多源日志分析技術(shù)在計算機(jī)取證中的研究及應(yīng)用

發(fā)布時間：2020-07-31 20:43

【摘要】：計算機(jī)犯罪行為是一種高科技犯罪行為,司法部門對這種行為進(jìn)行審判、定罪需要充分合理的電子證據(jù)。而電子證據(jù)與傳統(tǒng)證據(jù)相比,取證手段和分析方法都大相徑庭。為還原計算機(jī)犯罪過程,有效地利用電子證據(jù)打擊計算機(jī)犯罪行為,計算機(jī)取證分析技術(shù)已成為國內(nèi)外研究的熱點(diǎn)。日志記錄了網(wǎng)絡(luò)中各個設(shè)備的操作行為和運(yùn)行狀態(tài),是計算機(jī)取證的重要數(shù)據(jù)來源。本文詳細(xì)研究了對多源日志進(jìn)行多重關(guān)聯(lián)分析的計算機(jī)取證方法。獲取不同數(shù)據(jù)源的日志進(jìn)行取證分析,以降低場景遺漏的概率;通過基于屬性相似度和基于因果關(guān)系的多重關(guān)聯(lián)重構(gòu)計算機(jī)犯罪場景,解釋計算機(jī)犯罪過程,為司法部門進(jìn)行計算機(jī)犯罪行為的審判提供有效的電子證據(jù)。本文主要研究工作如下:(1)通過多重關(guān)聯(lián)分析方法完成計算機(jī)取證過程。首先使用基于屬性相似度的關(guān)聯(lián)算法對多源日志進(jìn)行初步的關(guān)聯(lián)分析,將具有相同或相似屬性的日志聚合到同一犯罪場景中。第一重關(guān)聯(lián)分析過后,日志被劃分為多個犯罪場景。然后根據(jù)被取證系統(tǒng)的狀態(tài)信息找到與之相對應(yīng)的場景,再在該場景中進(jìn)行第二重基于因果關(guān)系的關(guān)聯(lián)分析,進(jìn)一步分析日志之間存在的更深層次的邏輯聯(lián)系。(2)在Peng Ning提出的基于因果關(guān)系的關(guān)聯(lián)分析基礎(chǔ)上,對因果關(guān)聯(lián)算法進(jìn)行改進(jìn),提出一種滿足電子證據(jù)認(rèn)定標(biāo)準(zhǔn)的逆向因果關(guān)聯(lián)算法。從受害主機(jī)的最終狀態(tài)開始分析,依據(jù)因果關(guān)聯(lián)思想找到導(dǎo)致該狀態(tài)的上一階段攻擊事件,以此類推,溯源整個計算機(jī)犯罪過程。并結(jié)合法律條令對電子證據(jù)的認(rèn)定約束,排除不能作為證據(jù)使用的關(guān)聯(lián)路徑,實(shí)現(xiàn)計算機(jī)犯罪場景重構(gòu)。(3)使用DARPA網(wǎng)絡(luò)攻擊測試數(shù)據(jù)集對改進(jìn)的因果關(guān)聯(lián)算法進(jìn)行可行性驗(yàn)證。通過實(shí)驗(yàn)表明,改進(jìn)后的算法在很大程度上化簡了原有算法的復(fù)雜度,提高了計算機(jī)犯罪場景關(guān)聯(lián)的效率。另通過獲取北京交通大學(xué)多源日志數(shù)據(jù)對本文所述多重關(guān)聯(lián)分析在實(shí)際取證過程中的應(yīng)用進(jìn)行實(shí)驗(yàn),結(jié)果顯示,相較于單純地使用因果關(guān)聯(lián)算法進(jìn)行計算機(jī)取證來說,多重關(guān)聯(lián)分析可大大減少犯罪場景重構(gòu)過程的輸入數(shù)據(jù)規(guī)模,同時減少不必要的證據(jù)關(guān)聯(lián)。此外通過將多源日志取證與單源日志取證對比分析,證明多源日志取證能夠有效地避免犯罪場景遺漏現(xiàn)象的發(fā)生。
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2019
【分類號】：TP311.13;D918.2
【圖文】：