基于场景重构与报警聚合的网络取证分析技术

提出一种包含报警标准化、去冗余、场景重构和报警聚合的网络取证分析方法. 通过去除失败攻击的报警, 减少了对证据分析的干扰. 在场景重构中, 通过反向关联, 减少了不必要的证据, 同时通过对孤立报警的补充, 保证了证据链的完整性. 在报警聚合中, 提出了聚合同一攻击步骤的不同报警的方法, 以抽象层和具体层两个层次重构入侵场景. 最后通过实验验证了所提出方法的有效性.     

智能手机点击劫持攻击检测方法研究

点击劫持通过欺骗用户点击经过伪装的界面元素达到攻击目的。移动互联网环境下,智能手机的屏幕特征、手势识别、HTML5支持度高等特性成为点击劫持新的利用点。深入分析并实验验证智能手机脆弱特性,在此基础上提出点击劫持在智能手机上的潜在攻击方案。进而设计并实现一套有针对性的检测方案。该方案从静态页面和动态行为两个角度提取攻击特征,并进行基于规则的量化评估与组合判定。实验结果表明该方案可以有效地降低传统页面特征检测方案的漏报和误报情况。     

基于背景噪声的图像盲篡改检测

数字图像在成像过程中会产生特定的背景噪声,如果两幅不同噪声的图像拼接在一起,篡改区域和其他区的噪声会有差异。提出一种基于偏度统计特性的背景噪声估计算法,其通过对图像分块计算每块的噪声标准差,从而检测出噪声异常部分以达到篡改检测的目的。算法利用DCT变换去除原图细节部分,利用偏度统计特性估计噪声,利用条件最小值法求出噪声的标准差。算法改进了迭代求条件最小值法,利用微分方法求取最小值,避免了初始值设定问题,提高了算法的准确率。实验结果表明,提出的噪声估计算法正确率高,且对拼接篡改图像篡改检测有明显效果。     

用于入侵检测及取证的冗余数据删减技术研究

近年来计算机犯罪逐年增多,并已成为影响国家政治、经济、文化等各个领域正常发展的重要因素之一。入侵检测技术与入侵取证技术对于打击计算机犯罪、追踪入侵、修补安全漏洞、完善计算机网络安全体系具有重要意义。但是,随着网络的普及以及计算机存储能力的提升,入侵检测及取证技术目前需要分析的往往是GB乃至TB级的海量数据,而且有用信息往往湮没在大量由正常系统行为触发的冗余事件之中。这无疑给分析过程带来了巨大的挑战,也使分析结果的准确性不高。因此,如何设计出一种自动冗余数据删减技术来提高入侵检测及取证方法的准确率及效率,是当前入侵检测和取证领域的关键问题之一。文中即对这方面已有的研究工作进行了综述,首先介绍了冗余数据删减技术的发展历程及其在医学数据分析等传统领域的应用,然后重点介绍了针对入侵检测和入侵取证的现有各种冗余数据删减方法,最后通过对当前冗余数据删除技术的比较,指出了该领域当前存在的问题及未来的研究方向。     

基于 ARM9的便携式网络监控取证系统设计与实现磁

针对传统监控取证系统体积大、移动性差、成本高等不足,运用嵌入式技术,视频处理技术及无线网络传输技术,设计了一种基于 ARM9的便携式网络监控取证系统[3]。该系统以 ARM9芯片 S3C2440为硬件平台,以 Linux 操作系统为软件开发平台,将 USB 摄像头采集到的图像数字化后经过 MPEG-4压缩算法的处理,通过构建嵌入式 Web 服务器[2]以及 Java Applet 技术[1],实现了远程监控端通过 IE 浏览器对现场的监控取证,最终形成了一套集视频采集、预处理、存储、显示、传输为一体的便携式视频监控取证终端系统。     

云计算反取证的关键技术及其应用

云计算技术的迅猛发展,其带来的商业运营和信息服务模式的变化,为越来越多的企业所接受后,作为信息系统核心的数据中心也开始一步步地朝着云计算数据中心发展。在云计算环境下,云计算信息系统主要由云计算数据中心和用户端组成。数据中心是核心,是大脑,是所有资源汇集之处,是信息的枢纽,它通过网络向企业或公众提供信息服务。本文将结合云计算关键技术,对计算机反取证技术进行研究,有利于计算机取证人员的取证有效性。     

木马恶意软件的电子数据勘查与取证分析初探

木马等恶意软件已经成为网络违法犯罪分子经常利用的作案工具。勘查木马恶意软件可以掌握木马行为、传播机理和信息窃取途径,进而为涉网案件侦办工作提供有价值的情报线索。文章简要分析了木马的功能特点、工作机理和关键技术,针对木马恶意软件的技术特点,紧密结合公安机关网络安全保卫部门的工作实际,研究探讨了木马勘查取证的基本流程、常用工具与方法,并用实例讲述了木马勘查分析技术在涉网案件侦办中的应用。     

MS-DOC文件文本提取研究

关键词搜索广泛应用于情报分析、搜索引擎和计算机取证,对MS DOC文件进行关键词搜索可能漏判,明明存在的关键词却找不到。微软复合文档结构由一系列流组成,流以扇区为单位存储,通过目录结构和扇区分配表对流及其存储空间进行管理。MS DOC文件中的文本存储在WordDocument流中,文本存储不一定连续,通过Table流记录分块情况。关键词可能跨越不相邻扇区,即使在相邻扇区,一个关键词可能一部分是压缩存储,另一部分是非压缩存储,这些都是关键词搜索漏判的原因。根据Table流中的分块信息提取WordDocument流中的文本,并统一编码格式,进而进行关键词搜索,就可以避免漏判。     

引入动态内存分析的微信撤回消息恢复方法

作为广受用户青睐的即时通信系统,微信在给人们生活带来极大便利的同时,也给不法分子提供了违法犯罪的新手段、新工具。微信聊天记录作为我国法律中明确列出的电子证据类型,其有效性引起广泛关注,使得微信聊天记录的恢复成为相关领域的研究热点。针对现有的聊天记录恢复研究多集中于删除消息的恢复,撤回消息的恢复尚未取得有效进展,通过研究PC版微信运行过程中的动态内存管理机制,分析撤回消息在动态内存中的特征字符及字段结构,对比文本、表情、图片等不同类型的消息在内存中的存储原理,提出一种基于动态内存分析的微信撤回消息恢复方法。利用Python语言编写的工具实现了对微信撤回消息原文、撤回状态、撤回方微信ID等内容的批量恢复,验证了该方法的有效性。     

Fractional Order ［Proportional Integral］ Controllers Parameters Algorithm Based on the Vector Method

In forensic investigations,it is vital that the authenticity of digital evidence should be ensured. In addition,technical means should be provided to ensure that digital evidence collected cannot be misused for the purpose of perjury. In this paper,we present a method to ensure both authenticity and non-misuse of data extracted from wireless mobile devices. In the method,the device ID and a timestamp become a part of the original data and the Hash function is used to bind the data together. Encryption is applied to the data,which includes the digital evidence,the device ID and the timestamp. Both symmetric and asymmetric encryption systems are employed in the proposed method where a random session key is used to encrypt the data while the public key of the forensic server is used to encrypt the session key to ensure security and efficiency. With the several security mechanisms that we show are supported or can be implemented in wireless mobile devices such as the Android,we can ensure the authenticity and non-misuse of data evidence in digital forensics.