基于模糊理论的实时取证模型

利用模糊理论在处理不确定性问题上的优越性,提出一种模糊实时取证模型,并开发了原型系统.可能包含入侵踪迹的信息记录都被动态地转移到安全对象M中,每种关键文件在M中都存在一个对等的映像,用来存储安全转移过来的信息记录.关键文件中信息记录mi的安全级别分为3个等级,对不同安全级别信息记录保存的时间不尽相同,以优先长时间保存那些可能存在入侵信息的记录.系统的安全性评价和实验表明,与攻击行为有关的信息记录95%以上都能动态安全地转移和智能取舍.

网络实时取证模型的研究与设计

如何提取网络计算机中的数据,利用计算机提供的相关电子证据打击和遏制网络犯罪已成为司法和计算机科学领域专家共同关注的问题。文章在分析网络实时取证原则和取证过程中应考虑的问题的基础上,结合入侵检测、网络陷阱等系统提出了一种新的实时取证模型,以实现取证的实时性、完整性和可靠性。

基于代理的分布式网络实时取证模型及关键技术研究

该文在分析分布式网络犯罪入侵特点的基础上,提出基于移动Agent和静态Agent技术相结合的分布式网络实时取证系统模型MADBFS,它采用“分布取证、动态协调、区域监督、全局推理”概念模型,用一个类似树状的结构来构造分布式网络实时取证系统。并对MADRFS中证据完整性保护、证据信息可靠与高速获取、系统的健壮性与容忍性、动态协调移动Agent取证、Agent之间协调得相互关系等关键技术进行了探讨。

大规模网络非自体入侵动态实时取证仿真研究

为了实现大规模网络入侵的动态取证,及时分析非自体入侵企图,传统的入侵动态取证方法采用Burp Suite报文分析将非自体入侵攻击过程中的不同行为作为证据,由于选取的入侵证据特征冗余项过多,没有考虑入侵行为数据属性类别之间差异度,导致无法满足实时处理入侵动态取证的要求,影响了证据链的清晰、完整性。提出一种基于模糊C均值聚类的大规模网络非自体入侵动态实时取证方法。根据入侵证据信息获取模块对入侵信息记录的安全等级进行划分,采用模糊C均值聚类方法对非自体入侵证据信息进行分类。采用入侵记录安全状态特征值使证据信息分类结果清晰化,根据确证最优权重指数使入侵特征目标函数聚类的类内加权误差为最小。以入侵特征序列作为随机观察序列,将入侵步骤视为随机状态序列,通过对入侵特征序列进行解码操作,获得最可能的入侵步骤并据此回溯入侵证据链。实验结果表明,所提方法获得的入侵证据特征子集在一定程度上提高了入侵取证处理时间,减少了不必要的入侵证据,保证了入侵取证证据链的完整性和清晰性。

基于虚拟机监控器的类蜜罐实时内存取证

为了解决传统的基于"镜像-分析"的内存取证技术面临的提取内存镜像时间过长及无法有效截获瞬时性内存攻击的问题,提出类蜜罐的实时内存取证方法(RTMF).利用虚拟机监控器针对性地提取内存片段,对提取的数据进行语义重构,以获得操作系统级语义信息.利用扩展页表机制设置关键内存页面的访问权限,将这些内存页面作为蜜罐;针对蜜罐的违规访问会触发扩展页表故障而陷入虚拟机监控器,实时拦截攻击.结果表明,在发现内存攻击后,RTMF既可记录攻击者对内存的修改历史,又可对攻击者追踪溯源.经微基准测试,该方法引入的性能开销在可接受的范围内.

一种基于隐藏事件触发机制的内存取证方法

内存取证是计算机取证科学的重要分支,能够提取和分析操作系统运行状态的数字证据,已经成为对抗网络犯罪的有力武器.现有内存取证方法大多是全面获取内存数据,因而包含大量冗余信息,为后续内存分析带来不便.此外,在取证时间点选取方面存在盲目性,尤其是对具有隐藏特性的恶意软件,无法准确地在攻击发生时进行实时取证.由于内存具有易失性和不可恢复性的特点,取证时间点与攻击过程不匹配将使得取证内容无法表征攻击行为,导致取证数据无效.针对以上问题,提出一种基于隐藏事件触发机制的内存取证方法 ForenHD.该方法利用虚拟化技术实时监视目标虚拟机中的内核对象,并通过分析内核对象的逻辑连接关系和运行状态的变化来检测隐藏对象;然后以隐藏对象的发现作为内存取证的触发事件,通过内存映射提取隐藏对象的代码段信息,实现实时和局部内存取证.通过对多种隐藏对象取证的实验,证明了ForenHD的可行性和有效性.

基于安全操作系统的电子证据获取与存储

基于实时取证的思想,提出了一种安全可取证操作系统(security forensics operating system,简称SeFOS)的概念和实现思路.提出了其总体结构,建立了该系统的取证行为模型,对其取证服务和取证机制进行了分析并作了有关形式化描述,阐述了证据数据的采集和安全保护方法,提出把取证机制置于内核,基于进程、系统调用、内核资源分配和网络数据等获取证据的方法,并通过模拟实验验证了SeFOS的可取证性.可取证操作系统的研究对于进一步研究可取证数据库管理系统(forensic database management system,简称FDBMS)和可取证网络系统(forensic network,简称FNetWork)具有重要意义.

基于距离密度聚类融合的视频人脸识别

针对视频图像的数量海量性及视频人脸运动性,提出基于距离和密度聚类融合的视频人脸识别方法,该方法同时考虑距离与密度在聚类中的相关性并进行融合处理,设计了聚类人脸识别程序流程,实验中对其聚类算法及视频人脸识别方法分别进行了测试.结果表明,提出的方法识别速度快、准确率高、误检率低,能达到数字视频监控系统对精度的要求,可满足视频监控中实时取证的需要.

实时远程取证程序研究──基于国际侦查合作的全球视角

实时远程取证是近年来在国际侦查合作中出现的收集言词证据的一种新型合作形式,相关的法律文件正处于从原则性规定向具体规则发展的过渡阶段,司法实践亦开展了试验性质的探索。在对相关的国际公约、双边条约以及国内立法进行比较考察的基础上,运用刑事诉讼法学的基本原理,论证了实时远程取证程序的基本理论问题,基于国际侦查合作的全球视角探讨了相应的制度构建与程序设计,并归纳出实时远程取证发展趋势的三大特点。

社会安防新模式探讨

我们正处在被谓之为"改革之阵痛"的时代,这是国家、社会由贫转富,由弱到强、脱胎换骨的过渡性阶段。在这个阶段,结构性调整尚未完整,社会资源分配体系尚不健全,社会物质却得到极大丰富,贫富差距在一段时期内仍较明显,也是社会治安最严峻、最富挑战的时期。各地呈现的治安状况愈来愈明晰地要求建立社会安防新模式。