[发明专利]网络取证方法及系统

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种网络取证方法及系统。

背景技术

网络失泄密事件是指通过网络发生的机密内容的非法传输与泄露。网络 失泄密事件将对国家和军队安全造成严重威胁。

目前，对网络失泄密事件进行调查取证的方法主要为：将IP层的所有网 络数据完整的记录下来，以备后续的追踪和取证分析，这里，可以将存储的 支持后续取证分析的网络数据称为网络取证基础数据；当进行取证分析时， 首先重组网络报文重建网络连接，逐层解析网络协议，最终得到用户层内容。 上述对于网络失泄密事件的调查取证方法能够实现对网络用户传输的内容的 完整记录和还原。

但是，发明人发现：这种取证方法所需要存储的数据量庞大，无法存储 较长时间范围内的网络取证基础数据，进而导致无法对较早时间发生的失泄 密事件进行调查取证。

发明内容

有鉴于此，本发明要解决的技术问题是，提供一种网络取证方法及系统， 在相同的存储空间下，能够存储更长时间范围内的网络取证基础数据，进而 能够实现对更长时间范围内事件的取证。

为此，本发明实施例采用如下技术方案：

本发明实施例提供一种网络取证方法，包括：

从被监控网络中捕获流经网络的数据流；

从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记 录；

存储所述纯文本选段以及所述纯文本选段对应的网络连接记录；

确定进行取证分析时，根据存储的所述纯文本选段以及所述纯文本选段 对应的网络连接记录进行取证分析。

其中，所述网络连接记录至少包括：所述纯文本选段对应的IP对和传输 行为的发生时间。

所述根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记 录进行取证分析具体为：

获取待取证分析纯文本片段，搜索存储的纯文本选段中是否包含所述待 取证分析纯文本片段，如果是，获取包含所述待取证分析纯文本片段的纯文 本选段对应的网络连接记录；

根据搜索结果以及获取到的所述网络连接记录分析得到取证分析结果。

所述搜索之前进一步包括：

获取待查询时间段，根据网络连接记录查询存储的所述纯文本选段中， 传输行为的发生时间位于所述待查询时间段内的纯文本选段；

相应的，搜索的所述存储的纯文本选段具体为：查询得到的所述传输行 为发生时间位于所述待查询时间段内的纯文本选段。

所述存储所述纯文本选段以及所述纯文本选段对应的网络连接记录具体 为：

存储所述纯文本选段对应的网络连接记录；将所述纯文本选段分割切片 为第一纯文本片段，将所述第一纯文本片段对应的IP对附加在所述第一纯文 本片段上，得到带地址信息的第一纯文本片段，之后，对所述带地址信息的 第一纯文本片段进行映射变换，得到第二纯文本片段，存储所述第二纯文本 片段。

所述根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记 录进行取证分析具体为：

获取待查询时间段，从存储的所述网络连接记录中查询传输行为的发生 时间位于所述待查询时间段内的网络连接记录所包含的IP对；获取待取证分 析纯文本，将所述待取证分析纯文本分割切片为第一待取证分析纯文本片段；

将查询得到的所述网络连接记录所包含的IP对逐一附加到每个第一待取 证分析纯文本片段上，形成带地址信息的第一待取证分析纯文本片段，对所 述带地址信息的第一待取证分析纯文本片段进行映射变换，得到第二待取证 分析纯文本片段；

搜索存储的所述第二纯文本片段中是否包含所述第二待取证分析纯文本 片段，如果是，获取所述第二待取证分析纯文本片段对应的IP对；

根据搜索结果以及获取到的第二待取证分析纯文本片段对应的IP对分析 得到取证分析结果。

将所述纯文本选段分割切片之前进一步包括：对所述纯文本选段统一编 码。

所述从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连 接记录具体为：

从所述数据流中提取网络连接记录；将所述数据流按照网络协议逐层解 析，得到所述数据流中包含的用户发送内容的纯文本选段。

所述映射变换为：简单的hash映射变换，或者，布隆滤波映射变换。