计算机取证系统的设计

在网络技术不断发展的今天,攻击入侵使得网络防护防不胜防,网络安全已经成为了人们最为关注的问题。针对网络攻击入侵,建立了一个动态取证的计算机取证系统模型,并对各功能模块进行了分析论述,解决了动态取证中的实时性、有效性和可适应性问题。     

网络取证隐马尔可夫模型证据融合方法

针对网络取证因果关联证据融合方法存在的算法复杂、重现场景不够精确等问题,提出了基于隐马尔科夫模型的网络取证证据融合方法,阐述了应用隐马尔科夫模型进行证据融合的可行性。该方法以元证据序列作为随机观察序列,以网络入侵步骤作为随机状态序列,通过对元证据序列进行解码操作,找寻最可能的网络入侵步骤并据此回溯证据链。实验结果表明,与基于贝叶斯网络的多源证据融合方法相比,该方法的算法复杂度和抵御干扰项的能力均得到了明显的改善,该方法能够以较小的代价较精确地重现网络入侵的犯罪现场。     

分布式网络实时取证系统研究与设计

在分析目前网络体系中存在的不利于网络取证的问题的基础上,提出和设计了一种分布式网络实时取证系统。该系统通过不断监视和分析网络内部的运行情况,在保护网络安全的基础上,确定网络入侵者的行为是否已构成犯罪,然后提取和分析入侵者犯罪证据信息,并实现证据信息的完整性保护和验证。最后,通过时间线性化实时融合,生成入侵者犯罪证据。     

网络取证技术在网络图书馆中的应用研究

在分析图书馆网络数据资源特点的基础上,综合现有的网络安全技术,提出了针对图书馆网络的网络入侵取证设计方案及关键技术,通过保存原始证据及对已有证据的关联分析,发现并证明入侵行为的过程,并对其在图书馆网络中的应用进行了研究.     

基于动态网络的电网入侵证据获取系统设计与实现

针对电力监控系统的入侵证据获取耗时长、查全率低、错误率高的问题,提出基于动态网络的入侵证据获取系统.系统框架包括采集层、处理分析层以及显示层,根据每层需要设计系统模块,包括监控采集模块、预处理模块、数据传输模块、中心分析模块以及显示模块.根据拉格朗日方程及非局部均值滤波算法完成冗余数据滤除,得出缺失数据,完成数据清洗过程.结果表明,所设计系统具有查全率高、错误率低的特点,能有效保证电力监控系统网络信息安全.     

基于业务用户行为的计算机动态取证评估模型研究

对复杂信息系统的业务用户行为和网络取证进行了研究,结合木马技术提出了基于业务用户行为的计算机动态取证评估模型,该模型构建了基于云模型的业务用户行为定量评估方法。通过仿真实验验证了模型评估的合理性,同时验证了该模型能实时隐蔽地记录用户行为,并能确保将获取的信息反馈给取证控制端,为计算机动态取证的研究提供了一种可行的技术方案。     

基于ADSL接入网的实时数据采集系统研究与实现

根据OSI网络的分层原理和ATM网络分层协议模型,提出了基于ADSL接入网的实时数据采集协议模型,从而进一步提出了基于Utopia接口提取数据的数据采集设计方案,并给出了基于FPGA的数据提取控制接口(CTRL-E)的设计与仿真.本系统实现了基于ADSL接入网网路的实时动态数据采集,达到对网路进行实时监控与管理的目的,系统设计可靠,完全符合设计要求.     

基于危险理论的网络风险评估模型

为有效评估网络信息系统的网络风险,提出了一种新的基于危险理论的风险评估模型(DTREM)。在给出网络活动中自体、非自体、免疫细胞的定义,建立由记忆检测器、成熟检测器、未成熟检测器集合构成的入侵检测子模型后,进一步给出了基于危险理论的网络风险定量计算子模型。利用该模型,可以实时定量地计算出主机和网络当前所面临攻击的各类攻击和总体网络风险强度,理论分析和实验结果均表明,该模型为实时网络安全风险评估提供了一种有效的新途径。     

可信时间戳的网络服务器取证技术研究

研究了网络服务器取证与传统计算机磁盘取证的区别,提出了基于可信时间戳的网络服务器取证模型.该模型以公钥基础设施(PKI)为基础,由时间戳服务器使用其私钥对取证数据进行数字签名,通过PKI体系中私钥的不可推导特性保证证据数据的真实性、完整性.针对实际应用环境中的网络带宽、证据数据存储空间等瓶颈限制,提出了证据数据摘要的分组生成算法.该算法可以有效降低时间戳服务器的工作压力,减小服务器取证系统对磁盘空间和网络带宽的需求.     

基于生物免疫的无线传感器网络入侵检测系统

为了解决无线传感器网络的安全性问题,设计了一个基于生物免疫的轻量级入侵检测系统.系统集成了检测器的生成和抗原的检测,采用了疫苗提取和疫苗接种技术,实现了自体、非自体、抗体的动态演化.仿真结果表明,系统具有良好的检测率和较低的能耗.     

计算机安全取证技术研究

计算机安全取证技术是法学和计算机科学的交叉学科,必须把握这一特殊性对其进行研究。在这一领域把法律和技术分离就会导致法律认定上的错误和技术上的无序性。必须将法律和计算机技术相结合才能对计算机取证进行研究。本文阐明了计算机取证的相关法律问题,重点说明了计算机取证的过程、方法和工具,并给出了一个计算机取证实验的例子,提出了目前此领域相关法律法规和计算机取证技术的不足,指出了今后法律法规的进一步健全、计算机取证工作的规范化和计算机取证技术的发展趋势。     

Computer Forensics-An Essential Element of Modern IT Security

Computer forensics is the science of obtaining,preserving,and documenting evidence from computers,mobile devices as well as other digital electronic storage devices.All must be done in a manner designed to preserve the probative value of the evidence and to assure its admissibility in a legal proceeding.However,computer forensics is continually evolving as existing technologies progress and new technologies are introduced.For example,digital investigators are required to investigate content on mobile device or data stored at the cloud servers.With the popularity of computers in everyday life as well as the acceleration of cybercrime rates in recent years,computer forensics is becoming an essential element of modern IT security.This paper will cover the development of computer forensics in law enforcement and discuss the development in the latest live forensics skillsets.A number of interested areas of computer forensics will be also highlighted to explain how it can support IT security and civil / criminal investigation.     

基于数据挖掘的Multi—Agent动态取证系统研究

研究了计算机动态取证的相关技术,提出了一个计算机动态取证系统模型并对相关模块进行设计。根据动态取证的特点．将数据挖掘技术和多智能代理技术结合起来应用于动态取证系统中。系统在体系结构上使用基于智能代理的分布式结构,采用数据挖掘技术进行动态取证的海量数据分析,针对基本挖掘算法在取证分析实际应用中可能存在的不足,提出了相应的改进方法,通过实验分析,证明了改进算法在动态取证应用中的有效性。     

基于数据挖掘的Multi-Agent动态取证系统研究

研究了计算机动态取证的相关技术,提出了一个计算机动态取证系统模型并对相关模块进行设计。根据动态取证的特点,将数据挖掘技术和多智能代理技术结合起来应用于动态取证系统中,系统在体系结构上使用基于智能代理的分布式结构,采用数据挖掘技术进行动态取证的海量数据分析,针对基本挖掘算法在取证分析实际应用中可能存在的不足,提出了相应的改进方法,通过实验分析,证明了改进算法在动态取证应用中的有效性。     

实时通信软件的计算机取证系统研究

提出了一种基于Multi-Agent的针对实时通信软件的计算机取证模型,给出了系统的总体结构、主要模块的设计,以及采用的关键技术.该系统采用分布式技术,能够准确地对实时通信软件的通信记录进行全面恢复、收集和分析,形成取证报告.     

一种区块链的云计算电子取证模型

提出了一种区块链的云计算电子取证模型,设计基于Merkle Tree的证据保全及改进的共识算法,实现云计算环境下的去中心化电子取证,防止任何参与方,包括取证调查者、云服务提供商、用户等对取证信息的共谋篡改.实验结果表明,该模型能够有效地对电子证据信息进行保全和验证,保障取证数据的完整性和时效性.     

快门编码模型重影模糊图像盲复原方法

针对刑侦取证工作中经常出现的一种重影模糊图像,提出了一种快门编码模型来近似模拟重影模糊的本质,利用快门编码模型对重影模糊图像进行盲复原处理.实验结果表明了该快门编码模型对复原重影模糊图像的合理性,对实际拍摄的重影模糊图像,该算法能够有效地复原出模糊图像中的感兴趣信息,具有较高的实用性.     

基于神经网络的过程系统动态建模

针对生产过程中参数容易受外界影响而改变,传统的系统辨识方法难以得到精确的数学模型的实际情况,提出利用神经网络的自学习、自适应功能实现动态在线建模。本文对这种方法进行了仿真研究。由计算机产生仿真输入信号：随机信号或Ｍ序列伪随机信号,输入到生产过程中普遍存在的一阶纯滞后对象。通过三层ＢＰ神经元权值的不断调整,实现离线辨识和在线辨识,直到神经网络的阶跃响应曲线几乎和实际系统的阶跃响应重叠。仿真结果表明,     

基于图像噪声分析的计算机生成图像检测算法

计算机生成图像与自然图像在物理生成机理上的差异性导致其在噪声分布上具有明显的区别,据此提出一种基于图像噪声分析的计算机生成图像检测新方法。首先,用小波隐马尔可夫(MMT)模型对图像噪声进行预处理;接着,基于最大似然估计方法估测图像参考模式噪声;最后,在提取图像模式噪声统计距及其与参考模式噪声相关差值基础上,利用支持向量机(SVM)分类器进行鉴别。实验结果显示,较已有的典型算法,该算法具有更好的检测率。     

基于虚拟机监控器的类蜜罐实时内存取证

为了解决传统的基于“镜像-分析”的内存取证技术面临的提取内存镜像时间过长及无法有效截获瞬时性内存攻击的问题,提出类蜜罐的实时内存取证方法（RTMF）.利用虚拟机监控器针对性地提取内存片段,对提取的数据进行语义重构,以获得操作系统级语义信息.利用扩展页表机制设置关键内存页面的访问权限,将这些内存页面作为蜜罐;针对蜜罐的违规访问会触发扩展页表故障而陷入虚拟机监控器,实时拦截攻击.结果表明,在发现内存攻击后,RTMF既可记录攻击者对内存的修改历史,又可对攻击者追踪溯源.经微基准测试,该方法引入的性能开销在可接受的范围内.