一种用于网络取证分析的模糊决策树推理方法

网络取证是对现有网络安全体系的必要扩展,已日益成为研究的重点.但目前在进行网络取证时仍存在很多挑战:如网络产生的海量数据;从已收集数据中提取的证据的可理解性;证据分析方法的有效性等.针对上述问题,利用模糊决策树技术强大的学习能力及其分析结果的易理解性,开发了一种基于模糊决策树的网络取证分析系统,以协助网络取证人员在网络环境下对计算机犯罪事件进行取证分析.给出了该方法的实验结果以及与现有方法的对照分析结果.实验结果表明,该系统可以对大多数网络事件进行识别(平均正确分类率为91.16%),能为网络取证人员提供可理解的信息,协助取证人员进行快速高效的证据分析.     

网络取证系统及工具分析

随着网络技术的发展,计算机网络犯罪总量持续上升,计算机取证工作显得越来越重要。计算机取证分为事后取证和实时取证。早期的实时取证所利用的网络安全工具在取证学角度都存在一定的局限性,它们所产生的数据不能成为法律意义上的证据。由此,网络取证系统应运而生,它对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,弥补了传统安全工具在实时取证中的不足。文中对网络取证系统进行了详细分析,并对目前的一些网络取证工具进行了比较。     

基于系统日志的计算机取证技术的分析研究

随着计算机网络技术的发展,计算机网络安全越来越受到人们的关注和重视。计算机取证技术正是在这种背景下发展起来的,它的目标就是对计算机系统和计算机网络中发生的犯罪行为进行取证分析,获取入侵事件的电子证据。本文主要介绍了计算机取证技术,重点研究了基于系统日志的计算机取证技术。     

电子数据职证研究概述

随着计算机技术的飞速发展,人类社会对数字信息的依赖已达到前所未有的程度。与此同时,计算机犯罪率也以惊人的速度增长(2003CSI/FBI计算机犯罪调查报告)。由于计算机犯罪是刑事犯罪中一种新兴的高科技犯罪,政法机关在如何利用高技术手段对付这种高技术犯罪方面缺乏必要的技术保障和支持,为了保障和促进计算机信息网络健康有序发展,提高政法机关打击计算机犯罪的能力,需要对电子数据取证(数字取证、计算机取证)领域进行深入的研究,这不但需要开发切实有效的取证工具,更需要对电子数据取证领域的取证定义、取证标准、取证程序等理论基础的研究。本文正是在这种需求下,对电子数据取证领域的研究工作进行了分析,首先对电子数据取证的相关概念进行总结,然后对国内外电子数据取证的基础研究工作进行了概要性的描述,并对目前较为典型的取证工具作以介绍。本文对取证领域,尤其是对电子数据取证领域的基本理论和基本方法进行深入分析的基础上,结合其上层典型应用的行为方式为前提,力求为开发出适合我国国情的电子数据取证系统建立良好的基础。     

面向IaaS云服务基础设施的电子证据保全与取证分析系统设计

随着云技术在计算机网络领域的广泛应用,云环境下的安全审计与电子取证需求也日益迫切。由于云取证与传统计算机取证在取证环境、证据获取及证据分析方面有较大区别,目前尚缺乏有效的针对云的电子取证方法及技术手段,云系统作为一种信息系统,其可审计性得不到保证。文章设计了一套新的云取证系统,面向IaaS云服务的基础设施,通过采集终端对云系统中虚拟机进行监控并主动采集证据,同时将采集到的证据集中存放于一处,取证系统实时取证、证据集中保全的特性可以有效应对云环境下证据易失、证据提取困难的特点,达到高效取证。     

网络取证技术研究

介绍了网络取证的概念、网络证据的特点、与传统静态取证的比较及研究现状,详细分析了数据捕获、数据分析技术、专家系统和数据挖掘技术等在网络取证中的应用,并分析了目前网络取证存在的问题和发展趋势.     

计算机取证平台研究

目前的计算机取证工具多完成计算机取证的某一方面工作。计算机取证平台由证据收集平台、证据分析平台和证据表示平台构成，涵盖了计算机取证的整个工作流程。硬盘映像拷贝工具和现场取证系统构成了证据收集平台，证据分析平台由单机和网络版证据分析软件构成，而证据表示平台则使用XML来表达证据。计算机取证平台使计算机取证工作能够在统一的平台上进行，为计算机取证工作者提供了有力的工具。     

总线网络取证信息自动检索风险控制系统设计

当前取证信息自动检索系统未对取证信息潜在检索风险进行过滤,导致对取证信息的检索风险控制效果差、检索效率低、误差高的问题,为此设计一种总线网络取证信息自动检索风险控制系统。将输入的取证信息在采集模块中进行收集,检索风险控制模块对采集的取证信息信息进行风险过滤和风险控制后,发送给DSP进行自动检索,采用STM32F407设计接口电路连接采集模块和检索风险控制模块,完成硬件部分的改进;选择高检索相关度节点,利用节点内置文档实现取证信息检索风险的控制,完成软件部分设计。实验结果表明,该系统的检索风险控制效果好,控制精度可达到80%以上,能够为用户提供更有效、更安全的权证信息检索结果。     

面向网络取证的网络攻击追踪溯源技术分析

首先定位网络攻击事件的源头,然后进行有效的电子数据证据的收集,是网络取证的任务之一.定位网络攻击事件源头需要使用网络攻击追踪溯源技术.然而,现有的网络攻击追踪溯源技术研究工作主要从防御的角度来展开,以通过定位攻击源及时阻断攻击为主要目标,较少会考虑到网络取证的要求,从而导致会在网络攻击追踪溯源过程中产生的大量有价值的数...     

计算机取证技术探讨

随着网络技术的不断发展和普及,计算机犯罪也在不断增加,为解决争议和打击计算机犯罪,计算机取证技术已成当前的重要手段,从而使得计算机取证成为计算机安全领域的一个研究热点和重点。本文介绍了计算机取证技术概念、特点、取证工具和取证局限性,讨论了计算机取证的发展趋势,并详细介绍了反取证技术。     

计算机便携式取证系统的设计与实现

目前,以计算机信．g-系统为犯罪对象和工具的新型犯罪活动越来越多,造成的危害也越来越大。侦破这些案件必须要用到计算机取证技术,而电子证据本身和取证过程有许多不同于传统物证和取证的特点,给司法工作和信息安全领域都提出了新的挑战。为此,文章设计开发了一款基于WindowsPE系统的便捷、实用、安全、有效的计算机便携式取证系统。电子证据的收集与处理是通过内置于u盘的WindowsPE系统来完成的;利用OpenSSL提供的编程接口和PKI相关技术实现对电子证据的保密、认证与保存等功能。最后通过测试与分析,表明该系统能实现对电子证据的收集、处理和电子证据的安全有效保存。     

PACKTER: implementation of internet traffic visualizer and extension for network forensics

Traffic visualization tools help network operators to maintain awareness of the status of a network, including anomalous activities. Unfortunately, the network operator may look away from the visualizer when beginning network forensics, such as launching a terminal application, logging into a server, and analyzing log files. Thus, the eyesight of the network operator will move from the visual screen even if valuable information is displayed. Our motivation is to develop the ability to use visualization tools as a network operation console. Whereas previous tools focused on outputting packet information, we herein extend the visualizer to accept inputting for operators to start their operations. Since little such software exists for our intent, we develop PACKTER, which is able to visualize traffic based on per-packet information in real time. We also extend PACKTER to have a function of negotiating to a network forensic system, which allows the operator to select an individual packet using a mouse, to start network forensics using a keyboard, and to receive results without looking away from the PACKTER viewer.     

电子取证现状及发展趋势

随着计算机和网络技术的普及,信息安全问题日益凸显,与计算机有关的犯罪现象越来越多。电子取证为维护信息安全和打击计算机犯罪提供科学的方法和手段,可以提供法庭需要的证据。本文首先对电子取证的国内外发展现状进行总结,然后结合信息技术的发展,分析了当前电子取证所面临的问题和挑战,最后提出加强技术开发、人员培训,完善法律法规、加强合作等四方面措施。     

Forensic analysis of logs: Modeling and verification

Information stored in logs of a computer system is of crucial importance to gather forensic evidence of investigated actions or attacks against the system. Analysis of this information should be rigorous and credible, hence it lends itself to formal methods. We propose a model checking approach to the formalization of the forensic analysis of logs. The set of logs of a certain system is modeled as a tree whose labels are events extracted from the logs. In order to provide a structure to these events, we express each event as a term of a term algebra. The signature of the algebra is carefully chosen to include all relevant information necessary to conduct the analysis. Properties of the model are expressed as formulas of a logic having dynamic, linear, temporal, and modal characteristics. Moreover, we provide a tableau-based proof system for this logic upon which a model checking algorithm can be developed. In order to illustrate the proposed approach, the Windows auditing system is studied. The properties that we capture in our logic include invariant properties of a system, forensic hypotheses, and generic or specific attack signatures. Moreover, we discuss the admissibility of forensics hypotheses and the underlying verification issues.     

信息时代数字取证面临的挑战及相关对策

文章分析了信息时代数字取证技术的研究和应用所面临的六方面的挑战,提出了完善数字取证相关法律法规,推进取证规范化建设,推广动态取证技术,加强数字取证的专业化分工和研发新的取证技术、工具五个方面措施。     

一种计算机数据取证有效性的证明方法

简述计算机数据取证的基本要求,给出一种计算机数据取证有效性的证明系统,对电子数据取证有效性理念及其体系进行研究。通过对取证方法有效性和所取数据有效性进行一系列的定义和推导,研究计算机数据取证有效性的一种形式化证明方法。利用上述证明方法对一个计算机取证实例进行取证有效性的形式化证明。     

论计算机取证

随着信息技术的发展,计算机犯罪活动越来越多。如何利用计算机取证技术搜集电子证据、惩治犯罪,已成为人们关注的焦点。该文主要介绍了计算机取证的概念、原则、过程以及一些常用的计算机取证工具,并详细介绍了Encase软件的使用。     

基于UNIX系统的计算机取证标准体系研究

本文首先对计算机取证进行概要论述;然后提出计算机取证遇到的问题-计算机证据有效性问题和基于UNIX系统的计算机取证困难问题;分析得出建立基于UNIX系统的计算机取证标准体系是有效的应对途径;建立规范且有利于实务操作的基于UNIX系统的计算机取证标准体系。解决计算机取证遇到的问题,为打击计算机犯罪、保障国家信息安全作贡献。     

基于多Agent的分布式计算机动态取证模型研究

传统的计算机取证大多采用静态取证技术,通过事后分析的方法提取证据,证据的收集和提取比较困难,证据的法律效力低.将计算机取证技术与入侵检测技术结合,提出一种基于多Agent的分布式计算机动态取证模型,采用多Agent的分布式数据采集策略,扩展了取证范围;通过入侵检测系统实时监测,动态获取入侵证据,提高了证据的证明能力;同时,采用证据融合的数据分析技术,通过多源联合信息降低了误警率,增加了证据的可信度,提高了证据的有效性.     

面向GAN生成图像的被动取证及反取证技术综述

生成对抗网络（generative adversarial network,GAN）快速发展,并在图像生成和图像编辑技术等多个方面取得成功应用。然而,若将上述技术用于伪造身份或制作虚假新闻,则会造成严重的安全隐患。多媒体取证领域的研究者面向GAN生成图像已提出了多种被动取证与反取证方法,但现阶段缺乏相关系统性综述。针对上述问题,本文首先阐述本领域的研究背景和研究意义,然后分析自然图像采集与GAN图像生成过程的区别。根据上述理论基础,详细介绍了现有GAN生成图像的被动取证技术,包括：GAN生成图像检测算法,GAN模型溯源算法和其他相关取证问题。此外,针对不同应用场景介绍基于GAN的反取证技术。最后,通过实验分析当前GAN生成图像被动取证技术所面临的挑战。本文根据对现有技术从理论和实验两方面的分析得到以下结论：现阶段,GAN生成图像的被动取证技术已在空间域和频率域形成了不同技术路线,较好地解决了简单场景下的相关取证问题。针对常见取证痕迹,基于GAN的反取证技术已能够进行有效隐藏。然而,该领域研究仍存在诸多局限：1）取证与反取证技术的可解释性不足;2）取证技术鲁棒性和泛化性较弱;3）反取证技术缺乏多特征域协同的抗分析能力等。上述问题和挑战还需要研究人员继续深入探索。