论文部分内容阅读
近年来,计算机及互联网技术的迅猛发展也带来了计算机犯罪率的飞速增长。打击犯罪的关键在于获得充分、可靠和强有力的证据。而计算机犯罪的证据与传统证据相比更容易丢失、删改,表现形式更加多样,也更难被法律界人士理解。因此,一个专门研究如何按照符合法律规范的方式收集和处理计算机证据的新学科——计算机取证(computer forensics)应运而生。由于其重要意义和实用价值,该领域在近几年吸引了越来越多的关注。计算机取证包含多个子领域,入侵取证(intrusion forensics)便是其中之一。它特指对计算机入侵行为的取证。因为黑客入侵在计算机犯罪中占据很大比例,所以对入侵取证的研究一直是取证研究者关注的重点。 计算机取证的过程一般包括证据获取、证据鉴别、证据分析和证据提交四个阶段。其中证据分析是取证过程的关键及难点所在。这一阶段的主要任务是分析收集到的原始证据并得出推理性结论。具体到入侵取证领域,证据分析的任务通常包括入侵者识别、入侵证据筛选以及入侵场景重构等。虽然对入侵证据的分析非常重要,但目前相关的研究并不是很多,现有的处理方法也是以人工分析为主。面对复杂、海量的数据和繁重的取证任务,人工证据分析方法已经很难满足需求。解决上述问题的一个有效途径是用自动证据分析方法来取代传统的人工分析。当前对于自动证据分析方法的研究尚处在起步阶段。尤其在入侵取证领域,已有的自动分析方法很少而且局限性较大。鉴于这一现状,本文的具体工作及主要创新点如下: 1)用于入侵取证的完整自动证据分析模型。本文创建了一个用于入侵取证的完整自动证据分析模型,以实现针对入侵类计算机犯罪的自动证据分析。模型的主要任务包括:在已知入侵发生的前提下,一方面通过分析各类可获取的数据自动重现入侵者的行为过程,另一方面自动提取出所有与入侵者相关的文件、日志作为证据。最后,还能够基于已有案例对上述取证分析结果自动加以优化。 2)自动数据简化。为了提高证据分析的效率,有必要预先对各类候选数据加以预处理,删减其中的误报及无关数据。为解决这一问题,本文提出了一种自动数据简化方法。对于作为证据筛选候选数据的各类日志(例如BSM审计日志),我们采用了相对简单的基于攻击时间和攻击类型的简化方法。而对于作为场景重构主要依据的IDS报警,简化的关键是剔除其中的误报,为此我们采用了一种基于孤立点分析的误报处理技术。技术的核心是一种专门用误报识别的改进孤立点分析算法。其原理是将频繁出现的报警属性值集视为“普遍特征”,根据报警包含这类特征的多少来计算报警是误报的概率。技术的主体则是由学习阶段和在线过滤阶段组成的报警处理框架。与现有方法相比,该方法的主要优点是可实时过滤误报、可处理新的误报类型。另外,无需背景知识和人工干预较少也是该模型的优势所在。 3)自动入侵场景重构。自动入侵场景重构技术的主要任务是重构出入侵者的行为过程。鉴于现有自动入侵场景重构方法仅能重构部分入侵场景、不能处理复杂行为、重构结果难以理解、方法安全性低等诸多缺陷,本文提出了一种新的自动场景重构方法——层次化入侵场景重构。其原理是首先基于报警关联技术重构出入侵者的抽象攻击步骤及步骤间关系,然后基于攻击特征和依赖追踪技术重构出各步骤的行为细节,最后,通过两层重构结果的彼此映射、调整获得完整的入侵行为图。基于DARPA2000的实验表明,本文方法的重构结果准确、完备、内容翔实又易于理解,非常适合作为法律证据。而与现有方法的比较则显示出,本文方法能够克服现有方法仅能重构部分场景、不能处理复杂行为、安全性低等诸多缺陷。 4)自动证据筛选。与入侵者相关的证据通常隐藏于多个设备(如网关、被侵入主机等)的大量文件及日志记录中。因此,如何从海量数据中筛选出能够证明特定攻击行为的全部证据是入侵取证的一个重要步骤。本文提出了一种基于攻击特征的自动证据筛选方法。其原理是首先根据被调查攻击的特征重构出攻击行为细节,并从中抽取筛选证据需要的“特征信息”。然后,再根据候选数据与这些特征信息的匹配程度筛选出该攻击相关的证据。基于DARPA2000的实验表明这种方法具有很高的准确率,其完备性更是接近100%。而与现有方法的比较则显示出这种方法能克服现有方法人工干预较多、效率低下、仅能筛选特定证据类型、不适合处理复杂攻击等诸多缺陷。 5)基于已有案例的自动结果优化。为了进一步完善上文提出的自动证据分析方法的处理结果,我们又借鉴犯罪者建模技术提出了一种基于已有案例的结果优化方法。其主要思想是首先从每个攻击案例中提取出处理后继案例可能需要的信息。这些信息将作为特征属性存储在该案例的profile中。然后建立一个历史案例库,其中存储了所有已知案例的profile。最后,根据历史案例库来优化当前案例的分析结果。这种优化方法不但可以帮助寻找行为图中遗漏的行为分支、查找遗漏的攻击相关证据,还可以帮助确定攻击者的行为目标、获取攻击者的个人信息以及识别该攻击者以往的攻击行为。