為證據(jù)的數(shù)字簽名,用以確保證據(jù)的權(quán)威性����。
●數(shù)字簽名對(duì)所獲取的證據(jù)進(jìn)行數(shù)字簽名。用方程來刻畫為s=Ek private(H(t+x+y))---(28)]]>其中E為簽名算法����,可采用RSA、DSS簽名算法等�;kprivate為系統(tǒng)對(duì)證據(jù)簽名時(shí)的私鑰,H為單向散列函數(shù)例如SHA-1等��,+為字符串的連接運(yùn)算��。首先將字符串<t�,x,y>合并成一個(gè)字符串����,求取該字符串的散列值h,利用系統(tǒng)的私鑰kprivate采用公鑰算法E對(duì)h進(jìn)行加密得到數(shù)字簽名��。根據(jù)密碼學(xué)理論����,如果kprivate足夠長�����,則s是安全的�����,能抵御任何攻擊�����。
對(duì)任意的證據(jù)τ∈Γ���,通過驗(yàn)證τ的數(shù)字簽名,可提供證據(jù)的完整性��、原始性(權(quán)威性��、不可抵賴性)等�����,驗(yàn)證方法如(29)式所示 其中Dkpublic(τ.s)為利用系統(tǒng)的公鑰kpublic采取相應(yīng)的公鑰算法對(duì)τ.s作解密運(yùn)算得到原經(jīng)加密存儲(chǔ)的散列值����,H(τ.t+τ.x+τ.y)為利用相應(yīng)算法重新計(jì)算其散列值,若兩者相等����,則驗(yàn)證成功,證據(jù)τ完整有效���;否則��,則證據(jù)τ已被破壞���,不可信。
●封裝證據(jù)�。
將截取抗原的時(shí)間、抗原���、周圍環(huán)境以及對(duì)這三者的組合進(jìn)行的數(shù)字簽名一起封裝成證據(jù)記錄形式����。
圖7是證據(jù)組織形式結(jié)構(gòu)圖���。
在證據(jù)服務(wù)器中�,證據(jù)的組織形式是生成的數(shù)字水印證據(jù)文件。
根據(jù)數(shù)字水印日志構(gòu)造方法將證據(jù)以數(shù)字水印日志形式存放在證據(jù)服務(wù)器中���,即在證據(jù)中加入水印�,水印為二進(jìn)制串形式�����,可以是一段文字����、標(biāo)識(shí)、序列號(hào)以及圖象等�����。
創(chuàng)建數(shù)字水印證據(jù)文件時(shí)���,首先填寫文件頭的有關(guān)信息���,如文件標(biāo)識(shí)符、摘要算法標(biāo)識(shí)符���、非對(duì)稱加密算法標(biāo)識(shí)符���、水印等。其中�,文件標(biāo)識(shí)符標(biāo)識(shí)數(shù)字水印證據(jù)文件;摘要算法標(biāo)識(shí)符表示數(shù)字水印證據(jù)文件使用的摘要算法����,可采用目前國內(nèi)外常用的摘要算法,如MD2�、MD5及SHA-1等;非對(duì)稱加密算法標(biāo)識(shí)符表示數(shù)字水印證據(jù)文件使用的非對(duì)稱加密算法����,可采用國內(nèi)外常用的非對(duì)稱加密算法,如RSA�����、DSA�����、ECC及DH等����;文件簽名數(shù)據(jù)字段主要包含水印��、所有證據(jù)記錄摘要信息等�,這些信息由非對(duì)稱加密算法標(biāo)識(shí)符指定的算法加密后存儲(chǔ)�����。初始時(shí)�,文件簽名數(shù)據(jù)字段為空,以后每增加一個(gè)證據(jù)記錄�����,該字段均相應(yīng)發(fā)生變化�;文件簽名數(shù)據(jù)實(shí)質(zhì)上是證據(jù)文件中所有證據(jù)的摘要信息的數(shù)字簽名,任何證據(jù)記錄的細(xì)微改變���,均將導(dǎo)致摘要信息的巨大差異����,因此��,驗(yàn)證此字段的簽名信息�,可驗(yàn)證整個(gè)證據(jù)文件的完整性。
數(shù)字水印證據(jù)文件建立后���,每一條證據(jù)記錄均寫入文件末尾�,每添加一條新的證據(jù)記錄,重新對(duì)證據(jù)文件進(jìn)行數(shù)字簽名����,并且寫回至證據(jù)文件�����。
當(dāng)需要驗(yàn)證整個(gè)文件的完整性時(shí)���,取出文件頭的文件簽名數(shù)據(jù)����,驗(yàn)證其簽名的正確性�����,若通過簽名驗(yàn)證�����,則說明所有證據(jù)記錄沒有遭到破壞�,證據(jù)完整��;否則���,則說明證據(jù)文件已被破壞。
當(dāng)需要驗(yàn)證某條證據(jù)記錄的權(quán)威性和不可否認(rèn)性時(shí)�����,取出該條記錄的數(shù)字簽名��,驗(yàn)證其正確性���,若通過簽名驗(yàn)證�����,則說明該條證據(jù)記錄沒有遭到破壞�����,可信����;否則,則說明該條證據(jù)已被破壞或是偽造的��,不可信�����。
注意文件簽名驗(yàn)證成功���,則意味著所有的證據(jù)記錄均是可信的�;若驗(yàn)證不成功����,則說明證據(jù)文件中部分或全部證據(jù)記錄已被破壞�,此時(shí),可利用證據(jù)記錄數(shù)字簽名來驗(yàn)證每一條證據(jù)的合法性����。若某條證據(jù)記錄驗(yàn)證通過,即使整個(gè)證據(jù)文件驗(yàn)證失敗���,該條證據(jù)也是可信的��。
另外�,證據(jù)服務(wù)器是一臺(tái)可信度非常高的機(jī)器���,并且極少人接觸證據(jù)服務(wù)器��。通過VPN與內(nèi)部網(wǎng)絡(luò)相連����,確保其獨(dú)立性和安全性。證據(jù)服務(wù)器用來存放通過取證細(xì)胞提取的證據(jù)�����,以供日后進(jìn)行證據(jù)分析���。當(dāng)證據(jù)服務(wù)器接收到證據(jù)后也要對(duì)證據(jù)進(jìn)行一次數(shù)據(jù)簽名���,完成證據(jù)的移交過程。
權(quán)利要求
1.網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)及方法�,其特征在于基于免疫的網(wǎng)絡(luò)監(jiān)控的步驟;實(shí)時(shí)證據(jù)提取的步驟�;證據(jù)存儲(chǔ)的步驟,證據(jù)完整性驗(yàn)證的步驟�。
2.權(quán)利要求1所述的網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)及方法,其特征在于基于免疫的網(wǎng)絡(luò)監(jiān)控的步驟包括以下步驟對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行抗原提呈(特征提取)的步驟�;自體集合動(dòng)態(tài)演化的步驟;抗原集合動(dòng)態(tài)演化的步驟;記憶免疫細(xì)胞檢測抗原的步驟���;成熟免疫細(xì)胞檢測抗原的步驟���;未成熟免疫細(xì)胞自體耐受的步驟。
3.權(quán)利要求1所述的網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)及方法���,其特征在于實(shí)時(shí)證據(jù)提取的步驟包括以下特征證據(jù)記錄的結(jié)構(gòu)����;提取證據(jù)的時(shí)刻�,即檢測到有網(wǎng)絡(luò)入侵的時(shí)刻�;對(duì)證據(jù)的封裝步驟。
4.權(quán)利要求3所述的實(shí)時(shí)證據(jù)提取的步驟��,其特征在于證據(jù)記錄的結(jié)構(gòu)包括以下內(nèi)容證據(jù)內(nèi)容提取證據(jù)的時(shí)刻����;原始IP包;原始IP包的基本特征���;攻擊現(xiàn)場周圍環(huán)境的快照(如CPU的使用情況��、系統(tǒng)日志文件�����、內(nèi)外存狀況�����、swap狀況�����、文件系統(tǒng)的變化情況��、進(jìn)程狀態(tài)���、網(wǎng)絡(luò)連接數(shù)量���、連接時(shí)間、連接類型以及平均發(fā)送包數(shù)等)���;數(shù)字簽名�。
5.權(quán)利要求3所述的實(shí)時(shí)證據(jù)提取的步驟���,其特征在于對(duì)證據(jù)的封裝步驟包括以下步驟記錄提取證據(jù)的時(shí)刻的步驟��;提取原始IP包的基本特征的步驟���;提取對(duì)攻擊現(xiàn)場周圍環(huán)境的快照的步驟�����;對(duì)證據(jù)的提取時(shí)刻�、原始IP包及其基本特征�、攻擊現(xiàn)場周圍環(huán)境的快照等信息進(jìn)行數(shù)字簽名的步驟;以證據(jù)記錄的形式封裝證據(jù)的步驟����。
6.權(quán)利要求1所述的網(wǎng)絡(luò)入侵動(dòng)態(tài)取證系統(tǒng)和方法,其特征在于證據(jù)存儲(chǔ)的步驟包括以下特征將證據(jù)記錄采用VPN通道傳送至證據(jù)服務(wù)器的步驟����;證據(jù)服務(wù)器中證據(jù)文件的結(jié)構(gòu)����;證據(jù)在證據(jù)服務(wù)器中存儲(chǔ)的步驟;
7.權(quán)利要求6所述的證據(jù)存儲(chǔ)的步驟����,其特征在于證據(jù)文件的結(jié)構(gòu)包括以下內(nèi)容文件頭由文件標(biāo)識(shí)符���、摘要算法標(biāo)識(shí)符、非對(duì)稱加密算法標(biāo)識(shí)符����、水印、文件簽名數(shù)據(jù)組成�;證據(jù)記錄由證據(jù)內(nèi)容和數(shù)字簽名組成。
8.權(quán)利要求6所述的證據(jù)存儲(chǔ)的步驟�,其特征在于證據(jù)在證據(jù)服務(wù)器中存儲(chǔ)的步驟包括以下步驟生成證據(jù)文件之文件頭的步驟;創(chuàng)建證據(jù)文件的步驟��;將證據(jù)記錄插入到證據(jù)服務(wù)器中的步驟����;對(duì)證據(jù)文件數(shù)字簽名的步驟。
9.權(quán)利要求1所述的網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)及方法�����,其特征在于證據(jù)完整性驗(yàn)證的步驟包括以下步驟對(duì)證據(jù)記錄完整性驗(yàn)證的步驟���;對(duì)證據(jù)文件完整性驗(yàn)證的步驟�。
全文摘要
本發(fā)明提出了一種網(wǎng)絡(luò)監(jiān)控與動(dòng)態(tài)取證系統(tǒng)及方法,屬于信息安全領(lǐng)域�。其特征在于對(duì)大規(guī)模網(wǎng)絡(luò)活動(dòng)實(shí)時(shí)監(jiān)控,及時(shí)提取攻擊現(xiàn)場證據(jù)��,并且對(duì)證據(jù)進(jìn)行妥善�、安全處理及保管,確保證據(jù)的可靠性��、安全性�����、完整性���。本發(fā)明可應(yīng)對(duì)黑客攻擊技術(shù)的變化����,滿足司法機(jī)關(guān)取證工作需要��,并且能滿足一些公司�����、企業(yè)�����、個(gè)人等取證的需求����,具有廣闊的應(yīng)用前景。
文檔編號(hào)H04L12/26GK1567852SQ20041002215
公開日2005年1月19日 申請(qǐng)日期2004年3月29日 優(yōu)先權(quán)日2004年3月29日
發(fā)明者李濤 申請(qǐng)人:四川大學(xué)