用于自动证据分析的层次化入侵场景重构方法

为了能够自动分析入侵证据,提出了一种层次化入侵场景重构方法.其原理是:首先,基于报警关联技术重构出入侵者的抽象攻击步骤及步骤间关系;然后,基于攻击特征和依赖追踪技术重构出各步骤的行为细节;最后,通过两层重构结果的彼此映射,调整获得完整的入侵行为图.基于DARPA 2000的实验结果表明,该方法的重构结果准确性和完备性均比较高,而且抽象与细节相结合的表示方法更易理解,也更适合作为法律证据.而与现有方法相比,该方法在重构场景的完整性、适用行为的复杂性以及方法安全性等方面也有一定的改善.     

基于Multi-Agent的网络入侵取证模型的设计

在分析网络入侵取证和多Agent技术的基础上,提出了一个基于多Agent的网络入侵取证系统的模型,并详细描述了入侵检测与取证的过程和方法。将入侵检测和计算机取证技术结合在一起,在遭受入侵时能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测系统的不足,有效地阻止了黑客攻击。     

基于Multi-Agent的网络入侵取证模型的设计

在分析网络入侵取证和多Agent技术的基础上,提出了一个基于多Agent的网络入侵取证系统的模型,并详细描述了入侵检测与取证的过程和方法.将入侵检测和计算机取证技术结合在一起,在遭受入侵时能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测系统的不足,有效地阻止了黑客攻击.     

面向入侵的取证系统框架*

在分析常见入侵攻击的基础上抽象出入侵过程的一般模式,提出针对入侵攻击的取证系统应满足的特征。提出了入侵取证模型,并基于这一取证模型在操作系统内核层实现了取证系统原型KIFS(kernel intrusionforensic system)。在对实际入侵的取证实验中,根据KIFS得到的证据,成功记录并重构了一个针对FreeBSD系统漏洞的本地提升权限攻击的完整过程。     

基于Web的网络入侵检测取证系统的设计与实现

计算机取证目前在国外正逐步成为研究与开发的热点，但在国内仅有少量研究文章。网络安全技术中的一个重要方面就是入侵事件的检测与取证分析。文中在基于网络的取证分析中作了一些尝试，在Linux操作系统下综合利用基于主机和网络的入侵检测技术，开发出一套高效实用的基于Web的入侵检测与取证系统。给出了系统总体结构、主要模块的设计实现方法和关键数据结构。该系统能以直观友好的图形化方式显示入侵事件与取证信息。     

一种入侵检测取证系统模型的设计

随着网络技术的发展,黑客攻击现象越来越多。计算机取证技术是当今一种热门的动态安全技术,它采用主动出击的方法,搜集入侵证据,查出黑客的来源,有效地防范黑客入侵。文中提出了一种入侵检测取证系统模型,它考虑把入侵检测和计算机取证技术结合在一起。在遭受入侵时它能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测的不足,有效地阻止了黑客攻击。文章详细介绍了入侵检测取证的过程和方法,并讨论了系统存在的问题。     

一种入侵检测取证系统模型的设计

随着网络技术的发展,黑客攻击现象越来越多.计算机取证技术是当今一种热门的动态安全技术,它采用主动出击的方法,搜集入侵证据,查出黑客的来源,有效地防范黑客入侵.文中提出了一种入侵检测取证系统模型,它考虑把入侵检测和计算机取证技术结合在一起.在遭受入侵时它能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测的不足,有效地阻止了黑客攻击.文章详细介绍了入侵检测取证的过程和方法,并讨论了系统存在的问题.     

基于Multi-Agent的网络入侵动态取证

在分析计算机动态取证基本原理和Multi-Agent特点的基础上,将Multi-Agent技术应用到计算机取证中,提出了一种基于Multi-Agent的网络入侵动态取证系统结构.该系统在多种Agent的协同工作下能实时、准确和全面地收集入侵证据,再现入侵过程,从而克服了静态取证所存在的实时性差和证据收集困难等缺陷.     

基于事件关联的电子取证实时入侵重构

针对目前电子取证入侵重构多用事后分析的方式导致分析信息不完整的问题，定义入侵事件的形式化描述和黑客攻击场景的表示，将事件关联方法引入电子取证入侵重构分析中，建立了事件关联的动态实时电子取证入侵重构系统，该系统预先了因果关联表，找出事件问的因果关联度，并消除它们的冗余关系，来获得入侵过程图。最后，通过一个实例来说明通过关联部分攻击片断来构建一个完整的攻击场景的过程。     

基于协议分析的网络入侵动态取证系统设计

计算机取证技术分为静态取证和动态取证两种。静态取证技术由于采用事后分析的方法提取证据,因而证据的采集不够全面,同时恢复的数据可能是已经被篡改的数据,因而法律效力低。文中将计算机取证技术与入侵检测技术结合,提出一种基于协议分析的网络入侵动态取证系统。该系统采用基于协议分析的入侵检测方法,提高了入侵检测效率及数据分析能力,有助于解决动态取证的实时性;同时系统采取了较全面的安全机制,确保收集的电子证据的真实性、有效性、不可篡改性,是动态计算机取证的一种较好解决方案。     

基于入侵容忍的网络取证系统设计

现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态，未考虑系统状态变化对取证的影响。该文提出一个具有入侵容忍能力的网络取证系统INFS，分析了该原型系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制，以及取证agent、攻击回溯agent的工作机理，讨论了对应于不同系统状态的取证分析方法，提出了协同取证技术。     

一种基于图像处理的铁轨自动检测方法

现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态,未考虑系统状态变化对取证的影响.该文提出一个具有入侵容忍能力的网络取证系统INFS,分析了该原型系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制,以及取证agent、攻击回溯agent的工作机理,讨论了对应于不同系统状态的取证分析方法,提出了协同取证技术.     

智能网络取证系统

智能网络取证为网络防护提供了一种新的措施,弥补了原有网络安全体系中的不足。该系统包括数据采集、数据过滤、数据存储、管理控制和智能取证分析等部分。在数据获取的时候采用了规则过滤机制,减少了系统的负载,提高了电子证据的精确性。在数据获取的时候,系统采用了TCP/IP的实时重组,可以对应用层数据进行过滤和检测。对于获得的数据,分析模块采用多种方式综合分析入侵行为,包括协议分析、专家系统、应用数据还原、入侵检测等技术。在网络环境中,它与IDS,防火墙,VPN等技术结合,可以提供更加安全可靠的防护体系。     

基于加权模糊推理的电子取证入侵重构系统

针对目前电子取证入侵重构多用人工分析的方式导致效率低的问题,将AI领域中加权模糊推理方法引入电子取证入侵重构分析中,建立了基于加权模糊推理的电子取证入侵重构专家系统,该系统采用预先定义好的入侵特征,与取证现场获取的入侵痕迹相匹配,并结合相应的权值来推断实际可能的攻击场景。     

基于空间扩维特征的主机入侵检测模型

在基于访问控制粒度和多维安全拓扑空间的基础上分析了入侵攻击的特点,并提出基于空间扩维特征的入侵检测模型--SEDIDS. 为访问控制系统中的实体建立了语义网络模型,用语义网络完备性推理来检测访问控制实体的完整性,作为入侵攻击行为判断的依据,从而取代了依赖训练数据集建立系统访问模式轮廓进行比对的入侵检测传统手段.实验结果表明:该模型相对于传统的入侵检测具有较低的漏报率和误报率,并有较高的运行效率.     

基于Agent的入侵检测系统框架研究

文章在CIDF(通用入侵检测框架)的基础上,引入了静态智能Agent和移动Agent,提出了基于Agent的入侵检测系统框架的构想,采用静态智能Agent实现事件组件和分析组件的功能,采用移动Agent实现响应组件的功能。此框架的特点包括可扩展性、可动态配置、集成性、有效性、便于维护、升级和可自动响应等等,从而极大地改善了入侵检测系统的性能。