基于Web的网络入侵检测取证系统的设计与实现

计算机取证目前在国外正逐步成为研究与开发的热点，但在国内仅有少量研究文章。网络安全技术中的一个重要方面就是入侵事件的检测与取证分析。文中在基于网络的取证分析中作了一些尝试，在Linux操作系统下综合利用基于主机和网络的入侵检测技术，开发出一套高效实用的基于Web的入侵检测与取证系统。给出了系统总体结构、主要模块的设计实现方法和关键数据结构。该系统能以直观友好的图形化方式显示入侵事件与取证信息。     

基于协议分析的网络入侵动态取证系统设计

计算机取证技术分为静态取证和动态取证两种。静态取证技术由于采用事后分析的方法提取证据，因而证据的采集不够全面，同时恢复的数据可能是已经被篡改的数据，因而法律效力低。文中将计算机取证技术与入侵检测技术结合，提出一种基于协议分析的网络入侵动态取证系统。该系统采用基于协议分析的入侵检测方法，提高了入侵检测效率及数据分析能力，有助于解决动态取证的实时性；同时系统采取了较全面的安全机制，确保收集的电子证据的真实性、有效性、不可篡改性，是动态计算机取证的一种较好解决方案。     

基于Multi-Agent的网络入侵取证模型的设计

在分析网络入侵取证和多Agent技术的基础上,提出了一个基于多Agent的网络入侵取证系统的模型,并详细描述了入侵检测与取证的过程和方法。将入侵检测和计算机取证技术结合在一起,在遭受入侵时能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测系统的不足,有效地阻止了黑客攻击。     

基于Multi-Agent的网络入侵取证模型的设计

在分析网络入侵取证和多Agent技术的基础上,提出了一个基于多Agent的网络入侵取证系统的模型,并详细描述了入侵检测与取证的过程和方法.将入侵检测和计算机取证技术结合在一起,在遭受入侵时能实时地收集可靠的证据,完成入侵事件的检测和取证分析,弥补了入侵检测系统的不足,有效地阻止了黑客攻击.     

一种用于网络取证分析的模糊决策树推理方法

网络取证是对现有网络安全体系的必要扩展,已日益成为研究的重点.但目前在进行网络取证时仍存在很多挑战:如网络产生的海量数据;从已收集数据中提取的证据的可理解性;证据分析方法的有效性等.针对上述问题,利用模糊决策树技术强大的学习能力及其分析结果的易理解性,开发了一种基于模糊决策树的网络取证分析系统,以协助网络取证人员在网络环境下对计算机犯罪事件进行取证分析.给出了该方法的实验结果以及与现有方法的对照分析结果.实验结果表明,该系统可以对大多数网络事件进行识别(平均正确分类率为91.16%),能为网络取证人员提供可理解的信息,协助取证人员进行快速高效的证据分析.     

电子证据的获取及可靠性关键技术研究

电子证据作为一种新的证据形式，逐渐成为新的诉讼证据之一。本文提出了一种结合法学、密码学、计算机网络安全技术、知识发现与人工智能技术来获取电子证据并保证其可靠性的研究方法，包括基于数据挖掘、入侵检测和入侵容忍技术的电子证据的高效获取技术，基于加密和网络公证技术的电子证据的可靠保全技术以及基于数据挖掘技术的电子证据的智能分析技术等。设计了一个智能取证系统Intelligent—Forensic System(IFS)，以解决电子证据的获取、传输、保存、分析、使用和可靠性保证问题。     

基于数据挖掘的入侵取证系统设计与实现

本文提出了一种基于数据挖掘技术建立入侵取证系统的方法,探讨了该系统实现中的关键技术和解决方法。主要包含:网络数据收集、网络连接属性的抽取、应用滑窗技术优化数据挖掘中的算法、协议解析分析模块的设计。     

基于陷阱网络的入侵行为研究

介绍了陷阱网络的概念和体系结构,分析了陷阱网络的计算机取证技术,论述了基于陷阱网络的入侵行为研究。     

基于协议分析的网络入侵动态取证系统设计

计算机取证技术分为静态取证和动态取证两种。静态取证技术由于采用事后分析的方法提取证据,因而证据的采集不够全面,同时恢复的数据可能是已经被篡改的数据,因而法律效力低。文中将计算机取证技术与入侵检测技术结合,提出一种基于协议分析的网络入侵动态取证系统。该系统采用基于协议分析的入侵检测方法,提高了入侵检测效率及数据分析能力,有助于解决动态取证的实时性;同时系统采取了较全面的安全机制,确保收集的电子证据的真实性、有效性、不可篡改性,是动态计算机取证的一种较好解决方案。     

基于入侵容忍的网络取证系统设计

现有的网络取证系统假设当发生入侵行为时系统仍然处于可靠的工作状态，未考虑系统状态变化对取证的影响。该文提出一个具有入侵容忍能力的网络取证系统INFS，分析了该原型系统的入侵容忍机制、基于SMP的取证控制机制和安全传输机制，以及取证agent、攻击回溯agent的工作机理，讨论了对应于不同系统状态的取证分析方法，提出了协同取证技术。     

电子取证应用研究综述

近年来,电子数据取证对案件侦破起着重要的作用,由于电子数据具有易失性、易破坏性等特点,需要取证人员具备专业的电子取证技术和方法,才能最后分析出有用的证据,保证案件的真实性和客观性,详细分析三种取证技术和方法：基于Windows的电子取证、基于智能手机的电子取证,基于网络的电子取证,其中基于智能手机的电子取证包括Android手机和iPhone手机,并提出电子取证技术未来的发展方向.     

面向网络取证的网络攻击追踪溯源技术分析

定位网络攻击事件源头然后进行有效电子证据的收集是网络取证的任务之一.定位网络攻击事件源头需要使用网络攻击追踪溯源技术.然而现有的网络攻击追踪溯源技术研究工作主要从防御的角度开展,以通过定位攻击源及时阻断攻击为主要目标,较少考虑网络取证的要求.这导致网络攻击追踪溯源过程中产生的大量有价值的数据无法成为有效电子证据在诉讼中被采用,因而无法充分发挥其在网络取证方面的价值.为此提出了一套取证能力评估指标用于评估网络攻击追踪溯源技术的取证能力,总结分析了最新的网络攻击追踪溯源技术,包括基于软件定义网络的追踪溯源技术,基于取证能力评估指标分析了其取证能力并针对不足之处提出了改进建议,最后提出了针对网络攻击追踪溯源场景的网络取证过程模型.该工作为面向网络取证的网络攻击追踪溯源技术的研究提供了参考.     

面向GAN生成图像的被动取证及反取证技术综述

生成对抗网络（generative adversarial network,GAN）快速发展,并在图像生成和图像编辑技术等多个方面取得成功应用。然而,若将上述技术用于伪造身份或制作虚假新闻,则会造成严重的安全隐患。多媒体取证领域的研究者面向GAN生成图像已提出了多种被动取证与反取证方法,但现阶段缺乏相关系统性综述。针对上述问题,本文首先阐述本领域的研究背景和研究意义,然后分析自然图像采集与GAN图像生成过程的区别。根据上述理论基础,详细介绍了现有GAN生成图像的被动取证技术,包括：GAN生成图像检测算法,GAN模型溯源算法和其他相关取证问题。此外,针对不同应用场景介绍基于GAN的反取证技术。最后,通过实验分析当前GAN生成图像被动取证技术所面临的挑战。本文根据对现有技术从理论和实验两方面的分析得到以下结论：现阶段,GAN生成图像的被动取证技术已在空间域和频率域形成了不同技术路线,较好地解决了简单场景下的相关取证问题。针对常见取证痕迹,基于GAN的反取证技术已能够进行有效隐藏。然而,该领域研究仍存在诸多局限：1）取证与反取证技术的可解释性不足;2）取证技术鲁棒性和泛化性较弱;3）反取证技术缺乏多特征域协同的抗分析能力等。上述问题和挑战还需要研究人员继续深入探索。     

分布式网络入侵取证追踪系统的设计与研究

本文首先分析了网络取证的概念,探讨了网络取证的基本原则、数据来源,关键技术以及网络取证的一般过程等问题,并给出了一个分布式网络入侵取证追踪系统的设计。     

Network forensics based on fuzzy logic and expert system

Network forensics is a research area that finds the malicious users by collecting and analyzing the intrusion or infringement evidence of computer crimes such as hacking. In the past, network forensics was only used by means of investigation. However, nowadays, due to the sharp increase of network traffic, not all the information captured or recorded will be useful for analysis or evidence. The existing methods and tools for network forensics show only simple results. The administrators have difficulty in analyzing the state of the damaged system without expert knowledge. Therefore, we need an effective and automated analyzing system for network forensics. In this paper, we firstly guarantee the evidence reliability as far as possible by collecting different forensic information of detection sensors. Secondly, we propose an approach based on fuzzy logic and expert system for network forensics that can analyze computer crimes in network environment and make digital evidences automatically. At the end of the paper, the experimental comparison results between our proposed method and other popular methods are presented. Experimental results show that the system can classify most kinds of attack types (91.5% correct classification rate on average) and provide analyzable and comprehensible information for forensic experts.     

网络取证技术研究

介绍了网络取证的概念、网络证据的特点、与传统静态取证的比较及研究现状,详细分析了数据捕获、数据分析技术、专家系统和数据挖掘技术等在网络取证中的应用,并分析了目前网络取证存在的问题和发展趋势.     

基于系统日志的计算机取证技术的分析研究

随着计算机网络技术的发展,计算机网络安全越来越受到人们的关注和重视。计算机取证技术正是在这种背景下发展起来的,它的目标就是对计算机系统和计算机网络中发生的犯罪行为进行取证分析,获取入侵事件的电子证据。本文主要介绍了计算机取证技术,重点研究了基于系统日志的计算机取证技术。     

计算机取证技术探讨

随着网络技术的不断发展和普及,计算机犯罪也在不断增加,为解决争议和打击计算机犯罪,计算机取证技术已成当前的重要手段,从而使得计算机取证成为计算机安全领域的一个研究热点和重点。本文介绍了计算机取证技术概念、特点、取证工具和取证局限性,讨论了计算机取证的发展趋势,并详细介绍了反取证技术。