网络犯罪取证与入侵检测系统

简要介绍了数字证据的特点，研究了入侵检测系统在取证方面的应用，并提出了改进建议，最后着重分析了网络犯罪取证的过程和需要注意的问题。     

基于Web的网络入侵检测取证系统的设计与实现

计算机取证目前在国外正逐步成为研究与开发的热点，但在国内仅有少量研究文章。网络安全技术中的一个重要方面就是入侵事件的检测与取证分析。文中在基于网络的取证分析中作了一些尝试，在Linux操作系统下综合利用基于主机和网络的入侵检测技术，开发出一套高效实用的基于Web的入侵检测与取证系统。给出了系统总体结构、主要模块的设计实现方法和关键数据结构。该系统能以直观友好的图形化方式显示入侵事件与取证信息。     

基于NTFS文件系统的数字证据收集技术

分析了NTFS文件系统的物理结构和逻辑框架,提出了计算机取证软件的开发需要先解决元数据的读取和碎片文件的恢复等问题,并编程实现了信息收集模块,为计算机取证软件的设计提供了一种方案。     

云环境下电子取证研究

随着云计算业务的持续增长,与云计算相关的或者直接以云为目标的网络犯罪也不断增加。目前,云取证无论是技术层面还是法律层面,取得的进步还很小。对采取传统电子取证方法的取证人员来说,这些新兴的网络犯罪是一项重大挑战。文章首先分析了云取证的困难和挑战,然后指出了云取证的首要取证对象,最后提出了一套新的云取证方法、流程和技术。文章的研究成果能给电子取证人员调查涉云网络犯罪时提供借鉴参考。     

动态与静态取证

文章介绍了动态取证与静态取证的定义与区别,结合实际工作中的案件取证过程,从几个现实案例出发,分析动态与静态取证状态之间的差异,并提出了一种融合两种取证状态的通用取证流程。     

An Approach for Validation of Digital Anti-Forensic Evidence

ABSTRACT

e-crime is increasing and e-criminals are becoming better at masking their activities. The task of forensic data analysis is becoming more difficult and a systematic approach towards evidence validation is necessary. With no standard validation framework, the skills and interpretation of forensic examiners are unchecked. Standard practices in forensics have emerged in recent years, but none has addressed the development of a model of valid digital evidence. Various security and forensic models exist, but they do not address the validity of the digital evidence collected. Research has addressed the issues of validation and verification of forensic software tools but failed to address the validation of forensic evidence. The forensic evidence collected using forensic software tools can be questioned using an anti-forensic approach. The research presented in this paper is not intended to question the skills of forensic examiners in using forensic software tools but rather to guide forensic examiners to look at evidence in an anti-forensic way. This paper proposes a formal procedure to validate evidence of computer crime.     

CUDA分布式计算的取证应用

互联网时代犯罪分子多以即时通信软件为工具进行网络诈骗等违法活动。为此,以阿里旺旺为例,研究该工具的数据文件存储结构及其RC4和MD5加密算法,提出一种基于CUDA的分布式计算模型。对RC4和MD5加密算法采用穷举所有可能密钥的方法进行暴力破解。实验结果表明,该计算模型能准确快速地完成阿里旺旺加密文件的破解,从而为计算机调查取证工作提供技术支持。     

意会关键词信息取证方法

新型宣传媒介的网络舆情存在大量非法信息。为此,提出一种意会关键词信息取证方法,对中文意会关键词进行定义、分类和量化,给出6种意会关键词提取算法,对提取的证据信息进行完整性处理。实验结果表明,6种算法的提取速度均在毫秒级,查准率和查全率分别达到92%和95%,从而保证在网页舆情监控下非法信息的取证效率。     

一种可信软件设计方法及可信性评价

针对可信计算组织TCG(Trusted Computing Group)的信任链无法保障软件运行时动态可信的问题,对该信任链进行扩充,引入对软件运行时动态可信性的检测,提出了可信引擎驱动的可信软件信任链模型,并在此基础上提出了一种可信软件设计方法及可信性评价策略.通过引入描述软件可信行为轨迹的可信视图,在可信软件检查点处植入检查点传感器,将软件可信性融入软件设计中.通过对软件的完整性度量以及运行过程中软件行为轨迹的监测,实现软件的可信性保障.实验分析表明:采用该方法设计的软件能够有效地检测软件异常,并且成功检测软件异常的能力明显优于基于TCG信任链的软件.     

一种支持软件可信演化的构件模型

对环境的适应是软件保证其可信的重要手段.当应用场景超出开发阶段的预设时,软件的环境适应能力需要能够在线调整,以保证其行为和结果仍可符合用户预期.这一调整的前提是软件工程层面的高效支持机制.基于关注点分离原则和动态软件体系结构技术,提出了一种支持软件环境适应能力细粒度在线调整的构件模型ACOE(adaptive component model for open environment).ACOE将软件环境适应能力中的感知、决策、执行等关注点封装为独立的构件和连接子,通过动态软件体系结构技术来支持它们的在线重配置,从而使第三方可在必要时通过有选择性的更新来调整适应能力.实现了支持ACOE构件模型的容器原型,并通过实验验证了其有效性.