基于事件关联的电子取证实时入侵重构

针对目前电子取证入侵重构多用事后分析的方式导致分析信息不完整的问题,定义入侵事件的形式化描述和黑客攻击场景的表示,将事件关联方法引入电子取证入侵重构分析中,建立了事件关联的动态实时电子取证入侵重构系统,该系统预先了因果关联表,找出事件问的因果关联度,并消除它们的冗余关系,来获得入侵过程图。最后,通过一个实例来说明通过关联部分攻击片断来构建一个完整的攻击场景的过程。     

基于加权模糊推理的电子取证入侵重构系统

针对目前电子取证入侵重构多用人工分析的方式导致效率低的问题,将AI领域中加权模糊推理方法引入电子取证入侵重构分析中,建立了基于加权模糊推理的电子取证入侵重构专家系统,该系统采用预先定义好的入侵特征,与取证现场获取的入侵痕迹相匹配,并结合相应的权值来推断实际可能的攻击场景。     

云计算取证模型

针对云取证面临的主要挑战,分析云计算特性,提出了一种云取证模型。提出了持续性取证准备服务的部署、基于“迭代”的多轮次证据识别策略和分布式文件系统的多层级数据定位方法、基于“数据隔离”和“按需收集”策略的证据收集方法、基于云计算资源的综合性证据分析平台的建立。最后,结合云环境下的取证场景,分析了该模型的有效性。     

一种抽象的数字取证模型

介绍了数字取证和数字取证模型的概念,然后通过对基于刑事侦查和基于企业内部网的数字取证异同点的比较,结合数字取证在非数字化犯罪领域应用中的特点,在前人工作的基础上,提出了一种不局限于特定数字取证类型、以取证实施者为中心、使用状态转换图描述的抽象数字取证模型,采用取证循环的形式描述了数字取证的过程和特征。     

基于本体和上下文感知的主动式计算机犯罪取证模型设计研究

事后被动的取证已经无法满足计算机犯罪取证的要求,文章针对计算机取证模型实现的关键技术进行研究,融合了蜜罐、入侵检测、上下文感知信息、Ontology等技术,有效地进行事前主动获取取证数据。文章提出了基于Ontology和上下文感知的动态取证模型,应用实例表明模型提高了对攻击源定位的追踪的准确性和实时性。     

面向入侵的取证系统框架

在分析常见入侵攻击的基础上抽象出入侵过程的一般模式,提出针对入侵攻击的取证系统应满足的特征。提出了入侵取证模型,并基于这一取证模型在操作系统内核层实现了取证系统原型KIFS(kernel intrusionforensic system)。在对实际入侵的取证实验中,根据KIFS得到的证据,成功记录并重构了一个针对FreeBSD系统漏洞的本地提升权限攻击的完整过程。     

基于入侵容忍的网络取证系统设计

现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态,未考虑系统状态变化对取证的影响。该文提出一个具有入侵容忍能力的网络取证系统INFS,分析了该原型系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制,以及取证agent、攻击回溯agent的工作机理,讨论了对应于不同系统状态的取证分析方法,提出了协同取证技术。     

基于行为时序逻辑的入侵取证研究

提出一种基于行为时序逻辑的入侵取证的形式化方法,其描述语言能够准确描述入侵证据、系统知识以及攻击行为,并具有在部分数据缺失的情况下进行非确定性推理的能力;其自动验证工具能够寻求额外的证据并可检查是否有可能的攻击与这些证据相符。实例研究表明,这种方法不依赖于具体的攻击技术和操作系统,不惧证据的缺失,能够有效搜寻更多的证据并重建可能的攻击场景。     

基于时序因果关联的网络取证研究

随着网络技术的发展,网络犯罪现象越来越多。网络取证技术是当今一种热门的动态安全技术,它采用主动出击的方法,搜集犯罪证据,查出入侵的来源,有效地防范网络入侵。针对攻击过程复杂化的特点,提出一种基于时序因果关联的取证分析方法,利用系统中收集的取证数据源（Forensics Data Source,FDS）,建立多源时间序列数据集,并分为输入时间序列和输出时间序列两类,利用时序分析技术提取输出变量的攻击事件序列和输入变量的异常点（攻击征兆）序列,建立两者之间的时态关联的传递函数,采用因果关系检验,分析网络入侵证据。     

数字图像被动取证技术综述

对数字图像取证技术进行介绍,重点对数字图图像被动取证的现有技术进行综述。根据数字图像被动取证技术中不同算法所选用的特征量各不相同,将现有的技术方法分为3大类:基于图像内容的被动取证、基于成像过程的被动取证、基于物理原理的被动取证。分别介绍了3大类方法的特征及其所属各种典型算法,并对每一类中的各种典型算法进行分析比较和总结。最后提出了数字图像被动取证的不足之处和未来的发展方向。     

面向GAN生成图像的被动取证及反取证技术综述

生成对抗网络（generative adversarial network,GAN）快速发展,并在图像生成和图像编辑技术等多个方面取得成功应用。然而,若将上述技术用于伪造身份或制作虚假新闻,则会造成严重的安全隐患。多媒体取证领域的研究者面向GAN生成图像已提出了多种被动取证与反取证方法,但现阶段缺乏相关系统性综述。针对上述问题,本文首先阐述本领域的研究背景和研究意义,然后分析自然图像采集与GAN图像生成过程的区别。根据上述理论基础,详细介绍了现有GAN生成图像的被动取证技术,包括：GAN生成图像检测算法,GAN模型溯源算法和其他相关取证问题。此外,针对不同应用场景介绍基于GAN的反取证技术。最后,通过实验分析当前GAN生成图像被动取证技术所面临的挑战。本文根据对现有技术从理论和实验两方面的分析得到以下结论：现阶段,GAN生成图像的被动取证技术已在空间域和频率域形成了不同技术路线,较好地解决了简单场景下的相关取证问题。针对常见取证痕迹,基于GAN的反取证技术已能够进行有效隐藏。然而,该领域研究仍存在诸多局限：1）取证与反取证技术的可解释性不足;2）取证技术鲁棒性和泛化性较弱;3）反取证技术缺乏多特征域协同的抗分析能力等。上述问题和挑战还需要研究人员继续深入探索。     

一种基于污点追踪的系统审计日志压缩方法

近十年来,高级持续性威胁（APT,advanced persistent threat）越来越引起人们的关注。为了防御和检测APT攻击,学者提出了基于系统审计日志的入侵取证方案。系统审计日志可以详细记录主机上的系统调用过程,因此非常适用于入侵取证工作。然而,系统审计日志也有着致命的弊端:日志庞大冗余。再加上APT攻击往往长期潜伏、无孔不入,企业不得不为每台联网主机长期保存日志,因此导致巨大的存储计算成本。为了解决这一问题,本文提出一种模仿二进制动态污点分析的日志压缩方案T-Tracker。T-Tracker首先检测日志内部与外部数据发生交互的系统调用,生成初始污点集合,然后追踪污点在主机内的扩散过程,这个过程中只有污点扩散路径上的系统调用能被保留下来,其余均不保留,从而达到日志压缩的目的。本研究的测试表明,该方案可以达到80%的压缩效果,即企业将能够存储相当于原来数量五倍的日志数据。同时,T-Tracker完整保留了受到外部数据影响的日志记录,因此对于入侵取证而言,可以等价地替换原始日志,而不会丢失攻击痕迹。     

面向网络取证的网络攻击追踪溯源技术分析

首先定位网络攻击事件的源头,然后进行有效的电子数据证据的收集,是网络取证的任务之一.定位网络攻击事件源头需要使用网络攻击追踪溯源技术.然而,现有的网络攻击追踪溯源技术研究工作主要从防御的角度来展开,以通过定位攻击源及时阻断攻击为主要目标,较少会考虑到网络取证的要求,从而导致会在网络攻击追踪溯源过程中产生的大量有价值的数...     

电子取证应用研究综述

近年来,电子数据取证对案件侦破起着重要的作用,由于电子数据具有易失性、易破坏性等特点,需要取证人员具备专业的电子取证技术和方法,才能最后分析出有用的证据,保证案件的真实性和客观性,详细分析三种取证技术和方法：基于Windows的电子取证、基于智能手机的电子取证,基于网络的电子取证,其中基于智能手机的电子取证包括Android手机和iPhone手机,并提出电子取证技术未来的发展方向.     

一种基于Linux的动态取证策略

计算机动态取证是信息安全领域的研究热点,在简单介绍取证策略的基础上,提出一种基于Linux的计算机动态取证策略。该策略将Linux系统下的待取证数据分为两类,并采用不同的方法来取证：对于易失性的数据,通过分析内核的数据结构来获取证据;对于非易失性的数据,利用取证工具和系统命令来获取证据。在Linux9.0上进行了实验。实验表明,采用该策略能够对Linux系统下的常见入侵进行动态取证。     

一种自适应的动态取证机制

随着网络入侵技术和计算机犯罪技术的发展,动态取证变得越来越重要.利用入侵检测系统和蜜罐来实现入侵取证的方法在取证的实时性方面有很大优势,但这些方法没有过多考虑系统被入侵时证据可靠性以及系统可靠性的问题,而且取证的时机难以掌握.提出了一种自适应的动态取证方法,该方法采用入侵检测系统作为取证触发器,利用影子蜜罐对疑似攻击进行确认和进一步观察分析,自适应调整取证过程,获取关键证据,最后采用有限状态机对该机制进行建模,并对该机制中的状态转换时机、影子蜜罐、证据安全存储等关键技术进行描述.利用该机制来实现动态取证,可以使得取证过程更可控,可以减少不必要的证据量,并增强系统的容侵性.     

基于木马的计算机监控和取证系统研究

阐述了常用动态取证工具和取证系统的特点,分析了取证模式及木马技术,设计了一种基于木马的计算机取证系统.通过木马的隐藏和抗查杀等关键技术的应用,取证系统能提供3种不同取证方法实现对监控目标的秘密、实时、动态取证.     

应用于入侵取证的改进信息增益算法

基于信息增益算法的特征选择虽然能够较好地解决入侵取证中存在的数据高维海量问题,但由于没有考虑特征之间的关系,导致特征子集中存在着冗余特征,从而影响了入侵取证的速度和精度,由此提出一种改进的基于特征冗余度的信息增益算法。通过添加对特征之间冗余度的判断,在删除无关特征的同时过滤了冗余特征,使特征子集得到有效精简。经实验验证,该算法能有效地选择特征向量,保证检测精度,提高检测速度。     

基于脆弱点利用关联的攻击图优化方法

现有的攻击图技术忽略了脆弱点之间的关联性,且大规模网络攻击图过于复杂。为解决上述问题,提出一种基于脆弱点利用(VE)关联的攻击图优化方法。对生成的攻击图进行预处理后,利用VE之间的关联性消除大规模网络攻击图中的冗余,并通过横向关联和纵向关联简化攻击图。仿真实验结果表明,该方法可以较好地优化攻击图的表达方式,为进行网络安全评估打下良好基础。