Please wait a minute...
 首页  期刊介绍 期刊订阅 联系我们 横山亮次奖 百年刊庆
 
最新录用  |  预出版  |  当期目录  |  过刊浏览  |  阅读排行  |  下载排行  |  引用排行  |  横山亮次奖  |  百年刊庆
清华大学学报(自然科学版)  2014, Vol. 54 Issue (1): 20-28    
  论文 本期目录 | 过刊浏览 | 高级检索 |
一种支持犯罪重现的按需取证技术
田志宏1,姜伟2,张宏莉1
2. 北京工业大学 计算机学院, 北京 100124
3. 国防科技大学 计算机学院, 长沙 410073
On-demand forensics to support crime scene reconstruction
Zhihong TIAN1,Wei JIANG2,Hongli ZHANG1
1. School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, China
2. College of Computer Science, Beijing University of Technology, Beijing 100124, China
3. School of Computer, National University of Defense Technology, Changsha 410073, China
全文: PDF(1732 KB)   HTML
输出: BibTeX | EndNote (RIS)       背景资料
文章导读  
摘要 

基于实时取证的思想,提出了一种支持犯罪重现的按需取证技术—DFR2(on-demand forensic technology support for rollback recovery)。基于按需取证概念, DFR2缩小了处理范围、缩短了取证时间,基于对象依赖技术的多源证据推理融合算法,提取出完整的攻击流程,提高了证据关联性。此外,还将犯罪重现引入计算机取证领域,有效地解决了电子证据证明力不足的问题。实验分析结果表明: 与当前主流的取证方法Snare相比, DFR2不仅支持按需取证、犯罪重现等功能,且在进行系统调用劫持过程中的平均性能开销降低约5%左右。

服务
把本文推荐给朋友
加入引用管理器
E-mail Alert
RSS
作者相关文章
田志宏
姜伟
张宏莉
关键词 入侵取证犯罪重现电子证据按需取证    
Abstract

A system, DFR2 (on-demand forensic technology support for rollback recovery), is developed to obtain on demand real-time evidence from crimes to support rollback recovery. The Linux based system for obtaining evidence uses different methods and objects which are logically based on their different environments to narrow down the range of treatments, to shorten the investigations and evidence acquisition, and to improve the effectiveness of the evidence. The system also supports rollback recovery of the file system data to minimize intrusion losses. Compared with existing method Snare, the results have improved function and performance with reducing 5% cost during robbing process.

Key wordsintrusion forensic    crime rebuilding    electronic evidence    on-demand forensics
收稿日期: 2013-12-01      出版日期: 2015-04-16
ZTFLH:     
基金资助:国家 “八六三” 高技术资助项目 (2012AA012506, 2012AA012502, 2012AA012901)
引用本文:   
田志宏, 姜伟, 张宏莉. 一种支持犯罪重现的按需取证技术[J]. 清华大学学报(自然科学版), 2014, 54(1): 20-28.
Zhihong TIAN, Wei JIANG, Hongli ZHANG. On-demand forensics to support crime scene reconstruction. Journal of Tsinghua University(Science and Technology), 2014, 54(1): 20-28.
链接本文:  
http://jst.tsinghuajournals.com/CN/  或          http://jst.tsinghuajournals.com/CN/Y2014/V54/I1/20
取证系统 安全性 多源
融合
犯罪
重现
按需
取证
可扩
展性
Snare Ö × × × ×
Forensix × × Ö × Ö
Backtracker × × × × ×
SeFos Ö × × Ö ×
DFR2 Ö Ö Ö Ö Ö
  各取证系统功能比较结果
  DFR2的体系架构图
  DFR2的取证需求实例
  对象依赖关系转换图
  图操作过程示意
  跳板攻击多源证据融合流程
  犯罪重现操作示意图
  犯罪重现实例示意图
  DoS攻击证据图
  系统调用延迟时间对比
  CPU占用率对比
  内存占用率对比
[1] 孙国梓, 耿伟明. 基于可信概率的电子数据取证有效性模型 [J]. 计算机学报, 2011, 34(7): 1262-1274. SUN Guozi, GENG Weiming. One validity model of digital data forensics based on trusted probability[J]. Chinese Journal of Computers, 2011, 34(7): 1262-1274. (in Chinese)
[2] Steve B. EnCase Forensic [Z/OL]. (2013-11-20), http://www.encase.com/products/Pages/encase-forensic/overview.aspx.
[3] Farmer D, Venema W. The coroner's toolkit (TCT) [Z/OL]. (2002-03-12), http://www.fish2.com.
[4] New Technologies Inc. NTI [Z/OL]. (2007-11-01), http://www.forensics-intl.com/.
[5] Schneier B. Forensic Toolkit [Z/OL]. (2011-03-21), http://www.accessdata.com/.
[6] Dunlap G W, King S T, Cinar S, et al.ReVirt: Enabling intrusion analysis through virtual-machine logging and replay [C] // Proceedings of the 2002 Symposium on Operating Systems Design and Implementation. Piscataway, USA: IEEE Press, 2002: 98-103.
[7] King S T, Chen P M. Backtracking intrusions[J]. ACM Transactions on Computer Systems, 2005, 23(1): 51-76.
[8] Jerome F, Radu S. Digital forensics in VoIP networks [C] // Proceedings of the IEEE International Workshop on Information Forensics and Security. Seattle, USA: IEEE Press, 2010: 1-6.
[9] Zhu Y W. Snare: A strong security scheme for network-attached storage [C] // Proceedings of the 22nd International Symposium on Reliable Distributed Systems. Tucson, USA, 2003: 74-79.
[10] Goel A, Feng W, Maier D, et al.Forensix: A robust, high-performance reconstruction system [C] // Proceedings of the 25th International Conference on Distributed Computing Systems Workshops. Columbus, USA, 2005: 6-10.
[11] Sander K. Linux intrusion detection system [Z/OL]. (2003-05-19), http://www.lids.org/.
[12] Natarajan M, Sumanth R. Tools and techniques for network forensics[J]. International Journal of Network Security & Its Applications, 2009, 7(2): 274-318.
[13] 丁丽萍, 周博文, 王永吉. 基于安全操作系统的电子证据获取与存储[J]. 软件学报, 2007, 18(7): 1715-1729. DING Liping, ZHOU Bowen, WANG Yongji. Capture and storage of digital evidence based on security operating system[J]. Journal of Software, 2007, 18(7): 1715-1729. (in Chinese)
[14] 孙波, 孙玉芳. 电子数据证据收集系统的研究与保护[J]. 计算机研究与发展, 2005, 42(8): 1422-1426. SUN Bo, SUN Yufang. Research and protection of the digital evidence collecting system[J]. Journal of Computer Research and Development, 2005, 42(8): 1422-1426. (in Chinese)
[15] 伏晓, 石进, 谢立. 用于自动证据分析的层次化入侵场景重构方法[J]. 软件学报, 2011, 22(5): 996-1008. FU Xiao, SHI Jin, XIE Li. Layered intrusion scenario reconstruction method for automated evidence analysis[J]. Journal of Software, 2011, 22(5): 996-1008. (in Chinese)
[1] 刘荣华, 魏加华, 翁燕章, 王光谦, 唐爽. HydroMP:基于云计算的水动力学建模及计算服务平台[J]. 清华大学学报(自然科学版), 2014, 54(5): 575-583.
[2] 张晶, 黄京华, 黎波, 严威. 新浪企业微博口碑传播的实证研究[J]. 清华大学学报(自然科学版), 2014, 54(5): 649-654.
[3] 杨汉波, 吕华芳, 胡庆芳, 雷慧闽, 杨大文. 华北平原的大气逆辐射参数化方法比较[J]. 清华大学学报(自然科学版), 2014, 54(5): 590-595.
[4] 曹欣荣, 刘蕾, 蔡东阳, 郭鹏, 唐劲天. 心冲击图特征统计及其医学诊断应用[J]. 清华大学学报(自然科学版), 2014, 54(5): 633-637.
[5] 何平, 吴添, 姜磊, 伍良杰. 投资者情绪与个股波动关系的微观检验[J]. 清华大学学报(自然科学版), 2014, 54(5): 655-663.
[6] 潘文卿, 吴添. 基于FC模型的产业转移的福利效应三地区理论模型[J]. 清华大学学报(自然科学版), 2014, 54(5): 672-677.
[7] 宫琴, 黎婷婷, 刘帅. 一种基于声卡的CAPs检测系统的研制[J]. 清华大学学报(自然科学版), 2014, 54(5): 678-684.
[8] 邓可欣. 基于超边图匹配的视网膜眼底图像配准算法[J]. 清华大学学报(自然科学版), 2014, 54(5): 568-574.
[9] 王振波, 张君, 罗孙一鸣. 喷水法成型纤维网增强水泥基板材抗弯性能[J]. 清华大学学报(自然科学版), 2014, 54(5): 551-555.
[10] 龙奋杰, 龙振兴, 王萧濛. 产权约束对景气市场住房报价的影响——基于Stein模型的改进与数值模拟[J]. 清华大学学报(自然科学版), 2014, 54(5): 596-601.
[11] 杨宏伟, 王昊宇, 刘云霞, 刘文君, 杨少霞. O3-BAC工艺对含溴水体消毒副产物生成势的影响[J]. 清华大学学报(自然科学版), 2014, 54(5): 607-612.
[12] 林朋飞, 张晓健, 陈超, 汪隽. 含钼废水处理及饮用水应急处理技术及工艺[J]. 清华大学学报(自然科学版), 2014, 54(5): 613-618.
[13] 赵娜, 王兆印, 潘保柱, 李志威, 段学花. 小江流域不同强度河床结构的生态学作用[J]. 清华大学学报(自然科学版), 2014, 54(5): 584-589.
[14] 张红, 张洋, 陈玄冰. 基于经济学实验的信息传递过程中北京二手房信息扩散程度测算[J]. 清华大学学报(自然科学版), 2014, 54(5): 602-606.
[15] 卓子寒, 王婕, 翟伟明, 王亨, 唐劲天. 热籽介导磁感应热疗稳态温度场仿真[J]. 清华大学学报(自然科学版), 2014, 54(5): 638-642.
Viewed
Full text


Abstract

Cited

  Shared   
  Discussed   
版权所有 © 《清华大学学报(自然科学版)》编辑部
本系统由北京玛格泰克科技发展有限公司设计开发 技术支持:support@magtech.com.cn