计算机日志稽查和事间关联分析.pdf

摘要随着网络与信息化的快速发展、计算机和网络犯罪的不断增加,计算机犯罪稽查取证技术越来越成为世界各国普遍关注、并亟待解决的学术前沿课题之~。本文依托国家“十五”科技攻关重点项目“打击计算机犯罪侦查取证技术”提供的部分基础条件,在团队工作基础之上,以对主机和网络设备救≈び用为重点,对计算机日志勘察取证的技术框架和作业流程进行了研究,改进了计算机同志勘查取证的规范化流程,改进并重新设计实现了计算机同志勘察取证系统日志分析平台,设计与实现了专家知识库管理系统及相应辅助工具。作者完成的主要工作包括:在实验研究工作和前期研究成果的基础上,对计算机日志勘查取证技术体系的总体框架及其作业流程进行了改进设计。重新设计并实现了计算机日志勘察取证系统日志分析平台。设计并实现了计算机日志勘察取证系统知识库管理系统,及数据库导入等辅助工具。作者对设计原型进行了实验室测试及典型案例测试,取得了较好的效果。关键词:计算机犯罪,信息安全,取证,同志,日志分析
.姑篶...,,:—.琲琹,
学位论文作者签名:私讳蕉,。扩‘年戮扇学位论文版权使用授权书本人完全了解同济大学关于收集、保存、使用学位论文的规定,同意如下各项内容:按照学校要求提交学位论文的印刷本和电子版本;学校有权保存学位论文的印刷本和电子版,并采用影印、缩印、扫描、数字化或其它手段保存论文;学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服务;学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版;在不以赢利为目的的前提下,学校可以适当复制论文的部分或全部内容用于学术活动。经指导教师同意,本学位论文属于保密,在年解密后适用指导教师签名:学位论文作者签名:年本授权书。月日
签名:镢纬击,签名:锹缔∞,孙‘年铝笕同济大学学位论文原创性声明本人郑重声明:所呈交的学位论文,是本人在导师指导下,进行研究工作所取得的成果。除文中已经注明引用的内容外,本学位论文的研究成果不包含任何他人创作的、己公开发表或者没有公开发表的作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集体,均已在文中以明确方式标明。本学位论文原创性声明的法律责任由本人承担。
第绪论研究背景随着网络和信息化的发展,计算机犯罪和涉及计算机和网络的传统犯罪越来越普遍,网络安全已成为全球性的问题。信息窃取和盗用、信息欺诈和勒索、信息攻击和破坏、信息污染和滥用已经成为当今主要的四种犯罪类型。网络案件的猛增,已引起世界各国的高度重视,纷纷采取措施,加强信息管理,打击网络犯罪。而犯罪主体的年轻化、犯罪工具普及化、犯罪分工专业化、犯罪地域全球化、在线犯罪普遍化己成为网络犯罪的主要发展趋势。在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步。据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过诿涝#鹿⒂⒐簿谑诿涝R陨希法国为诜ɡ桑毡尽⑿录悠挛侍庖埠苎现亍T诠市谭ń缌芯俚南执会新型犯罪排行榜上,计算机犯罪已名列榜首。年,调查所接触的鲎橹校ビ龅降缒园踩录渲ビ龅~稹ヒ陨嫌到起以上。因与互联网连接而成为频繁攻击点的组织连续瓴欢显黾樱涸受拒绝服务攻击虼甑ド仙甑ァ5鞑橄允荆鼋邮艿鞑榈淖橹ビ型荆渲ヌ峁┑缱由涛穹瘢庑┩驹年曛杏シ⑾治淳砜扇肭只蛭笥猛鞠窒蟆8钊瞬话驳氖牵%的组织说他们不知道自己的网站是否受到损害。据统计,全球平均每发生瓮先肭质录诳鸵坏┱业较低车谋∪趸方冢杏没Ь嵩庋闕。无论是新时代的计算机网络犯罪还是融合了计算机技术的传统犯罪方式,日志文件是证据的主要载体之一。日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件。通常情况一卜,系统日志是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个消息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途:第滦髀
●监控系统资源●对可疑行为进行告警·确定入侵行为的范围·为恢复系统提供帮助●为打击计算机犯罪提供证据来源对于计算机日志稽查而言,通过对利用计算机犯罪的现场勘查和线索侦查,在信源、信道和信宿等各个环节上自动收集与分析常用操作系统、数据库与应用系统的荆ü匀罩疚募姆治觯芄环⑾址缸镎叩姆缸锵咚鳎芄晃计算机犯罪调查取证、现场分析、确定侦查方向、线索追查和人员查证提供技考虑到日志文件在计算机相关犯罪案件的处理过程中的地位,对能够为法庭接受的、足够可靠性和说服力的同志文件的搜索、确认、提取、归档和保护,对案件处理有着直接而重要的影响。然而,目志证据的勘查取证目前还面临着一些问题。这些问题主要集中在龇矫妫法律方面在计算机取证的过程中,需要对证据的合法性进行认定。对证据合法性的认定也就是对非法证据予以排