[发明专利]基于报警聚合的网络取证方法及装置

权利要求书

1.一种基于报警聚合的网络取证方法，其特征在于，包含如下内容：

A）枚举攻击者所有可能的入侵路径，构建攻击图；并获取网络关键节点的入侵检测数据，将该入侵检测数据作为网络取证分析的报警证据集；

B）将报警证据集合中报警证据映射到攻击图中，并获取报警证据链；将报警证据链作为构建入侵场景的最小单元，报警证据链对应于攻击者的入侵路径，既包含到达目标的成功路径，也包含未到达目标的失败路径；

C）对报警证据链进行聚类，证据链是由多个攻击步骤所产生的报警证据序列组成，通过序列比对技术定义证据链间相似度，使用一个序列转化为另一个序列的子序列的操作代价来衡量两序列间的相似程度，构建网络入侵场景，恢复网络犯罪现场。

2.根据权利要求1所述的基于报警聚合的网络取证方法，其特征在于，A）中，通过枚举攻击者所有入侵路径，构建有向无环图，作为攻击图；并通过网络各关键节点的开源入侵检测系统分析并抓取数据包，得到报警证据集合。

3.根据权利要求1所述的基于报警聚合的网络取证方法，其特征在于，B）中，选择报警证据的类型、源地址和目标地址属性，将报警证据定位关联到相应攻击图节点上；根据攻击者攻击步骤所产生的报警证据序列获取报警证据链，将该报警证据链作为构建入侵场景的最小单元。

4.根据权利要求3所述的基于报警聚合的网络取证方法，其特征在于，B）中根据攻击者攻击步骤所产生的报警证据序列获取报警证据链，包含如下内容：首先，将报警证据链集置为空集；然后，针对报警证据集中每个报警证据，判断其是否存在于报警证据链集，若不存在，则添加新的报警证据链至报警证据链集，并将该报警证据加入该新的报警证据链中；若存在，则根据报警证据产生时间上的父子关系，将报警证据集中的报警证据逐个加入报警证据链中，使得该报警证据链中的各个报警证据具有前后因果关系，直至该报警证据链长度不再增加位置，将该报警证据链并入到报警证据链集中。

5.根据权利要求1所述的基于报警聚合的网络取证方法，其特征在于，C）中，获取报警证据链间的相似度，将相似的报警证据链进行聚类，构建初步入侵场景集合；对初步入侵场景集合中的每两个入侵场景，依据两者衔接关系进行合并拼接，实现入侵场景的完全构建，恢复网络犯罪现场。

6.根据权利要求5所述的基于报警聚合的网络取证方法，其特征在于，C）中构建初步入侵场景集合，包含如下内容：首先，将初步入侵场景集合置为空集；然后，针对报警证据链集中报警证据链，从初步入侵场景集合寻找一入侵场景，该入侵场景为服务证据链集对应报警证据链与初步入侵场景集合各个入侵场景报警证据链相似度最大的入侵场景；判断该入侵场景中各报警证据链与报警证据链集对应报警证据链相似度最大值是否大于聚合条件阈值，如果大于，则将该报警证据链集对应报警证据链加入该入侵场景中；否则，创建新的入侵场景，将该报警证据链集对应报警证据链加入该新的入侵场景，并将该新的入侵场景加入初步入侵场景集合中，直至报警证据链集中每个报警证据链处理完毕。

7.根据权利要求5所述的基于报警聚合的网络取证方法，其特征在于，C）中入侵场景的合并拼接，包含如下内容：依据两个入侵场景时间上的先后关系和行为上的递进关系，判定两者是否为同一攻击场景断裂而成的两个子场景并获取两者衔接关系，依据衔接关系得到两个入侵场景的距离；将完全构建的最终输出入侵场景置为空集；针对初步入侵场景集合中一入侵场景，从初步入侵场景集合中选取另一个与该入侵场景距离最小的入侵场景，计算该入侵场景与该另一个入侵场景两者中报警证据间的最小距离，将得到该最小距离的两个入侵场景中该两个报警证据分别记为报警证据a和a’；报警证据a和a’分别作为首尾节点，并依据属于同一入侵场景的各报警证据间的因果关系，补入相应报警证据构成报警证据链，利用该报警证据链建立新增入侵场景；将该新增入侵场景、该入侵场景和该另一个入侵场景进行合并，形成新的入侵场景，添加至初步入侵场景集合中，并剔除该入侵场景和该另一个入侵场景；直至初步入侵场景集合中任意两个入侵场景不再有衔接关系。