[发明专利]一种基于第三方签名的协同网络电子取证技术

说明书

技术领域

本发明属于信息技术领域，尤其是涉及一种基于第三方签名的协同网络电子取证技术。 

背景技术

Internet的迅速发展和网络社会化的到来，网络已无所不在地影响着社会、政治、经济、文化、军事和人们的日常生活等各个方面。人们在享受网络带来的便利的同时，网络与信息安全问题也成为人们关注和研究的焦点。美国卡内基·梅隆大学(Carnegie Mellon University)CERT(Computer Emergency Response Team)发布的1988-2003年信息安全事故统计报告中称，1988年报告的安全事故仅有6起，1990年增长到252起，2000年已经增加21，756起，2001年52，658起，2002年增加到82，094起，而2003年则高达137，529起。04年英政府网络造攻击8万台电脑崩溃。我国04年7-10月发生网络欺诈110起。可见网络安全事故呈迅速增长的态势。传统的安全措施，如加密认证、防火墙和入侵检测系统等，在保护信息的机密性、完整性和鉴别、控制访问方面虽然非常有效，但由于Internet网本身的不足，以及新的攻击方式层出不穷，网络安全仍受到多方面的威胁，因此，网络安全防御新模型、新方法的研究成为十分紧迫的任务。 

实用新新型内容

本发明所要解决的技术问题在于针对网络入侵行为进行取证，，提供一种技术先进、功能强大、高安全性、高适应性、易于配置和管理的灵活的电子取证防卫系体系，能有效解决现在的信息安全防卫系统的存在的多种实际问题。 

为解决上述问题，本发明采用的技术方案是：将诸如攻击时间、攻击内容、攻击来源等入侵信息进行记录，保留入侵证据，使其具有不可否认性。其目的是通过审计与入侵检测得到的有关信息，发现攻击者的特征或身份，供事后分析攻击者的行为、追究攻击者的责任。具体包括电子证据的描述与表示、电子证据的可靠性以及协同电子取证的实现技术、代理第三方签名的网络电子取证过程，以及网络电子取证系统。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：制定一个严格的取证过程模型。模型基于需求分析的思想，从问题出发，瞄准网络电子取证中突出存在的两个问题，较好的解决了网络电子取证中存在的证据完整性、真实性、抗抵赖性等问题。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：取证工作人员在工具软件的配合下保护现场环境并进行主机取证，以便相互印证。事后分析阶段验证取证软件取得网络数据包并根据取得的攻击现场的情况，分析攻击行为，产生攻击事件报告，并重构攻击发生现场。结果提交阶段参照司法诉讼的要求向司法机关提交最后的攻击事件调查报告，并进行攻击现场的可视化描述，消除非专业人员理解上的障碍。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：取证时需要取证服务器向取证代理提供具有法定效力的时间戳，在交互过程中通过并加入公钥认证机制，防止黑客欺骗攻击，有效的保证标准时间的可靠性。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：取证代理：取证代理部署在受保护网络的网关处，任何与受保护网络交互的数据都需要通过取证代理转发。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：证据分析回放系统：回放系统通过构造数据包的方法将取证系统取得的网络数据包重新发送到用户网络，通过观察用户系统的反应，直观再现网络入侵行为及其造成的危害，给法庭审判带来帮助。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：采用Visual Studio.Net开发。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：通过安全通信模块在线监听取证的服务请求，并调用相关模块为取证代理提供服务。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：在取证服务器的操作界面上，经过身份认证的取证工作人员可以对日志进行维护和查询。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：密钥发布模块设计 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：时间戳发布模块的设计 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：面向取证代理和取证服务器提供安全通信接口，它将取证代理和取证服务器间交换的信息包装成统一的格式，采用SSL协议进行传输。 

上述一种基于第三方签名的协同网络电子取证技术，其特征是：采用了一种双端口网桥的接入模式