探索基于多源日志的事件场景关联方法研究

探索基于多源日志的事件场景关联方法研究

ID:34830010

大小:2.54 MB

页数:81页

时间:2019-03-12

探索基于多源日志的事件场景关联方法研究_第1页
探索基于多源日志的事件场景关联方法研究_第2页
探索基于多源日志的事件场景关联方法研究_第3页
探索基于多源日志的事件场景关联方法研究_第4页
探索基于多源日志的事件场景关联方法研究_第5页
资源描述:

《探索基于多源日志的事件场景关联方法研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、垒兹彦象硕士学位论=毒毒::

2、ij分类号TP393密级公开重庆邮电大学硕士学位论文论文题目基士多盈旦:量的奎鲑堑孟去鐾壅迭盟寇<题名和副题名)英文题目一ApproachResea—rc—h—forEventSc—enarios..CorrelationBasedonHeterogeneousLogs..——硕士研究生周剑指导教师至旦盟盔邀睦垄到煎撞倒昱j匝2学科专业盐差扭廛旦垫查论文提交日期2Q壁!生墨且一论文答辩日期2壁壁2生§旦2目论文评阅人受垂举塑堡.必必鲤逊叁盘砼痼必答辩委员会主席生墨鉴趱量壹盘堂2007年5月30闩摘要计算机取证牵涉的数据量庞大,潜在的证据通常分布在多

3、种不同的日志中。从多源日志进行取证,能使证据更为完备,结论更加可靠,同时也带来了复杂度增加的问题,分析和关联这些日志由于需要人脑的大量参与而变得困难和乏味。因此,自动将来自多源日志的安全事件关联成事件场景成为辅助取证的迫切需要。国内外在日志关联技术方面做了大量工作,但总的来说体现出以下几方面问题:(1)关联时人工参与多,自动化程度不高;(2)关联结果难以体现事件发生的有序性和逻辑性;(3)处理的数据源单一,没有从多源日志进行关联。针对上述问题,本文在结合国内外现有研究成果的基础上,提出了一种融合多源日志辅助取证的事件场景关联方法,并设计和实现了一个基于所提事件场景关联方法的原型

4、系统PC.ECF。所提方法思想及其实现过程描述如下:考虑到来自多源日志的相关安全事件不是孤立的,而是具有内在逻辑联系的,本文利用事件“前提/结果”因果关系对安全事件进行场景关联。事件前提是指使事件成功发生所必须满足的条件集合;事件结果是指事件成功发生后必然造成的后果集合。该方法首先对标准的IDMEF数据模型进行了扩展,用扩展后的数据模型Event对来自多源日志的各类安全事件进行格式化;再凭借专家经验定义出事件“前提/结果”知识库,事件的“前提/结果”知识采用谓词逻辑的形式表示;通过匹配前一事件发生的结果和后一事件发生的前提,将这些事件关联成事件场景;最后关联的结果用本文定义的事

5、件关联图的形式进行可视化。实验结果表明,利用本文所提事件场景关联方法能自动关联多源日志信息中所蕴涵的部分事件场景,系统能够生成容易理解的可视化事件关联图,对计算机取证起到了较好的辅助作用。关键字:计算机取证:多源同志,事件关联,事件场景重庆邮电大学硕士论文AbstractComputerforensicsusuallyinvolvehugeamountofdata,potentialevidencesaredistributedinheterogeneouseventlogs.Investigatingheterogeneouseventlogsmayleadtoimprove

6、mentsofforensicoutcomesbutisaccompaniedbyincreasingofcomplexity,Analysisingandcorrelatingtheseeventlogsartificiallyaretedious,time-consumingandhardwork.So,FusingandCorrelatingtheeventsrecordedinheterogeneouslogsintoeventscenariosautomaticallybecomeanurgentneedforcomputeraidedforensics.Existi

7、ngcorrelationtechnologiesshowthefollowingproblems:(1)EventCorrelationdependsonthemanualwork,andhasn’timplementedautomatization;(2)Itisdifficultforinvestigatorstogetaviewoftheeventsequencesandlogicalrelationshipsofhappeningfromthecorrelatingresutls;(3)Correlatingusuallyfocusesononlyonekindlog

8、,andhasn’tconsideredthefusionofheterogeneouseventlogs.Basedontheanalysesoftheproblemsofexistingcorrelationtechnologies.觚approachoffusingheterogeneouseventlogsintoscenariosforforensicsisproposedinthispaper,andtheprototypesystcIIlPC·ECFbasedontheprop

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。