计算机取证应用技术

计算机犯罪证据的固定是计算机取证的第一步.通过技术手段固定证据和保证证据的有效性是当前计算机取证研究工作面临的两个重要问题.主要包括静态取证,动态取证和网络取证.系统应用一系列计算机技术制定了一套规范的取证流程为电子证据成为诉讼证据奠定了基础,     

基于布鲁姆过滤器的计算机动态取证技术研究

静态取证时效性不足,动态取证则可获得更为真实、实时的证据。动态取证最关键的是证据识别。证据识别本质上是对网络数据流进行分类,以判断其行为是合法还是非法。布鲁姆过滤器采用一个位串表示数据集合并有效支持元素的哈希查询,从而被广泛应用于包分类算法中。首先对标准布鲁姆过滤器算法进行分析,并对算法存在的缺陷进行改进。在此基础上,设计一个基于布鲁姆过滤器的分布式计算机动态取证系统,并采取安全有效措施对证据进行传送。实验表明:该系统能对网络攻击行为进行动态地检测,且检测准确率高、误判率低。     

动态计算机取证系统的司法应用设计与实现

计算机取证的主要目的就是要收集数字证据,重构犯罪现场,为诉讼案件提供有效的证据.从这个问题出发,提出一个动态计算机取证系统的模型并对相关模块进行设计.系统的实现能够自动、动态地收集最大限度的网络和主机数字证据,具有自适应性、分布性、动态性,是动态计算机取证的一种解决方案,为司法人员从事计算机取证,打击计算机犯罪提供了一个较好的辅助平台.     

计算机取证概述

本文简要介绍了计算机取证的定义、发展背景、证据特点、取证特点、取证原则、步骤,并从静态和动态两个方面阐述了取证技术和取证工具。     

一种基于Linux的动态取证策略

计算机动态取证是信息安全领域的研究热点,在简单介绍取证策略的基础上,提出一种基于Linux的计算机动态取证策略。该策略将Linux系统下的待取证数据分为两类,并采用不同的方法来取证：对于易失性的数据,通过分析内核的数据结构来获取证据;对于非易失性的数据,利用取证工具和系统命令来获取证据。在Linux9.0上进行了实验。实验表明,采用该策略能够对Linux系统下的常见入侵进行动态取证。     

基于数据挖掘的动态取证技术研究

文中针对静态取证中存在的证据真实性、有效性和及时性问题,提出将取证技术结合到防火墙、入侵检测系统中,应用数据挖掘技术和智能代理技术对所有可能的计算机犯罪行为进行实时的动态取证.重点研究了基于数据挖掘的多智能代理动态取证系统模型,以及在该模型下的基于智能代理的数据获取和基于数据挖掘的动态数据分析.这些对提高电子证据的真实性、有效性以及动态取证系统的有效性、可适应性、可扩展性、智能化具有重要的意义.     

基于Multi-Agent的网络入侵动态取证

在分析计算机动态取证基本原理和Multi-Agent特点的基础上,将Multi-Agent技术应用到计算机取证中,提出了一种基于Multi-Agent的网络入侵动态取证系统结构.该系统在多种Agent的协同工作下能实时、准确和全面地收集入侵证据,再现入侵过程,从而克服了静态取证所存在的实时性差和证据收集困难等缺陷.     

基于数据挖掘的动态取证技术研究

文中针对静态取证中存在的证据真实性、有效性和及时性问题,提出将取证技术结合到防火墙、入侵检测系统中,应用数据挖掘技术和智能代理技术对所有可能的计算机犯罪行为进行实时的动态取证。重点研究了基于数据挖掘的多智能代理动态取证系统模型,以及在该模型下的基于智能代理的数据获取和基于数据挖掘的动态数据分析。这些对提高电子证据的真实性、有效性以及动态取证系统的有效性、可适应性、可扩展性、智能化具有重要的意义。     

基于智能代理的动态取证技术研究

计算机静态取证存在证据的真实性、有效性和及时性问题。本文提出将取证技术结合到防火墙、入侵检测系统中,对所有可能的计算机犯罪行为进行实时的动态取证,重点研究了基于智能代理的动态取证系统模型、智能代理技术在动态取证中的应用以及动态取证中的数据获取,解决动态取证的实时性、智能性、可适应性和扩展性问题。     

计算机取证模型研究

在计算机犯罪发生后对现场信息进行事后的收集,难以确保证据的真实性和及时性。提出了一个基于动态采集理念的计算机取证模型,介绍了该模型的功能模块,将模糊C均值聚类算法引入到数据分析阶段,采用XML技术表示取证结果,实现了基于该模型的计算机取证原型系统。实验证明,原型系统能采集到准确、有效的电子证据。     

分布式计算机主动取证方法研究

从考察计算机事前取证技术的研究出发,将传统物理取证的方法学思想无缝地融入到计算机取证技术中,具体地阐述了计算机主动取证方法的轮廓,并概要地描绘了分布式计算机主动取证系统的设计思路.     

面向IaaS云服务基础设施的电子证据保全与取证分析系统设计

随着云技术在计算机网络领域的广泛应用,云环境下的安全审计与电子取证需求也日益迫切。由于云取证与传统计算机取证在取证环境、证据获取及证据分析方面有较大区别,目前尚缺乏有效的针对云的电子取证方法及技术手段,云系统作为一种信息系统,其可审计性得不到保证。文章设计了一套新的云取证系统,面向IaaS云服务的基础设施,通过采集终端对云系统中虚拟机进行监控并主动采集证据,同时将采集到的证据集中存放于一处,取证系统实时取证、证据集中保全的特性可以有效应对云环境下证据易失、证据提取困难的特点,达到高效取证。     

基于手机的取证调查模型研究

给出了手机取证的概念,并与计算机取证进行了比较,分析了手机取证和计算机取证的差异。结合手机取证的特点和难点,提出了基于手机的取证调查模型,分析了模型中各个阶段的具体活动。该模型对取证人员具有一定的指导意义。     

基于多Agent的分布式计算机动态取证模型研究

传统的计算机取证大多采用静态取证技术,通过事后分析的方法提取证据,证据的收集和提取比较困难,证据的法律效力低.将计算机取证技术与入侵检测技术结合,提出一种基于多Agent的分布式计算机动态取证模型,采用多Agent的分布式数据采集策略,扩展了取证范围;通过入侵检测系统实时监测,动态获取入侵证据,提高了证据的证明能力;同时,采用证据融合的数据分析技术,通过多源联合信息降低了误警率,增加了证据的可信度,提高了证据的有效性.     

网络取证技术研究

介绍了网络取证的概念、网络证据的特点、与传统静态取证的比较及研究现状,详细分析了数据捕获、数据分析技术、专家系统和数据挖掘技术等在网络取证中的应用,并分析了目前网络取证存在的问题和发展趋势.     

基于Windows 平台的动态取证系统

针对目前一些动态取证模型的不足,在分布式网络取证模型的基础上设计了一个基于Windows平台的动态取证系统,能够实现网络中的计算机作为作案目标和作案工具双重角色时的取证,具有实时获取多种数据源、取证过程隐秘、取证分析算法可扩展等特点。介绍了动态取证系统中各功能模块设计,并阐述了系统设计中涉及到的关键技术,最后通过模拟测试表明该系统能够在Windows网络下实现动态取证。     

Network forensics based on fuzzy logic and expert system

Network forensics is a research area that finds the malicious users by collecting and analyzing the intrusion or infringement evidence of computer crimes such as hacking. In the past, network forensics was only used by means of investigation. However, nowadays, due to the sharp increase of network traffic, not all the information captured or recorded will be useful for analysis or evidence. The existing methods and tools for network forensics show only simple results. The administrators have difficulty in analyzing the state of the damaged system without expert knowledge. Therefore, we need an effective and automated analyzing system for network forensics. In this paper, we firstly guarantee the evidence reliability as far as possible by collecting different forensic information of detection sensors. Secondly, we propose an approach based on fuzzy logic and expert system for network forensics that can analyze computer crimes in network environment and make digital evidences automatically. At the end of the paper, the experimental comparison results between our proposed method and other popular methods are presented. Experimental results show that the system can classify most kinds of attack types (91.5% correct classification rate on average) and provide analyzable and comprehensible information for forensic experts.     

云计算环境下仿真计算机取证研究

文章首先介绍了传统的计算机取证技术的困境,然后引出云计算环境下仿真计算机取证的系统构建方法和结构体系.该系统充分利用了云计算环境的高效计算、海量存储、并行处理等特点,利用服务器虚拟化技术和桌面虚拟化技术,以及成熟的分布式并行计算框架,将传统的计算机取证模式转化为动态、并行、高效的云取证模式.     

电子数据职证研究概述

随着计算机技术的飞速发展,人类社会对数字信息的依赖已达到前所未有的程度。与此同时,计算机犯罪率也以惊人的速度增长(2003CSI/FBI计算机犯罪调查报告)。由于计算机犯罪是刑事犯罪中一种新兴的高科技犯罪,政法机关在如何利用高技术手段对付这种高技术犯罪方面缺乏必要的技术保障和支持,为了保障和促进计算机信息网络健康有序发展,提高政法机关打击计算机犯罪的能力,需要对电子数据取证(数字取证、计算机取证)领域进行深入的研究,这不但需要开发切实有效的取证工具,更需要对电子数据取证领域的取证定义、取证标准、取证程序等理论基础的研究。本文正是在这种需求下,对电子数据取证领域的研究工作进行了分析,首先对电子数据取证的相关概念进行总结,然后对国内外电子数据取证的基础研究工作进行了概要性的描述,并对目前较为典型的取证工具作以介绍。本文对取证领域,尤其是对电子数据取证领域的基本理论和基本方法进行深入分析的基础上,结合其上层典型应用的行为方式为前提,力求为开发出适合我国国情的电子数据取证系统建立良好的基础。     

计算机取证的相关法律技术问题研究

法律界研究计算机证据的有关法律特性及其认定,而计算机科学领域的研究人员则从技术的角度研究计算证据的技术特征及其获取技术.由于这一学科是建立在法学和计算机科学之上的交叉学科,必须从这两个学科及其派生学科上体现出的特殊性的角度对其进行研究.在这一领域把法律和技术分离的做法会导致法律认定上的错误和技术上的无序性.通过将法律和计算机技术相结合对计算机取证进行了研究.阐明了计算机取证的相关法律问题,重点研究了计算机取证的技术方法和工具,并给出了一个计算机取证实验的技术过程.提出了目前计算机取证相关法律法规和计算机取证技术的不足,指出了今后法律法规的进一步健全、计算机取证工作的规范化和计算机取证技术的发展趋势.