取证计算模型的研究与实现
合集下载
计算机取证系统的研究与设计
还可以重新定位根 目录和使用 F AT的备份副本 , 另# b F AT3 2 分区 的启动记录被包含在一个含有关键数据 的结构 中, 减少 了计算机系 统崩 溃的可能。 2 . 3 E XT2 / 3 文件 系统 分析 E x t 2 / 3 是L i n u x 系统 的标准文件系统 , 其优点为存取文件的性 能好 , 由线形排列 的数据块组成 , 每个数据块具有相同的大小 , 所有 块又被划分为若干个块组, 每个块组都包含了一份文件系统关键控 制信息 的拷 贝, 以及描述组 内数据存储与控制信息的位示 图, 节点 位 图和节点表 。 E X T 3 文件系统 比E X T 2 更加完整 , 增加了 日志容量 , 避免了意 外宕机对文件 系统的破坏, 以便文件系统在 出现问题后进 行恢复 和修复。 2 . 4 NTF S 文件 系统 分析 N TF S 是一个基于安全性 、 可靠性、 先进性的文件系统 , 它通过 使用标准 的事务处理 日志和恢复技术来保证分区的一致性 。 发生系 统失败事件时 , NT F S 使 用 日志文件和检查点信息来恢复 文件 系统 的一致性 。 NT F S 采用了更小 的簇 , 可以更有效率地管理磁盘空间 , 簇的大小都 比相应 的F A T1 6 / 3 2 簇小 ; NT F S 可 以比F A T3 2 更有效 地管理磁盘 空间 , 最大限度地 避免 了磁盘 空间的浪费 。 2 . 5数 据 流 隐藏数 据 的发 现技 术 数据 流隐藏技术源 Ma c i n t o s h 分级文件系统NT F S, 它可 以 把任何文件作为某个文件 的另一个实例 附在其中, 而Wi n d o w s  ̄源 管理器无法显示 。 另外如果将数据文件隐藏在磁盘S l a c k 闲散空间 、 交换 空间或未分配空间中, 这使得查找隐藏文件有很大难度 。 因此, 解读NT F S 文件 系统的镜像 文件 时 , 检查标 准的文件属性类别 即可 识别 出隐藏的文件 , 同时在进行证据分析 时可 以读取s l a c k s p a c e 中文件碎片 的二进 制数 据。 2 . 6删 除数 据 的恢 复技 术
基于Windows的计算机取证技术研究与实现的开题报告
基于Windows的计算机取证技术研究与实现的开题报告一、选题随着计算机技术的普及和发展,计算机犯罪已成为一种全球性的问题。
计算机取证技术是一门通过对计算机存储媒介进行全面、深入的分析,以寻找、收集、保存、还原和展示涉案证据的技术,其应用已经成为打击犯罪的一个重要手段。
本课题旨在对基于Windows的计算机取证技术进行研究并实现相关技术,从而为打击计算机犯罪提供更加全面、深入的技术支持。
二、研究目标1、研究计算机取证技术相关知识。
2、研究Windows操作系统下的文件系统管理、进程管理、网络管理等相关知识。
3、实现基于Windows的计算机取证技术工具包,包括数据收集、数据提取、数据分析和数据报告等功能。
4、测试和评估工具包的功能性和实用性。
三、研究内容1、计算机取证技术相关知识研究。
深入研究计算机取证技术的概念、原理、分类、需求、技术体系和实现方式等方面的知识。
2、Windows操作系统相关知识研究。
研究Windows操作系统下的文件系统管理、进程管理、网络管理等相关知识,为后续的计算机取证技术研究奠定基础。
3、基于Windows的计算机取证技术工具包实现。
实现数据收集、数据提取、数据分析和数据报告等功能,实现一套安全、高效、稳定、易用的基于Windows的计算机取证技术工具包。
4、工具包测试和评估。
主要测试工具包的功能性和实用性,从而为进一步完善和改进工具包提供参考。
四、研究方法1、理论研究法。
通过文献资料和案例分析的方式,对计算机取证技术相关的理论知识进行研究和总结,为后续的工具包实现提供指导和支持。
2、实验研究法。
在Windows操作系统的基础上,通过实际的数据收集、数据提取、数据分析和数据报告等实验操作,对工具包进行测试和评估。
3、系统分析法。
对Windows操作系统下的文件系统管理、进程管理、网络管理等系统关键点进行分析,确定工具包实现的具体方案。
五、预期成果1、《基于Windows的计算机取证技术研究与实现》毕业论文。
计算机取证关键技术研究
★基 金 项 目 : 南 省 教 育 厅 青 年 教 师 科 研 基 金 ( . Y4 9 5 云 No0 7 12 )
取 实 时 电子 数 据
F rniS正 逐 渐 成 为 人 们 研 究 与 关 注 的热 点 之 一 。 oe s ) C
1 计 算 机 取 证 技 术
11 计 算机 取 证 的 技 术 .
SN A S的一 篇 综 述 文 章 给 出 如 下 定 义 _ 计 算 机 取 l l :
目前 我 国 计 算 机 取 证 领 域 面 临 的 问 题 有 : ( ) 何 将 计 算 机 证 据 依 照 科 学 、 范 的 程 序 进 1如 规
于 网络 数 据 流 和 运 行 中 的 计 算 机 系统 中 . 计 算 机 系 对
Tas em) 年会 上被称 为当时 的主要 议题 作 为计算机 领
域 和 法 学 领 域 的一 门 交 叉 科 学 . 汁算 机 取 证 ( o u e C mp tr
统 或网 络现 场进 行监 视获 取证 据 . 与入侵 检 测 、 蜜罐 技术 和陷 阱网络相结 合 .动 态分析 入侵者 的企 图 . 获
态 取证 和动态取 证 态取证 是指证据 存储在 未运行 静
的 计 算 机 系 统 中 或 独 立 的 磁 盘 等 存 储 介 质 上 静 态 取 证 主 要 是 事 后 取 证 . 已 遭 受 入 侵 的 情 况 下 . 用 各 在 运
种 技 术 手 段 对 被 入 侵 计 算 机 系 统 进 行 分 析 . 取 攻 击 获
、 \
\
\ 、
、
—
研 究 与 开 发
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 一
取 实 时 电子 数 据
F rniS正 逐 渐 成 为 人 们 研 究 与 关 注 的热 点 之 一 。 oe s ) C
1 计 算 机 取 证 技 术
11 计 算机 取 证 的 技 术 .
SN A S的一 篇 综 述 文 章 给 出 如 下 定 义 _ 计 算 机 取 l l :
目前 我 国 计 算 机 取 证 领 域 面 临 的 问 题 有 : ( ) 何 将 计 算 机 证 据 依 照 科 学 、 范 的 程 序 进 1如 规
于 网络 数 据 流 和 运 行 中 的 计 算 机 系统 中 . 计 算 机 系 对
Tas em) 年会 上被称 为当时 的主要 议题 作 为计算机 领
域 和 法 学 领 域 的一 门 交 叉 科 学 . 汁算 机 取 证 ( o u e C mp tr
统 或网 络现 场进 行监 视获 取证 据 . 与入侵 检 测 、 蜜罐 技术 和陷 阱网络相结 合 .动 态分析 入侵者 的企 图 . 获
态 取证 和动态取 证 态取证 是指证据 存储在 未运行 静
的 计 算 机 系 统 中 或 独 立 的 磁 盘 等 存 储 介 质 上 静 态 取 证 主 要 是 事 后 取 证 . 已 遭 受 入 侵 的 情 况 下 . 用 各 在 运
种 技 术 手 段 对 被 入 侵 计 算 机 系 统 进 行 分 析 . 取 攻 击 获
、 \
\
\ 、
、
—
研 究 与 开 发
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 一
计算机动态取证技术分析和模型实现
逐 渐 成 为人 们 研 究 与 关注 的焦 点 。
对 计算机犯 罪的 电子证据进 行事 后静
态取证 .能获得 的证据 很可能是 犯罪 嫌 疑人 处理过现 场的伪 装证据 .这给 证物分析带来 了困难【 。 2 此外 . ] 根据具
体 产生 日志 的计 算机 的不 同 .通常 日
志数据 被覆 盖重写 的时 间间隔段少 则 几分钟 .长则数月 .在获取证据阶段 . 取 证人 员必 须尽快 采取行动 .否 则这
些 日志 可 能 永 远 消 失 了 .从 而 不 能 及
计算机 取证学 涉及到 对计算机 数 据 的保 存、 别、 识 抽取、 记录以及 解释 . 以作为证据 或作为动机分析 的依据 . 这
时地获取 证据 。如何确保 收集到 的证 据 是真 实的 、有效 的和及 时的是 计算 机 取证 面临的 主要 问题 .解决 方法是 对计算机 犯罪 的攻 击进 行计算机 动态
工 具 ,对 黑 客 入侵 方 法 进 行 技 术 分 析 , 通 过 分 析 和 研 究 , 制和 转移 黑 客 的攻 牵
警 数据 获取模块 除 了从 系统和 日志 文 件、 周边数据 、 网络数 据包等安全依 法提取 动态数据外 。 还从 IS D 接受报警 数据 ,并将数 据处理成 符合 数据仓库 存储格 式后存 入数据仓 库 ;数据 挖掘 模 块对 数据仓库 的数据 进行清 洗 选 择、 格式转换 、 用关联 规则分析 、 使 分 类 、联 系分析技 术方法 发现事 件之 间
性 上 最 大 限 度 的 满 足 动 态 取 证 系 统 的
要求 ,当犯 罪现 场 变化或者 出现 新 的
图 1 基 于智 能 代理 的 动 态取 证 系统模 型
正常使 用模式 和攻击 类型时 ,系统能 量 的证据 ,并展现证据鉴定 、 保存 、提
对 计算机犯 罪的 电子证据进 行事 后静
态取证 .能获得 的证据 很可能是 犯罪 嫌 疑人 处理过现 场的伪 装证据 .这给 证物分析带来 了困难【 。 2 此外 . ] 根据具
体 产生 日志 的计 算机 的不 同 .通常 日
志数据 被覆 盖重写 的时 间间隔段少 则 几分钟 .长则数月 .在获取证据阶段 . 取 证人 员必 须尽快 采取行动 .否 则这
些 日志 可 能 永 远 消 失 了 .从 而 不 能 及
计算机 取证学 涉及到 对计算机 数 据 的保 存、 别、 识 抽取、 记录以及 解释 . 以作为证据 或作为动机分析 的依据 . 这
时地获取 证据 。如何确保 收集到 的证 据 是真 实的 、有效 的和及 时的是 计算 机 取证 面临的 主要 问题 .解决 方法是 对计算机 犯罪 的攻 击进 行计算机 动态
工 具 ,对 黑 客 入侵 方 法 进 行 技 术 分 析 , 通 过 分 析 和 研 究 , 制和 转移 黑 客 的攻 牵
警 数据 获取模块 除 了从 系统和 日志 文 件、 周边数据 、 网络数 据包等安全依 法提取 动态数据外 。 还从 IS D 接受报警 数据 ,并将数 据处理成 符合 数据仓库 存储格 式后存 入数据仓 库 ;数据 挖掘 模 块对 数据仓库 的数据 进行清 洗 选 择、 格式转换 、 用关联 规则分析 、 使 分 类 、联 系分析技 术方法 发现事 件之 间
性 上 最 大 限 度 的 满 足 动 态 取 证 系 统 的
要求 ,当犯 罪现 场 变化或者 出现 新 的
图 1 基 于智 能 代理 的 动 态取 证 系统模 型
正常使 用模式 和攻击 类型时 ,系统能 量 的证据 ,并展现证据鉴定 、 保存 、提
基于本体和上下文感知的主动式计算机犯罪取证模型设计研究
模型中所涉及到的实体 、策略、权限、规则都由本体语 言描述 ,
实 现 了语 义层 面的 概 念 的 规 范统 一 。
13蜜 罐 .
美 国的 L n eS i nr H ny o 定义 如下 : n y a c pt e 对 o e p t z Ho e—
上下文信息在取证 中的作用 :随着上下文信息的变化 ,用户
前 的信息状况 ,最大限度的还原犯罪 过程 。
我们使 用本 体的 目的是 用它来获 取、描 述 以及 表示相 关 领域 的知识 ,从 而提供 对该领域 知识 的共 同理解 ,对该 领域 的词汇 或术语 提供 一个共 同认可 的解 释,并从 对这些词 汇或 术语 以及词 汇或 术语问 的相 互关 系进 行明确定 义。通常情况 下,本体 具 有静 态性 和动态性 这两个 特性 ,静态 性不涉及动 态 的行 为,它反 映的是概 念模 型 ; 而动态 性是 指它 的内容 和
12本体 的概念 .
本 体是来 源于哲学领 域的一个 概念 ,近几 年来 ,计 算机 领 域的研 究者们 也开始使用 本体 的概 念 ,并将它用于模拟企
业 结 构 ,并 提 出了虚拟 企 业 这一 研 究方 向。在计 算 机领域 , 本体 的定 义经历 了一个漫长 的过程 。Grb r 19 年 给出了 u e在 9 3
堪设 想。 因此我 们把取证 系统安装 在分布式蜜 网中,保证 取
证 的安 全 。
2基于本体和 上下文感知 的动态 蜜罐取证模型
21动态取证模型 .
结合上下文和本体 ,提出了基 于本体和上下文感 知的动态
本 体 的一个 定 义,即 “ 本体是 概念 模 型的明确 的规 范说 明” 。
后来 ,B rt os 又在这个定义 的基础上作了修改,将本体定义为:
动态计算机取证系统的司法应用设计与实现
维普资讯
总 第 23期 2 20 08年 第 5期
计算机与数字工程
Co mpue tr& Diia gn e i g gtlEn ie rn
V I3 . o . 6 No 5
78
动 态计 算 机 取 证 系统 的 司法 应 用 设计 与 实现
n l i h s o p t rn i y t i a d n mi ou o dc l f cr n a e o u rf e s s n a da a s .T i C m u r oe s ss s m y a cs l in fr u i a of ese g g d i c mp t rni ,a d i n ys eF c e s t o j i i n e o c s
随 着信息 技术 的发展 , 数字 证据 逐渐成 为一种 新 的诉讼 证据 , 为计算 机领域 和法 学领域 的一 门 作 交叉 科 学 : 算 机 取证 ( o p tr oe s s 正 逐渐 计 C m ue r i ) f nc 成 为人们 研究 与关 注 的焦点 。 计算 机取 证就 是利 用软件 和工具 , 从计 算机 或 外 围设备 中提 取 与 案件 有 关 的数据 。 中 国科学 院
v ld e d n e o a c s . Fr m i s u a i vie c s f rlw a e o t s is e,d sg yn m i ompu e ornsc ysem d gie ea lde in t e m o h e i nsa d a c c trf e i ss t n a v s d ti sg o t d— h ue . TheI ls mplm e tto ft e s tm a uom aia c m a m ie e c le to fd g tle i nc o p o e t sor g y mi xi z s t o lci n o i ia vde e t r t c , t a e h
总 第 23期 2 20 08年 第 5期
计算机与数字工程
Co mpue tr& Diia gn e i g gtlEn ie rn
V I3 . o . 6 No 5
78
动 态计 算 机 取 证 系统 的 司法 应 用 设计 与 实现
n l i h s o p t rn i y t i a d n mi ou o dc l f cr n a e o u rf e s s n a da a s .T i C m u r oe s ss s m y a cs l in fr u i a of ese g g d i c mp t rni ,a d i n ys eF c e s t o j i i n e o c s
随 着信息 技术 的发展 , 数字 证据 逐渐成 为一种 新 的诉讼 证据 , 为计算 机领域 和法 学领域 的一 门 作 交叉 科 学 : 算 机 取证 ( o p tr oe s s 正 逐渐 计 C m ue r i ) f nc 成 为人们 研究 与关 注 的焦点 。 计算 机取 证就 是利 用软件 和工具 , 从计 算机 或 外 围设备 中提 取 与 案件 有 关 的数据 。 中 国科学 院
v ld e d n e o a c s . Fr m i s u a i vie c s f rlw a e o t s is e,d sg yn m i ompu e ornsc ysem d gie ea lde in t e m o h e i nsa d a c c trf e i ss t n a v s d ti sg o t d— h ue . TheI ls mplm e tto ft e s tm a uom aia c m a m ie e c le to fd g tle i nc o p o e t sor g y mi xi z s t o lci n o i ia vde e t r t c , t a e h
计算机动态取证技术分析和模型实现
动 态 取证 系统模 型 、智 能 代理 技
术 在 动 态 取 证 中 的 应 用 以 及 动 态 取 证 中 的 数 据 获 取 ,解 决 动 态 取 证 的 实 时 性 、 智 能 性 、 可 适 应 性 和 扩 展 性 问题 。
关键词
计算机取证 ;动态取
是真实的、 有效 的和及 时的是计 算机 取
o ompu e yn m i s f r n i s i fc t rd a c o e s c s a ay e r t a d t e r s n ste n l z d f s, n h n p e e t h i
m o lof d a i o e s c a e de yn m c f r n i s b s d o n e lg n g n ,t e a lc to n i t l e ta e t h pp i a i n i of i e l g nt l i ent a gent i d n yna i m c
Fo e sc c n o y r n isTe h olg ZH ANG e Zh n CA O u m e J n— i
( n tt t fCo I s iu e o mp t r S i n e u e ce c ,
Ya a n’ n Uni e s t ,S a X i a a , v r iy h n Y n’ n 71 0 01 60 A bs r c :Th s pa r a m s at t e ta t i pe i h p o l m fd t n l i n c mp e r b e o a aa a yss i o ut r dyn m i o e i s a c f r ns c .The on pt c ce
计算机取证物理内存镜像获取技术的研究与实现的开题报告
计算机取证物理内存镜像获取技术的研究与实现的开题报告一、选题背景与意义网络安全日益成为全球普遍关注的话题之一,攻击者利用各种手段入侵计算机系统的事件屡见不鲜。
在这种情况下,建立完善的计算机取证技术以保障信息安全显得尤为重要。
而物理内存是计算机上存储重要数据的地方之一,它可以为取证提供更多的证据信息。
因此,物理内存镜像获取技术的研究与实现成为了当前亟待解决的问题。
物理内存镜像获取技术是指通过对计算机内存进行镜像备份,可以在不影响计算机工作状态的情况下获取受害者计算机的运行状态信息。
在取证中,物理内存的数据可以用于确定攻击方式、确认攻击入口、还原受害者计算机的操作流程等。
物理内存镜像是取证工作中不可缺少的证据之一,也是计算机类事件取证工作的基础。
二、研究目的和内容本研究旨在通过对物理内存镜像获取技术的深入研究,实现可靠、高效的物理内存镜像获取方案,为取证工作提供更多的证据信息。
具体内容包括:1. 理论研究:对物理内存及其镜像获取技术进行深入研究,分析镜像获取的原理、方法及其特点。
2. 系统设计:设计物理内存镜像获取系统,包括实现物理内存漏洞检测、内存映射与镜像文件生成等功能模块。
3. 实现与测试:基于设计方案实现物理内存镜像获取系统,对其进行实际测试与验证,评估系统性能及可行性。
三、预期成果1. 完成对物理内存镜像获取技术的理论研究,并深入掌握其原理、方法和特点。
2. 设计可靠、高效的物理内存镜像获取系统,包括物理内存漏洞检测、内存映射和镜像文件生成等功能模块。
3. 实现物理内存镜像获取系统,对其进行实际测试与验证,评估系统性能及可行性。
4. 形成结论性报告,总结物理内存镜像获取技术的研究现状,并提出自己的创新性观点和建议。
四、研究方法1. 文献调查法:了解物理内存镜像获取技术发展历程、现状及研究热点。
2. 实验研究法:通过搭建实验环境,实现物理内存镜像获取系统,并进行性能、可靠性测试。
3. 统计分析法:对实验结果进行统计和分析,评估系统的性能、可靠性和可行性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是 肉 眼 直 接 可 见 的 。传 统 证 据 的 获 取 方 法 ,如 笔 迹 鉴定 、 人 体 测 量 和 指纹 鉴 定 法 、足 迹 鉴定 、 牙 痕 鉴 定 、声 纹 鉴 定 、 唇
HI S 事 件 、NI S 事 件 、网 络 流 量 、 物理 磁 盘 、 文 件 备 份 、 D D 文 件 片 断 等 。一 是 有些 数 据 是 非 结 构 化 的 , 如物 理 磁 盘 和 文 件 片断 , 只能 看 作 是二 进制 流 ;二 是 在 整 个 攻 击 链 路 上 取证 时 , 数 据 集 中存 在 时 钟 不 同步 和事 件 不 一 致 , 得基 于时 间的 分 析 使 和 基 于 事 件 的 分 析失 觌 三 是 取 证 可 能 会 对 原始 数 据 造 成 很 严 重 的修 改 ,因 为 打 开文 件 、打 印文 件 等 一 般 都 不 是 原 始操 作 , 即 He e b r i n eg的不 确 定 性 原 理 。 s ( )如何 针 对 取 证 的 需 求 , 究 有效 的取 证 挖 掘 算 法 , 2 研 特 别 是 从 多媒 体 ( 图像 /音 频 /视 频 )中 挖 掘 相关 证 据 的挖 掘 算 法 和 技 术 。另 外 ,目前 取 证 计 算 从 工具 和单 个攻 击事 件 研 究较 多 ,但 从 计 算 模 型 上 研 究 较 少 。
战斗实力 ,同时消耗 了敌方的战斗资源 ,如 9 年海湾战争伊 1
拉 克成 功 实 施 的 目标 伪 装 。诱 骗 资 源 (eo e vcs d c y sr i )用 于 e
“ 示假” ,吸引攻击者 , 从而获得更多的攻 击流量, 使得数据集
C 足 够 大 。但 网 络 诱 骗 目前 没 有 成功 的 经 验 , 相关 的 研 究 如
维普资讯
取证计算模 型的研 究与实现
湖北省公安厅公共信息 网络 安全监察 总队 徐 云峰
摘
要 计算机取证 (optrfr ss 目前正逐渐成 为人 们研 完- cm u o nc) e ei 5关注的焦点。该文对取证 计算( r sscmun) f e i o p i . o nc tg ̄
探 测和 被 攻 击 的 特 征 , 制 假 目标 以 “ 假 ” 这 些 伪 装 保 存 仿 示 ,
掘 、 算 模 型 、 工 智能 ( 器 学 习 ) 自然 语 言 处 理 ( 解 ) 计 人 机 、 理 、 多媒体理解 ( 处理 ) 等 科 学 领 域 ,而 且 涉 及 到 法 律 科 学 、统 计 学 、心 理 学 等 相 关 学 科 。
( )电子 伪 装 ,除 对 目标 的 “ 真 ”外 ,可 模 拟 目标 的 可 3 隐
纹 鉴 定 、 模 鉴 定 、 于 DNA的 遗 传 基 因 鉴 定 等 不 能 用 于 电 虹 基 子 证 据 的 获 取 。 电 子 证 据 的 获 取 从 传 统 的 计 算 机 取 证 ( o ue oe sc 发 展 到 网络 取 证 ( t r o e s ) C mp trF rn i) Newo k F rn i , c 从静 态取证 发展为动 态取证 ,从单点取 证发展 到多点取 证 ,
行 了定 义 , 并提 出 采 用 X L OM g M / E / M数 据 模 型 、数 据 融 合技 术 、取 证知 识 库 、专 家 系统 推 理 机 和挖 掘 引 擎 的取 证 计 算模
型 。最终 实现取证计算模型的原型 系统 ,为网络取证提 供理论、方法、技 术和 系统的支持 ,填补 网络取 证的部 分研 究
到 目前 ,对 电 子 证 据 获 取 的 研 究 极 有 可 能 成 为 一 种 新 的 计 算
学 科 ,即 取 证 计 算 ( o e sc C mp t g 。取 证 计 算 不 仅 涉 F rn i o ui ) n
及 到 计 算 机 取 证 、网 络 取 证 、 网络 诱 骗 、 网 络 追 踪 、数 据 挖
二 取证计算的定义
取 证 计 算 是指 从 大 量数 据 集合 C中发 现 隐 含的 电 子 证据 链 P 如 果 电 子 证 据 的 特 征 集 为 q, C, 作 输 入 ,P为 输 出 , 。 将 q看
to e n t { n y e 、Ho e d、Vmw a e BOF、 S e t r Ho m a e ny r、 p ce 、 me d 、
— —
目前 在取 证 计 算 中存 在 的 关 键 问 题 :
( ) 据 源 中数 据 的异 构 性 和 复 杂性 。 些数 据 包括 系统 1数 这 日志 、 用 系统 日志 、 应 AAA 日志 、 由器 日志 、 火 墙 日志 、 路 防
取证计算
电子 证 据 ( 字 证 据 ) 对 传 统 证 据 “ 器 库 ”的补 充 , 数 是 武 它 起 源 于 上 个世 纪 8 代 ,自 9 年 代 中 后 期 开 始 服 务 于 法 庭 。 0年 0 与 传 统 证 据 一 样 ,电子 证 据 必 须 是 可 信 的 、准 确 的 、完 整 的 、 使 法 官 信 服 的 和 可 为 法 庭 所 接 受 的 。 同 时 ,电 子 证 据 是 以数 字 方 式 存 储 的 二 进 制 代 码 , 因此 电子 证 据 容 易 被 改变 ,且 不
D TK和 M a ta nrp等 。但 如 何 优 化 网络 诱 骗 资源 是吸 引攻 击 者
空 白 , 为保 证 网络 社 ห้องสมุดไป่ตู้ 的 安 全提 供 技 术 支持 。
关键词
取 证计算 数据融合 推理 机 隐 马尔可夫模 型 Pt 网 ei r
用取 证 挖 掘 ( o e s nn ) 来 获 得 的 证据 或证 据 链 。 F rn i Miig c
一
研 究获取 电子证据的新学科
HI S 事 件 、NI S 事 件 、网 络 流 量 、 物理 磁 盘 、 文 件 备 份 、 D D 文 件 片 断 等 。一 是 有些 数 据 是 非 结 构 化 的 , 如物 理 磁 盘 和 文 件 片断 , 只能 看 作 是二 进制 流 ;二 是 在 整 个 攻 击 链 路 上 取证 时 , 数 据 集 中存 在 时 钟 不 同步 和事 件 不 一 致 , 得基 于时 间的 分 析 使 和 基 于 事 件 的 分 析失 觌 三 是 取 证 可 能 会 对 原始 数 据 造 成 很 严 重 的修 改 ,因 为 打 开文 件 、打 印文 件 等 一 般 都 不 是 原 始操 作 , 即 He e b r i n eg的不 确 定 性 原 理 。 s ( )如何 针 对 取 证 的 需 求 , 究 有效 的取 证 挖 掘 算 法 , 2 研 特 别 是 从 多媒 体 ( 图像 /音 频 /视 频 )中 挖 掘 相关 证 据 的挖 掘 算 法 和 技 术 。另 外 ,目前 取 证 计 算 从 工具 和单 个攻 击事 件 研 究较 多 ,但 从 计 算 模 型 上 研 究 较 少 。
战斗实力 ,同时消耗 了敌方的战斗资源 ,如 9 年海湾战争伊 1
拉 克成 功 实 施 的 目标 伪 装 。诱 骗 资 源 (eo e vcs d c y sr i )用 于 e
“ 示假” ,吸引攻击者 , 从而获得更多的攻 击流量, 使得数据集
C 足 够 大 。但 网 络 诱 骗 目前 没 有 成功 的 经 验 , 相关 的 研 究 如
维普资讯
取证计算模 型的研 究与实现
湖北省公安厅公共信息 网络 安全监察 总队 徐 云峰
摘
要 计算机取证 (optrfr ss 目前正逐渐成 为人 们研 完- cm u o nc) e ei 5关注的焦点。该文对取证 计算( r sscmun) f e i o p i . o nc tg ̄
探 测和 被 攻 击 的 特 征 , 制 假 目标 以 “ 假 ” 这 些 伪 装 保 存 仿 示 ,
掘 、 算 模 型 、 工 智能 ( 器 学 习 ) 自然 语 言 处 理 ( 解 ) 计 人 机 、 理 、 多媒体理解 ( 处理 ) 等 科 学 领 域 ,而 且 涉 及 到 法 律 科 学 、统 计 学 、心 理 学 等 相 关 学 科 。
( )电子 伪 装 ,除 对 目标 的 “ 真 ”外 ,可 模 拟 目标 的 可 3 隐
纹 鉴 定 、 模 鉴 定 、 于 DNA的 遗 传 基 因 鉴 定 等 不 能 用 于 电 虹 基 子 证 据 的 获 取 。 电 子 证 据 的 获 取 从 传 统 的 计 算 机 取 证 ( o ue oe sc 发 展 到 网络 取 证 ( t r o e s ) C mp trF rn i) Newo k F rn i , c 从静 态取证 发展为动 态取证 ,从单点取 证发展 到多点取 证 ,
行 了定 义 , 并提 出 采 用 X L OM g M / E / M数 据 模 型 、数 据 融 合技 术 、取 证知 识 库 、专 家 系统 推 理 机 和挖 掘 引 擎 的取 证 计 算模
型 。最终 实现取证计算模型的原型 系统 ,为网络取证提 供理论、方法、技 术和 系统的支持 ,填补 网络取 证的部 分研 究
到 目前 ,对 电 子 证 据 获 取 的 研 究 极 有 可 能 成 为 一 种 新 的 计 算
学 科 ,即 取 证 计 算 ( o e sc C mp t g 。取 证 计 算 不 仅 涉 F rn i o ui ) n
及 到 计 算 机 取 证 、网 络 取 证 、 网络 诱 骗 、 网 络 追 踪 、数 据 挖
二 取证计算的定义
取 证 计 算 是指 从 大 量数 据 集合 C中发 现 隐 含的 电 子 证据 链 P 如 果 电 子 证 据 的 特 征 集 为 q, C, 作 输 入 ,P为 输 出 , 。 将 q看
to e n t { n y e 、Ho e d、Vmw a e BOF、 S e t r Ho m a e ny r、 p ce 、 me d 、
— —
目前 在取 证 计 算 中存 在 的 关 键 问 题 :
( ) 据 源 中数 据 的异 构 性 和 复 杂性 。 些数 据 包括 系统 1数 这 日志 、 用 系统 日志 、 应 AAA 日志 、 由器 日志 、 火 墙 日志 、 路 防
取证计算
电子 证 据 ( 字 证 据 ) 对 传 统 证 据 “ 器 库 ”的补 充 , 数 是 武 它 起 源 于 上 个世 纪 8 代 ,自 9 年 代 中 后 期 开 始 服 务 于 法 庭 。 0年 0 与 传 统 证 据 一 样 ,电子 证 据 必 须 是 可 信 的 、准 确 的 、完 整 的 、 使 法 官 信 服 的 和 可 为 法 庭 所 接 受 的 。 同 时 ,电 子 证 据 是 以数 字 方 式 存 储 的 二 进 制 代 码 , 因此 电子 证 据 容 易 被 改变 ,且 不
D TK和 M a ta nrp等 。但 如 何 优 化 网络 诱 骗 资源 是吸 引攻 击 者
空 白 , 为保 证 网络 社 ห้องสมุดไป่ตู้ 的 安 全提 供 技 术 支持 。
关键词
取 证计算 数据融合 推理 机 隐 马尔可夫模 型 Pt 网 ei r
用取 证 挖 掘 ( o e s nn ) 来 获 得 的 证据 或证 据 链 。 F rn i Miig c
一
研 究获取 电子证据的新学科