网络取证技术研究

【摘要】： 作为计算机取证重要分支的网络取证技术,无论是国外还是国内,目前都正处于起步阶段,主要是集中于一些取证系统框架结构的研究,或一些局部问题的研究,还没有形成系统的理论、方法与体系。本文将入侵检测、入侵容忍与网络取证技术相结合,系统完整地研究了网络取证系统框架结构设计、反取证技术、取证数据特征选择与关联分析、协同取证以及取证数据擦除等关键技术问题,提出了问题的解决方法。本文的创造性研究成果主要有: 1.提出了计算机取证的分类方法,系统探讨了网络取证的过程、分析技术、系统实现技术和未来的发展趋势,提出并分析了基于入侵容忍、网络监控等技术的取证系统设计思想。 2.系统研究了反取证技术,首次明确提出了反取证技术的定义、方法与研究领域,全面归纳比较了反取证所采用的数据擦除、数据加密、数据隐藏、数据混淆和数据转换等主要技术,研究指出,反取证技术也应是取证技术的重要研究方向。 3.全面比较分析了入侵检测系统与网络取证系统相结合的可行性。针对现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态,未考虑系统状态变化对取证的影响这一重要缺陷,首次提出了将系统状态作为证据的重要思想。结合入侵检测技术和入侵容忍系统SITAR,设计了一个具有入侵容忍能力的网络取证系统INFS,并分析了该系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制,以及取证agent、攻击回溯agent的工作机理,讨论了对应于不同系统状态的取证分析方法。INFS具有正常状态、易受攻击状态、攻击状态、功能退化降级状态和失效保护状态五种状态,既可实现根据反映系统被侵害程度的不同状态进行取证控制的安全取证,大大减少证据的存储量,而且取证时所处的不同状态也可作为系统遭受破坏程度的重要依据。 4.研究了如何在海量数据中发现电子证据的技术,从多元统计学的角度,提出了基于ANN-PCA的取证数据特征选择方法。对数据挖掘的核心技术关联规则挖掘进行了定性的分类分析,提出了外关联规则挖掘的概念,并将关联规则挖掘区分为正关联规则、负关联规则和外关联规则三大类,提出了一种基于ANN-PCA的外关联规则挖掘算法IFAAR,该算法无须生成频繁项集,能够有效地进行海量证据的关联分析,同时,这也是对关联规则挖掘技术应用的扩展和丰富。 5.提出了从目标系统所有可利用资源中发现、关联、解释、分析信息,以确定证据因果关系、再现网络犯罪场景和形成证据链,从而支持法庭举证的协同取证概念。并在深入分析入侵检测最新发展的报警关联技术的基础上,将报警关联技术、贝叶斯网络学习方法、概率函数依赖理论相结合,根据网络事后取证的需要,提出了一种能够对来自于不同数据源的数据进行网络协同取证分析的CFA算法,实现了对犯罪场景的再现。 6.通过对用于隐私保护及反取证的数据擦除技术的研究,基于扩频通信技术中的m序列理论,以及硬盘编码中的RLL码理论,提出了可用于取证后的磁盘介质擦除的一种新的数据擦除方案GRLLs,该方案具有通用、高速、安全的特性。