电子数据证据收集系统的研究与保护

随着计算机犯罪的不断增加，电子数据取证技术（digital forensic technology）越来越受到人们的重视．电子数据证据不同于传统的犯罪证据，它们更加容易消失和被破坏，为了获得完整可信的电子数据证据，提出应在敏感主机中预先安装设置电子数据证据收集系统（digital evidence collecting system．DECS），用来收集系统中的相关证据．由于DECS的某些模块往往存在于被攻击系统之中，提出使用安全隔离环境是保护电子数据证据收集机制有效的方法，并设计了一个安全保护机制——I-LOMAC．     

面向入侵的取证系统框架*

在分析常见入侵攻击的基础上抽象出入侵过程的一般模式,提出针对入侵攻击的取证系统应满足的特征。提出了入侵取证模型,并基于这一取证模型在操作系统内核层实现了取证系统原型KIFS(kernel intrusionforensic system)。在对实际入侵的取证实验中,根据KIFS得到的证据,成功记录并重构了一个针对FreeBSD系统漏洞的本地提升权限攻击的完整过程。     

一种基于Linux的动态取证策略

计算机动态取证是信息安全领域的研究热点,在简单介绍取证策略的基础上,提出一种基于Linux的计算机动态取证策略。该策略将Linux系统下的待取证数据分为两类,并采用不同的方法来取证：对于易失性的数据,通过分析内核的数据结构来获取证据;对于非易失性的数据,利用取证工具和系统命令来获取证据。在Linux9.0上进行了实验。实验表明,采用该策略能够对Linux系统下的常见入侵进行动态取证。     

UNIX系统取证分析方法①

UNIX作为目前最常用的主流操作系统之一,研究UNIX系统的取证分析方法具有非常重要的现实意义。本文首先介绍从UNIX系统中获取易失性数据的方法,然后介绍获取被入侵UNIX机器上的硬盘数据,建立取证映像（forensic image）,然后进行取证分析的具体步骤和方法。     

Honeypots网络取证技术研究

网络取证技术是当今一种热门的动态安全技术,它采用主动出击的方法,搜集犯罪证据,查出入侵的来源,有效地防范网络入侵.文中在分析网络取证的基本原理和Honeypots(蜜罐)技术特点基本上,将Honeypots应用到网络取证中,提出了基于蜜罐技术的网络取证系统,给出了系统模型和网络拓扑结构;并对各模块进行了分析并且给出实现方法.该系统在Honeypots的协同工作下能实时、准确和全面地收集入侵证据,再现入侵过程.     

基于数据挖掘的动态取证技术研究

文中针对静态取证中存在的证据真实性、有效性和及时性问题,提出将取证技术结合到防火墙、入侵检测系统中,应用数据挖掘技术和智能代理技术对所有可能的计算机犯罪行为进行实时的动态取证.重点研究了基于数据挖掘的多智能代理动态取证系统模型,以及在该模型下的基于智能代理的数据获取和基于数据挖掘的动态数据分析.这些对提高电子证据的真实性、有效性以及动态取证系统的有效性、可适应性、可扩展性、智能化具有重要的意义.     

基于协议分析的网络入侵动态取证系统设计

计算机取证技术分为静态取证和动态取证两种。静态取证技术由于采用事后分析的方法提取证据,因而证据的采集不够全面,同时恢复的数据可能是已经被篡改的数据,因而法律效力低。文中将计算机取证技术与入侵检测技术结合,提出一种基于协议分析的网络入侵动态取证系统。该系统采用基于协议分析的入侵检测方法,提高了入侵检测效率及数据分析能力,有助于解决动态取证的实时性;同时系统采取了较全面的安全机制,确保收集的电子证据的真实性、有效性、不可篡改性,是动态计算机取证的一种较好解决方案。     

基于协议分析的网络入侵动态取证系统设计

计算机取证技术分为静态取证和动态取证两种。静态取证技术由于采用事后分析的方法提取证据，因而证据的采集不够全面，同时恢复的数据可能是已经被篡改的数据，因而法律效力低。文中将计算机取证技术与入侵检测技术结合，提出一种基于协议分析的网络入侵动态取证系统。该系统采用基于协议分析的入侵检测方法，提高了入侵检测效率及数据分析能力，有助于解决动态取证的实时性；同时系统采取了较全面的安全机制，确保收集的电子证据的真实性、有效性、不可篡改性，是动态计算机取证的一种较好解决方案。     

基于行为时序逻辑的入侵取证研究

提出一种基于行为时序逻辑的入侵取证的形式化方法,其描述语言能够准确描述入侵证据、系统知识以及攻击行为,并具有在部分数据缺失的情况下进行非确定性推理的能力;其自动验证工具能够寻求额外的证据并可检查是否有可能的攻击与这些证据相符。实例研究表明,这种方法不依赖于具体的攻击技术和操作系统,不惧证据的缺失,能够有效搜寻更多的证据并重建可能的攻击场景。     

基于数据挖掘的动态取证技术研究

文中针对静态取证中存在的证据真实性、有效性和及时性问题,提出将取证技术结合到防火墙、入侵检测系统中,应用数据挖掘技术和智能代理技术对所有可能的计算机犯罪行为进行实时的动态取证。重点研究了基于数据挖掘的多智能代理动态取证系统模型,以及在该模型下的基于智能代理的数据获取和基于数据挖掘的动态数据分析。这些对提高电子证据的真实性、有效性以及动态取证系统的有效性、可适应性、可扩展性、智能化具有重要的意义。     

分布式计算机动态取证模型

提出一个分布式计算机动态取证模型,在被保护系统中进行实时动态的证据采集,将证据及时、完整地存储到安全的证据中心,为证据分析和提取工作提供可信的原始证据数据。     

一种自适应的动态取证机制

随着网络入侵技术和计算机犯罪技术的发展,动态取证变得越来越重要.利用入侵检测系统和蜜罐来实现入侵取证的方法在取证的实时性方面有很大优势,但这些方法没有过多考虑系统被入侵时证据可靠性以及系统可靠性的问题,而且取证的时机难以掌握.提出了一种自适应的动态取证方法,该方法采用入侵检测系统作为取证触发器,利用影子蜜罐对疑似攻击进行确认和进一步观察分析,自适应调整取证过程,获取关键证据,最后采用有限状态机对该机制进行建模,并对该机制中的状态转换时机、影子蜜罐、证据安全存储等关键技术进行描述.利用该机制来实现动态取证,可以使得取证过程更可控,可以减少不必要的证据量,并增强系统的容侵性.     

计算机取证的相关法律技术问题研究

法律界研究计算机证据的有关法律特性及其认定,而计算机科学领域的研究人员则从技术的角度研究计算证据的技术特征及其获取技术.由于这一学科是建立在法学和计算机科学之上的交叉学科,必须从这两个学科及其派生学科上体现出的特殊性的角度对其进行研究.在这一领域把法律和技术分离的做法会导致法律认定上的错误和技术上的无序性.通过将法律和计算机技术相结合对计算机取证进行了研究.阐明了计算机取证的相关法律问题,重点研究了计算机取证的技术方法和工具,并给出了一个计算机取证实验的技术过程.提出了目前计算机取证相关法律法规和计算机取证技术的不足,指出了今后法律法规的进一步健全、计算机取证工作的规范化和计算机取证技术的发展趋势.     

法律执行过程模型研究

计算机取证必须遵循严格的过程和程序,否则,所荻取的证据缺乏可靠性和真实性。建立一个实用的计算机取证模型很重要,因为它能不依赖任何一种特殊的技术或组织环境,为研究支撑调查工作的技术提供一种抽象的参考构架。文章针对法律执行过程模型这一数字取证模型进行了简单的分析。     

静态计算机取证的过程模型研究

由于电子证据的特殊性,计算机取证必须遵循严格的过程和程序,否则,就会导致所获取的证据缺乏可靠性和真实性。一个实用的计算机取证模型很重要,这是因为它能不依赖任何一种特殊的技术或组织环境,为研究支撑调查工作的技术提供一种抽象的参考构架。该文针对静态计算机取证的过程模型进行了研究,并就模型涉及的相关步骤进行了分析。     

基于RBFCM和ECM的分层取证分析

为实现入侵证据的自动分析,设计一种基于取证图的分层取证分析方法。采用基于规则的模糊感知图模型,从局部识别出网络实体的状态,通过特征向量中心度计算得到重要的种子结点,再从大量攻击场景的关联结点中抽取攻击组。基于DARPA2000的实验结果表明,该方法在攻击组抽取和场景抽取方面具有较高的覆盖率和准确率。     

Network forensics based on fuzzy logic and expert system

Network forensics is a research area that finds the malicious users by collecting and analyzing the intrusion or infringement evidence of computer crimes such as hacking. In the past, network forensics was only used by means of investigation. However, nowadays, due to the sharp increase of network traffic, not all the information captured or recorded will be useful for analysis or evidence. The existing methods and tools for network forensics show only simple results. The administrators have difficulty in analyzing the state of the damaged system without expert knowledge. Therefore, we need an effective and automated analyzing system for network forensics. In this paper, we firstly guarantee the evidence reliability as far as possible by collecting different forensic information of detection sensors. Secondly, we propose an approach based on fuzzy logic and expert system for network forensics that can analyze computer crimes in network environment and make digital evidences automatically. At the end of the paper, the experimental comparison results between our proposed method and other popular methods are presented. Experimental results show that the system can classify most kinds of attack types (91.5% correct classification rate on average) and provide analyzable and comprehensible information for forensic experts.     

一种用于网络取证分析的模糊决策树推理方法

网络取证是对现有网络安全体系的必要扩展,已日益成为研究的重点.但目前在进行网络取证时仍存在很多挑战:如网络产生的海量数据;从已收集数据中提取的证据的可理解性;证据分析方法的有效性等.针对上述问题,利用模糊决策树技术强大的学习能力及其分析结果的易理解性,开发了一种基于模糊决策树的网络取证分析系统,以协助网络取证人员在网络环境下对计算机犯罪事件进行取证分析.给出了该方法的实验结果以及与现有方法的对照分析结果.实验结果表明,该系统可以对大多数网络事件进行识别(平均正确分类率为91.16%),能为网络取证人员提供可理解的信息,协助取证人员进行快速高效的证据分析.     

基于手机的取证调查模型研究

给出了手机取证的概念,并与计算机取证进行了比较,分析了手机取证和计算机取证的差异。结合手机取证的特点和难点,提出了基于手机的取证调查模型,分析了模型中各个阶段的具体活动。该模型对取证人员具有一定的指导意义。