多源日志分析技術(shù)在計(jì)算機(jī)取證中的研究及應(yīng)用

發(fā)布時(shí)間：2020-07-31 20:43

【摘要】：計(jì)算機(jī)犯罪行為是一種高科技犯罪行為,司法部門對(duì)這種行為進(jìn)行審判、定罪需要充分合理的電子證據(jù)。而電子證據(jù)與傳統(tǒng)證據(jù)相比,取證手段和分析方法都大相徑庭。為還原計(jì)算機(jī)犯罪過(guò)程,有效地利用電子證據(jù)打擊計(jì)算機(jī)犯罪行為,計(jì)算機(jī)取證分析技術(shù)已成為國(guó)內(nèi)外研究的熱點(diǎn)。日志記錄了網(wǎng)絡(luò)中各個(gè)設(shè)備的操作行為和運(yùn)行狀態(tài),是計(jì)算機(jī)取證的重要數(shù)據(jù)來(lái)源。本文詳細(xì)研究了對(duì)多源日志進(jìn)行多重關(guān)聯(lián)分析的計(jì)算機(jī)取證方法。獲取不同數(shù)據(jù)源的日志進(jìn)行取證分析,以降低場(chǎng)景遺漏的概率;通過(guò)基于屬性相似度和基于因果關(guān)系的多重關(guān)聯(lián)重構(gòu)計(jì)算機(jī)犯罪場(chǎng)景,解釋計(jì)算機(jī)犯罪過(guò)程,為司法部門進(jìn)行計(jì)算機(jī)犯罪行為的審判提供有效的電子證據(jù)。本文主要研究工作如下:(1)通過(guò)多重關(guān)聯(lián)分析方法完成計(jì)算機(jī)取證過(guò)程。首先使用基于屬性相似度的關(guān)聯(lián)算法對(duì)多源日志進(jìn)行初步的關(guān)聯(lián)分析,將具有相同或相似屬性的日志聚合到同一犯罪場(chǎng)景中。第一重關(guān)聯(lián)分析過(guò)后,日志被劃分為多個(gè)犯罪場(chǎng)景。然后根據(jù)被取證系統(tǒng)的狀態(tài)信息找到與之相對(duì)應(yīng)的場(chǎng)景,再在該場(chǎng)景中進(jìn)行第二重基于因果關(guān)系的關(guān)聯(lián)分析,進(jìn)一步分析日志之間存在的更深層次的邏輯聯(lián)系。(2)在Peng Ning提出的基于因果關(guān)系的關(guān)聯(lián)分析基礎(chǔ)上,對(duì)因果關(guān)聯(lián)算法進(jìn)行改進(jìn),提出一種滿足電子證據(jù)認(rèn)定標(biāo)準(zhǔn)的逆向因果關(guān)聯(lián)算法。從受害主機(jī)的最終狀態(tài)開(kāi)始分析,依據(jù)因果關(guān)聯(lián)思想找到導(dǎo)致該狀態(tài)的上一階段攻擊事件,以此類推,溯源整個(gè)計(jì)算機(jī)犯罪過(guò)程。并結(jié)合法律條令對(duì)電子證據(jù)的認(rèn)定約束,排除不能作為證據(jù)使用的關(guān)聯(lián)路徑,實(shí)現(xiàn)計(jì)算機(jī)犯罪場(chǎng)景重構(gòu)。(3)使用DARPA網(wǎng)絡(luò)攻擊測(cè)試數(shù)據(jù)集對(duì)改進(jìn)的因果關(guān)聯(lián)算法進(jìn)行可行性驗(yàn)證。通過(guò)實(shí)驗(yàn)表明,改進(jìn)后的算法在很大程度上化簡(jiǎn)了原有算法的復(fù)雜度,提高了計(jì)算機(jī)犯罪場(chǎng)景關(guān)聯(lián)的效率。另通過(guò)獲取北京交通大學(xué)多源日志數(shù)據(jù)對(duì)本文所述多重關(guān)聯(lián)分析在實(shí)際取證過(guò)程中的應(yīng)用進(jìn)行實(shí)驗(yàn),結(jié)果顯示,相較于單純地使用因果關(guān)聯(lián)算法進(jìn)行計(jì)算機(jī)取證來(lái)說(shuō),多重關(guān)聯(lián)分析可大大減少犯罪場(chǎng)景重構(gòu)過(guò)程的輸入數(shù)據(jù)規(guī)模,同時(shí)減少不必要的證據(jù)關(guān)聯(lián)。此外通過(guò)將多源日志取證與單源日志取證對(duì)比分析,證明多源日志取證能夠有效地避免犯罪場(chǎng)景遺漏現(xiàn)象的發(fā)生。
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP311.13;D918.2
【圖文】：