CN101572633B - 网络取证方法及系统 - Google Patents
网络取证方法及系统 Download PDFInfo
- Publication number
- CN101572633B CN101572633B CN2009100834572A CN200910083457A CN101572633B CN 101572633 B CN101572633 B CN 101572633B CN 2009100834572 A CN2009100834572 A CN 2009100834572A CN 200910083457 A CN200910083457 A CN 200910083457A CN 101572633 B CN101572633 B CN 101572633B
- Authority
- CN
- China
- Prior art keywords
- plain text
- analysis
- network connection
- forensics
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络取证方法及系统,其中,所述方法包括:从被监控网络中捕获流经网络的数据流;从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录;存储所述纯文本选段以及所述纯文本选段对应的网络连接记录;确定进行取证分析时,根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。所述方法及系统在与现有技术所述网络取证系统相同的存储空间下,能够存储更长时间范围内的网络取证基础数据,进而能够实现对更长时间范围内事件的取证。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种网络取证方法及系统。
背景技术
网络失泄密事件是指通过网络发生的机密内容的非法传输与泄露。网络失泄密事件将对国家和军队安全造成严重威胁。
目前,对网络失泄密事件进行调查取证的方法主要为:将IP层的所有网络数据完整的记录下来,以备后续的追踪和取证分析,这里,可以将存储的支持后续取证分析的网络数据称为网络取证基础数据;当进行取证分析时,首先重组网络报文重建网络连接,逐层解析网络协议,最终得到用户层内容。上述对于网络失泄密事件的调查取证方法能够实现对网络用户传输的内容的完整记录和还原。
但是,发明人发现:这种取证方法所需要存储的数据量庞大,无法存储较长时间范围内的网络取证基础数据,进而导致无法对较早时间发生的失泄密事件进行调查取证。
发明内容
有鉴于此,本发明要解决的技术问题是,提供一种网络取证方法及系统,在相同的存储空间下,能够存储更长时间范围内的网络取证基础数据,进而能够实现对更长时间范围内事件的取证。
为此,本发明实施例采用如下技术方案:
本发明实施例提供一种网络取证方法,包括:
从被监控网络中捕获流经网络的数据流;
从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录;
存储所述纯文本选段以及所述纯文本选段对应的网络连接记录;
确定进行取证分析时,根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。
其中,所述网络连接记录至少包括:所述纯文本选段对应的IP对和传输行为的发生时间。
所述根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析具体为:
获取待取证分析纯文本片段,搜索存储的纯文本选段中是否包含所述待取证分析纯文本片段,如果是,获取包含所述待取证分析纯文本片段的纯文本选段对应的网络连接记录;
根据搜索结果以及获取到的所述网络连接记录分析得到取证分析结果。
所述搜索之前进一步包括:
获取待查询时间段,根据网络连接记录查询存储的所述纯文本选段中,传输行为的发生时间位于所述待查询时间段内的纯文本选段;
相应的,搜索的所述存储的纯文本选段具体为:查询得到的所述传输行为发生时间位于所述待查询时间段内的纯文本选段。
所述存储所述纯文本选段以及所述纯文本选段对应的网络连接记录具体为:
存储所述纯文本选段对应的网络连接记录;将所述纯文本选段分割切片为第一纯文本片段,将所述第一纯文本片段对应的IP对附加在所述第一纯文本片段上,得到带地址信息的第一纯文本片段,之后,对所述带地址信息的第一纯文本片段进行映射变换,得到第二纯文本片段,存储所述第二纯文本片段。
所述根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析具体为:
获取待查询时间段,从存储的所述网络连接记录中查询传输行为的发生时间位于所述待查询时间段内的网络连接记录所包含的IP对;获取待取证分析纯文本,将所述待取证分析纯文本分割切片为第一待取证分析纯文本片段;
将查询得到的所述网络连接记录所包含的IP对逐一附加到每个第一待取证分析纯文本片段上,形成带地址信息的第一待取证分析纯文本片段,对所述带地址信息的第一待取证分析纯文本片段进行映射变换,得到第二待取证分析纯文本片段;
搜索存储的所述第二纯文本片段中是否包含所述第二待取证分析纯文本片段,如果是,获取所述第二待取证分析纯文本片段对应的IP对;
根据搜索结果以及获取到的第二待取证分析纯文本片段对应的IP对分析得到取证分析结果。
将所述纯文本选段分割切片之前进一步包括:对所述纯文本选段统一编码。
所述从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录具体为:
从所述数据流中提取网络连接记录;将所述数据流按照网络协议逐层解析,得到所述数据流中包含的用户发送内容的纯文本选段。
所述映射变换为:简单的hash映射变换,或者,布隆滤波映射变换。
本发明实施例还提供一种网络取证系统,包括:
捕获单元,用于从被监控网络中捕获流经网络的数据流;
提取单元,用于从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录;
存储单元,用于存储所述纯文本选段以及所述纯文本选段对应的网络连接记录;
取证分析单元,用于确定进行取证分析时,根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。
所述网络连接记录至少包括:所述纯文本选段对应的IP对和传输行为发生时间。
取证分析单元具体包括:
第一搜索子单元,用于获取待取证分析纯文本片段,搜索存储的纯文本选段中是否包含所述待取证分析纯文本片段,如果是,获取包含所述待取证分析纯文本片段的纯文本选段对应的网络连接记录;
第一分析子单元,用于根据第一搜索子单元的搜索结果以及获取到的所述网络连接记录分析得到取证分析结果。
取证分析单元还包括:
第一查询子单元,用于获取待查询时间段,根据网络连接记录查询存储单元存储的纯文本选段中,传输行为的发生时间位于所述待查询时间段内的纯文本选段,将查询结果发送给第一搜索子单元。
存储单元具体包括:
第一切片子单元,用于将所述纯文本选段分割切片为第一纯文本片段,将所述第一纯文本片段对应的IP对附加在所述第一纯文本片段上,得到带地址信息的第一纯文本片段;
第一映射子单元,用于对所述带地址信息的第一纯文本片段进行映射变换,得到第二纯文本片段;
存储子单元,用于存储所述纯文本选段对应的网络连接记录;还用于存储第一映射子单元映射变换得到的所述第二纯文本片段。
取证分析单元具体包括:
第二查询子单元,用于获取待查询时间段,从存储的所述网络连接记录中查询传输行为发生时间位于所述时间段内的网络连接记录所包含的IP对;
第二切片子单元,用于获取待取证分析纯文本,将所述待取证分析纯文本分割切片为第一待取证分析纯文本片段;将第二查询子单元查询得到的所述网络连接记录所包含的IP对逐一附加到每个第一待取证分析纯文本片段上,形成带地址信息的第一待取证分析纯文本片段;
第二映射子单元,用于对所述带地址信息的第一待取证分析纯文本片段进行映射变换,得到第二待取证分析纯文本片段;
第二搜索子单元,用于搜索存储的所述第二纯文本片段中是否包含所述第二待取证分析纯文本片段,如果是,获取包含所述第二待取证分析纯文本片段的所述第二纯文本片段对应的IP对;
第二分析子单元,用于根据第二搜索子单元的搜索结果以及获取到的第二待取证分析纯文本片段对应的IP对分析得到取证分析结果。
存储单元还包括:
编码子单元,用于对提取单元提取到的所述纯文本选段统一编码,将统一编码后的所述纯文本选段发送给第一切片子单元。
提取单元具体用于:从所述数据流中提取网络连接记录;将所述数据流按照网络协议逐层解析,得到所述数据流中包含的用户发送内容的纯文本选段。
所述映射变换为:简单的hash映射变换,或者,布隆滤波映射变换。
对于上述技术方案的技术效果分析如下:
从数据流中提取出纯文本选段以及网络连接记录进行对应存储,相较于现有技术中直接进行数据流的存储,减少了所需存储的数据量,从而在与现有技术同样的存储空间下,可以存储更长时间范围内的网络取证基础数据,实现了真正意义上的网络失泄密事件取证。而且,在取证分析阶段,无需重组网络报文重建网络连接并逐层解析网络协议过程,即可获取到用户信息层的纯文本选段,从而缩短了取证分析时间,加快了取证分析速度。
附图说明
图1为本发明实施例一种网络取证方法流程示意图;
图2为本发明实施例另一种网络取证方法流程示意图;
图3为本发明实施例另一种网络取证方法流程示意图;
图4为本发明实施例一种网络取证系统结构示意图;
图5为本发明实施例另一种网络取证系统结构示意图;
图6为本发明实施例另一种网络取证系统结构示意图。
具体实施方式
网络失泄密事件取证中,一方面不能预知失泄密的内容,同时,也无法预测什么时候会发生失泄密事件。因此,对于网络失泄密事件取证来说,既要求网络取证系统可以在不需要事先预定义特征字符串或其他特征的情况下对网络中传输过的数据实施事后的取证分析;同时,还要求能够在不增加额外存储设备的条件下,将用于支撑事后取证分析的网络取证基础数据保存尽可能长的时间,以便支持对较长时间之前发生的失泄密事件的取证。
目前,对网络失泄密事件进行调查取证的方法由于通常存储的都是网络层通信数据,除了包含用户传输的实际内容外,还包含了大量的网络协议结构数据和对于内容取证无关的控制类数据,导致网络取证系统需要存储的数据量非常庞大。一般的,现有网络取证系统中捕获引擎的海量存储单元可以保存负载为5%的全双工千兆位网络中2天半的流量记录,当该引擎的RAID存储阵列满了之后,新记录将覆盖旧记录。另外,由于现有网络取证系统中通常存储的都是网络层通信数据,因此,进行取证分析时,需要首先重组网络报文重建网络连接,逐层解析网络协议,最终得到用户信息层数据,这种数据处理方式需要大量的时间,严重影响了取证分析的速度。
基于以上分析,本发明实施例提供网络取证方法及系统,在存储之前,即从捕获的数据流中提取出用户信息层数据(本发明实施例中将每个数据流中提取出的用户信息层数据称为纯文本选段),从而相较于存储所述数据流,减少了对于存储空间的占用量,在相同的存储空间下,能够保存更长时间内的网络取证基础数据。进而,还可以在进行纯文本选段的存储时,将纯文本选段分割切片为纯文本片段,并进行映射变换后再存储,进一步减少对存储空间的占用,从而延长网络取证基础数据的存储时间。而且,通过对数据进行映射变换,可以进一步提高取证分析过程中的查询速度,进而进一步缩短取证分析所需时间。
以下,结合附图详细说明本发明实施例网络取证方法及系统的实现。
图1为本发明实施例一种网络取证方法流程示意图,如图1所示,包括:
步骤101:从被监控网络中捕获流经网络的数据流。
其中,具体如何从被监控网络中捕获数据流可以使用现有技术中的相关技术完成,这里不再赘述。
具体的,本步骤可以通过网络数据捕获接口完成所述捕获。
步骤102:从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录。
这里的纯文本选段是指数据流中用户传输内容中的文本部分,所述文本部分通过纯文本形式表示。
其中,如图从数据流中提取网络连接记录可以使用现有技术中的相关技术完成,这里不赘述。网络连接记录可以但不限于使用形如<起始时间,终止时间;源IP,目的IP>的方式存储。
其中,本步骤中所述从数据流中提取纯文本选段具体可以为:将所述数据流按照网络协议逐层解析,得到所述数据流的纯文本选段。
进一步地,如何按照网络协议逐层解析数据流取决于实际应用中具体使用的网络协议。例如,文字类型内容在网络和计算机系统中的表示与存在形式具有多层次性,层次从高到低,依次可以为:用户信息层、纯文本表示层、应用软件层、网络应用层、网络传输层等。以此为例,所述将所述数据流按照网络协议逐层解析,得到所述数据流中用户传输内容的纯文本选段具体可以为:
A、网络传输层解析:过滤掉数据流中用于传输控制或其他类型的、与文本内容取证无关的报文,如ICMP(Internet Control Message Protocol,互联网控制信息协议)报文、视频数据流等,并将IP层的网络数据包进行报文重组,形成网络传输层的完整连接。
B、网络应用层解析:对网络传输层连接进行进一步的协议解码,得到网络应用层,如FTP(File Transfer Protocol,文件传输协议)、HTTP(HyperTextTransfer Protocol,超文本传输协议)等的内容。
C、应用软件层解析:在网络应用层内容的基础上,进一步解析,获得用户应用软件层的内容,如txt、doc、ppt、pdf文档等。
D、纯文本表示层解析:抽取出txt、doc、ppt、pdf等文档中的文本部分,得到用户信息层的不带字体、字号、颜色等格式信息的纯文本选段。
通过上述步骤A~D的从数据流中提取用户信息层内容的过程,剔除了数据流中文本格式信息、网络协议头部及控制信息、视频信息等大量的网络文本内容取证无用数据,从而减少了需要存储的数据量。
步骤103:存储所述纯文本选段以及所述纯文本选段对应的网络连接记录。
其中,网络连接记录中至少包括:所述纯文本选段对应的IP对和传输行为的发生时间。所述IP对为:所述纯文本选段对应的源IP以及目的IP。所述传输行为的发生时间包括:纯文本选段对应数据流进行传输行为的起始时间以及终止时间。
具体如何存储可参照图2所示的步骤203,直接对应存储所述纯文本选段和网络连接记录;或者,也可以如图3的步骤303~步骤306所示,将纯文本选段分割切片为纯文本片段,进行映射变换后存储,或者,也可以使用其他的存储方法,这里并不限制。在存储形式上,可以使用数据库进行上述数据的对应存储。
步骤104:确定进行取证分析时,根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。
具体如何进行取证分析取决于步骤103中如何进行纯文本选段的存储,例如,直接存储所述纯文本选段时,如图2所示,可以使用图2中步骤204~步骤206的取证分析过程完成;将纯文本选段进行分割切片以及映射变换后存储时,如图3所示,可以使用图3中步骤307~步骤312的取证分析过程完成。
图1所示的本发明实施例,从数据流中提取出纯文本选段以及网络连接记录进行对应存储,相较于现有技术中直接进行数据流的存储,减少了所需存储的数据量,从而在与现有技术同样的存储空间下,可以存储更长时间范围内的网络取证基础数据,实现了真正意义上的网络失泄密事件取证。在取证分析阶段无需重组网络报文重建网络连接,逐层解析网络协议,从而缩短了取证分析时间,加快了取证分析速度。
图2所示的本发明实施例网络取证方法,直接进行纯文本选段的存储。如图2所示,该网络取证方法包括如下步骤:
步骤201~步骤202可参照步骤101~步骤102,这里不再赘述。
步骤203:对应存储所述纯文本选段以及所述纯文本选段对应的网络连接记录,形成文本数据库。
之后,确定进行取证分析时,根据所述文本数据库进行取证分析具体可以通过步骤204~步骤206完成:
步骤204:获取待查询时间段,根据网络连接记录查询存储的纯文本选段中,传输行为发生时间位于所述待查询时间段内的纯文本选段。
其中,失泄密事件的取证分析一般在发现某机密内容被泄露出去后启动,因此,一般可以由调查员等估计出该失泄密事件发生的大致时间段,本步骤中所述获取待查询时间段,即获取调查员估计出的所述大致时间段。具体的,可以通过为调查员提供输入界面等方式完成所述获取。
步骤204为可选步骤,执行目的在于:缩小后续步骤205中的搜索范围,从而缩短取证分析时间。如不执行步骤204,则步骤205中的搜索范围将是存储的所有纯文本选段。
步骤205:获取待取证分析纯文本片段,搜索步骤204中查询得到的所述纯文本选段中是否包含所述待取证分析纯文本片段,获取包含所述待取证分析纯文本片段的纯文本选段对应的网络连接记录。
其中,参照步骤204中的描述,本步骤中所述待取证分析纯文本一般由所述调查员在发生某机密内容泄露后确定,执行本发明实施例所述网络取证方法的实体可以通过向调查员提供相应的文本输入界面完成所述待取证分析纯文本片段的获取。
而且,为了后续步骤中得到的取证分析结果的准确性,除非确定了失泄密的具体内容,从而直接使用所述失泄密内容作为待取证分析纯文本片段,进行本步骤中的所述搜索,否则,本步骤中所述待取证分析纯文本片段一般不能过长,以免在搜索过程中无法搜索到所述待取证分析文本,从而发生漏报的情况,具体文本片段的长度并不限制,可以在实际应用中自主设定。在实际应用中,可以限定调查员输入文本的长度;或者,也可以通过分割切片以及关键词提取等方法对获取到的待取证分析纯文本进行片段的划分,得到待取证分析纯文本片段,此时,本步骤中所述获取待取证分析纯文本片段具体可以为:获取待取证分析纯文本,将所述纯文本分割切片为待取证分析纯文本片段。
步骤204查询得到的纯文本选段一般不止一个,因此,本步骤中需依次在查询得到的每个所述纯文本选段中执行所述搜索,直至在查询得到的最后一个所述纯文本选段中搜索完毕,获取到所有包含所述待取证分析纯文本片段的纯文本选段对应的网络连接记录,之后,执行步骤206。
步骤206:根据所述搜索结果以及获取到的所述网络连接记录分析得到取证分析结果。
在本步骤中,可以分析各个待取证分析纯文本片段是否均由同一个IP对进行了传输,如果是,则可以完全判定所述IP对之间存在失泄密事件,或者,也可以设定百分比阈值,确定某一IP对之间传输的待取证分析纯文本片段数量超过待取证分析纯文本片段总数量的某一百分比阈值时,认定该IP对之间存在失泄密事件。
具体的,对获取到的所述网络连接记录进行分析,即可得到网络连接记录中IP对对应用户在传输行为的发生时间记载的时间进行了待取证分析纯文本片段的传输。
在上述取证分析结果的基础上,还可以进一步启动针对进行待取证分析纯文本片段传输的源IP对应主机的主机取证操作,且可以将对所述主机的日志分析等取证操作聚焦于传输行为的发生时间所记载的时间或时间段内,从而帮助调查员快速确定嫌疑主机以及事件发生时间或时间段等。
图2所示的本发明实施例,直接对应存储纯文本选段以及网络连接记录;直接根据所述纯文本选段以及网络连接记录进行取证分析;相较于现有技术中直接进行网络层数据流的存储,减少了所需存储的数据量,从而在与现有技术同样的存储空间下,可以存储更长时间范围内的网络取证基础数据,实现了真正意义上的网络失泄密事件取证。在取证分析阶段无需重组网络报文重建网络连接,逐层解析网络协议,从而缩短了取证分析时间,加快了取证分析速度。
图3为本发明实施例另一种网络取证方法流程示意图,其中,在进行纯文本选段的存储时,将每个纯文本选段进行分割切片,之后进行映射变换,得到第二纯文本片段进行存储;相应的,进行取证分析时,将待取证分析文本使用同样的方法进行分割切片以及映射变换,得到第二待取证分析纯文本片段之后再进行查询。如图3所示,该网络取证方法包括:
步骤301~步骤302的执行可参照步骤101~步骤102,这里不再赘述。
所述存储所述纯文本选段以及所述纯文本选段对应的网络连接记录可以通过步骤303~步骤306实现。
步骤303:存储网络连接记录。
步骤304:对所述纯文本选段进行统一编码。
例如,可以使用utf-8等编码方式进行编码。本步骤为可选步骤,如果纯文本选段的格式统一,则不需要执行本步骤。
本发明实施例通过步骤302提取数据流中纯文本选段,并进行统一编码,从而,在进行后续取证分析时,不必关心或了解用户信息层机密内容的具体表现和传输形式。而由于现有技术网络取证方法保存的是原始网络数据,其只有在掌握了机密内容的具体编码表示和传输形式之后才能生成相应的特征字符串进行匹配搜索;否则,将出现漏报的情况。从这个角度上来说,本发明实施例网络取证方法不但对取证分析的先验知识要求更低,且出现漏报的概率更低。
步骤305:将统一编码后的纯文本选段分割切片为第一纯文本片段,将所述第一纯文本片段对应的IP对附加在所述第一纯文本片段上,得到带地址信息的第一纯文本片段。
具体的,如何进行纯文本选段的分割切片可以使用现有技术中的相关技术完成,这里不再赘述。
本步骤中所述第一纯文本片段中的第一意在与后续步骤306中映射变换后的所述带地址信息的纯文本片段进行区分,从而将本步骤中所述纯文本片段称为第一纯文本片段,将后续映射变换后的带地址信息的纯文本片段称为第二纯文本片段。
第一纯文本片段对应的IP对也即:第一纯文本片段所属纯文本选段对应的IP对,从纯文本选段对应的网络连接记录中获取。
步骤306:对所述带地址信息的第一纯文本片段进行映射变换,得到第二纯文本片段,存储所述第二纯文本片段。
其中,所述映射变换可以为:简单的hash映射变换或布隆滤波映射变换等,一般的,布隆滤波映射变换的效果要好于所述简单的hash映射变换。
将纯文本选段切片为纯文本片段,对纯文本片段进行映射变换后存储,相较于直接存储纯文本选段,可以以较小概率的误报概率和不支持原始信息恢复的代价来换得非常高的空间存储效率。例如:当误报概率=0.00001时,空间存储效率可提高约50倍。即:相同的存储单元,如果使用现有技术直接存储纯文本选段的方式可存储2天半的网络取证基础数据,则本发明实施例中先提取纯文本选段再分割切片、进行映射变换后存储,可保存约4个月的网络取证基础数据,即:可以对4个月内发生的失泄密事件进行取证。相较于现有技术中直接存储数据流的存储方式,效果将更加明显,这里不赘述。
其中,步骤303的执行顺序还可以在步骤304~步骤306之间变化,或者,也可以在步骤306之后执行,这里并不限制。
进行取证分析的过程可以通过以下步骤307~步骤312的过程实现:
步骤307:获取待查询时间段,从存储的所述网络连接记录中查询传输行为的发生时间位于所述时间段内的网络连接记录所包含的IP对。
具体如何获取待查询时间段可参考步骤204中的相关描述这里不再赘述。
步骤308:获取待取证分析纯文本,将所述待取证分析纯文本分割切片为第一待取证分析纯文本片段。
具体如何获取待取证分析纯文本可参考步骤205中的相关描述,这里不再赘述。
另外,本步骤中对待取证分析纯文本进行分割切片时,一般需要使用与步骤305中相同的分割切片方法,以便在后续取证分析中可以获得准确分析结果。
步骤307和步骤308也可以同时执行或调换执行顺序,这里并不限制。
步骤309:将查询得到的所述网络连接记录所包含的IP对逐一附加到每个待取证分析的纯文本片段上,形成带地址信息的第一待取证分析纯文本片段。
本步骤中所述待取证分析纯文本片段中的第一意在与后续步骤310中映射变换后的所述带地址信息的待取证分析纯文本片段进行区分,从而将本步骤中所述待取证分析纯文本片段称为第一待取证分析纯文本片段,将后续映射变换后的带地址信息的待取证分析纯文本片段称为第二待取证分析纯文本片段。
步骤310:对所述带地址信息的第一待取证分析纯文本片段进行映射变换,得到第二待取证分析纯文本片段。
步骤311:查询存储的所述第二纯文本片段中是否包含所述第二待取证分析纯文本片段,如果是,获取所述第二待取证分析纯文本片段对应的IP对。
本步骤中所述查询具体可以为:在存储所述第二纯文本片段的存储实体中进行成员查询,也即:查询所述存储实体中是否存在所述第二待取证分析纯文本片段。
由于在步骤309中为第一待取证分析纯文本片段附加了IP对,之后经过映射变换得到了第二待取证分析纯文本片段,因此,本步骤中所述获取第二待取证分析纯文本片段对应的IP对,也即:获取第二待取证分析纯文本片段对应的第一待取证分析纯文本片段被附加的IP对。
步骤312:根据所述搜索结果以及获取到的所述第二纯文本片段对应的IP对分析得到取证分析结果。
在本步骤中,可以分析各个待取证分析纯文本片段是否均由同一个IP对进行了传输,如果是,则可以完全判定所述IP对之间存在失泄密事件,或者,也可以设定百分比阈值,确定某一IP对之间传输的待取证分析纯文本片段数量超过待取证分析纯文本片段总数量的某一百分比阈值时,认定该IP对之间存在失泄密事件。
另外,本步骤中,可以根据所述IP对到存储的网络连接记录中进行查询,得到待查询时间段内,IP对之间进行数据传输的具体传输行为的发生时间,进而估计失泄密事件大致的发生时间或时间段。
在上述取证分析结果的基础上,还可以进一步启动针对进行待取证分析纯文本片段传输的源IP对应主机的主机取证操作,且可以将对所述主机的日志分析等取证操作聚焦于传输行为的发生时间所记载的时间或时间段内,从而帮助调查员快速确定嫌疑主机以及事件发生时间或时间段等。
图3所示的本发明实施例网络取证方法在图2所示方法的基础上,进一步地,在进行纯文本选段的存储时,将每个纯文本选段进行分割切片,之后进行映射变换,得到第二纯文本片段进行存储;相应的,进行取证分析时,将待取证分析文本使用同样的方法进行分割切片以及映射变换,得到第二待取证分析纯文本片段之后再进行查询;从而在存储时,通过将纯文本选段分割切片后进行映射变换,进一步减少了所述纯文本选段对存储空间的占用量,使得在相同的存储空间下,相较于图2所示的方法可以存储更长时间范围内的网络取证基础数据;在取证分析时,同样对待取证分析纯文本进行分割切片和映射变换,从而使得查询过程更加快速、高效。
图4为本发明实施例一种网络取证系统结构示意图,如图4所示,包括:捕获单元410、提取单元420、存储单元430、以及取证分析单元440;其中,
捕获单元410,用于从被监控网络中捕获流经网络的数据流。
提取单元420,用于从捕获单元410捕获的所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录。
提取单元420具体用于:从所述数据流中提取网络连接记录;将所述数据流按照网络协议逐层解析,得到所述数据流的纯文本选段。
存储单元430,用于存储提取单元420提取到的所述纯文本选段以及所述纯文本选段对应的网络连接记录。
取证分析单元440,用于确定进行取证分析时,根据存储单元430存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。
图4所示的本发明实施例中,提取单元420从数据流中提取出纯文本选段以及网络连接记录,由存储单元430进行对应存储,相较于现有技术中直接进行数据流的存储,减少了所需存储的数据量,从而在与现有技术同样的存储空间下,存储单元430可以存储更长时间范围内的网络取证基础数据,真正意义上实现了网络失泄密事件的取证。而且,在取证分析阶段取证分析单元440无需重组网络报文重建网络连接并逐层解析网络协议过程即可获取到用户信息层的纯文本选段,从而缩短了取证分析时间,加快了取证分析速度。
图5为本发明实施例另一种网络取证系统结构示意图,与图4所示的网络取证分析系统相同的,该系统同样包括捕获单元510、提取单元520、存储单元530、以及取证分析单元540四个单元,其中,各个单元的功能与图4中相应单元相似,这里不再赘述。在此基础上,本发明实施例中,所述取证分析单元540可以通过以下子单元构成,包括:第一查询子单元5401、第一搜索子单元5402、以及第一分析子单元5403;其中,
第一查询子单元5401,用于获取待查询时间段,根据网络连接记录查询存储单元530存储的纯文本选段中,传输行为的发生时间位于所述待查询时间段内的纯文本选段,将查询结果发送给第一搜索子单元5402。
第一搜索子单元5402,用于获取待取证分析纯文本片段,搜索所述查询结果中包含的所述纯文本选段中,是否包含所述待取证分析纯文本片段,如果包含,获取包含所述待取证分析纯文本片段的纯文本选段对应的网络连接记录。
第一分析子单元5403,用于根据第一搜索子单元5402的搜索结果以及获取到的所述网络连接记录分析得到取证分析结果。
图5所示的本发明实施例,存储单元530直接对应存储纯文本选段以及网络连接记录;取证分析单元540直接根据所述纯文本选段以及网络连接记录进行取证分析;相较于现有技术中直接进行数据流的存储,减少了所需存储的数据量,从而在与现有技术同样的存储空间下,存储单元530可以存储更长时间范围内的网络取证基础数据,真正意义上实现了网络失泄密事件的取证。在取证分析阶段,取证分析单元540无需重组网络报文重建网络连接,逐层解析网络协议,从而缩短了取证分析时间,加快了取证分析速度。
图6为本发明实施例另一种网络取证系统结构示意图,与图4所示的网络取证分析系统相同的,该系统同样包括捕获单元610、提取单元620、存储单元630、以及取证分析单元640四个单元,其中,各个单元的功能与图4中相应单元相似,这里不再赘述。在此基础上,本发明实施例中,所述存储单元630进一步可以由以下子单元构成,包括编码子单元6301、第一切片子单元6302、第一映射子单元6303以及存储子单元6304;其中,
编码子单元6301,用于对提取单元620提取到的所述纯文本选段统一编码,将统一编码后的所述纯文本选段发送给第一切片子单元6302。
其中,编码子单元6301为可选单元。
第一切片子单元6302,用于将所述统一编码后的纯文本选段分割切片为第一纯文本片段,将所述第一纯文本片段对应的IP对附加在所述第一纯文本片段上,得到带地址信息的第一纯文本片段。
第一映射子单元6303,用于对第一切片子单元6302得到的所述带地址信息的第一纯文本片段进行映射变换,得到第二纯文本片段。
存储子单元6304,用于存储提取单元620提取到的所述纯文本选段对应的网络连接记录;还用于存储第一映射子单元6303映射变换得到的所述第二纯文本片段。
相应的,取证分析单元640可以通过以下子单元构成,包括:第二查询子单元6401、第二切片子单元6402、第二映射子单元6403、第二搜索子单元6404以及第二分析子单元6405;其中,
第二查询子单元6401,用于获取待查询时间段,从存储单元630(具体的,为存储子单元6304)存储的所述网络连接记录中查询传输行为的发生时间位于所述时间段内的网络连接记录所包含的IP对。
第二切片子单元6402,用于获取待取证分析纯文本,将所述待取证分析纯文本分割切片为第一待取证分析纯文本片段;将第二查询子单元6401查询得到的所述网络连接记录所包含的IP对逐一附加到每个第一待取证分析纯文本片段上,形成带地址信息的第一待取证分析纯文本片段。
第二映射子单元6403,用于对第二切片子单元6402的所述带地址信息的第一待取证分析纯文本片段进行映射变换,得到第二待取证分析纯文本片段。
第二搜索子单元6404,用于搜索存储单元630(具体的,为存储子单元6304)存储的所述第二纯文本片段中是否包含所述第二待取证分析纯文本片段,如果包含,获取包含所述第二待取证分析纯文本片段的所述第二纯文本片段对应的IP对。
第二分析子单元6405,用于根据第二搜索子单元6404的搜索结果以及获取到的第二待取证分析纯文本片段对应的IP对分析得到取证分析结果。
图6所示的本发明实施例网络取证系统在图5所示系统的基础上,进一步地,存储单元630在进行纯文本选段的存储时,将每个纯文本选段进行分割切片,之后进行映射变换,得到第二纯文本片段进行存储;相应的,取证分析单元进行取证分析时,将待取证分析文本使用同样的方法进行分割切片以及映射变换,得到第二待取证分析纯文本片段之后再进行查询;从而存储单元在存储时,通过将纯文本选段分割切片后进行映射变换,进一步减少了所述纯文本选段对存储空间的占用量,从而在相同的存储空间下,相较于图5所示的系统存储单元可以存储更长时间范围内的数据;在取证分析时,同样对待取证分析纯文本进行分割切片和映射变换,从而使得查询过程更加快速、高效。
以下,给出了一种网络取证的具体实例,以FTP传输一个doc文件的失泄密事件查证分析为例进行分析。
假设:主机IP1在2007-04-25 12:25~2007-04-25 12:33时间段向主机IP3以FTP方式传送了一个内容包含了“互联网金盾工程设计指标要求书”的机密doc文件。
该文件在网络中传输时,网络数据包被捕获单元例如网络数据捕获接口所捕获。这些网络数据包被提取单元进行进一步处理,具体包括:
网络数据包进行网络传输层解析,恢复为完整的FTP连接;
提取出该FTP连接的起始时间2007-04-25 12:25和终止时间2007-04-2512:33、源IP地址IP1,目的IP地址IP3,并将该连接记录<2007-04-25 12:25,2007-04-25 12:33;IP1,IP3>存储于存储单元中;
所述FTP连接再经过网络应用层解析,得到其中的数据连接,丢弃FTP通信中的控制连接数据;
对FTP数据连接进行应用软件层解析,得到IP1向IP3传输的doc文件;
从该doc文件中抽取出文本部分内容,转换成不带格式信息的纯文本选段。
存储单元对所述纯文本选段进一步进行处理:
按照统一的一种编码方式(如:utf-8)对所述纯文本选段进行编码,得到编码后的纯文本选段;
对编码后的所述纯文本选段进行分割切片,得到“互联网”、“金盾工程”、“设计指标”、“说明书”等第一纯文本片段;再将这些第一纯文本片段所属网络连接记录的<源IP,目的IP>,即:<IP1,IP3>信息分别附加在这些第一纯文本片段上,形成<互联网|IP1,IP3>、<金盾工程|IP1,IP3>、<设计指标|IP1,IP3>、<说明书|IP1,IP3>等<文本片段|连接IP对>形式的带地址信息的第一纯文本片段。
对所述带地址信息的第一纯文本片段进行“布隆滤波”映射变换,分别得到形如:0100010100010、10000100010100、00100100111010、00110000101000的映射变换结果——第二纯文本片段然后进行存储。
在进行存储时,除了存储第二纯文本片段,同时,还存储形如<2007-04-2512:25,2007-04-25 12:33;IP1,IP3>的网络连接记录来标记相应第二纯文本片段对应的时间信息。
假设在6个月后,发现关于“金盾工程设计指标”的机密内容被泄露出去了,需立即由取证分析单元启动网络取证分析。
首先,由调查员根据失泄密内容划定一个该失泄密事件发生的大致时间段,如:为2007-03-01 00:00~2007-04-31 00:00,输入取证分析单元中。
查询该时间段内出现过的所有<源IP,目的IP>对,假设该时间段内的所有连接IP地址对为<IP1,IP3>、<IP2,IP4>、……,共计10000对IP地址对。
之后,获取待取证分析纯文本,例如,为“金盾工程设计指标”(注:原始传输的内容可能很长,而取证分析阶段所获知的内容可能仅仅是原始内容中的很少一部分,或其中的多个片段),将其按与存储时相同的方法进行分割切片,得到“金盾工程”、“设计指标”两个第一待取证分析纯文本片段,并将连接记录查询所获得的IP对(这里为<IP1,IP3>、<IP2,IP4>、……)逐一附加在每一所述第一待取证分析纯文本片段上,形成带地址信息的第一待取证分析纯文本片段集合,即:<金盾工程|IP1,IP3>、<金盾工程|IP2,IP4>、<设计指标|IP1,IP3>、<设计指标|IP2,IP4>、……共20000个。
对带地址信息的第一待取证分析纯文本片段集合中的所有元素进行布隆滤波映射变换,得到第二待取证分析纯文本片段,并逐一在存储单元里进行成员查询(即:查询各个第二待取证分析纯文本片段的映射变换结果是否存储于所述存储单元中),并在存在时,获取所述第二待取证分析纯文本片段对应的IP对。
返回查询结果,对查询结果进行分析。例如:发现<金盾工程|IP1,IP3>、<设计指标|IP1,IP3>)的映射变换结果均出现于存储单元中。由此推出:IP1曾经向IP3发送过机密内容(即“金盾工程设计指标”)。如果本步骤中没有返回命中的查询结果,则说明在2007-03-01 00:00~2007-04-31 00:00时间段内,本网络中没有传输过“金盾工程设计指标”。调查员可重新设定一个新的时间区间重新进行前述的取证分析步骤。
进一步地,还可以在存储单元查询上述命中结果的时间标签信息为<2007-04-25 12:00~2007-04-25 13:00>(这里假设系统是按小时为单位进行时间标记),则说明IP1向IP3发送机密内容这一网络行为的大致发生时间为2007-04-25 12:00~2007-04-25 13:00。
由上述取证分析结果,可进一步启动针对主机IP1的主机取证操作,且对主机IP1的主机日志分析可聚焦于时间段2007-04-25 12:00~2007-04-25 13:00之内。
通过上述网络取证过程,可以向调查员提供以下结论:
“本网络中发生过‘金盾工程设计指标’机密内容的非法传输事件”;
“是IP1向IP3传递的”;
“该非法传输事件发生在2007-04-25 12:00~2007-04-25 13:00时间段内”。
由此,可以进一步启动对IP1的主机取证调查,且主机取证重点关注2007-04-25 12:00~2007-04-25 13:00时间段内的主机日志信息和其他数据。
本领域普通技术人员可以理解,实现上述实施例网络取证方法的过程可以通过程序指令相关的硬件来完成,所述的程序可以存储于可读取存储介质中,该程序在执行时执行上述方法中的对应步骤。所述的存储介质可以如:ROM/RAM、磁碟、光盘等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (18)
1.一种网络取证方法,其特征在于,包括:
从被监控网络中捕获流经网络的数据流;
从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录;其中,所述纯文本选段是从每个数据流中提取出的用户信息层数据;
存储所述纯文本选段以及所述纯文本选段对应的网络连接记录;
确定进行取证分析时,根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。
2.根据权利要求1所述的方法,其特征在于,所述网络连接记录至少包括:所述纯文本选段对应的IP对和传输行为的发生时间。
3.根据权利要求2所述的方法,其特征在于,所述根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析具体为:
获取待取证分析纯文本片段,搜索存储的纯文本选段中是否包含所述待取证分析纯文本片段,如果是,获取包含所述待取证分析纯文本片段的纯文本选段对应的网络连接记录;
根据搜索结果以及获取到的所述网络连接记录分析得到取证分析结果。
4.根据权利要求3所述的方法,其特征在于,所述搜索之前进一步包括:
获取待查询时间段,根据网络连接记录查询存储的所述纯文本选段中,传输行为的发生时间位于所述待查询时间段内的纯文本选段;
相应的,搜索的所述存储的纯文本选段具体为:查询得到的所述传输行为发生时间位于所述待查询时间段内的纯文本选段。
5.根据权利要求2所述的方法,其特征在于,所述存储所述纯文本选段以及所述纯文本选段对应的网络连接记录具体为:
存储所述纯文本选段对应的网络连接记录;将所述纯文本选段分割切片为第一纯文本片段,将所述第一纯文本片段对应的IP对附加在所述第一纯文本片段上,得到带地址信息的第一纯文本片段,之后,对所述带地址信息的第一纯文本片段进行映射变换,得到第二纯文本片段,存储所述第二纯文本片段。
6.根据权利要求5所述的方法,其特征在于,所述根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析具体为:
获取待查询时间段,从存储的所述网络连接记录中查询传输行为的发生时间位于所述待查询时间段内的网络连接记录所包含的IP对;获取待取证分析纯文本,将所述待取证分析纯文本分割切片为第一待取证分析纯文本片段;
将查询得到的所述网络连接记录所包含的IP对逐一附加到每个第一待取证分析纯文本片段上,形成带地址信息的第一待取证分析纯文本片段,对所述带地址信息的第一待取证分析纯文本片段进行映射变换,得到第二待取证分析纯文本片段;
搜索存储的所述第二纯文本片段中是否包含所述第二待取证分析纯文本片段,如果是,获取所述第二待取证分析纯文本片段对应的IP对;
根据搜索结果以及获取到的第二待取证分析纯文本片段对应的IP对分析得到取证分析结果。
7.根据权利要求5或6所述的方法,其特征在于,将所述纯文本选段分割切片之前进一步包括:对所述纯文本选段统一编码。
8.根据权利要求1至6任一项所述的方法,其特征在于,所述从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录具体为:
从所述数据流中提取网络连接记录;将所述数据流按照网络协议逐层解析,得到所述数据流中包含的用户发送内容的纯文本选段。
9.根据权利要求5或6所述的方法,其特征在于,所述映射变换为:简单的hash映射变换,或者,布隆滤波映射变换。
10.一种网络取证系统,其特征在于,包括:
捕获单元,用于从被监控网络中捕获流经网络的数据流;
提取单元,用于从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录;其中,所述纯文本选段是从每个数据流中提取出的用户信息层数据;
存储单元,用于存储所述纯文本选段以及所述纯文本选段对应的网络连接记录;
取证分析单元,用于确定进行取证分析时,根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。
11.根据权利要求10所述的系统,其特征在于,所述网络连接记录至少包括:所述纯文本选段对应的IP对和传输行为发生时间。
12.根据权利要求11所述的系统,其特征在于,取证分析单元具体包括:
第一搜索子单元,用于获取待取证分析纯文本片段,搜索存储的纯文本选段中是否包含所述待取证分析纯文本片段,如果是,获取包含所述待取证分析纯文本片段的纯文本选段对应的网络连接记录;
第一分析子单元,用于根据第一搜索子单元的搜索结果以及获取到的所述网络连接记录分析得到取证分析结果。
13.根据权利要求12所述的系统,其特征在于,取证分析单元还包括:
第一查询子单元,用于获取待查询时间段,根据网络连接记录查询存储单元存储的纯文本选段中,传输行为的发生时间位于所述待查询时间段内的纯文本选段,将查询结果发送给第一搜索子单元;
相应的,所述第一搜索子单元搜索的所述存储的纯文本选段具体为:查询得到的所述传输行为发生时间位于所述待查询时间段内的纯文本选段。
14.根据权利要求11所述的系统,其特征在于,存储单元具体包括:
第一切片子单元,用于将所述纯文本选段分割切片为第一纯文本片段,将所述第一纯文本片段对应的IP对附加在所述第一纯文本片段上,得到带地址信息的第一纯文本片段;
第一映射子单元,用于对所述带地址信息的第一纯文本片段进行映射变换,得到第二纯文本片段;
存储子单元,用于存储所述纯文本选段对应的网络连接记录;还用于存储第一映射子单元映射变换得到的所述第二纯文本片段。
15.根据权利要求14所述的系统,其特征在于,取证分析单元具体包括:
第二查询子单元,用于获取待查询时间段,从存储的所述网络连接记录中查询传输行为发生时间位于所述待查询时间段内的网络连接记录所包含的IP对;
第二切片子单元,用于获取待取证分析纯文本,将所述待取证分析纯文本分割切片为第一待取证分析纯文本片段;将第二查询子单元查询得到的所述网络连接记录所包含的IP对逐一附加到每个第一待取证分析纯文本片段上,形成带地址信息的第一待取证分析纯文本片段;
第二映射子单元,用于对所述带地址信息的第一待取证分析纯文本片段进行映射变换,得到第二待取证分析纯文本片段;
第二搜索子单元,用于搜索存储的所述第二纯文本片段中是否包含所述第二待取证分析纯文本片段,如果是,获取包含所述第二待取证分析纯文本片段的所述第二纯文本片段对应的IP对;
第二分析子单元,用于根据第二搜索子单元的搜索结果以及获取到的第二待取证分析纯文本片段对应的IP对分析得到取证分析结果。
16.根据权利要求14或15所述的系统,其特征在于,存储单元还包括:
编码子单元,用于对提取单元提取到的所述纯文本选段统一编码,将统一编码后的所述纯文本选段发送给第一切片子单元。
17.根据权利要求10至15任一项所述的系统,其特征在于,提取单元具体用于:从所述数据流中提取网络连接记录;将所述数据流按照网络协议逐层解析,得到所述数据流中包含的用户发送内容的纯文本选段。
18.根据权利要求14或15所述的系统,其特征在于,所述映射变换为:简单的hash映射变换,或者,布隆滤波映射变换。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100834572A CN101572633B (zh) | 2009-05-05 | 2009-05-05 | 网络取证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100834572A CN101572633B (zh) | 2009-05-05 | 2009-05-05 | 网络取证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101572633A CN101572633A (zh) | 2009-11-04 |
| CN101572633B true CN101572633B (zh) | 2012-01-11 |
Family
ID=41231873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100834572A Expired - Fee Related CN101572633B (zh) | 2009-05-05 | 2009-05-05 | 网络取证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101572633B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428016B (zh) * | 2012-05-17 | 2017-10-24 | 上海天旦网络科技发展有限公司 | 基于网络数据的主机业务中断保障方法及系统 |
| CN103595732B (zh) * | 2013-11-29 | 2017-09-15 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| CN104579851B (zh) * | 2015-01-28 | 2016-03-09 | 中国人民解放军国防科学技术大学 | 一种用于大规模移动互联核心网络的取证系统 |
| CN104794170B (zh) * | 2015-03-30 | 2018-05-01 | 中国科学院信息工程研究所 | 基于指纹多重哈希布隆过滤器的网络取证内容溯源方法和系统 |
| CN105871932B (zh) * | 2016-06-22 | 2019-07-05 | 江苏迪纳数字科技股份有限公司 | 车联网云数据的防泄漏方法 |
| US10652265B2 (en) | 2018-01-12 | 2020-05-12 | Lianqun YANG | Method and apparatus for network forensics compression and storage |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329315A (zh) * | 2000-06-20 | 2002-01-02 | 腾龙计算机软件(上海)有限公司 | 一种电子邮件系统 |
| US20030033314A1 (en) * | 2001-06-18 | 2003-02-13 | Hans-Joachim Muschenborn | Efficient method to describe hierarchical data structures |
| CN1489079A (zh) * | 2002-10-10 | 2004-04-14 | 李 臣 | 热线信息采集系统 |
| JP2004350025A (ja) * | 2003-05-22 | 2004-12-09 | Mitsubishi Electric Corp | 暗号通信システムおよび暗号装置 |
| CN101163005A (zh) * | 2006-10-13 | 2008-04-16 | 中兴通讯股份有限公司 | 嵌入式web网管的客户端管理方法 |
-
2009
- 2009-05-05 CN CN2009100834572A patent/CN101572633B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329315A (zh) * | 2000-06-20 | 2002-01-02 | 腾龙计算机软件(上海)有限公司 | 一种电子邮件系统 |
| US20030033314A1 (en) * | 2001-06-18 | 2003-02-13 | Hans-Joachim Muschenborn | Efficient method to describe hierarchical data structures |
| CN1489079A (zh) * | 2002-10-10 | 2004-04-14 | 李 臣 | 热线信息采集系统 |
| JP2004350025A (ja) * | 2003-05-22 | 2004-12-09 | Mitsubishi Electric Corp | 暗号通信システムおよび暗号装置 |
| CN101163005A (zh) * | 2006-10-13 | 2008-04-16 | 中兴通讯股份有限公司 | 嵌入式web网管的客户端管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| JP特开2004350025A 2004.12.09 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101572633A (zh) | 2009-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10652265B2 (en) | Method and apparatus for network forensics compression and storage | |
| JP6026423B2 (ja) | 部分データストリームにおけるデータ損失の監視を行うための方法、非一時的記録媒体およびネットワークデバイス | |
| CN103281213B (zh) | 一种网络流量内容提取和分析检索方法 | |
| CN113676464A (zh) | 一种基于大数据分析技术的网络安全日志告警处理方法 | |
| US9210090B1 (en) | Efficient storage and flexible retrieval of full packets captured from network traffic | |
| CN101572633B (zh) | 网络取证方法及系统 | |
| US8578024B1 (en) | Network application signatures for binary protocols | |
| CN108268485B (zh) | 一种日志实时分析方法及系统 | |
| US9608879B2 (en) | Methods and apparatus to collect call packets in a communications network | |
| Khan et al. | Digital forensics and cyber forensics investigation: security challenges, limitations, open issues, and future direction | |
| CN109067711B (zh) | 一种网络数据包的快速回溯分析方法 | |
| US11989161B2 (en) | Generating readable, compressed event trace logs from raw event trace logs | |
| CN103164698A (zh) | 指纹库生成方法及装置、待测文本指纹匹配方法及装置 | |
| CN102045268B (zh) | 一种电子邮件数据恢复方法及装置 | |
| CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
| US20160205118A1 (en) | Cyber black box system and method thereof | |
| Walls et al. | Forensic Triage for Mobile Phones with {DEC0DE} | |
| Salamh et al. | Asynchronous forensic investigative approach to recover deleted data from instant messaging applications | |
| CN110602059B (zh) | 一种精准复原tls协议加密传输数据明文长度指纹的方法 | |
| Alshammary et al. | Reviewing and evaluating existing file carving techniques for jpeg files | |
| Pahade et al. | A survey on multimedia file carving | |
| CN112910842B (zh) | 一种基于流量还原的网络攻击事件取证方法与装置 | |
| KR101005871B1 (ko) | 대용량 웹로그마이닝 및 공격탐지를 위한 비트리인덱스벡터기반 웹로그 복구방법 | |
| CN105634841A (zh) | 一种减少网络审计系统冗余日志的方法与装置 | |
| CN106874147A (zh) | 一种恢复并解析Windows操作系统预读文件的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120111 Termination date: 20160505 |