基于Windows主機日志的取證分析方法研究.pdf

1、計算機技術(shù)的飛速發(fā)展促進了社會的進步，帶動了經(jīng)濟的發(fā)展，也改變了人們的生活和工作方式。然而，計算機技術(shù)為人們提供便利的同時，也為網(wǎng)絡(luò)犯罪提供了新的犯罪空間和手段。所以，我們需要充分發(fā)揮技術(shù)的作用和法律的威力來遏制計算機犯罪。日志文件記錄了操作系統(tǒng)和應(yīng)用程序以及用戶的操作過程，同時也保存了入侵者的痕跡，因此成為計算機取證中重要的證據(jù)來源。如何從大量的易被破壞的日志記錄中找出存在的關(guān)聯(lián)，并進一步重構(gòu)出入侵場景，是本文研究的主要內(nèi)容。

2、　　首先，針對日志記錄數(shù)據(jù)量龐大且不同類型的日志包含的屬性不同導(dǎo)致的挖掘困難，本文提出了基于EventID分類模型的冗余數(shù)據(jù)清理技術(shù)，并針對不同的日志類型設(shè)計不同的格式化標準。通過EventID分類模型和格式化處理，能夠有效降低分析的數(shù)據(jù)量。
　　其次，由于頻繁模式挖掘過程中日志記錄包含屬性取值范圍過大，致使FP_Tree的空間復(fù)雜度過高，極大地降低了處理效率;并且不同的屬性有相同的屬性值，導(dǎo)致產(chǎn)生的關(guān)聯(lián)規(guī)則無法判斷屬性值的確切含

3、義。針對以上問題，本文提出了一個基于FP_ Growth的日志挖掘算法PFP_Growth。本文算法在建立頻繁模式樹之前首先對屬性進行預(yù)處理，然后采用面向需求的約束屬性組技術(shù)建立頻繁模式樹。
　　然后，針對如何從大量的關(guān)聯(lián)規(guī)則中篩選出與入侵相關(guān)的規(guī)則進行場景重構(gòu)的問題，本文提出了一種基于模擬攻擊的格式化規(guī)則匹配方法。先通過模擬攻擊產(chǎn)生與入侵相關(guān)的格式化規(guī)則，再通過匹配屬性前綴與格式化規(guī)則來實現(xiàn)規(guī)則匹配。
　　最后，本文提出了