[发明专利]一种物联网设备取证的方法和系统

说明书

本发明提供了一种物联网设备取证的方法与系统，涉及网络安全的技术领域，包括：获取服务器基于取证请求发送给的反馈信息，其中，反馈信息用于指示待取证设备是否执行取证操作；如果获取到的反馈信息为指示待取证设备执行取证操作的信息，则对待取证设备执行取证操作，得到多个取证结果；对每个取证结果分别进行哈希计算，得到多个计算结果，并将多个计算结果和多个取证结果发送给服务器，本发明解决了当物联网中发生网络安全事故后，无法对物联网设备进行远程取证的技术问题。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种物联网设备取证的方法和系统。

背景技术

物联网是近年来的发展热点，在“物联网+”的热潮下，传统的设备一个接着一个加入了互联网，为提高人类生活品质带来了很多增益效果。然而，当我们在享受物联网设备带来的快捷生活的同时，网络黑客也在通过互联网对物联网设备进行攻击，基于物联网设备的僵尸网络数量逐年增加，对整个传统的互联网都构成了安全威胁。

随着物联网科技的飞速发展，越来越多的硬件设备因业务需求接入了互联网，而此类物联网设备大多数都会保持长期在线，且通常具有不错的网络带宽优势，因此，物联网设备成为了近年来黑客攻击的主要目标之一。于是，传统的服务器、PC主机被黑客入侵后的取证需求在物联网设备上同样存在。但由于物联网设备分布地域较广，而不像传统的服务器、PC主机那样在同一个机房内，且多数室外的物联网设备(如摄像头)为了防水防尘及考虑到安全因素，都不会预留与业务无关的外部数据访问接口，所以，传统的取证方法比如通过USB连接设备的方式都不适用。

而传统的物联网设备取证方法存在以下问题：当待取证的物联网设备较多且分布在不同地域时，无法快速有效的对待取证的物联网设备进行远程取证，耗时费力还容易错过最佳的取证时间。

针对上述问题，还未提出有效的解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种物联网设备取证的方法与系统，以缓解了当物联网中发生网络安全事故后，无法对物联网设备进行远程取证的技术问题。

第一方面，本发明实施例提供了一种物联网设备取证的方法，该方法包括：获取服务器基于取证请求发送的反馈信息，其中，所述反馈信息用于指示待取证设备是否执行取证操作；如果获取到的所述反馈信息为指示所述待取证设备执行取证操作的信息，则对待取证设备执行取证操作，得到多个取证结果；对每个所述取证结果分别进行哈希计算，得到多个计算结果，并将所述多个计算结果和所述多个取证结果发送给服务器。

进一步地，对待取证设备执行取证操作，得到多个取证结果包括：对所述待取证设备执行目标取证操作，得到所述多个取证结果，其中，所述目标取证操作包括以下至少之一：内存取证操作，流量取证操作，文件取证操作，系统日志取证操作，进程取证操作，账户安全取证操作，业务日志取证操作。

进一步地，对所述待取证设备执行目标取证操作，得到所述多个取证结果包括：对所述待取证设备执行内存取证操作，得到内存取证结果，其中，所述内存取证结果中包括所述待取证设备中每个进程的运行数据；对所述待取证设备执行流量取证操作，得到流量取证结果，其中，所述流量取证结果中包括预设时间内所述待取证设备的流量记录；对所述待取证设备执行文件取证操作，得到文件取证结果，其中，所述文件取证结果中包括待取证设备中哈希值发生变化的系统文件，待取证设备的非系统文件；对所述待取证设备执行系统日志取证操作，得到系统日志取证结果，其中，所述系统日志取证结果中包括待取证设备的各个系统日志；对所述待取证设备执行进程取证操作，得到进程取证结果，其中所述进程取证结果中包括待取证设备的各个进程的活动状态；对所述待取证设备执行账户安全取证操作，得到账户安全取证结果，所述账户安全取证结果中包括待取证设备中各个账户的账户信息，所述账户信息包括以下至少一种：账户的创建日期，账户的活动情况，账户密码的哈希；对所述待取证设备执行业务日志取证操作，得到业务日志取证结果，其中，所述业务日志取证结果中包括待取证设备的业务目录中的各个文件。