返回
面向网络犯罪侦查的日志关联取证技术研究

面向网络犯罪侦查的日志关联取证技术研究

ID:9130543

大小:79.00 KB

页数:5页

时间:2018-04-18

面向网络犯罪侦查的日志关联取证技术研究_第1页
面向网络犯罪侦查的日志关联取证技术研究_第2页
面向网络犯罪侦查的日志关联取证技术研究_第3页
面向网络犯罪侦查的日志关联取证技术研究_第4页
面向网络犯罪侦查的日志关联取证技术研究_第5页
资源描述:

《面向网络犯罪侦查的日志关联取证技术研究》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、面向网络犯罪侦查的日志关联取证技术研究Hi晶山西警察学院目前计算机网络在人们的工作、生活等方方面面都得到了广泛的应用,但由于网络的虚拟性、开放性,以及相关立法工作的滞后性,利用计算机网络为工具的犯罪活动円益增多。计算机取证技术的目的是对计算机系统和计算机网络中发生的犯罪行为进行取证分析,获取网络犯罪事件的电子证据。日志取证是计算机取证研宄中非常重要的一个研宄领域,本文就是在己有日志关联技术的基础上,提出能够应用在网络犯罪取证屮的新的取证方案。关键词:计算机取证技术;犯罪行为;取证分析;电子证据;基金

2、:学科建设:山丙省“1331工程”重点学科建设计划经费资助(英文缩写为“1331KSC”)0引言计算机取证这门学科,是伴随着计算机技术的发展和网络犯罪这一新的犯罪形式出现而出现的。而大量计算机网络犯罪的操作痕迹被H志记录下来,构成了发生在计算机本地系统或者网络中的事件的重要审计凭据,为打击计算机犯罪提供丫非常重要的线索和证据。怎样充分利用系统口志资源在相关范围内挖掘实时有效的数据作为犯罪证据,重新构建网络犯罪事件的整体流程,追踪肇事者,是我们在网络犯罪取证方面研究的重点方向。[1]根据目前的研宄成果

3、,基于H志取证的取证分析方法有:(1)建立日志规则库,即通过收集网络犯罪的相关日志知识来构成日志知识库,并利用日志知识寻找犯罪事件相关的证据信息;(2)日志审计方法,即根据海量的正常用户的系统日志来定义正常用户的一般行为模式,然后对当前用户行为模式与正常历史用户行为的偏差进行分析;(3)机器学习方法,即利用用户过往日志记录的信息来学习用户的正常行为模式,通过使用一些学习算法来分析日志的历史事件,并预测用户的未来行为;(1)数据挖掘方法,即从海量日志数据中提取出与相关案件的数据信息,并从具体的数据屮抽

4、象出有利于进行判断和比较的特征模型,采用相应的数据挖掘算法来分析整个证据文件的性质及内容。m以上这儿种方法都可以有效地对各自类型的日志数据进行取证分析,并得到和关的分析结果。但这些结果相对来说是比较片面的,因为各种H志信息没有被关联起来,这样可能会造成某些关键信息的遗漏。在已冇的日志关联技术上做出改进是本文的目的。1日志关联取证技术在网络犯罪侦查方面的应用将各种系统中的闩志以统一格式综合到一起进行观察就叫做闩志关联,而闩志关联分析是指对取证所得日志数据进行自动、连续地分析。根据用户定义的、可配置的规

5、则来识别网络中的各种证据文件,从而可以确定事件真实性并进行有效取证。口志关联取证分析与传统的犯罪调查取证分析有很大的不同,一般來说传统的取证分析要从已得的有限的证据样本中获取尽可能多的信息,而日志关联取证分析面临的是海量的円志数据,没有办法人工逐条分析,需耍借助关联规则自动、连续的特点,从中筛选出与计算机犯罪相关的证据材料。日志关联分析可以用来提高网络取证操作的可靠性、效率以及可视化程度,并为证据数据的安全管理和统计分析提供技术手段。[3]1.1日志关联取证技术日志关联分析需要将各系统中的原始数据采

6、集起来,然后数把它们进行集中统一管理,最后根据我们指定的相关规则进行分析,得到相应的结果。[4](1)案件相关日志数据的采集及存储我们应按照以下的方法来采集口志数据:根据所找口志文件的内容要求来配置采集参数,按照设定的频率从各个FI志数据源采集原始FI志数据,对原始FI志数据进行一定处理,转换为标准格式;建立安全通道并通过安全通道传输数据,记录数据采集、传输的过程。日志数据在存储管理时遇到的主要问题是对于来自不同数据源的日志,它们对应的系统及应用程序各有不同,记荣的数据类型也不一样,因此,需要使用分

7、类存储的方式。可以将这些采集到的数据根据按照不同的标准(如接收时间、源IP地址、日志类型等)进行分类存储。除此之外,还要提供专用数据库来记录关联规则,以及关联前的日志记录和关联后的分析结果。(2)日志的关联取证分析面对海量的日志数据,我们不可能通过人工逐条判读日志记录来发现与事件和关的证据信息。目前的趋势是利用数据库提供的强大的扫描和统计功能来进行取证分析。关联分析可以帮助取证人员构建网络用户操作的正常行为规律;可以对口志记荣进行聚类,利用算法缩小分析的范围,检测出与犯罪案件相关的口志记录;此外,关

8、联分析还可以对来自多个数据源的不同类型的円志数据进行聚合、规范化处理,然后运用各种关联方法从和互独立的数据源中提取和关信息,用于整体案件的分析与处理。1.2日志关联技术原理-Apriori算法口志关联取证的关键在于关联规则的挖掘,关联规则的A的就是在一个数据集中找出项与项之间的关系,Apriori算法是关联规则领域中的一项具有代表性的算法。目前大部分的日志关联技术都是使用Apriori算法来实现日志证据之间的相互关联的。Apriori算法的基木思想是:如果某个项集不是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。