一種基于云-端協(xié)同與多通道控制的自動(dòng)智能取證系統(tǒng)的制作方法

本發(fā)明涉及計(jì)算機(jī)取證與信息安全，具體涉及一種基于云-端協(xié)同與多通道控制的自動(dòng)智能取證系統(tǒng)。

背景技術(shù)：

1、在計(jì)算機(jī)電子數(shù)據(jù)取證領(lǐng)域，傳統(tǒng)取證方式主要依賴人工操作。取證人員需直接物理接觸目標(biāo)計(jì)算機(jī)（以下簡(jiǎn)稱“目標(biāo)機(jī)”），通過(guò)手動(dòng)操作鍵盤(pán)、鼠標(biāo)，并目視屏幕來(lái)導(dǎo)航系統(tǒng)、定位數(shù)據(jù)以及執(zhí)行命令。這種模式存在諸多弊端，嚴(yán)重制約了取證工作的效率與質(zhì)量。

2、首先，人工取證效率極為低下。由于整個(gè)取證過(guò)程完全依賴手動(dòng)操作，速度緩慢，難以滿足當(dāng)下海量設(shè)備批量取證的需求。在面對(duì)大規(guī)模的電子數(shù)據(jù)取證任務(wù)時(shí)，人工操作不僅耗費(fèi)大量時(shí)間，而且容易因疲勞等因素導(dǎo)致操作失誤，進(jìn)一步降低取證效率。

3、其次，人工取證對(duì)專家依賴程度高。操作者必須熟悉各類操作系統(tǒng)、應(yīng)用軟件以及取證工具的使用方法，這需要投入大量的人力成本進(jìn)行專業(yè)培訓(xùn)。不同取證人員的技術(shù)水平和經(jīng)驗(yàn)存在差異，也會(huì)影響取證工作的標(biāo)準(zhǔn)化和規(guī)范化程度。

4、再者，人工操作的一致性較差。在取證過(guò)程中，人工操作容易出現(xiàn)疏漏，且不同人員或同一人員在不同時(shí)間進(jìn)行的操作步驟可能不一致，會(huì)對(duì)證據(jù)的完整性和法律效力產(chǎn)生不利影響。證據(jù)的完整性和合法性是電子數(shù)據(jù)取證的核心要求，一旦出現(xiàn)問(wèn)題，可能導(dǎo)致取證結(jié)果無(wú)效。

5、此外，傳統(tǒng)自動(dòng)化取證工具適應(yīng)性較弱。目前市場(chǎng)上雖有一些基于單一連接方式的遠(yuǎn)程取證工具，如純網(wǎng)絡(luò)遠(yuǎn)程取證工具，但這些工具高度依賴預(yù)設(shè)的界面元素和應(yīng)用程序編程接口（api）。當(dāng)遇到未知的軟件版本、定制界面或突發(fā)彈窗等情況時(shí)，傳統(tǒng)自動(dòng)化腳本或機(jī)器人流程自動(dòng)化（rpa）工具往往無(wú)法正常工作，難以適應(yīng)復(fù)雜多變的取證場(chǎng)景。

6、盡管市場(chǎng)上已出現(xiàn)一些基于網(wǎng)絡(luò)遠(yuǎn)程控制的取證工具，但在面對(duì)特殊場(chǎng)景時(shí)存在明顯局限性。在目標(biāo)機(jī)無(wú)網(wǎng)絡(luò)服務(wù)、系統(tǒng)崩潰或需要物理接觸的黑盒場(chǎng)景下，基于單一連接方式的遠(yuǎn)程取證工具將完全失效，無(wú)法獲取目標(biāo)機(jī)中的電子數(shù)據(jù)，導(dǎo)致取證工作無(wú)法開(kāi)展。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于，提出一種基于云-端協(xié)同與多通道控制的自動(dòng)智能取證系統(tǒng)，該技術(shù)方案能夠提高電子數(shù)據(jù)取證的效率和準(zhǔn)確性。

2、為了實(shí)現(xiàn)上述目的，第一方面，本發(fā)明提出了一種基于云-端協(xié)同與多通道控制的自動(dòng)智能取證系統(tǒng)，包括：

3、視頻信號(hào)采集與處理模塊，用于捕獲目標(biāo)機(jī)的實(shí)時(shí)屏幕圖像，并對(duì)圖像進(jìn)行預(yù)處理后上傳至云端智能調(diào)度中心；

4、hid模擬控制模塊，用于將本地取證終端模擬為輸入設(shè)備，接收云端下發(fā)的操作指令并向目標(biāo)機(jī)注入控制信號(hào)；

5、網(wǎng)絡(luò)通信模塊，用于通過(guò)網(wǎng)絡(luò)接口與目標(biāo)機(jī)建立網(wǎng)絡(luò)連接進(jìn)行數(shù)據(jù)傳輸和命令執(zhí)行，以及與云端智能調(diào)度中心通信；

6、云端大模型調(diào)度模塊，用于根據(jù)任務(wù)階段動(dòng)態(tài)調(diào)用云端集成的大語(yǔ)言模型，對(duì)屏幕圖像進(jìn)行分析并生成模擬操作指令，或?qū)θ∽C需求進(jìn)行任務(wù)規(guī)劃；

7、任務(wù)規(guī)劃與執(zhí)行模塊，用于將取證需求分解為任務(wù)步驟序列，并根據(jù)系統(tǒng)選擇的控制通道調(diào)用相應(yīng)的模塊執(zhí)行取證操作；

8、數(shù)據(jù)存儲(chǔ)與管理模塊，用于存儲(chǔ)取證過(guò)程中獲取的數(shù)據(jù)并進(jìn)行管理；

9、報(bào)告生成模塊，用于對(duì)取證結(jié)果進(jìn)行整合分析，生成格式化報(bào)告。

10、基礎(chǔ)方案的有益效果：本技術(shù)方案將視覺(jué)分析、任務(wù)規(guī)劃、報(bào)告生成等計(jì)算密集型ai?任務(wù)卸載至云端，充分發(fā)揮云端大模型強(qiáng)大的推理能力與算力優(yōu)勢(shì)；本地取證終端僅負(fù)責(zé)實(shí)時(shí)圖像采集、硬件交互與指令執(zhí)行，降低了終端硬件成本與復(fù)雜度，同時(shí)保證現(xiàn)場(chǎng)控制的高實(shí)時(shí)性與高可靠性，實(shí)現(xiàn)了智能能力、部署成本與使用靈活性的最優(yōu)平衡。

11、系統(tǒng)整合視頻采集、hid?模擬、網(wǎng)絡(luò)通信三類控制通道，并支持從基礎(chǔ)通用通道向高速專用通道的智能動(dòng)態(tài)升級(jí)。在目標(biāo)機(jī)受限、無(wú)網(wǎng)絡(luò)或系統(tǒng)異常等惡劣環(huán)境下，可依靠hid?與視頻通道完成基礎(chǔ)取證控制；在條件允許時(shí)自動(dòng)切換至網(wǎng)絡(luò)通道實(shí)現(xiàn)高速數(shù)據(jù)交互，既保障了極端場(chǎng)景下的取證可用性，又顯著提升常規(guī)場(chǎng)景下的取證效率與數(shù)據(jù)傳輸能力。

12、系統(tǒng)根據(jù)取證任務(wù)類型智能調(diào)度專用視覺(jué)模型與通用大語(yǔ)言模型分工協(xié)作，專用模型專注屏幕界面識(shí)別與操作定位，通用模型負(fù)責(zé)邏輯推理、任務(wù)拆解與決策規(guī)劃，相比單一模型具備更強(qiáng)的場(chǎng)景理解能力、執(zhí)行精度與任務(wù)成功率，同時(shí)有效降低模型調(diào)用成本。

13、作為一種可實(shí)施的優(yōu)選方案，視頻信號(hào)采集與處理模塊通過(guò)視頻輸入接口捕獲目標(biāo)機(jī)的實(shí)時(shí)屏幕圖像，視頻輸入接口為hdmi輸入口，usb接口為支持usb?otg的type-c接口，網(wǎng)絡(luò)接口包括千兆以太網(wǎng)口和wi-fi/藍(lán)牙模塊。

14、作為一種可實(shí)施的優(yōu)選方案，視頻信號(hào)采集與處理模塊通過(guò)hdmi線接收目標(biāo)機(jī)的視頻信號(hào)，利用圖像采集芯片將模擬信號(hào)轉(zhuǎn)換為數(shù)字信號(hào)，并使用圖像處理庫(kù)對(duì)數(shù)字圖像進(jìn)行預(yù)處理，包括去噪和增強(qiáng)操作。

15、作為一種可實(shí)施的優(yōu)選方案，hid模擬控制模塊通過(guò)編寫(xiě)驅(qū)動(dòng)程序和應(yīng)用程序，使本地取證終端模擬出鍵盤(pán)和鼠標(biāo)的設(shè)備標(biāo)識(shí)和通信協(xié)議，將輸入的字符轉(zhuǎn)換為鍵盤(pán)掃描碼或?qū)⑹髽?biāo)操作信息轉(zhuǎn)換為鼠標(biāo)數(shù)據(jù)包，通過(guò)usb接口發(fā)送給目標(biāo)機(jī)。

16、作為一種可實(shí)施的優(yōu)選方案，網(wǎng)絡(luò)通信模塊使用tcp/ip協(xié)議進(jìn)行數(shù)據(jù)傳輸，通過(guò)三次握手過(guò)程建立tcp連接。

17、作為一種可實(shí)施的優(yōu)選方案，云端大模型調(diào)度模塊通過(guò)api接口接收本地取證終端上傳的任務(wù)請(qǐng)求和數(shù)據(jù)，根據(jù)任務(wù)類型和階段選擇大語(yǔ)言模型進(jìn)行處理，包括：調(diào)用系統(tǒng)操作大模型對(duì)屏幕圖像進(jìn)行分析以識(shí)別圖形用戶界面元素并生成模擬操作指令，以及調(diào)用任務(wù)規(guī)劃與報(bào)告生成大模型將用戶的高級(jí)取證需求分解為詳細(xì)步驟序列。

18、作為一種可實(shí)施的優(yōu)選方案，數(shù)據(jù)存儲(chǔ)與管理模塊在本地取證終端和云端分別設(shè)置數(shù)據(jù)存儲(chǔ)區(qū)域，使用數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)和管理，為每個(gè)取證任務(wù)創(chuàng)建獨(dú)立的數(shù)據(jù)存儲(chǔ)目錄，并在數(shù)據(jù)庫(kù)中記錄數(shù)據(jù)的元信息。

19、作為一種可實(shí)施的優(yōu)選方案，任務(wù)規(guī)劃與執(zhí)行模塊根據(jù)系統(tǒng)當(dāng)前選擇的控制通道調(diào)用相應(yīng)功能模塊執(zhí)行任務(wù)，控制通道包括視頻采集與hid模擬通道、ssh連接通道。

20、作為一種可實(shí)施的優(yōu)選方案，系統(tǒng)通過(guò)以下階段協(xié)同實(shí)施取證：

21、初始接入與探索階段，本地取證終端捕獲目標(biāo)機(jī)實(shí)時(shí)屏幕圖像并上傳至云端，云端大模型調(diào)度模塊調(diào)用系統(tǒng)操作大模型分析屏幕圖像并生成模擬操作指令，通過(guò)hid模擬控制模塊向目標(biāo)機(jī)注入控制信號(hào)，同時(shí)持續(xù)捕獲屏幕圖像反饋操作結(jié)果；

22、通道優(yōu)化與提升階段，任務(wù)規(guī)劃與執(zhí)行模塊主動(dòng)探測(cè)并嘗試建立控制通道，通過(guò)hid模擬操作在目標(biāo)機(jī)上配置網(wǎng)絡(luò)并開(kāi)啟ssh服務(wù)，當(dāng)檢測(cè)到ssh服務(wù)端口開(kāi)放后自動(dòng)建立ssh連接，將后續(xù)命令行取證指令通過(guò)ssh通道執(zhí)行；

23、混合執(zhí)行階段，系統(tǒng)同時(shí)維持多個(gè)控制通道，通過(guò)ssh執(zhí)行后臺(tái)數(shù)據(jù)提取命令的同時(shí)，通過(guò)視頻信號(hào)采集與處理模塊和hid模擬控制模塊監(jiān)控前端界面，當(dāng)檢測(cè)到需要交互的界面時(shí)，將界面圖像上傳至云端分析并生成操作指令，通過(guò)hid模擬控制模塊進(jìn)行響應(yīng)；

24、報(bào)告生成階段，數(shù)據(jù)存儲(chǔ)與管理模塊將原始數(shù)據(jù)上傳至云端，報(bào)告生成模塊調(diào)用大模型對(duì)數(shù)據(jù)進(jìn)行分析處理，生成格式化報(bào)告。

25、作為一種可實(shí)施的優(yōu)選方案，在獲得初始控制權(quán)后，通過(guò)hid模擬控制模塊和文件傳輸功能將預(yù)編譯的輕量級(jí)代理程序拷貝到目標(biāo)機(jī)并運(yùn)行，代理程序通過(guò)加密網(wǎng)絡(luò)連接與本地取證終端通信，接收結(jié)構(gòu)化命令并執(zhí)行相應(yīng)操作，將結(jié)構(gòu)化數(shù)據(jù)返回本地取證終端。