基于内存取证技术的关联性分析研究
本文关键词:基于内存取证技术的关联性分析研究,由笔耕文化传播整理发布。
【摘要】:本文面向多场景下的计算机犯罪案件提出了一套完整的内存取证解决方案,该方案可以利用从内存中获取的多个单一证据来进行案情的推理及证据链重构。该方案通过找到那些存在于内存中证据之间的关联性,利用本文提出的关联性分析算法量化计算出证据之间的关联度,进程之间在时间属性上存在的关系可以分为两类,一类是同一内存环境中的进程间的时间关系,另一类则是不同内存环境中进程间的时间关系。然后对于得到的时间关联性矩阵和进程建立关联性矩阵进行关联性综合分析,,综合分析的主要目标是建立不同的关联矩阵在最终结果中的权值以及关联度聚合算法。本文通过层次聚类算法得到最终的关联性相似结果。并设定集于实际情况考虑的阈值给出最终关联结果。并最终利用这些关联度来分析已发生的犯罪案情。为了验证分析方法的有效性,本文在实验部分模拟了一个计算机犯罪现场,并利用模拟过程建立了实验用的数据集。经过本文设计的相关实验,其分析结果表明这种关联性分析方法不但可以帮助办案人员在犯罪现场遗留的内存数据中发现那些具有关联性的证据还能够有效识别出那些含有合法用户行为的计算机犯罪过程。
【关键词】:内存取证 证据链 关联性分析 现场还原
【学位授予单位】:吉林大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:TP309;D918.2;TP333
【目录】:
- 中文摘要4-5
- Abstract5-9
- 第1章 绪论9-14
- 1.1 研究背景及意义9-10
- 1.2 国内外研究现状10-12
- 1.3 研究内容12
- 1.4 本文结构12-14
- 第2章 取证技术综述14-28
- 2.1 物理内存镜像的获取方法14-18
- 2.1.1 基于硬件的物理内存镜像获取方法14-15
- 2.1.2 基于软件的物理内存镜像获取方法15-17
- 2.1.3 Windows 内存管理方式17-18
- 2.3 地址转换方法18-19
- 2.3.1 默认情况下的地址转换18
- 2.3.2 PAE 模式下的地址转换18-19
- 2.4 镜像内存获取19
- 2.5 基于WINDOW操作系统的内存管理19-21
- 2.5.1 Windows 系统物理内存的结构19-20
- 2.5.2 物理内存镜像获取技术20-21
- 2.6 云计算环境下数字取证工作分析21-24
- 2.6.1 云计算与常见的云计算攻击类型21-23
- 2.6.2 云计算环境下取证面临的问题23-24
- 2.7 不同类型的云环境下的数字取证框架24-28
- 2.7.1 云环境特性及其划分24-25
- 2.7.2 不同云环境下的数字取证框架25-28
- 第3章 系统整体设计28-31
- 3.1 内存系统调度整体框架图28
- 3.2 进程关联度设计28-29
- 3.3 聚类算法分析29-31
- 3.3.1 非参数聚类方法29-30
- 3.3.2 参数化方法30-31
- 第4章 内存取证技术的实现及其关联性分析31-38
- 4.1 内存镜像的获取和预处理31
- 4.2 多内存镜像进程间的关联性分析方法31-37
- 4.2.1 进程时间关联性分析算法32-35
- 4.2.2 进程创建关联性分析算法35
- 4.2.3 进程关联性综合分析算法35-37
- 4.3 分析结果呈现37-38
- 第5章 实验分析及其结果解释38-46
- 5.1 实验设计38
- 5.2 实验步骤38-44
- 5.2.1 内存镜像文件获取38-39
- 5.2.2 进程信息的提取39-40
- 5.2.3 进程时间关联性分析结果40-42
- 5.2.4 进程创建关联性分析结果42-43
- 5.2.5 进程关联性分析结果43-44
- 5.3 实验讨论44-46
- 第6章 总结与展望46-47
- 参考文献47-49
- 作者简介及在学期间所取得的科研成果49-50
- 致谢50
【共引文献】
中国期刊全文数据库 前4条
1 张丽;谭毓安;郑军;马忠梅;王文明;李元章;;一种基于闪存物理镜像的FAT文件系统重组方法[J];电子学报;2013年08期
2 向涛;苟木理;;Windows 8下基于镜像文件的内存取证研究[J];计算机工程与应用;2013年19期
3 HOWDEN Chris;LIU Lu;LI ZhiYuan;LI JianXin;ANTONOPOULOS Nick;;Virtual vignettes: the acquisition,analysis,and presentation of social network data[J];Science China(Information Sciences);2014年03期
4 季雨辰;伏晓;石进;骆斌;赵志宏;;计算机入侵取证中的入侵事件重构技术研究[J];计算机工程;2014年01期
中国硕士学位论文全文数据库 前6条
1 邓金城;面向Windows的计算机取证系统关键技术研究与实现[D];电子科技大学;2013年
2 贾宝安;内存取证技术的研究及应用[D];电子科技大学;2013年
3 苟木理;面向Windows 8物理内存镜像文件的内存取证技术研究[D];重庆大学;2013年
4 孔飞;面向内存的Web邮件取证技术研究与系统实现[D];杭州电子科技大学;2013年
5 尧俊;Android用户行为重构与分析技术研究[D];杭州电子科技大学;2014年
6 谢珍真;基于云计算的数字取证关键技术的研究与实现[D];吉林大学;2014年
本文关键词:基于内存取证技术的关联性分析研究,由笔耕文化传播整理发布。
本文编号:302730
本文链接:https://www.wllwen.com/falvlunwen/fanzuizhian/302730.html
