共查询到20条相似文献,搜索用时 941 毫秒
1.
计算机系统查痕及取证是指通过一定的技术手段和方法,收集目标计算机中的各种信息,取得可以利用的线索与证据的过程。USN日志是NTFS文件系统中记录文件变更消息的子系统,保存了文件系统中文件增加、修改和删除等信息,对USN日志的分析和解读可以被用于计算机犯罪侦查和取证。研究对NTFS文件系统中的USN日志分析和解读的方法,通过系统自带命令以及编写代码两种不同的方式获取USN日志中可以用于计算机犯罪侦查的线索和证据,具有十分重要的意义。 相似文献
2.
日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件,如何充分利用日志发掘有效的计算机证据,是计算机取证研究领域中一个重要的问题。本文分析了日志文件及日志分析在计算机取证中的重要作用,综述了日志分析的基本方法和关联分析方法,指出日志分析技术的发展方向。 相似文献
3.
4.
为了提高文件系统监控的准确性和抗攻击能力,设计并实现了一种基于虚拟机监视器的文件系统监控系统,该系统从虚拟机外部透明、实时地监控文件系统操作,获取被监控主机的相关信息,对文件操作进行记录和分析,并保存日志到与被监控主机隔离的安全主机。实验表明,该系统能够有效地监控文件系统操作,保证日志文件安全,检测出恶意代码隐藏文件。 相似文献
5.
使用因果关联方法构建攻击场景时,漏报警易引发关联图的分裂.针对此问题,提出了一种改进的基于因果关联的攻击场景重构方法.该方法根据报警相关度确定可组合的关联图,利用网络弱点和攻击关系推出漏报警,使得分裂的关联图能够组合起来,进而重建完整的攻击场景.实验结果表明了该方法的有效性. 相似文献
6.
7.
8.
随着网络攻击数量和种类的不断增加,基于蜜罐(Honeypot)系统的海量攻击日志分析变得更加困难和耗时。仅仅凭借一个事件推断黑客意图和行为是非常困难的。这就要求在蜜罐系统的研究中进行整体性分析,数据挖掘技术就是这样的整体性分析工具。首先阐述了蜜罐系统的原理,然后以开源蜜罐系统Honeyd捕获的真实日志数据为例,使用关联规则挖掘先验(Apriori)算法对日志的特定属性进行分析,找出不同网络连接记录属性之间的关联规则,从中发现并理解攻击者的攻击行为和攻击模式,验证了数据挖掘技术应用于蜜罐日志分析中的可行性。 相似文献
9.
随着信息技术和数据库技术的飞速发展,从大量的数据中获取有用的信息和知识变得越来越重要。模糊关联规则挖掘是数据挖掘中针对数量型属性关联规则发现的一种有效方法。提出了一种基于矩阵的模糊关联规则挖掘算法,并将其应用于网络安全事件关联分析中,通过对DARPA标准数据集的分析,得出了预期数量的关联规则,并成功验证了某些攻击场景,该模糊关联规则挖掘算法取得了较好的实验结果。 相似文献
10.
网络攻击越来越复杂,入侵检测系统产生大量告警日志,误报率高,可用性低。为此,论文提出采用聚类分析、关联挖掘算法和基于彩色Petri网的联合挖掘多步骤攻击方法进行IDS告警关联,从宏观和微观攻击轨迹角度重建攻击场景,提高了入侵检测系统的可用性。 相似文献
11.
12.
13.
近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。 相似文献
14.
15.
In location-based services (LBS),as the untrusted LBS server can be seen as an adversary,and it can utilize the attribute as background knowledge to correlate the real location of the user in the set of uncertain locations.Then the adversary can gain the location privacy when the user enjoys the snapshot and continuous query through the correlation inference attack.In order to cope with this attack,the main scheme in privacy protection is to generalize the attribute and achieve attribute anonymity.However,algorithms of this type usually assumes a trusted third party (TTP) which provides the service of similarity attribute finding and comparing,and it is unpractical in the real environment,as the TTP may become the point of attack or the bottleneck of service and it cannot be considered as the trusted one all the time.Thus,to cope with the correlation inference attack as well as the semi-trusted third party,ciphertext policy attribute based encryption (CP-ABE) and users collaboration based attribute anonymous scheme was proposed.In this scheme,the user coupled achieve location and attribute anonymity.Furthermore,this scheme could also provide security for attacks from the semi-trusted third party as well as semi-trusted collaborative users.At last,security analysis and the experiment results further verify the effectiveness of privacy protection and the efficiency of algorithm execution. 相似文献
16.
文章针对服务器系统被攻破之后。如何保护服务器系统所记录的日志。为以后系统的恢复提供依据.并且提高系统自身生存能力的难点.提出将日志记录按照一定的格式进行分片.将不同的分片存储在不同的日志服务器上的容侵策略。当需要进行日志还原时,再将日志分片组合成原来的日志。构建了系统的异常发现贝叶斯网络模型。该模型根据用户访问日志服务器所提供的特征信息。可以判断出该次访问是否异常行为和所访问目志类型,从而在海量日志信息中快速定位受攻击的服务器及其日志片段.以最小的系统开销恢复可能已经被破坏掉的某一类日志记录.该方法在一定程度上保证了日志记录服务器中日志记录的准确性和正确性。 相似文献
17.
18.
Scheuermann B. Kiess W. Roos M. Jarre F. Mauve M. 《Networking, IEEE/ACM Transactions on》2009,17(2):431-444
Real-world experiments in computer networks typically result in a set of log files, one for each system involved in the experiment. Each log file contains event timestamps based on the local clock of the respective system. These clocks are not perfectly accurate, and deviate from each other. For a thorough analysis, however, a common time basis is necessary. In this paper, we tackle the fundamental problem of creating such a common time base for experiments in networks with local broadcast media, where transmissions can be received by more than one node. We show how clock deviations and event times can be estimated with very high accuracy, without introducing any additional traffic in the network. The proposed method is applied after the experiment is completed, using just the set of local log files as its input. It leads to a large linear program with a very specific structure. We exploit the structure to solve the synchronization problem quickly and efficiently, and present an implementation of a specialized solver. Furthermore, we give analytical and numerical evaluation results and present real-world experiments, all underlining the performance and accuracy of the method. 相似文献
19.
一种基于Web日志用户浏览模式的数据挖掘 总被引:1,自引:0,他引:1
Web日志中包含了大量的用户浏览信息,如何有效地从其中挖掘出用户浏览兴趣模式是一个重要的研究课题.本文研究了Web日志挖掘的机理,在分析挖掘频繁遍历路径的问题特征和对其进行形式化描述的基础上,进一步提出了一种在Web日志中挖掘频繁遍历路径算法,该算法能够正确、快速地从Web日志中抽取频繁遍历路径. 相似文献
20.
用Android Studio编辑应用程序过程中,Logcat的日志过滤器经常会使用到。日志过滤器是支持正则表达式的,有了这个特性,就可以构建出更加丰富的过滤条件。正则表达式有着强大的查询功能,通过对正则表达式特殊字符的分析,将正则表达式运用于日志过滤器,从成百上千条日志中过滤出用户有用的信息,对快速调试程序有着重要的意义。 相似文献