证据分析与保全技术,刑事侦查学论文

证据分析与保全技术,刑事侦查学论文在网络取证研究中，通常以各种日志以及实时捕获的网络流量作为证据源进行分析，从中发现入侵者的入侵活动。由于网络取证通常需要从多个数据源收集数据，然后进行综合分析，所以需要对多源数据进行必要处理。Alil提出一种模型检测〔modelchecking〕的方式方法对多源日志进行格式化，将日志构建成树构造，并采用逻辑公式对模型、攻击场景及事件序列进行形式化描绘叙述。Adam提出对日志进行匿名处理，清理掉日志中关于IP地址等隐私信息以供取证分享，开发了CANINE工具〔ConverterandANonymizerforhivestigatingNetflowEvents〕专门针对NetFlow的日志进行处理。文献所提出的系统在证据分析方面，根据网络攻击各步骤时间与空间相关性，将数据流时间与空间特征融合，并将数据流与数据包特征进行融合，综合多种技术手段对多步网络攻击经过进行分析，并实现攻击源定位。刘在强提出一种模糊决策树推理方式方法进行网络取证分析。首先捕获网络流量，从流量中提取特征值，然后利用模糊决策树判别正常流量和异常流量，根据判别结果通知取证组件记录相关的流量及日志信息。Cho提出了一种通过包内容指纹〔fingerprint〕来追踪网络流内容的网络取证方式方法，核心是基于Rabin一Karp字符串匹配算法采用RBF〔RoningBloomFilter〕构造来解决流分析的时间和空间需求问题。文献根据源地址和目的地址等物理属性对数据包进行分析，设计并实现了一个支持实时取证分析的数据包可视化工具，按照时间顺序对数据包进行可视化处理，方便取证人员了解某个时间段内网络的通信流量的情况。WangW和ThomasE.D研究了一种基于攻击组及攻击场景进行推理的取证分析方式方法，提出Leader一Foltower算法对告警进行聚合，构建一种新型的图模型〕证据图〔EvidenceGraph〕对入侵证据进行维护和表示。主机的角色可能是Attackers、Victims、steppingStones或者BaekundAttaekers,通过本地推理判别可疑主机在入侵中的角色，通过全局推理辨别从属于一个攻击组的具有高度关联性的各个主机，并根据攻击场景上下文进一步完善本地推理的结论。文献研究了在大容量硬盘中怎样提高搜索信息速度的问题，提出了一种基于LZW无损压缩算法的取证形式。首先采用LZW算法对计算机硬盘的信息进行压缩，用简单的代码代替重复的字节串或位串，大幅度降低搜索的空间。然后，系统在代码和字节串位串的匹配关系表中进行搜索，假如发现匹配，则将相关的原文信息提示出来。实验证明，这种方式方法能够降低取证经过中本文关键词语搜索的时间开销，提高取证工作的效率。还有很多取证分析方式方法是基于对日志的关联分析方式方法，包括利用告警属性类似性进行聚类的方式方法、利用己定义好的攻击场景进行匹配的方式方法洋以及利用攻击间因果关系进行关联的方式方法等一系列典型方式方法。1.利用告警属性之间的类似性聚类的方式方法SRI的Andersson等和Valdes以及Skinner提出了基于告警属性类似度的安全事件关联分析方式方法，手工定义的入侵事件间概率类似度，根据极小匹配规则重建入侵场景，该方式方法应用在EMERALD项目中。CuPPens等在MIRADoR项目中也使用了类似的聚类方式方法。这类方式方法的优点是假如处理对象的类似度比拟高〔如告警日志中的源或目的地址一样〕则非常有效，否则难以获得理想效果，而且还有一个缺点是不能充分揭示告警之间的因果关系。IBM的Debar和WesPi构造了ACC〔AggregationandCorrelationcomponet〕组件,使用聚类方式方法构建入侵场景，综合考虑了类似性和因果两种关系，能够处理重复告警和因果告警。2.利用攻击行为的前提条件和后果的方式方法该方式方法的基本思想是通过比拟先发生的攻击的结果和后发生攻击的前提条件来对两个告警信息进行关联，重构入侵场景。这种方式方法能够有效地揭示出告警之间的因果关系，并能够发现未知的攻击场景。美国北卡罗莱纳州大学的PengNing等人在这个研究方向上做了一系列系统且深切进入的研究。cheung等人提出CAML语言采用前提〔Premise〕、活动〔Aetivity〕和结果〔Result〕来描绘叙述多步攻击。cuPpens等也利用这一方式方法对MIRADoR系统做出了改良。staniford等提出采用网络事件图的形式描绘叙述安全事件的因果关系和时序关系，构建了GrIDs系统,能够检测出大规模的网络攻击。这类方式方法的缺陷在于因果关系的定义太过复杂，而且需要构建庞大的攻击知识库。3.利用数据挖掘的方式方法WenkeLee在这方面做了大量的研究工作，在入侵检测中采用数据挖掘的方式方法处理收集到的数据，对正常行为和异常行为建立行为形式进而发现入侵。Qinx提出利用GCT的统计时序算法来挖掘攻击场景片段，再把攻击片段连接成完好的攻击场景。IBM的Hellerstein等利用数据挖掘方式方法在历史数据中挖掘出一些特殊的形式，如时间间隔形式，事件依靠关系等，然后利用这些形式构建关于入侵场景的关联规则。Dain和Cunningham通过实验比拟后指出数据挖掘方式方法优于原始匹配方式方法和启发式关联方式方法。2.4证据保全技术在取证经过中，应对电子证据及整套的取证机制提供安全保障，保卫电子证据的真实性、完好性和安全性，这对于网络取证经过尤为关键。当前，这方面的研究尚处于起步阶段，没有建立一套公认的完好的电子证据安全保卫机制。文献提出了一个可信的因特网取证架构TIF〔TrustedInternetForensies〕，对取证经过进行安全性保卫，提供一个基于可信计算平台的网络设备从网络中收集数据，确保计算链〔ComPutationalChain〕的安全性，进而使得收集到的数据能够用于法庭证据。Redmon提出了牵涉证据保全及证据出示的物证保持力〔RetentionofMaterial〕的问题，指出维护证据监督链保持力牵涉到技术和法律问题，主要对电子证据的安全性展开了讨论，设计了一个电子证据传输联盟的哈希经过〔HashingProcess〕。孙波等对电子证据的收集及保卫机制进行了研究，指出为了获得完好可信的电子证据，应该预先在敏感主机上安装电子证据收集系统EDECS，只要保证了整个EDECS的完好性，才能根据此系统所获得的数据进行后续的取证分析工作。他们提出采用改良的强访问控制方式方法构建内核层的安全隔离环境，将EDECS运行于一个安全隔离环境并以此保卫电子证据和取证进程，但该方式方法实现比拟复杂，附加的检查操作增大了性能开销。丁丽萍等在实时取证思想指导下，提出了一个较为完好的电子证据获取与存储框架，对取证行为建模，并基于安全操作系统实现了对取证进程的安全保卫以及证据数据的安全存储。戴江山等提出并设计了一种分布式网络实时取证系统，实时提取入侵犯罪证据，对证据信息进行完好性保卫和验证，其设计的证据信息完好性处理经过如此图2一9所示。2.5其他技术网络取证的一个目的是追踪并定位入侵者。文献提出了一种通过单播ARP请求报文的探测方式方法来验证数据包中的源地址是不是真实的发送者的源地址，并对报文的源节点进行定位。网络取证还需考虑的一个问题是隐私问题。S.Srinivasan提出了在不阻碍法律调查前提下应考虑的关于对用户隐私进行保卫的十条策略,能够看作是对计算机取证工具及技术在这一方面的指导原则的一个总结。Giannakis在隐私保卫技术PET〔PrivacyEnhancingTecbnologies〕之上提出了一个尊重隐私的网络取证协议RPINA,避免非法用户在PET保卫下进行恶意的活动而不被抓获。BrianCarrler和ClayShieldS在常用的IDENT基础之上提出了STOP(SessionTokenProtocol)协议能够对跳板式〔stoneStepping〕攻击方式进行取证和追踪，同时能够保卫用户的隐私。STOP能够保存网络通信中用户级和应用级的数据以供取证和追踪，但不会将这些数据随意提交给请求数据的人，而是将产生于相应连接信息hash值的token提交给本地管理员，再由管理员决定能否能够将数据交付给请求者。OmerDemir:提出了基于会话的包记录〔SBL〕方式方法。2.6本章小结本章主要介绍了国内外对网络取证体系构造及相关技术的研究情况。通过对静态取证和动态取证的特点分析，能够看出网络取证需要采用动态取证的方式方法实时收集证据实时分析，因而应考虑黑客入侵经过的各个阶段，将动态取证经过与之相适应。通过对国内外关于网络取证的体系构造的研究能够了解到，当前有代表性的网络取证体系构造包括：将入侵检测技术与网络取证相结合，利