基于USN日志的取证技术研究

计算机系统查痕及取证是指通过一定的技术手段和方法,收集目标计算机中的各种信息,取得可以利用的线索与证据的过程。USN日志是NTFS文件系统中记录文件变更消息的子系统,保存了文件系统中文件增加、修改和删除等信息,对USN日志的分析和解读可以被用于计算机犯罪侦查和取证。研究对NTFS文件系统中的USN日志分析和解读的方法,通过系统自带命令以及编写代码两种不同的方式获取USN日志中可以用于计算机犯罪侦查的线索和证据,具有十分重要的意义。     

计算机取证中日志分析技术综述

日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件,如何充分利用日志发掘有效的计算机证据,是计算机取证研究领域中一个重要的问题。本文分析了日志文件及日志分析在计算机取证中的重要作用,综述了日志分析的基本方法和关联分析方法,指出日志分析技术的发展方向。     

基于模糊场景关联分析的技术研究与实践

文章针对海量多源异构安全日志分析问题,提出了一种基于模糊场景的关联分析方法。这种方法打破传统安全告警日志关联分析技术中常采用的构建固定攻击场景的方式。它采用聚类算法对多源异构告警日志进行聚合,综合考虑告警事件的数据来源、数量和事件等级,对每部分进行权重的累加,计算出与源IP对应的事件疑似度。文章介绍了模糊场景关联分析方法的架构原理、技术实现,并通过实例加以说明,对所提出的方法进行验证。结果表明该方法和应用是可行和有效的。     

基于虚拟机架构的文件系统监控

为了提高文件系统监控的准确性和抗攻击能力,设计并实现了一种基于虚拟机监视器的文件系统监控系统,该系统从虚拟机外部透明、实时地监控文件系统操作,获取被监控主机的相关信息,对文件操作进行记录和分析,并保存日志到与被监控主机隔离的安全主机。实验表明,该系统能够有效地监控文件系统操作,保证日志文件安全,检测出恶意代码隐藏文件。     

一种改进的基于因果关联的攻击场景重构方法

使用因果关联方法构建攻击场景时,漏报警易引发关联图的分裂.针对此问题,提出了一种改进的基于因果关联的攻击场景重构方法.该方法根据报警相关度确定可组合的关联图,利用网络弱点和攻击关系推出漏报警,使得分裂的关联图能够组合起来,进而重建完整的攻击场景.实验结果表明了该方法的有效性.     

利用模糊聚类实现入侵检测告警关联图的重构

众多的入侵检测告警关联方法中,因果关联是最具代表性的方法之一。针对因果关联在一些条件下会引发关联图分裂的问题,提出利用模糊聚类的方法实现攻击场景重构。在聚类过程中,针对告警特性提出一种基于属性层次树的相似度隶属函数定义方法,并给出评价相似度度量和衡量攻击场景构建能力的若干指标。实验结果表明,该方法能够有效地组合分裂的关联图,重构攻击场景。     

基于信号结构的稀疏分解原子库的优化策略

压缩传感技术应用于超声无损检测领域可有效减少检测的数据量,但其面临的一个技术瓶颈是稀疏分解原子库规模巨大,导致信号重构时间的贪婪性,降低了该项技术的实用性。文中通过分析频率因子、相位因子以及尺度因子与信号结构的关联特性,提出原子库优化策略,使原子库的规模减少为常规建库的1/8,提高了信号处理的实时性。     

基于蜜罐日志的关联规则挖掘研究

随着网络攻击数量和种类的不断增加,基于蜜罐（Honeypot）系统的海量攻击日志分析变得更加困难和耗时。仅仅凭借一个事件推断黑客意图和行为是非常困难的。这就要求在蜜罐系统的研究中进行整体性分析,数据挖掘技术就是这样的整体性分析工具。首先阐述了蜜罐系统的原理,然后以开源蜜罐系统Honeyd捕获的真实日志数据为例,使用关联规则挖掘先验（Apriori）算法对日志的特定属性进行分析,找出不同网络连接记录属性之间的关联规则,从中发现并理解攻击者的攻击行为和攻击模式,验证了数据挖掘技术应用于蜜罐日志分析中的可行性。     

一种安全事件模糊关联规则挖掘算法

随着信息技术和数据库技术的飞速发展,从大量的数据中获取有用的信息和知识变得越来越重要。模糊关联规则挖掘是数据挖掘中针对数量型属性关联规则发现的一种有效方法。提出了一种基于矩阵的模糊关联规则挖掘算法,并将其应用于网络安全事件关联分析中,通过对DARPA标准数据集的分析,得出了预期数量的关联规则,并成功验证了某些攻击场景,该模糊关联规则挖掘算法取得了较好的实验结果。     

基于多挖掘方法和CPN的告警关联系统

网络攻击越来越复杂,入侵检测系统产生大量告警日志,误报率高,可用性低。为此,论文提出采用聚类分析、关联挖掘算法和基于彩色Petri网的联合挖掘多步骤攻击方法进行IDS告警关联,从宏观和微观攻击轨迹角度重建攻击场景,提高了入侵检测系统的可用性。     

基于攻击图的主机安全评估方法

针对目前主机安全评估方法中无法准确计算主机安全值,忽略攻击图中主机关联性等问题,提出一种基于攻击图的主机安全评估方法.首先,生成主机攻击图,从漏洞自身、时间、环境和操作系统可利用性4个角度量化原子攻击概率并计算主机攻击概率.然后,根据专家先验评估和相关性定权法计算主机资产重要性,依据攻击图中主机间的关联关系计算主机的拓...     

云计算系统中基于噪声模板跳表的日志过滤方法

提出了一种基于时间序列相似度的日志特征提取方法,通过将噪声采样信息按照特定类型标识建模为时间序列,使用Haar小波变换提取序列特征,基于跳表构造噪声模板库。目标日志时间序列通过与噪声模板进行相似度比较来确定其是否为噪声日志。基于真实云计算平台的实验表明,提出的方法能够有效提高故障特征的有效性。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

多距融合室内定位算法研究

目前WiFi在室内环境中使用频次高,用户在通过两个相邻AP时会发生AP切换,并累计产生大量WiFi访问日志。WiFi日志中包含定位所需的接收信号强度指示符,在定位系统中直接利用WiFi访问日志中的数据,将极大地简化定位部署复杂度。文中提出了一种在两个相邻AP环境下,基于WiFi日志的多距融合室内定位算法,并通过实验仿真将新算法与路径损耗模型定位方法进行对比。实验结果表明,新算法具有易部署、低成本、低复杂度等特点,当训练样本个数达到300时即可达到稳定定位效果。     

CP-ABE based users collaborative privacy protection scheme for continuous query

In location-based services (LBS),as the untrusted LBS server can be seen as an adversary,and it can utilize the attribute as background knowledge to correlate the real location of the user in the set of uncertain locations.Then the adversary can gain the location privacy when the user enjoys the snapshot and continuous query through the correlation inference attack.In order to cope with this attack,the main scheme in privacy protection is to generalize the attribute and achieve attribute anonymity.However,algorithms of this type usually assumes a trusted third party (TTP) which provides the service of similarity attribute finding and comparing,and it is unpractical in the real environment,as the TTP may become the point of attack or the bottleneck of service and it cannot be considered as the trusted one all the time.Thus,to cope with the correlation inference attack as well as the semi-trusted third party,ciphertext policy attribute based encryption (CP-ABE) and users collaboration based attribute anonymous scheme was proposed.In this scheme,the user coupled achieve location and attribute anonymity.Furthermore,this scheme could also provide security for attacks from the semi-trusted third party as well as semi-trusted collaborative users.At last,security analysis and the experiment results further verify the effectiveness of privacy protection and the efficiency of algorithm execution.     

基于贝叶斯置信网的日志服务系统容侵方法研究

文章针对服务器系统被攻破之后。如何保护服务器系统所记录的日志。为以后系统的恢复提供依据．并且提高系统自身生存能力的难点．提出将日志记录按照一定的格式进行分片．将不同的分片存储在不同的日志服务器上的容侵策略。当需要进行日志还原时，再将日志分片组合成原来的日志。构建了系统的异常发现贝叶斯网络模型。该模型根据用户访问日志服务器所提供的特征信息。可以判断出该次访问是否异常行为和所访问目志类型，从而在海量日志信息中快速定位受攻击的服务器及其日志片段．以最小的系统开销恢复可能已经被破坏掉的某一类日志记录．该方法在一定程度上保证了日志记录服务器中日志记录的准确性和正确性。     

面向航空电子系统的网络文件系统设计

针对IMA的多个应用模块的文件共享问题,基于具有自主知识产权的机载多分区实时OS平台,提出了一种网络文件系统NFS的设计方案。文中采用网络文件锁,通过对文件的上锁和解锁,实现多个分区互斥访问文件;使用权限验证机制验证用户对文件的访问权限,用户通过验证后方可对文件执行相应的操作;日志文件保存整个NFS的运行情况,用于对NFS性能的分析。文中阐述了NFS客户端、服务器端的设计和网络封装格式,并给出了NFS运行的原理图。     

On the Time Synchronization of Distributed Log Files in Networks With Local Broadcast Media

Real-world experiments in computer networks typically result in a set of log files, one for each system involved in the experiment. Each log file contains event timestamps based on the local clock of the respective system. These clocks are not perfectly accurate, and deviate from each other. For a thorough analysis, however, a common time basis is necessary. In this paper, we tackle the fundamental problem of creating such a common time base for experiments in networks with local broadcast media, where transmissions can be received by more than one node. We show how clock deviations and event times can be estimated with very high accuracy, without introducing any additional traffic in the network. The proposed method is applied after the experiment is completed, using just the set of local log files as its input. It leads to a large linear program with a very specific structure. We exploit the structure to solve the synchronization problem quickly and efficiently, and present an implementation of a specialized solver. Furthermore, we give analytical and numerical evaluation results and present real-world experiments, all underlining the performance and accuracy of the method.     

一种基于Web日志用户浏览模式的数据挖掘

Web日志中包含了大量的用户浏览信息,如何有效地从其中挖掘出用户浏览兴趣模式是一个重要的研究课题.本文研究了Web日志挖掘的机理,在分析挖掘频繁遍历路径的问题特征和对其进行形式化描述的基础上,进一步提出了一种在Web日志中挖掘频繁遍历路径算法,该算法能够正确、快速地从Web日志中抽取频繁遍历路径.     

Android日志过滤器中正则表达式的应用

用Android Studio编辑应用程序过程中,Logcat的日志过滤器经常会使用到。日志过滤器是支持正则表达式的,有了这个特性,就可以构建出更加丰富的过滤条件。正则表达式有着强大的查询功能,通过对正则表达式特殊字符的分析,将正则表达式运用于日志过滤器,从成百上千条日志中过滤出用户有用的信息,对快速调试程序有着重要的意义。