返回
入侵取证中的自动证据分析技术研究

入侵取证中的自动证据分析技术研究

ID:37389252

大小:7.75 MB

页数:97页

时间:2019-05-23

入侵取证中的自动证据分析技术研究_第1页
入侵取证中的自动证据分析技术研究_第2页
入侵取证中的自动证据分析技术研究_第3页
入侵取证中的自动证据分析技术研究_第4页
入侵取证中的自动证据分析技术研究_第5页
资源描述:

《入侵取证中的自动证据分析技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、南京大学博士论文入侵取证中的自动证据分析技术研究ResearchonAutomaticEvidenceAnalysisinIntrusionForensics(Ph.DDissertation)ByFUXiaoSupervisedbyProfessorXIELiAdissertationsubmittedinpartialfulfillmentofTherequirementsforthedegreeofDoctorofEngineering(ComputerSoftwareandTheory)inNanj

2、ingUniversityDepartmentofComputerScienceandTechnologyNanjingUniversity,P.R.CHINA2010第1I页南京大学博士论文入侵取证中的自动证据分析技术研究摘要近年来,计算机及互联网技术的迅猛发展也带来了计算机犯罪率的飞速增长。打击犯罪的关键在于获得充分、可靠和强有力的证据。而计算机犯罪的证据与传统证据相比更容易丢失、删改,表现形式更加多样,也更难被法律界人士理解。因此,一个专门研究如何按照符合法律规范的方式收集和处理计算机证据的新学科一计

3、算机取证(computerforensics)应运而生。由于其重要意义和实用价值,该领域在近几年吸引了越来越多的关注。计算机取证包含多个子领域,入侵取证(intrusionforensics)便是其中之一。它特指对计算机入侵行为的取证。因为黑客入侵在计算机犯罪中占据很大比例,所以对入侵取证的研究一直是取证研究者关注的重点。计算机取证的过程一般包括证据获取、证据鉴别、证据分析和证据提交四个阶段。其中证据分析是取证过程的关键及难点所在。这一阶段的主要任务是分析收集到的原始证据并得出推理性结论。具体到入侵取证领域

4、,证据分析的任务通常包括入侵者识别、入侵证据筛选以及入侵场景重构等。虽然对入侵证据的分析非常重要,但目前相关的研究并不是很多,现有的处理方法也是以人工分析为主。面对复杂、海量的数据和繁重的取证任务,人工证据分析方法已经很难满足需求。解决上述问题的一个有效途径是用自动证据分析方法来取代传统的人工分析。当前对于自动证据分析方法的研究尚处在起步阶段。尤其在入侵取证领域,已有的自动分析方法很少而且局限性较大。鉴于这一现状,本文的具体工作及主要创新点如下:1)用于入侵取证的完整自动证据分析模型。本文创建了一个用于入侵

5、取证的完整自动证据分析模型,以实现针对入侵类计算机犯罪的自动证据分析。模型的主要任务包括:在己知入侵发生的前提下,一方面通过分析各类可获取的数据自动重现入侵者的行为过程,另一方面自动提取出所有与入侵者相关的文件、日志作为证据。最后,还能够基于已有案例对上述取证分析结果自动加以优化。2)自动数据简化。为了提高证据分析的效率,有必要预先对各类候选数据加以预处理,删减其中的误报及无关数据。为解决这一问题,本文提出了一种自动数据简化方法。对于作为证据筛选候选数据的各类日志(例如BSM审计日志),我们采用了相对简单的

6、基于攻击时间和攻击类型的简化方法。而对于作为场景重构主要依据的IDS报警,简化的关键是剔除其中的误报,为此我们采用了一种基于孤立点分析的误报处理技术。技术的核心是一种专门用误报识别的改进孤立点分析算法。其原理是将频繁出现的报警属性值集视为“普遍特第1II页南京大学博士论文入侵取证中的自动证据分析技术研究征”,根据报警包含这类特征的多少来计算报警是误报的概率。技术的主体则是由学习阶段和在线过滤阶段组成的报警处理框架。与现有方法相比,该方法的主要优点是可实时过滤误报、可处理新的误报类型。另外,无需背景知识和人工

7、干预较少也是该模型的优势所在。3)自动入侵场景重构。自动入侵场景重构技术的主要任务是重构出入侵者的行为过程。鉴于现有自动入侵场景重构方法仅能重构部分入侵场景、不能处理复杂行为、重构结果难以理解、方法安全性低等诸多缺陷,本文提出了一种新的自动场景重构方法一层次化入侵场景重构。其原理是首先基于报警关联技术重构出入侵者的抽象攻击步骤及步骤问关系,然后基于攻击特征和依赖追踪技术重构出各步骤的行为细节,最后,通过两层重构结果的彼此映射、调整获得完整的入侵行为图。基于DARPA2000的实验表明,本文方法的重构结果准确

8、、完备、内容翔实又易于理解,非常适合作为法律证据。而与现有方法的比较则显示出,本文方法能够克服现有方法仅能重构部分场景、不能处理复杂行为、安全性低等诸多缺陷。4)自动证据筛选。与入侵者相关的证据通常隐藏于多个设备(如网关、被侵入主机等)的大量文件及日志记录中。因此,如何从海量数据中筛选出能够证明特定攻击行为的全部证据是入侵取证的一个重要步骤。本文提出了一种基于攻击特征的自动证据筛选方法。其原理是首先根据被调查攻击

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。