專利名稱:網(wǎng)絡在線取證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及在線取證技術(shù)的改進,具體指一種網(wǎng)絡在線取證系統(tǒng),屬于網(wǎng)絡取證和網(wǎng)絡安全技術(shù)領(lǐng)域。
背景技術(shù):
近幾年來,隨著計算機及網(wǎng)絡技術(shù)的迅速發(fā)展,互聯(lián)網(wǎng)安全問題日益凸顯,計算機網(wǎng)絡犯罪總量也持續(xù)上升,計算機網(wǎng)絡方面的取證工作變得越來越重要。計算機取證可以分為事后取證和實時取證。事后取證,也稱靜態(tài)取證,是指計算機在遭受入侵的情況下,運用各種手段對其進行分析取證工作。實時取證,也稱動態(tài)取證,指利用相關(guān)的網(wǎng)絡安全工具,實時獲取網(wǎng)絡數(shù)據(jù)并以此分析攻擊者的行為證據(jù)。在實際取證過程中,事后取證是在事件發(fā)生后,才對攻擊者的遺留痕跡進行分析取證,然而攻擊者往往會盡量消除自己的攻擊痕跡,這一取證的滯后性導致取得的很多證據(jù)材料不夠全面,給取證工作帶來了不小難度。同樣,目前大多數(shù)的實時取證系統(tǒng)都要先對獲取到的數(shù)據(jù)進行分析處理,只保留系統(tǒng)本身認為可疑的數(shù)據(jù),而一些隱蔽性較好的數(shù)據(jù)就可能保存不到,這就直接導致取證的數(shù)據(jù)不夠全面,影響后續(xù)的司法鑒定。
實用新型內(nèi)容針對現(xiàn)有技術(shù)存在的上述不足,本實用新型的目的在于提供一種網(wǎng)絡在線取證系統(tǒng),本系統(tǒng)可以實現(xiàn)全天候記錄所監(jiān)測網(wǎng)絡的活動情況,并在一定時間內(nèi),對相關(guān)數(shù)據(jù)進行保存,實現(xiàn)證據(jù)固定。為了實現(xiàn)上述目的,本實用新型采用的技術(shù)方案是這樣的網(wǎng)絡在線取證系統(tǒng),它包括相互連接的交換機和應用服務器,所述交換機的鏡像端口與數(shù)據(jù)獲取中心連接,由數(shù)據(jù)獲取中心對來自應用層以及應用層以下所有經(jīng)過該網(wǎng)絡的的數(shù)據(jù)流進行記錄,數(shù)據(jù)獲取中心再通過數(shù)據(jù)總線與證據(jù)固定盤連接,將該數(shù)據(jù)流固定保存在證據(jù)固定盤中。所述數(shù)據(jù)獲取中心設有哈希函數(shù)計算模塊,用于對數(shù)據(jù)獲取中心某時間段記錄的數(shù)據(jù)流進行哈希值計算,并通過數(shù)據(jù)獲取中心內(nèi)置模塊對哈希值用兩張數(shù)字證書做兩次數(shù)字信封處理。所述證據(jù)固定盤中設有若干文件夾,每個文件夾保存數(shù)據(jù)獲取中心一天的數(shù)據(jù)流。與現(xiàn)有技術(shù)相比,本實用新型具有以下有益效果I、本系統(tǒng)彌補了事后取證和安全審計系統(tǒng)的滯后性和片面性,為企事業(yè)單位、政府機關(guān)等提供安全可靠、方便快捷的證據(jù)保存方式,使得在遭受網(wǎng)絡欺詐、網(wǎng)絡侵權(quán)時候能及時保存證據(jù),為以后的舉證提供有效的依據(jù),保證互聯(lián)網(wǎng)持續(xù)有效的發(fā)展,具有重大的社會效益。2、雙層數(shù)字信封技術(shù)能有效檢驗數(shù)據(jù)的完整性,確保證據(jù)的公正性和有效性。3、極大地吸引企業(yè)用戶及政府機要部門,解決他們現(xiàn)有的互聯(lián)網(wǎng)在線證椐保存的需求,具有非常巨大的市場前景。本實用新型彌補了事后取證及安全審計系統(tǒng)的缺陷。本網(wǎng)絡在線取證屬于實時取證的一種,但它不對所獲取的數(shù)據(jù)進行任何處理,而是直接完整保存到證據(jù)固定盤中,用于針對網(wǎng)絡的所有活動的記錄,進行證據(jù)獲取、保存等,以便于在網(wǎng)絡安全事故發(fā)生后,提供給司法取證人員。本實用新型可以應用于監(jiān)控黨政機關(guān)、軍隊、科研院所、企事業(yè)等單位的各個網(wǎng)絡系統(tǒng)。
圖I-本實用新型結(jié)構(gòu)示意圖。
具體實施方式
以下結(jié)合附圖對本實用新型作進一步詳細說明。參見圖I,從圖上可以看出,本實用新型網(wǎng)絡在線取證系統(tǒng),它包括相互連接的交換機和應用服務器,所述交換機的鏡像端口與數(shù)據(jù)獲取中心連接,由數(shù)據(jù)獲取中心對來自應用層以及應用層以下所有經(jīng)過該網(wǎng)絡的的數(shù)據(jù)流進行記錄,數(shù)據(jù)獲取中心再通過數(shù)據(jù)總線與證據(jù)固定盤連接,將該數(shù)據(jù)流固定保存在證據(jù)固定盤中。所述數(shù)據(jù)獲取中心設有哈希函數(shù)計算模塊,用于對數(shù)據(jù)獲取中心某時間段記錄的數(shù)據(jù)流進行哈希值計算,并通過數(shù)據(jù)獲取中心內(nèi)置模塊對哈希值(hash值)用兩張數(shù)字證書做兩次數(shù)字信封處理。所述證據(jù)固定盤中設有若干文件夾,每個文件夾保存數(shù)據(jù)獲取中心一天的數(shù)據(jù)流。本實用新型具體工作原理如下I、網(wǎng)絡在線取證系統(tǒng)的接入。如圖1,網(wǎng)絡在線取證系統(tǒng)接入到交換機的鏡像端口上。鏡像端口所監(jiān)聽的端口可根據(jù)實際情況自行設定。2、數(shù)據(jù)采集及處理。數(shù)據(jù)獲取中心對來自應用層以及應用層以下所有經(jīng)過該網(wǎng)絡的的數(shù)據(jù)流進行記錄,保存到一個文件夾中,每天零點對文件夾進行hash(即文件夾保存的是一天的數(shù)據(jù)流),并通過數(shù)據(jù)獲取中心內(nèi)置模塊對hash值用兩張數(shù)字證書做兩次數(shù)字信封處理,之后將做過加密的hash值連同文件夾傳輸給證據(jù)固定盤中相應的文件夾,數(shù)據(jù)獲取中心的文件夾隨之清空,記錄接下來監(jiān)測的數(shù)據(jù)流。3、數(shù)據(jù)的存儲。證據(jù)固定盤內(nèi)共設置10個文件夾,每天由數(shù)據(jù)獲取中心傳輸過來的hash值及記錄有數(shù)據(jù)的文件夾保存在同一個文件夾中。以10天為一個周期,每個文件夾循環(huán)覆蓋使用,即證據(jù)固定盤可以保留最近10天的數(shù)據(jù)。當然,如果證據(jù)固定盤的容量足夠大,還可以保留更長時間的數(shù)據(jù)。4、取證。當該網(wǎng)絡發(fā)生入侵后,及時將證據(jù)固定盤提交給相關(guān)司法部門。司法人員在分析數(shù)據(jù)之前,先需要兩張數(shù)字證書持有者先后解開數(shù)字信封,獲得hash值,然后再對記錄數(shù)據(jù)的文件夾進行Hash處理,所得hash值與前面所得到的進行比對,以確認數(shù)據(jù)的完整性和有效性。在數(shù)據(jù)采集及處理中,對hash值做兩次數(shù)字信封處理時,需保證兩張證書的持有者不是同一個人,這樣能最大限度保證hash值的有效性。最后說明的是,以上實施例僅用以說明本實用新型的技術(shù)方案而非限制,盡管參照較佳實施例對本實用新型進行了詳細說明,本領(lǐng)域的普通技術(shù)人員應當理解,可以對本實用新型的技術(shù)方案進行修改或者等同替換,而不脫離本實用新型技術(shù)方案的宗旨和范圍,其均應涵蓋在本實用新型的權(quán)利要求范圍當中。
權(quán)利要求1.網(wǎng)絡在線取證系統(tǒng),它包括具有防火墻的互聯(lián)網(wǎng),其特征在于所述互聯(lián)網(wǎng)通過防火墻與交換機連接,交換機與應用服務器連接,同時交換機的鏡像端口與數(shù)據(jù)獲取中心連接,數(shù)據(jù)獲取中心通過數(shù)據(jù)總線與證據(jù)固定盤連接。
專利摘要本實用新型公開了一種網(wǎng)絡在線取證系統(tǒng),它包括相互連接的交換機和應用服務器,所述交換機的鏡像端口與數(shù)據(jù)獲取中心連接,由數(shù)據(jù)獲取中心對來自應用層以及應用層以下所有經(jīng)過該網(wǎng)絡的的數(shù)據(jù)流進行記錄,數(shù)據(jù)獲取中心再通過數(shù)據(jù)總線與證據(jù)固定盤連接,將該數(shù)據(jù)流固定保存在證據(jù)固定盤中。本系統(tǒng)可以實現(xiàn)全天候記錄所監(jiān)測網(wǎng)絡的活動情況,并在一定時間內(nèi),對相關(guān)數(shù)據(jù)進行保存,實現(xiàn)證據(jù)固定,彌補了事后取證和安全審計系統(tǒng)的滯后性和片面性,為企事業(yè)單位、政府機關(guān)等提供安全可靠、方便快捷的證據(jù)保存方式。
文檔編號H04L12/24GK202353577SQ20112051531
公開日2012年7月25日 申請日期2011年12月12日 優(yōu)先權(quán)日2011年12月12日
發(fā)明者劉業(yè)才, 孟曉琳, 賀前安, 鐘庭威, 韓雄偉 申請人:重慶警官職業(yè)學院