證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及數(shù)字取證領(lǐng)域,具體而言,涉及證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法及系統(tǒng)。該方法包括:從異構(gòu)數(shù)據(jù)源中收集原始數(shù)據(jù);將所述原始數(shù)據(jù)進(jìn)行存儲(chǔ),得到第一存儲(chǔ)數(shù)據(jù);采用分類識(shí)別算法從所述第一存儲(chǔ)數(shù)據(jù)中分離出證據(jù);對(duì)所述證據(jù)進(jìn)行標(biāo)記處理,得到所述證據(jù)的事件向量;將所述第一存儲(chǔ)數(shù)據(jù)、所述證據(jù)和所述事件向量建立為證據(jù)庫;根據(jù)所述證據(jù)庫,按照有效時(shí)間序列構(gòu)建證據(jù)圖;根據(jù)所述證據(jù)圖,通過VERA算法推理出嫌疑攻擊節(jié)點(diǎn),并模擬攻擊路線。異構(gòu)數(shù)據(jù)源保證了數(shù)據(jù)來源的全面性和完整性,VERA可將所得證據(jù)形象的體現(xiàn)出來。該方法解決了現(xiàn)階段取證過程中缺乏完整性、真實(shí)性,所得證據(jù)不能形象體現(xiàn)的問題。
【專利說明】
證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及數(shù)字取證領(lǐng)域,具體而言,涉及證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證 方法及系統(tǒng)。
【背景技術(shù)】
[0002] 計(jì)算機(jī)犯罪案件的頻繁發(fā)生促使取證的出現(xiàn)與發(fā)展。在科學(xué)和技術(shù)研究最具影響 力的國(guó)家之一的美國(guó),早在1969年就已經(jīng)有計(jì)算機(jī)證據(jù)出現(xiàn)在法庭上,隨后計(jì)算機(jī)取證研 究一直在不斷的發(fā)展著。如何及時(shí)準(zhǔn)確地獲取犯罪證據(jù),確保證據(jù)的合法性、客觀性與關(guān)聯(lián) 性,為依法威懾和打擊計(jì)算機(jī)網(wǎng)絡(luò)犯罪行為提供有力武器,是數(shù)字取證研究的主要內(nèi)容。數(shù) 字取證發(fā)展遭遇網(wǎng)絡(luò)取證,網(wǎng)絡(luò)取證屬于數(shù)字取證的一部分,然而網(wǎng)絡(luò)取證技術(shù)不同于傳 統(tǒng)的數(shù)字取證技術(shù),其主要側(cè)重于對(duì)網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)數(shù)據(jù)流以及使用網(wǎng)絡(luò)服務(wù)的電子終端 中網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)、整理、收集、認(rèn)證、識(shí)別、檢驗(yàn)、分析以及數(shù)據(jù)證書等方法來積極的處理和 傳送數(shù)字信號(hào)源,這樣能夠發(fā)現(xiàn)原本的數(shù)據(jù)信息及內(nèi)容,同時(shí)能夠預(yù)測(cè)那些疑似破壞和干 擾的未經(jīng)許可的操作,找到那些影響系統(tǒng)的因素,還能提供幫助恢復(fù)系統(tǒng)響應(yīng)的信息和方 法。
[0003] 網(wǎng)絡(luò)取證所必須經(jīng)歷的三個(gè)過程即:數(shù)據(jù)收集、數(shù)據(jù)處理、證據(jù)推理并呈現(xiàn)。在數(shù) 據(jù)收集階段,必須保證收集到的數(shù)據(jù)均為真實(shí)發(fā)生的海清,并且為了保證證據(jù)的全面有效 性,必須盡可能全面的將數(shù)據(jù)流中的數(shù)據(jù)截取捕獲保存。
[0004] Palmer在數(shù)字取證研究中提出的使用攻擊圖重建攻擊者攻擊路線為數(shù)字取證提 供證據(jù)。Rasmi等人就曾在網(wǎng)絡(luò)入侵檢測(cè)中提出利用攻擊圖辨別攻擊者的攻擊意圖,為網(wǎng)絡(luò) 入侵檢測(cè)提供幫助。Liu等提出證據(jù)關(guān)聯(lián)性提出重建攻擊場(chǎng)景的思路,那么攻擊場(chǎng)景便可以 作為證據(jù)。Wang等人開發(fā)了一種新型的基于證據(jù)圖的網(wǎng)絡(luò)取證分析方法,并提出一種基于 證據(jù)圖的分層推理框架用于識(shí)別重要的實(shí)體結(jié)構(gòu)圖和提取相關(guān)參與者的攻擊場(chǎng)景。田志宏 等人提出了一種基于證據(jù)推理網(wǎng)絡(luò)的實(shí)時(shí)網(wǎng)絡(luò)入侵取證方法NetForensic,將弱點(diǎn)關(guān)聯(lián)性 的概念引入網(wǎng)絡(luò)入侵取證領(lǐng)域。
[0005] 但是,現(xiàn)有的網(wǎng)絡(luò)取證技術(shù)存在以下一些問題:首先,在網(wǎng)絡(luò)取證的數(shù)據(jù)收集階 段,采用數(shù)據(jù)源單一,僅對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行捕獲或監(jiān)聽,致使證據(jù)缺乏完整性。其次,在網(wǎng)絡(luò) 取證的數(shù)據(jù)預(yù)處理階段,大致分為兩種處理方法,一種是沿用入侵檢測(cè)中所采用的數(shù)據(jù)挖 掘相關(guān)算法或者某些分類算法對(duì)數(shù)據(jù)流進(jìn)行挖掘分類,進(jìn)而呈現(xiàn)攻擊證據(jù),該方法的不足 之處在于將入侵檢測(cè)中的漏報(bào)誤報(bào)現(xiàn)象帶入到網(wǎng)絡(luò)取證中,從而導(dǎo)致網(wǎng)絡(luò)取證獲得的證據(jù) 缺乏真實(shí)性;另一種是直接對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包直接進(jìn)行證據(jù)圖構(gòu)建,基于構(gòu)建的證據(jù)圖 進(jìn)行證據(jù)推理從而獲取證據(jù),該方法的不足之處在于對(duì)剛捕獲的數(shù)據(jù)包進(jìn)行證據(jù)圖構(gòu)建, 數(shù)據(jù)量巨大,構(gòu)建算法低效從而導(dǎo)致浪費(fèi)了最佳取證時(shí)間。最后,實(shí)用性不強(qiáng),龐大而復(fù)雜 的網(wǎng)絡(luò)數(shù)據(jù)為取證分析帶來了巨大的挑戰(zhàn),取證分析不合理,直接在所獲取的數(shù)據(jù)上進(jìn)行 分析,可能導(dǎo)致證據(jù)的改變。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明的目的在于提供一種證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法及系統(tǒng),以 解決現(xiàn)階段取證過程中缺乏完整性、真實(shí)性,所得證據(jù)不能形象體現(xiàn)的問題。
[0007] 本發(fā)明提供了一種證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,其包括:
[0008] 步驟1:從異構(gòu)數(shù)據(jù)源中收集原始數(shù)據(jù);
[0009] 步驟2:將所述原始數(shù)據(jù)進(jìn)行存儲(chǔ),得到第一存儲(chǔ)數(shù)據(jù);
[0010] 步驟3:采用分類識(shí)別算法從所述第一存儲(chǔ)數(shù)據(jù)中分離出證據(jù);
[0011] 步驟4:對(duì)所述證據(jù)進(jìn)行標(biāo)記處理,得到所述證據(jù)的事件向量;
[0012] 步驟5:將所述第一存儲(chǔ)數(shù)據(jù)、所述證據(jù)和所述事件向量建立為證據(jù)庫;
[0013] 步驟6:根據(jù)所述證據(jù)庫,按照有效時(shí)間序列構(gòu)建證據(jù)圖;
[0014] 步驟7:根據(jù)所述證據(jù)圖,通過VERA算法推理出嫌疑攻擊節(jié)點(diǎn),并模擬攻擊路線。 [0015]在一些實(shí)施例中,優(yōu)選為,所述步驟1中的異構(gòu)數(shù)據(jù)源包括:網(wǎng)絡(luò)數(shù)據(jù)包、IDS系統(tǒng) 日志文件、殺毒軟件日志文件、IIS服務(wù)器日志文件、FTP服務(wù)器日志文件或防火墻日志文 件。
[0016] 在一些實(shí)施例中,優(yōu)選為,所述步驟2中在進(jìn)行存儲(chǔ)之前還包括:將所述原始數(shù)據(jù) 添加時(shí)間戳或數(shù)字簽名。
[0017] 在一些實(shí)施例中,優(yōu)選為,所述步驟3中的分類識(shí)別算法為支持向量機(jī)SVM算法。 [0018]在一些實(shí)施例中,優(yōu)選為,所述步驟4為:獲取所有證據(jù)的地址ID、目標(biāo)Target、操 作Operation或時(shí)間屬性Time stamp;將地址ID、目標(biāo)Target、操作Operation或時(shí)間屬性 Times tamp標(biāo)記為所述證據(jù)的事件向量。
[0019] 在一些實(shí)施例中,優(yōu)選為,所述步驟4之后還包括:將所述原始數(shù)據(jù)進(jìn)行加密處理 后備份存儲(chǔ),得到第一備份數(shù)據(jù),并對(duì)第一儲(chǔ)存數(shù)據(jù)和第一備份數(shù)據(jù)添加索引;將已經(jīng)構(gòu)建 事件向量的證據(jù)與所述原始數(shù)據(jù)進(jìn)行一一對(duì)應(yīng)處理后進(jìn)行存儲(chǔ),得到第二存儲(chǔ)數(shù)據(jù);則,所 述步驟5為:將將所述第一存儲(chǔ)數(shù)據(jù)、第二存儲(chǔ)數(shù)據(jù)和所述第一備份數(shù)據(jù)建立為證據(jù)庫。
[0020] 在一些實(shí)施例中,優(yōu)選為,上述加密處理為添加數(shù)字簽名。
[0021] 在一些實(shí)施例中,優(yōu)選為,上述一一對(duì)應(yīng)處理為:將所述證據(jù)的ID與所述原始數(shù)據(jù) 的ID進(jìn)行對(duì)應(yīng),得到所述證據(jù)在所述原始數(shù)據(jù)中的位置數(shù)據(jù);則所述第二存儲(chǔ)數(shù)據(jù)還包括 所述位置數(shù)據(jù)。
[0022] 在一些實(shí)施例中,優(yōu)選為,所述步驟7包括:
[0023] 將所述證據(jù)圖用鄰接矩陣表示,確定所有的主機(jī)節(jié)點(diǎn);
[0024]通過VERA算法推理出嫌疑攻擊節(jié)點(diǎn):分別初始化所有主機(jī)節(jié)點(diǎn)的節(jié)點(diǎn)重要度和鏈 接重要度的向量,其中節(jié)點(diǎn)重要度是指主機(jī)所包含的漏洞重要性,鏈接重要度是指所有指 向主機(jī)的鏈接來源主機(jī)的漏洞重要性;根據(jù)所述鄰接矩陣,經(jīng)過一步以上的迭代計(jì)算,得到 收斂的節(jié)點(diǎn)重要度和鏈接重要度的向量;將節(jié)點(diǎn)重要度的值按從大到小排列并輸出;將鏈 接重要度的值按從小到達(dá)排列并輸出;
[0025]根據(jù)所述節(jié)點(diǎn)重要度的值和鏈接重要度的值模擬攻擊路線。
[0026]在一些實(shí)施例中,優(yōu)選為,VERA算法推理出嫌疑攻擊節(jié)點(diǎn)的過程包括:
[0027] S1:將所述證據(jù)圖用鄰接矩陣表示H,將所有主機(jī)節(jié)點(diǎn)的集合記為N= {m,n2,……, nn};
[0028] S2:將主機(jī)節(jié)點(diǎn)m的節(jié)點(diǎn)重要度記為yi、鏈接重要度記為Zl;
[0029] 33:初始化節(jié)點(diǎn)重要度向量7={71,72,......,yn}和鏈接重要度z = {zi,Z2,......, zn},分別使得其平方和為1;
[0030] S4:第k步迭代時(shí),主機(jī)節(jié)點(diǎn)m的主機(jī)重要度為:
[0031] BPy=HTz; *
[0032] S5:新的節(jié)點(diǎn)重要度向量y之后,主機(jī)節(jié)點(diǎn)的鏈接重要度21為:
[0033] 蜂SPz = Hy;
[0034] S6:將所得的向量y和z進(jìn)行單位化處理,分別使得其平方和為1;
[0035] S7:判斷向量y和z是否收斂,若不收斂,則重復(fù)S4-S6,否則結(jié)束;
[0036] S8:將節(jié)點(diǎn)重要度向量中y的值按從大到小排列并輸出;將鏈接重要度向量中z的 值按從小到達(dá)排列并輸出。
[0037]本發(fā)明還提供了一種執(zhí)行上述方法的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證系統(tǒng), 其特征在于,包括:
[0038]收集模塊,所述收集模塊用于從異構(gòu)數(shù)據(jù)源中收集原始數(shù)據(jù);
[0039]存儲(chǔ)模塊,所述存儲(chǔ)模塊用于將所述原始數(shù)據(jù)進(jìn)行存儲(chǔ),得到第一存儲(chǔ)數(shù)據(jù);
[0040] 規(guī)范化模塊,所述規(guī)范化模塊用于采用分類識(shí)別算法從所述第一存儲(chǔ)數(shù)據(jù)中分離 出證據(jù),以及對(duì)所述證據(jù)進(jìn)行標(biāo)記處理,得到所述證據(jù)的事件向量;
[0041] 構(gòu)建模塊:所述構(gòu)建模塊用于將所述第一存儲(chǔ)數(shù)據(jù)、所述證據(jù)和所述事件向量建 立為證據(jù)庫,以及根據(jù)所述證據(jù)庫,按照有效時(shí)間序列構(gòu)建證據(jù)圖;
[0042]推理模塊:所述推理模塊用于根據(jù)所述證據(jù)圖,通過VERA算法推理出嫌疑攻擊節(jié) 點(diǎn),并模擬攻擊路線。
[0043]在一些實(shí)施例中,優(yōu)選為,所述收集模塊、規(guī)范化模塊、構(gòu)建模塊和推理模塊均包 括顯示單元,顯示單元用于將處理所得的數(shù)據(jù)進(jìn)行可視化顯示。
[0044]本發(fā)明實(shí)施例提供的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,與現(xiàn)有技術(shù)相 比,將原始數(shù)據(jù)從異構(gòu)數(shù)據(jù)源中收集到以后進(jìn)行存儲(chǔ),其中,異構(gòu)數(shù)據(jù)源保證了數(shù)據(jù)來源的 全面性和完整性。然后,通過分類識(shí)別算法分離出證據(jù),并對(duì)證據(jù)進(jìn)行標(biāo)記處理,得到證據(jù) 的事件向量,其中事件向量與其相應(yīng)的證據(jù)為一對(duì)一關(guān)系。進(jìn)而,在后續(xù)證據(jù)分析處理的過 程中,可直接通過證據(jù)的事件向量即可。之后,將存儲(chǔ)數(shù)據(jù)、證據(jù)和事件向量建立為證據(jù)庫, 并根據(jù)證據(jù)庫,按照有效時(shí)間序列構(gòu)建證據(jù)圖。得到證據(jù)圖之后,根據(jù)所述證據(jù)圖,通過 VERA算法推理出嫌疑攻擊節(jié)點(diǎn),并模擬攻擊路線,因此,可將所得證據(jù)形象的體現(xiàn)出來。從 而,該方法有效的解決了現(xiàn)階段取證過程中缺乏完整性、真實(shí)性,所得證據(jù)不能形象體現(xiàn)的 問題。
【附圖說明】
[0045]圖1為本發(fā)明一個(gè)實(shí)施例中證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法的流程圖;
[0046] 圖2為本發(fā)明一個(gè)實(shí)施例中證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證系統(tǒng)的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0047] 為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例 中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是 本發(fā)明的一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人 員在沒有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。 [0048]針對(duì)現(xiàn)階段的取證過程中缺乏完整性、真實(shí)性,所得證據(jù)不能形象體現(xiàn)的問題,本 發(fā)明提出了一種證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法。如圖1所示,其具體包括:
[0049] 步驟1:從異構(gòu)數(shù)據(jù)源中收集原始數(shù)據(jù),異構(gòu)數(shù)據(jù)源包括:網(wǎng)絡(luò)數(shù)據(jù)包、IDS系統(tǒng)日 志文件、殺毒軟件日志文件、IIS服務(wù)器日志文件、FTP服務(wù)器日志文件或防火墻日志文件 等;
[0050] 步驟2:將原始數(shù)據(jù)添加時(shí)間戳或數(shù)字簽名后進(jìn)行存儲(chǔ),得到第一存儲(chǔ)數(shù)據(jù);
[0051] 步驟3:采用支持向量機(jī)SVM算法從第一存儲(chǔ)數(shù)據(jù)中分離出證據(jù);
[0052] 步驟4:對(duì)證據(jù)進(jìn)行標(biāo)記處理,得到證據(jù)的事件向量,事件向量(Event Vector)定 義為:EV(Event Vector) = <ID, Source,Target,Operation,Timestamp> ;
[0053]步驟5:將第一存儲(chǔ)數(shù)據(jù)、第二存儲(chǔ)數(shù)據(jù)和第一備份數(shù)據(jù)建立為證據(jù)庫;
[0054]步驟6:根據(jù)證據(jù)庫,按照有效時(shí)間序列構(gòu)建證據(jù)圖,證據(jù)圖定義為EG(Evidence Graph)是一個(gè)有向圖,定義為二元組EG =〈V,E>,其中定點(diǎn)集合V包括事件向量中的所有對(duì) 象,是一個(gè)有窮非空集合,E是邊集合,E={〈S,T,Timestamp|S,TGV&&Path(S,T)>}是頂點(diǎn) 間關(guān)系的有窮集合,Path (S,T)表示從頂點(diǎn)S到頂點(diǎn)T的一條單向通路。;
[0055]步驟7:根據(jù)證據(jù)圖,通過VERA算法推理出嫌疑攻擊節(jié)點(diǎn),并模擬攻擊路線。
[0056]在上述步驟1中,通過異構(gòu)數(shù)據(jù)源收集原始數(shù)據(jù),以此保證網(wǎng)絡(luò)取證數(shù)據(jù)源的廣泛 性,由此可見網(wǎng)絡(luò)取證數(shù)據(jù)主要采取網(wǎng)絡(luò)數(shù)據(jù)包,再結(jié)合諸如日志的其他數(shù)據(jù)源構(gòu)成了異 構(gòu)數(shù)據(jù)源。
[0057]為確保原始證據(jù)的權(quán)威性和不可抵賴性,增加法律效力,一方面是需將收集到的 原始證據(jù)添加數(shù)字簽名后存儲(chǔ)備份。所以在上述步驟2中,將原始數(shù)據(jù)添加時(shí)間戳或數(shù)字簽 名后進(jìn)行存儲(chǔ),是為了對(duì)原始數(shù)據(jù)進(jìn)行加密,保證原始數(shù)據(jù)不被篡改,所以其他保證原始數(shù) 據(jù)不被篡改的方法仍然在本申請(qǐng)的技術(shù)范圍內(nèi)。
[0058]上述步驟3中,采用支持向量機(jī)SVM算法從第一存儲(chǔ)數(shù)據(jù)中分離出證據(jù),是為了能 夠有效刪除冗余數(shù)據(jù),進(jìn)而便于后繼處理生成證據(jù)圖。
[0059]上述步驟4中,是為了將證據(jù)統(tǒng)一格式,因?yàn)閺漠悩?gòu)數(shù)據(jù)源中獲得的數(shù)據(jù)格式會(huì)發(fā) 現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包與應(yīng)用程序日志文件格式不同,但是可以將其統(tǒng)一成事件向量的格式。則將 數(shù)據(jù)進(jìn)行標(biāo)記處理,統(tǒng)一證據(jù)的格式。在本實(shí)施例中,將事件向量定義為:EV(Event Vector) =〈ID, Source,Target,Operation,Timestamp〉,記為 Source_>Target,Target 稱為 目標(biāo),Source依賴于目標(biāo)Target,Source表示主體即入侵事件的實(shí)施者,Target表示客體即 入侵者所針對(duì)的目標(biāo),Operation是入侵者對(duì)目標(biāo)所做的操作,Timestamp是Operation所具 備的時(shí)間屬性。因而,通過分析證據(jù)的ID, Source, Target, Operation, Timestamp,則可了解 其事件向量指向的證據(jù)的信息。
[0060] 上述步驟4之后還包括:將原始數(shù)據(jù)進(jìn)行加密處理后備份存儲(chǔ),得到第一備份數(shù) 據(jù),并對(duì)第一儲(chǔ)存數(shù)據(jù)和第一備份數(shù)據(jù)添加索引,加以唯一索引便于證據(jù)分析時(shí)證據(jù)回溯。 將已經(jīng)構(gòu)建事件向量的證據(jù)與原始數(shù)據(jù)進(jìn)行一一對(duì)應(yīng)處理后進(jìn)行存儲(chǔ),得到第二存儲(chǔ)數(shù) 據(jù)。其中,一一對(duì)應(yīng)處理為:將證據(jù)的ID與原始數(shù)據(jù)的ID進(jìn)行對(duì)應(yīng),得到證據(jù)在原始數(shù)據(jù)中 的位置數(shù)據(jù);則第二存儲(chǔ)數(shù)據(jù)還包括位置數(shù)據(jù)。通過一一對(duì)應(yīng)處理后,則可通過得到的位置 信息掌握證據(jù)的來源以及其在原始數(shù)據(jù)中的具體位置,同樣是方便證據(jù)分析過程中證據(jù)回 溯。
[0061] 進(jìn)一步,上述所有步驟中得到的數(shù)據(jù)都可以是可視的。
[0062]上述步驟5中證據(jù)圖構(gòu)建算法為:
[0063]輸入:收集到的所有事件向量集合Set (EV)
[0064] 輸出:證據(jù)圖EG Foreach EV in Set (EV){ If (Host S is source of EV){ If(S not exist in EG) { Put S in EG } If (Host S is target of EV){
[0065] If(S not exist in EG) { Put S in EG } Put EV in EG; ) Return EG;
[0066]證據(jù)推理階段主要是根據(jù)上面生成的證據(jù)圖,結(jié)合VERA算法推理出攻擊節(jié)點(diǎn),并 將攻擊場(chǎng)景重現(xiàn)。VERA算法是由HITS算法部分優(yōu)化而來,HITS算法最先由Jon Kleinberg博 士于1997年提出,是一個(gè)網(wǎng)頁重要性分析的算法,HITS算法的基本思想是在網(wǎng)頁中識(shí)別出 一個(gè)子圖,該子圖的選擇依賴于用戶的查詢,然后對(duì)該子圖進(jìn)行鏈接分析,從中找出權(quán)威網(wǎng) 頁和目錄網(wǎng)頁。在本發(fā)明中,將VERA算法應(yīng)用在基于證據(jù)圖的網(wǎng)絡(luò)取證中。
[0067]在證據(jù)圖的VERA算法中,設(shè)定每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都具有兩個(gè)重要度:節(jié)點(diǎn)重要度 (NodeWorth)與鏈接重要度(LinkWorth)。節(jié)點(diǎn)重要度是指該主機(jī)所包含的漏洞重要性,鏈 接重要度是指所有指向該主機(jī)的鏈接來源主機(jī)的漏洞重要性。某網(wǎng)絡(luò)節(jié)點(diǎn)越重要就會(huì)被多 個(gè)重要連接所連接,重要的鏈接是因?yàn)檫B接了多個(gè)重要節(jié)點(diǎn)。因?yàn)榫W(wǎng)絡(luò)主機(jī)中包含比較重 大的漏洞,就會(huì)致使攻擊者更加容易的利用漏洞攻擊,因此在VERA算法中便將網(wǎng)絡(luò)主機(jī)中 的網(wǎng)絡(luò)漏洞重要性充分利用進(jìn)而推算出攻擊者以及攻擊路線。
[0068] VERA算法如下:
[0069 ]輸入:證據(jù)圖EG//與所有主機(jī)節(jié)點(diǎn)集合N = {n 1,n2,......,nn}
[0070] 輸出:節(jié)點(diǎn)重要度向量Y和鏈接重要度向量Z Foreach node n in EG { If (n.previous==null){ n, nworth: = Vuln ; // n, Nworth是節(jié)點(diǎn)n的節(jié)點(diǎn)重要度 n... lworth =]//-;// n. Lworth是節(jié)點(diǎn)n的鏈接重要度 / 4n } } Function CalNworthAndLworth (EG) { For step from 1 to k do //此算法迭代 k 次s
[0071] A norm =0; foreach node n in EG do n.nworth = 0; foreach node p in n.neighbors do n,iiworth += p. I worth; End norm 十=square(iLnworth); End norm = sqrt(norm); foreach node n in EG do n.nworth = n.nworth / norm; Put n.nworth in Y; End norm = 0; foreach node n in EG do n.l worth = 0; foreach node p in n.neighbors do n.lworth += p.nworth; End
[0072] norm += square(n.lworrh), End norm = sqrt(nonn); foreach node n in EG do n.lworth = n.lworth / norm; Put ii-lwortli in Z; End End return Y,Z }
[0073] Y = DescendSort(Y);//降序排列節(jié)點(diǎn)重要度向量 [0074] Z=AscendSort(Z);//升序排列節(jié)點(diǎn)鏈接重要度向量 [0075] VERA算法應(yīng)用在基于證據(jù)圖的網(wǎng)絡(luò)取證中的具體應(yīng)用為:
[0076] 1、將生成的證據(jù)圖用鄰接矩陣表示記為H,假設(shè)有所有主機(jī)節(jié)點(diǎn)集合N={ru, n 2,......,n n },對(duì)于任意主機(jī)節(jié)點(diǎn)n i均有n i G N,記y i為該主機(jī)節(jié)點(diǎn)的節(jié)點(diǎn)重要度 (NodeWorth),zi為該主機(jī)節(jié)點(diǎn)的鏈接重要度(LinkWorth),Ai為指向該主機(jī)節(jié)點(diǎn)的所有主機(jī) 集合,為被該主機(jī)指向的所有主機(jī)集合。
[0077] 2、初始化節(jié)點(diǎn)重要度向量y和鏈接重要度z,使得
[0078] fs
[0079] 3^ V? *1
[0080] (VulhVuh,…,Vuln)為各個(gè)主機(jī)節(jié)點(diǎn)的漏洞平均分。
[0081] 3、在第k步迭代時(shí),主機(jī)節(jié)點(diǎn)ni的主機(jī)重要度為由所有指向該主機(jī)的所有主機(jī) (AO鏈接重要度組成,即
[0082] /、.備
[0083] 矩陣表達(dá)式為:y = HTZ;
[0084] 4、在上一步中得到的新的節(jié)點(diǎn)重要度向量y之后,主機(jī)節(jié)點(diǎn)的鏈接重要度由它所 指向的所有主機(jī)節(jié)點(diǎn)(Bi)的主機(jī)重要度所組成,即
[0085] -
[0086] 矩陣表達(dá)式為:z = Hy;
[0087] 5、單位化由第三步和第四步計(jì)算得來的向量y,z,使得
[0089]然后,進(jìn)一步說明VERA算法的原理,記第K步得到的節(jié)點(diǎn)重要度向量和鏈接重點(diǎn)值 向量分別為yk和zk,其中:
[0090] # 媒◎參,滅f,# ?智|.屬|(zhì)洲,,
[0091] 在此處,VERA算法應(yīng)用于網(wǎng)絡(luò)取證時(shí),將y,z的初始向量賦值與網(wǎng)絡(luò)漏洞相關(guān)聯(lián), 采用網(wǎng)絡(luò)主機(jī)漏洞數(shù)據(jù)庫中漏洞評(píng)分計(jì)算平均分作為y,z的初始向量。然后根據(jù)算法步驟 3,4,5計(jì)算得出}^,2 1{。
[0092] /中存放的是所有網(wǎng)絡(luò)主機(jī)的節(jié)點(diǎn)重要度,將yk中的值從小到大排列,既是節(jié)點(diǎn)重 要度的從小到大排列。正如上文提到的,節(jié)點(diǎn)重要度與該節(jié)點(diǎn)中存在的漏洞有直接聯(lián)系,節(jié) 點(diǎn)(即網(wǎng)絡(luò)主機(jī))中存在漏洞越多,評(píng)分越高,則說明該節(jié)點(diǎn)越脆弱,因此該節(jié)點(diǎn)也越重要。 zk中存放的是所有網(wǎng)絡(luò)主機(jī)節(jié)點(diǎn)的鏈接重要度,將一中的值從小到大排列既是鏈接重要度 的從小到大排列順序。鏈接重要度越高表明該節(jié)點(diǎn)被多個(gè)重要主機(jī)相連接,即代表該主機(jī) 被攻擊的可能性越大。根據(jù)節(jié)點(diǎn)重要度與鏈接重要度的定義可知:理論上節(jié)點(diǎn)重要度最高 的主機(jī)代表攻擊者,連接重要度最高的主機(jī)代表受害者,將攻擊者與受害者帶入證據(jù)圖,排 列之后的y k,zk以及弱點(diǎn)關(guān)聯(lián)性理論上即可得出攻擊路線,由此重建攻擊場(chǎng)景,將其作為證 據(jù)鏈提供給相關(guān)部門。
[0093] 針對(duì)上述方法,本發(fā)明還公開了一種證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證系統(tǒng), 如圖2所示,其包括收集模塊,收集模塊用于從異構(gòu)數(shù)據(jù)源中收集原始數(shù)據(jù);存儲(chǔ)模塊,存儲(chǔ) 模塊用于將原始數(shù)據(jù)進(jìn)行存儲(chǔ),得到第一存儲(chǔ)數(shù)據(jù);規(guī)范化模塊,規(guī)范化模塊用于采用分類 識(shí)別算法從第一存儲(chǔ)數(shù)據(jù)中分離出證據(jù),以及對(duì)證據(jù)進(jìn)行標(biāo)記處理,得到證據(jù)的事件向量; 構(gòu)建模塊:構(gòu)建模塊用于將第一存儲(chǔ)數(shù)據(jù)、證據(jù)和事件向量建立為證據(jù)庫,以及根據(jù)證據(jù) 庫,按照有效時(shí)間序列構(gòu)建證據(jù)圖;推理模塊:推理模塊用于根據(jù)證據(jù)圖,通過VERA算法推 理出嫌疑攻擊節(jié)點(diǎn),并模擬攻擊路線。并且,上述各個(gè)模塊不單單具有上述功能,其中,收集 模塊可執(zhí)行權(quán)利要求1-7任一項(xiàng)的步驟1;存儲(chǔ)模塊可執(zhí)行權(quán)利要求1-7任一項(xiàng)的步驟2;規(guī) 范化模塊可執(zhí)行權(quán)利要求1-7任一項(xiàng)的步驟3和步驟4;構(gòu)建模塊可執(zhí)行權(quán)利要求1-7任一項(xiàng) 的步驟5和步驟6;推理模塊可執(zhí)行權(quán)利要求1-7任一項(xiàng)的步驟7。其中,規(guī)范化模塊還可將原 始數(shù)據(jù)進(jìn)行加密處理后備份存儲(chǔ),得到第一備份數(shù)據(jù),并對(duì)第一儲(chǔ)存數(shù)據(jù)和第一備份數(shù)據(jù) 添加索引;并將已經(jīng)構(gòu)建事件向量的證據(jù)與原始數(shù)據(jù)進(jìn)行一一對(duì)應(yīng)處理后進(jìn)行存儲(chǔ),得到 第二存儲(chǔ)數(shù)據(jù)。
[0094]進(jìn)一步,收集模塊、規(guī)范化模塊、構(gòu)建模塊和推理模塊均包括顯示單元,顯示單元 用于將處理所得的數(shù)據(jù)進(jìn)行可視化顯示。對(duì)于該系統(tǒng)的工作原理同上述方法的原理相同, 故不再作詳細(xì)陳述。
[0095]以上僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人 員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、 等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1. 一種證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,其特征在于,包括: 步驟1:從異構(gòu)數(shù)據(jù)源中收集原始數(shù)據(jù); 步驟2:將所述原始數(shù)據(jù)進(jìn)行存儲(chǔ),得到第一存儲(chǔ)數(shù)據(jù); 步驟3:采用分類識(shí)別算法從所述第一存儲(chǔ)數(shù)據(jù)中分離出證據(jù); 步驟4:對(duì)所述證據(jù)進(jìn)行標(biāo)記處理,得到所述證據(jù)的事件向量; 步驟5:將所述第一存儲(chǔ)數(shù)據(jù)、所述證據(jù)和所述事件向量建立為證據(jù)庫; 步驟6:根據(jù)所述證據(jù)庫,按照有效時(shí)間序列構(gòu)建證據(jù)圖; 步驟7:根據(jù)所述證據(jù)圖,通過VERA算法推理出嫌疑攻擊節(jié)點(diǎn),并模擬攻擊路線。2. 如權(quán)利要求1所述的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,其特征在于,所述步 驟1中的異構(gòu)數(shù)據(jù)源包括:網(wǎng)絡(luò)數(shù)據(jù)包、IDS系統(tǒng)日志文件、殺毒軟件日志文件、IIS服務(wù)器日 志文件、FTP服務(wù)器日志文件或防火墻日志文件; 和/或, 所述步驟2中在進(jìn)行存儲(chǔ)之前還包括:將所述原始數(shù)據(jù)添加時(shí)間戳或數(shù)字簽名;和/或, 所述步驟3中的分類識(shí)別算法為支持向量機(jī)SVM算法。3. 如權(quán)利要求1所述的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,其特征在于,所述步 驟4包括: 獲取所有證據(jù)的地址ID、目標(biāo)Target、操作Operation或時(shí)間屬性Timestamp; 將地址ID、目標(biāo)Target、操作Operation或時(shí)間屬性Time stamp標(biāo)記為所述證據(jù)的事件 向量。4. 如權(quán)利要求1所述的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,其特征在于,所述步 驟4之后,步驟5之前還包括: 將所述原始數(shù)據(jù)進(jìn)行加密處理后備份存儲(chǔ),得到第一備份數(shù)據(jù),并對(duì)第一儲(chǔ)存數(shù)據(jù)和 第一備份數(shù)據(jù)添加索引; 將已經(jīng)構(gòu)建事件向量的證據(jù)與所述原始數(shù)據(jù)進(jìn)行一一對(duì)應(yīng)處理后進(jìn)行存儲(chǔ),得到第二 存儲(chǔ)數(shù)據(jù); 貝1J,所述步驟5為:將將所述第一存儲(chǔ)數(shù)據(jù)、第二存儲(chǔ)數(shù)據(jù)和所述第一備份數(shù)據(jù)建立為 證據(jù)庫。5. 如權(quán)利要求6所述的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,其特征在于,所述加 密處理為添加數(shù)字簽名;和/或, 所述一一對(duì)應(yīng)處理為:將所述證據(jù)的ID與所述原始數(shù)據(jù)的ID進(jìn)行對(duì)應(yīng),得到所述證據(jù) 在所述原始數(shù)據(jù)中的位置數(shù)據(jù);則所述第二存儲(chǔ)數(shù)據(jù)還包括所述位置數(shù)據(jù)。6. 如權(quán)利要求1所述的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,其特征在于,所述步 驟7包括: 將所述證據(jù)圖用鄰接矩陣表示,確定所有的主機(jī)節(jié)點(diǎn); 通過VERA算法推理出嫌疑攻擊節(jié)點(diǎn):分別初始化所有主機(jī)節(jié)點(diǎn)的節(jié)點(diǎn)重要度和鏈接重 要度的向量,其中節(jié)點(diǎn)重要度是指主機(jī)所包含的漏洞重要性,鏈接重要度是指所有指向主 機(jī)的鏈接來源主機(jī)的漏洞重要性;根據(jù)所述鄰接矩陣,經(jīng)過一步以上的迭代計(jì)算,得到收斂 的節(jié)點(diǎn)重要度和鏈接重要度的向量;將節(jié)點(diǎn)重要度的值按從大到小排列并輸出;將鏈接重 要度的值按從小到達(dá)排列并輸出; 根據(jù)所述節(jié)點(diǎn)重要度的值和鏈接重要度的值模擬攻擊路線。7. 如權(quán)利要求6所述的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證方法,其特征在于,VERA算 法推理出嫌疑攻擊節(jié)點(diǎn)的過程包括: S1:將所述證據(jù)圖用鄰接矩陣表示H,將所有主機(jī)節(jié)點(diǎn)的集合記為N={m,n2,……,nn}; S2:將主機(jī)節(jié)點(diǎn)m的節(jié)點(diǎn)重要度記為yi、鏈接重要度記為Zl; S3:初始化節(jié)點(diǎn)重要度向量/={Λ,5Λ,……和鏈接重要度……, zU,分別使得其平方和為1; S4:第k步迭代時(shí),主機(jī)節(jié)點(diǎn)m的主機(jī)重要度3/;1為:S5:新的節(jié)點(diǎn)重要度向量y之后,主機(jī)節(jié)點(diǎn)的鏈接重要度21為:S6:將所得的向量y和z進(jìn)行單位化處理,分別使得其平方和為1; S7:判斷向量y和z是否收斂,若不收斂,則重復(fù)S4-S6,否則結(jié)束; S8:將節(jié)點(diǎn)重要度向量中y的值按從大到小排列并輸出;將鏈接重要度向量中z的值按 從小到達(dá)排列并輸出。8. -種證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證系統(tǒng),其特征在于,包括: 收集模塊,所述收集模塊用于從異構(gòu)數(shù)據(jù)源中收集原始數(shù)據(jù); 存儲(chǔ)模塊,所述存儲(chǔ)模塊用于將所述原始數(shù)據(jù)進(jìn)行存儲(chǔ),得到第一存儲(chǔ)數(shù)據(jù); 規(guī)范化模塊,所述規(guī)范化模塊用于采用分類識(shí)別算法從所述第一存儲(chǔ)數(shù)據(jù)中分離出證 據(jù),以及對(duì)所述證據(jù)進(jìn)行標(biāo)記處理,得到所述證據(jù)的事件向量; 構(gòu)建模塊:所述構(gòu)建模塊用于將所述第一存儲(chǔ)數(shù)據(jù)、所述證據(jù)和所述事件向量建立為 證據(jù)庫,以及根據(jù)所述證據(jù)庫,按照有效時(shí)間序列構(gòu)建證據(jù)圖; 推理模塊:所述推理模塊用于根據(jù)所述證據(jù)圖,通過VERA算法推理出嫌疑攻擊節(jié)點(diǎn),并 模擬攻擊路線。9. 如權(quán)利要求8所述的證據(jù)圖與漏洞推理相結(jié)合的網(wǎng)絡(luò)取證系統(tǒng),其特征在于,所述收 集模塊、規(guī)范化模塊、構(gòu)建模塊和推理模塊均包括顯示單元,顯示單元用于將處理所得的數(shù) 據(jù)進(jìn)行可視化顯示。
【文檔編號(hào)】H04L29/06GK105959328SQ201610561639
【公開日】2016年9月21日
【申請(qǐng)日】2016年7月15日
【發(fā)明人】何涇沙, 常成月, 肖起, 李亞萌, 方靜
【申請(qǐng)人】北京工業(yè)大學(xué)