计算机入侵取证中的入侵事件重构技术研究
2014-09-29季雨辰赵志宏
季雨辰,伏 晓,石 进,骆 斌,赵志宏
(1.安徽理工大学计算机科学与工程学院,安徽 淮南 232001;2.南京大学 a.软件学院;b.国家保密学院,南京 210093)
1 概述
计算机取证是一门专门研究如何按照符合法律规范的方式收集、处理计算机犯罪证据的新兴学科,它能为计算机犯罪案件的调查审理提供关键技术支撑和主要裁判依据。入侵取证[1-2]是计算机取证中的一个分支,由于入侵取证在计算机犯罪中占了很大一部分,且其种类繁多、危害性大,因此近几年成为信息安全和法学研究者共同关注的热点。
事件重构是计算机入侵取证的关键环节。事件重构通过分析各类可获得的数据确定可能发生的事件,识别被调查事件的时间、关系、功能等因素,重构可能的事件序列,重现入侵行为过程,模拟犯罪场景。取证调查者对被入侵计算机进行证据收集、保存和分析后,处理结果会被提交到法庭上作为法律证据。但这些证据的可信度并不高,有时并不足够成为法庭证据。通过收集的证据判断入侵场景中事件是否发生,由分析证据重构得到事件发生的起始,经过和结果才能增加证据的准确性、可信度和可靠度,证据说服力和法律采信度才更高。
为此,本文论述入侵事件重构技术的最新发展状况,研究较为流行的入侵事件重构方法,总结并比较各种方法的优缺点。
2 入侵事件重构的研究背景
取证调查者在事件重构时普遍依赖于商业工具,如EnCase、Forensic Toolkit等,但这些工具的主要任务还处于从被分析系统中收集证据的阶段。另外,随着网络的迅速发展,出现了如NetDetector、Wireshark等获取网络通信的工具。但是网络日志对加密通信并没有帮助,通常只提供系统应用层的信息。同时,这两者均基于人工处理,主观解释占主要部分,如果基于调查者的主观意识,不仅容易出错,而且分析过程难以重现,证据在法庭上受采纳的可能性不高。另一种广泛使用的方法是使用应用层合并的工具,通过查看内存和基于状态的分析技术进行事件重构。不足在于这些方法基于的分析模型要求并不严格,信息极有可能丢失或被漏过,取证过程通常也需要花费大量时间。
除计算机入侵外,计算机犯罪还有很多,如网络骚扰E-mail勒索、保存及散播色情文件等。对于这些犯罪行为的重构也是事件重构的重要部分。如E-mail勒索,文献[3]提出了一种基于模拟的方法:首先假设出所有可能的事件构建攻击树,再将收集到的信息抽象化,最后基于已有模型(Bruschi和Monga提出的取证图表)重构得到事件序列。与计算机入侵相比,这些犯罪过程简单得多,其重构方法并不适用于复杂的入侵重构。因此,对这类方法不予探讨。
3 入侵事件重构的证据来源
现有事件重构的证据来源可分为针对系统应用层对象/事件和操作系统层中的对象/事件2个部分。
系统应用层对象主要包括磁盘镜像、系统日志文件、注册表项、文件系统等。除此之外,随着网络使用的日益频繁,网络日志也成为重构来源的重要部分。通过Wireshark对自身网络通信的检查如图 1所示,一些主要的协议如TCP、IP、HTTP、DNS等,虽然传输中进行了加密,但仍然可以获得如IP地址、修改时间等通信信息。
图1 Wireshark对2种协议的检查
基于操作系统层对象/事件的重构基本基于操作系统内核实现。其原理比较安全,不易被入侵者修改破坏入侵时留下的证据。重构系统通过对系统调用层事件/对象进行监视来收集证据。通常重构从一个检测点开始(比如有可疑内容的文件),然后建立一个与危险进程或文件有关的关系链,从而重现入侵攻击的行为过程。
3.1 系统应用层对象/事件
3.1.1 日志
日志是系统所指定对象的某些操作和其操作结果按时间有序排列的记录文件或文件集合。每个日志文件都由日志记录组成,每天的日志记录描述了一次单独的系统事件。
文献[4]提出一种依赖于事件关联模型的自动诊断工具,通过分析日志来重构攻击行为。文中将攻击者的行为定义为原子攻击,即由多个日志文件得到的一系列事件组成的攻击系统的单个行为。其关键技术事件关联模型可以检测到多步攻击从而降低误报率。其中,事件收集模块收集日志存到时间库中;事件预加工模块校正日志文件的时间戳,将在同一时间线上的事件相匹配;事件关联模块发现具体的攻击行为,关联得到具体攻击,生成完整的多步攻击场景。
文献[5]也提出一种基于日志的取证模型。由日志提取出的事件被标签为树型结构,事件由代数表达式表示,表达式中的参数表示需要分析的相关信息。通过动态、线性、基于时间的逻辑公式表示模型的属性,模拟的攻击场景以及重构的事件序列之间的关系。
3.1.2 注册表
在Windows注册表中也存储了大量的信息,包括核心系统配置、用户具体配置、安装应用的信息、用户认证的信息等。另外每个注册表键值在被修改时都会记录下对应的时间戳。
Timothy分析了注册表的结构,Windows中hives文件以树结构组织,类似于一个文件系统。在注册表中,值类似于文件系统中的文件,存储未处理数据的名字和类型信息;键值类似于目录,为子键和值的父结点。利用键值与值之间的关系即可以恢复注册表中部分被删除的键、键值及其他结构。但是当一个子键被删除时,删除后剩余的空闲空间并不是被擦去,而是保留原有位置的子键的值。因此,该方法恢复操作的可信度并不高[6]。
现在查看注册表的主要工具包括:AccessData Registry Viewer(选取一些有用的注册表选项),Protected Storage PassView(自动获取注册表中的用户名和密码),Register Editor(获得一些软件的用户名,浏览器中缓存URL)等[7]。
3.1.3 文件系统
文件系统是操作系统中关键文件的集合,研究的主要对象包括文件类型、文件内容、对该文件执行操作的进程、被访问的形式等。
文献[8]提出了一种基于文件系统行为进行重构时间线的方法,通过监视文件系统的操作,在不连续的时间点获得系统快照来描述不同的软件应用,并通过神经网络算法(基于feedforward算法和recurrent算法)分析出的数据集,将文件系统进行分类从而得到之前运行的应用程序的可执行部分。该方法主要分析日志文件、注册表项、文件系统和空闲堆栈。不足之处在于不同的应用程序需要不同的算法,甚至是同一软件的不同版本,都需要一个巨大的文件系统行为数据库支持。
3.2 操作系统层对象/事件
这部分主要基于实时取证,不同于以上介绍的事后取证。代表工具[9]包括BackTracker和Forensix,方法以内存取证为主。
3.2.1 工具
Backtracker是一个由用户执行产生的事件序列的图形化界面系统,实时地在系统调用层记录事件(包括可能影响系统检测点的事件,如读、写、执行、创建子进程等)和系统对象(包括进程、文件以及文件名)。但 Backtracker并不监控内存映射对象的操作。一旦入侵者获得管理员权限,就会被终止。
SNARE是一种系统入侵分析和报告环境,通过动态读取Linux中内核模块的守护进程LinuxDaemon解决问题。它把系统调用(如execve、open、mkdir等)放入信息收集的例程中,收集进程和用户执行的一些有疑问的系统调用信息。SNARE并不提供任何事件重构序列的自动分析,只当调查者查看系统事件的高权限时才会执行分析任务。共享内存的存取并不会检查,同时也没有提供取证过程中对取证模块的监督保护机制。
Forensix基于SNARE并通过3个关键技术降低人力管理,提高取证分析的准确性:在系统调用层监视目标系统的执行,提供所有行为应用的视图;提供保密的系统,通过私有的接口存储系统调用层信息流;提供数据库技术支持高级存储日志的查询功能。Forensix使用与 Backtracker相同的系统调用和对象日志分析技术,区别在于分析阶段Forensix依赖数据库技术从检测点还原攻击重构。
3.2.2 内存证据获取
内存证据获取主要基于硬件和软件。基于软件使用操作系统提供的函数获取证据,基于硬件直接访问内存获取证据。通常认为硬件获取由于是直接操作而更加安全可靠,但有研究发现并非如此,文献[10]提出一种硬件和软件相结合的机制。
(1)内核层应用程序
基于内核层的免费程序主要包括Memory dd、Windows Memory Toolkit、Memoryze等。但都存在一些问题:实现的前提是在目标主机上运行用户级代码,但当镜像程序运行时操作系统和其他程序仍在运行,内存也随之变化,镜像并不实时;鲁棒性低,存在许多关于网页高度缓存的问题;过于依赖目标操作系统,容易受到内核级别木马的侵入。针对这些问题,文献[11]提出将获取机制作为操作系统的一个模块整合到系统内核中,每次在系统启动时装载模块,从而调用特殊的键盘操作获取证据。
(2)操作系统注入
文献[12]提出在潜在被入侵的主机操作系统内核中插入一个独立、具体的操作系统BodySnatcher来获取内存。BodySnatcher会从运行的操作系统中抢占全部的硬件控制来获取主机内存,然后保存正在运行的操作系统状态,在独立的内存子集中引导子模块acquisition OS使用主机硬件中类似的子集作为输出备份主机物理内存的镜像。但通过操作系统注入的方法现在只针对特定的平台,并且在写出的过程中只限于单核,将会浪费大量的时间。因此,尽管想法很好,但技术上受限很大。
(3)hibernation文件
Windows从 2000以后提供了挂起硬盘开机——休眠(hibernation)模式。当系统即将进入休眠模式时,系统状态包括内存和进程中的信息会被冻结并被保存到硬盘上的hibernation文件中(hiberfil.sys),这样即使断电也不会丢失数据。hibernation文件通常存放在操作系统安装的根目录下,并且内容永远不会被抹去[13]。但hibernation文件只能决定文件中保存了哪些页,并不能重新生成物理内存状态,因此,不能保证完全保存下物理内存。
(4)虚拟机
使用虚拟机技术可以暂停运行中的操作系统冻结系统状态,将虚拟内存保存到主机硬盘上。除此之外,虚拟机还可以提供包括 CPU、虚拟内存和硬盘的快照。实验证明这样的内存快照在针对构建分析性的工具的研究中非常有用[14]。在虚拟机技术中,镜像仅作为虚拟机镜像,并没有解决主机的镜像问题。现在虚拟化技术应用并不广泛,但随着基于Internet服务重要性的提高,可能会有所改变。
(5)内存dump文件
当系统突然停止工作时,Windows2000及以上版本都会在系统硬盘上编写debug信息(内存dump文件)。当系统崩溃状态被冻结时,主内存和CPU的相关信息就会被保存到系统根目录下生成dump文件。dump文件一般可以通过Microsoft Debugging Tools for Windows打开或人工分析。除此之外,还可以使用第三方应用程序或内置 CrashOnCtrl Scroll的特点。但是使用这个方法会覆盖系统页文件,因此,这个方法不能得到完全正确的内存映像。
3.2.3 内存证据分析
内存证据分析有3个方面:
(1)进程分析
早期的进程分析主要是枚举出系统上已装载程序的列表。但是由于直接内核对象操作技术可以对Windows上一些关键数据结构(如进程的 EPROCESS结构、线程的ETHREAD结构、链表等)进行操作,如将进程从 Active ProcessLinks列表上直接删除,因此遍历列表的方法并不可靠。对此文献[15]提出使用基于签名的扫描器,通过规定一系列的规则来精确地描述系统进程或线程的结构。将结果和标准进程列表进行比较,如有不同则证明了恶意程序的存在。
类似的策略还有文献[16]提出的依赖于非关键对象的特点的可靠模式。在此情况下攻击者可以在不影响系统的稳定的情况下改变非关键域的值。针对这种情况,创建了只对系统功能有关键作用域的签名来增强签名的健壮性。
在以上 2种方法的基础上,又产生一种将扫描和列表遍历结合的技术,依靠内核进程控制区域存储处理器特定的数据,创建单独的堆栈KPRCB,保存与CPU相关的数据和调度信息,根据这些信息获得进程列表[17]。
(2)系统文件分析
系统文件分析主要通过分析进程环境堆栈检查已打开文件的列表和由程序引用的 dll列表。PEB通常包含一个Ldr成员和3个双向列表,保存所有装载的dll名字、大小和基地址。取证者列举出每个单独的列表即可发现是否有入侵攻击,但受限于不同的rootkit。
文献[18]提出一种 Windows内存备份中的虚拟地址描述符树结构, VAD树将物理内存分解为可管理的且有语法意义的单元,而不是运行进程的页面目录,通过读取VAD树描述内存区域的备份。当一个进程用虚拟分配实际访问内存后,内存管理会在VAD树中创建一项。当进程试图找到相应的内存页时,会创建对应的页面目录和页表项,但这只能对运行中的进程生成VAD树。进程一旦结束,内核会将指向VAD根结点的指针置零。因此,直接内核对象操作攻击可以不与树中的VAD结点相连接,从而将VAD所依赖的数据结构隐藏起来躲避入侵检测。
(3)系统状态分析
系统状态分析主要对 EPROCESS结构进行分析。EPROCESS结构为执行程序进程,在Windows 中每个进程都由一个执行程序进程块表示,其中保存了很多和系统相关的重要数据。如Starttime和Exittime域表示了进程开始和结束的时间,可以用来创建时间线;组成员 Token可以恢复安全上下文,获得与进程相关的权限、账号等信息[19]。通常进程结束后会在 ActiveProcessLinks中被删除,但EPROCESS在进程结束时依然在内存中。因此,这类数据在程序终止24 h后还能恢复。
另外,文献[20]对DOSKEY结构进行分析,将DOSKEY整合在命令行shell中。通过将DOSKEY驻留在内存中创建缓冲区,将命令存储在缓冲区中,由此获得入侵时控制台命令符。
4 入侵事件重构的主要方法
在现有的重构方法中,日志分析和时间线重构都基于时间戳,语义完整性分析则根据数据对象之间的因果关系进行重构。重构模型主要基于有限状态机模型,包括计算机历史模型和确定性状态自动机模型。
4.1 基于时间戳的日志分析
日志是描述计算机系统行为的记录,主要包括对操作系统、应用程序和用户的行为。通过日志可以实现包括对用户行为的检测、对异常事件的分析、对系统资源或者网络流量的监控等。
日志文件通常由时间戳、信息和子系统所特有的其他信息组成。其中时间戳属性极为重要。文献[21]基于时间戳提出一种假设方法:将历史时钟值用公式表示作为一个时钟假设,假设可以通过构建一个影响时间戳的行为模型来测试时间戳证据的一致性,而由时间戳证据得到的时钟假设可以证明该假设,并重构得到以国内时间为准的事件序列。该方法利用事件之间的因果关系,由时间戳建立假设对事件间的关联进行测试,从而确定一致性。
文献[22]关注于日志文件中的事件是否伪造。其中证据被分为可信证据和不可信证据,可信证据如网络运营商(ISP)的网络日志,不可信证据如由计算机得到的日志。由可信证据得到确定的事件序列,其中每一事件都会映射计算机上的一或多个事件。一旦由不可信日志得到的事件序列与可信证据得到的事件序列有矛盾,即可证明日志被篡改伪造。
另外,日志分析技术通常由时间戳来重构事件序列,但时间戳通常依赖计算机时钟得到,而由此生成相关事件的过程非常复杂,如时钟偏移导致的不确定性、时区导致的环境因素及人为因素(如时钟干预)等都会影响本机上生成的时间戳。文献[23]通过比较计算机系统时间和国内时间的关系,发现计算机的时间段有许多反常的和无法确定的异常点。由于许多无法预测的且存在时间很短的变化,时间戳十分复杂。
4.2 基于语义的事件重构
语义分析是一种逻辑阶段,通过对结构上正确的文本进行上下文有关联的性质进行审查来确定类型是否匹配。基于语义的事件重构通过对系统中数据对象之间已无法改变的关系进行分析,从而检测语义之间的不一致或关联关系。如 BackTracker就包含着三角依赖关系:接受对象(如对文件执行读操作的进程)、发送对象(如被读的文件)以及事件间的时间间隔。如果事件序列不满足以上关系,如发送对象在接受对象之前,就违反了语义逻辑关系。
文献[24]提出一种自动分析语义完整性工具,通过建立决策树来发现数据之间的不一致,进而假设得到攻击场景。其中,数据间的不一致为语义矛盾,即违反语义规则的事实。语义规则是由恒定关系(即系统在管理员权限下存在的数据对象之间的规范关系)定义的。而针对数据量庞大,使用基于规则的前向链接系统,将收集到的证据利用决策树得到数字对象间的恒定关系,并存入到知识库中作为推理规则。如果得到了矛盾的事实,在此基础上提出一些假设,再通过反向链接系统搜索支持假设的事实。
文献[25]提出一种基于Linux的FACE(Forensics Automated Correlation Engine),从大量的取证目标中自动进行证据搜索和与结果相关联的语义分析。包括:对运行中的机器状态进行重构;对网络行为分析语义并得到这些行为的来源;将网络记录中的数据与开始该行为进程的用户相关联。FACE的主要数据对象包括内存备份、网络记录、磁盘镜像、日志文件和用户的账户/配置文件。另外,FACE还可以显示出单个用户如开放文件、活动的网络连接和运行进程的所有行为,从而得到重构数据。
4.3 基于操作系统层对象依赖追踪技术的事件重构
这部分的重构系统主要通过对系统调用层的事件和对象进行监视来收集证据。
文献[26]提出一种通过比较一段时间内由获得的系统状态来重构数字事件的方法。其研究对象 Microsoft Windows Restore Point数据为操作系统在默认情况下自动对注册表hives文件的快照备份,保存在系统信息目录下。通过比较数据将被占用的状态信息组织得到用户和系统事件的时间表。通过对系统快照间进行比较,有效地减少事件间的时间跨度。状态间的时间间隔越短,可以被确定的状态变化越多。
另外,文献[27]通过 Windows中内置在操作系统中的windows shell和资源管理器跟踪用户打开的窗口属性。称这些信息为 shellbag,存放在注册表中的固定位置(HKEY_USERS
文献[28]在Window本身的数据来源之外发现应用软件中的签名同样会记录用户事件。通过实验发现,在 IE8、Firefox和MSN Message2009中,通过签名都能得到对应软件记录的用户行为和时间戳,这些记录都会被保存在程序对应的注册表中。
4.4 基于有限状态机模型的事件重构
有限状态机模型将受怀疑的电脑视为有限状态机,假设入侵者进行某种操作行为后计算机系统处于某一状态,则所有可能导致这一状态的场景或事件都可以通过逆推回溯得到。文献[29]曾提到,许多数字系统如数字电路、计算机程序和通信协议等都可以在数学上用虚拟状态机来描述,以图来表示,其中每个节点代表了每种可能状态,每个箭头表示每种可能状态间的转换。
4.4.1 计算机历史模型
文献[30]认为每个系统都可被看作包含大量状态和完整过渡功能的FSM。但FSM模型并不直接支持可去除的部分(如外部存储设备、协同处理器、网络等),相比一台计算机的状态而言过于简单。同时当系统容量或计算能力变化时,由于静态导致一系列参数都要随之变化,因此提出计算机历史模型,将一个或多个低级的事件串联起状态过程。其中,数字系统为一系列关联的数字存储设备和事件设备,存储设备存储一个或多个值,事件设备代表存储地址状态的改变。系统的状态代表所有存储地址的离散值,事件则是系统状态的改变。
在此基础上,文献[31]提出基于事件的数字取证调查框架。如图 2所示,框架包括证据检查、角色分类、事件重构和测试,事件排序以及假设测试。其中,针对假设测试,文献[32]提出在可用的证据上建立假设,然后通过重构工具Virtual Security Testbed(ViSe)在其独立的虚拟环境上重构事件进行测试。通过VMware对多个操作系统使用ViSe,将事件重构测试的重点从建立一个攻击者的行为转向分析其影响。但VMware并不提供手机和PDA的嵌入式系统仿真。
图2 基于事件的数字取证调查框架
4.4.2 确定性状态自动机模型
FSM除了灵活性差外,方法中用以回溯过去状态的事件场景非常庞大也是一大问题。DFA将系统状态间的转换用较简单的表达式来代替解决以上问题。在DFA中,状态间的转换过程被简化为三者关系:(state1, event, state2)。如图3所示,有2个唯一的转换过程:A-1->B和B-1->B,而该转换过程还可通过表达式“A-1->B-1->B”定义。另外,定义“证人证词”为每一种可能的表达式的限制要求,如图中的限制为起始状态为A-1->B。这样,FSM中一个可能的表达式和其限制通过取合集就可得到有限的集合从而构建有限的自动机[33]。
图3 确定性状态自动机简化模型
5 其他研究
面对种样繁多的重构模型,如何建立一个标准化平台来比较各种模型的优异显得越发重要。文献[34]提出基于图灵机提供一个标准化重构平台检测其他重构的效率及误差率。该模型将系统分为 2个独立部分:(1)由用户控制;(2)由用户和处理器重构事件,记录与用户事件相对应的处理器操作,在计算机系统原始空白状态上模拟用户的操作重构事件。
此外,基于半导体的内存卡(如USB、外接格式存储介质等)由于其便携的优点而变得越来越普及,其轻小短的属性及非挥发性闪存使得在生活工作中大量得到使用,如手机等。未来展望的方向可以延伸到实时非挥发性内存上[35]。
与其他网络安全管理的相关产品联系起来形成一类更全面、更智能化的综合技术也是发展的一大趋势。网络安全管理中的关键技术主要包括信息集成、智能分析引擎、协同及通信规范3类[36]。
6 入侵事件重构的分析
6.1 证据来源比较
基于系统应用层事件/对象的重构,从证据获取上来说较为方便,但其中也包含了大量无用信息。另外,一般系统的日志通常只记录与应用执行有关的事件和对象,由于在用户空间运行很容易丧失记录能力。注册表项保存的通常只是文件系统的最后状态,并不能提供攻击时系统的状态信息,无法保证证据的可信性。虚拟机技术实现了记录机器入侵层事件,但目前的语义并不规范,还需要大量实现进行分析。网络日志对加密通信也没有足够的帮助,且提供的是系统应用层信息。
基于操作系统层对象/事件的重构可以解决以上的问题。通过内存获取系统当前的实时信息,包括用户事件、文件、读写操作与系统内存、进程之间的关联,并且不容易被入侵者篡改甚至删除。但内存的存储容量过小,数据通常直接覆盖,而且一旦电源断开就无法获取证据。另外现在使用的主流操作系统如Windows并不开源,数据结构、数据类型、结构功能等不明确,内存中数据存储的位置不确定。这在研究时都成为受限制的瓶颈。
6.2 入侵事件重构方法比较
基于时间戳的日志分析技术由于各种系统日志、应用程序日志、网络日志的存在十分普及。除了数据量庞大、日志格式繁多的问题外,由于由本地时钟生成的时间戳与绝对时间不一定完全准确,会导致重构事件序列并不准确。一旦被入侵者利用,通过修改计算机本地时间产生误导调查者的事件序列,从而掩盖入侵者的踪迹。
基于语义的事件重构将逻辑推理中的一些基本方法与事件重构相结合。关键之处在于找到合理的逻辑关系,不仅能够通用、简单,而且要误报率低,只有当入侵发生时才会不符合此关系。生成逻辑关系库既要保证可靠性、真实性,又要提高效率,去除掉与入侵无关的事件,如何在两者之间平衡好关系十分困难。
基于操作系统层对象的依赖追踪技术的事件重构依赖于操作系统内部的数据结构,极大提高重构的真实性。但局限在于非常依赖于系统和应用软件的版本。Windows各版本间的系统数据结构类型很多并不相同,如ShellBag仅针对Windows XP。而应用软件的版本更新更快,其签名的生成以及不同版本之间的痕迹十分复杂,需要庞大的数据库支持。
FSM推理只限于逆向,灵活性很差。CHM与以往其他基于取证工具或是基于已有模型的事件重构不同,关注重点在于如何创建得到数字证据,主要针对事件的起因和影响,由此假设重构。但不足在于假设是以调查者的主观为主的过程,并且基于过程模型。DFA则解决了回溯场景过多的问题,通过使用正则表达式来简化场景,并且保证每一种可能的情况。但是实际分析的系统状态不能太多。即使是最简单的系统模型也需要庞大的抽象系统来分析具体的子集或合集数据。另外,目前只有通过着眼于重构那些已知的一定发生的事件,而不是所有可能的事件来简化。
7 结束语
入侵取证发展至今已有数十年,在这一阶段提出了许多事件重构的方法和模型框架,但仍有许多问题亟待解决:(1)重构工具由于体系结构很难应对庞大的数据量和繁重的工作量,可在并行处理、可信度、可重复性、数据抽象化等方面加强提高[37]。(2)借助其他领域的技术方法来设计构建新的方法模型,包括云技术、聚合与事件关联、语义逻辑、数据挖掘、神经网络等。(3)该领域在公认的标准评估方面还有待完善。(4)现有的实验基础大多建立在为了评估入侵检测系统而设计的公共数据集上,并不支持全面的攻击场景。不仅不同类型的入侵检测系统之间数据无法融合,而且与其他软件之间也不能互动。(5)随着网络应用范围的发展,网络入侵检测将是一大趋势,如网络日志解密、面向IPv6等。
[1]伏 晓.入侵取证中的自动证据分析技术研究[D].南京:南京大学, 2011.
[2]伏 晓, 石 进, 谢 立.用于自动证据分析的层次化入侵场景重构方法[J].软件学报, 2011, 22(5): 996-1008.
[3]Bogen A C, Dampier D A.Unifying Computer Forensics Modeling Approaches——A Software Engineering Perspective[C]//Proc.of the 1st International Workshop on Systematic Approaches to Digital Forensic Engineering.[S.l.]: IEEE Press, 2005: 27-39.
[4]Herrerıas J, Gómez R.Log Analysis Towards an Automated Forensic Diagnosis System[C]//Proc.of International Conference on Availability, Reliability and Security.[S.l.]:IEEE Press, 2010: 659-664.
[5]Arasteh A R, Debbabi M, Sakha A, et al.Analyzing Multiple Logs for Forensic Evidence[J].Digital Investigation, 2007, 4: 82-91.
[6]Morgan T D.Recovering Deleted Data From the Windows Registry[J].Digital Investigation, 2008, 5: 33-41.
[7]Mee V, Tryfonas T, Sutherland I.The Windows Registry as a Forensic Artefact: Illustrating Evidence Collection for Internet Usage[J].Digital Investigation, 2006, 3: 166-173.
[8]Khan M N A, Chatwin C R, Young R C D.A Framework for Post-event Timeline Reconstruction Using Neural Networks[J].Digital Investigation, 2007, 4: 146-157.
[9]丁丽萍, 周博文, 王永吉.基于安全操作系统的电子证据获取与存取[J].软件学报, 2007, 18(7): 1715-1729.
[10]Rutkowska J.Beyond the CPU: Defeating Hardware Based RAM Acquisition[EB/OL].(2007-05-31).http://www.docin.com/p-23650823.html.
[11]Libster E, Kornblum J D.A Proposal for an Integrated Memory Acquisition Mechanism[J].ACM SIGOPS Operating Systems Review, 2008, 42(3): 14-20.
[12]Schatz B.BodySnatcher: Towards Reliable Volatile Memory Acquisition by Software[J].Digital Investigation, 2007, 4: 126-134.
[13]Russinovich M E, Solomon D A, Ionescu A.Microsoft Windows Internals[M].5th ed.[S.l.]: Microsoft Press, 2009.
[14]Smith J E, Nair R.The Architecture of Virtual Machines[J].Computer, 2005, 38(5): 32-38.
[15]Schuster A.Searching for Processes and Threads in Microsoft Windows Memory Dumps[J].Digital Investigation, 2006, 3: 10-16.
[16]Walters A A, Petroni N L.Volatools: Integrating Volatile Memory Forensics into the Digital Investigation Process[EB/OL].(2007-02-28).http://www.blackhat.com/presentations/bhdc-07/Walters/Paper/bh-dc-07-Walters-WP.pdf.
[17]Dolan G B, Srivastava A, Traynor P, et al.Robust Signatures for Kernel Data Structures[C]//Proc.of the 16th Conference on Computer and Communications Security.[S.l.]: ACM Press,2009.
[18]Zhang Ruichao, Wang Lianhai, Zhang Shuhui.Windows Memory Analysis Based on KPCR[C]//Proc.of the 5th International Conference on Information Assurance and Security.[S.l.]: IEEE Press, 2009.
[19]Dolan G B.The VAD Tree: A Process-eye View of Physical Memory[J].Digital Investigation, 2007, 4: 62-64.
[20]Stevens R M, Casey E.Extracting Windows Command Line Details from Physical Memory[J].Digital Investigation, 2010, 7: 57-63.
[21]Willassen S Y.Timestamp Evidence Correlation by Model Based Clock Hypothesis Testing[C]//Proc.of the 1st International Conference on Forensic Applications and Techniques in Telecommunications, Information and Multimedia.[S.l.]: ACM Press, 2008.
[22]Tang Maolin, Fidge C.Reconstruction of Falsified Computer Logs for Digital Forensics Investigations[C]//Proc.of the 8th Australasian Conference on Information Security.Sydeny,Australia: Australian Computer Society, 2010.
[23]Schatz B, Mohay G, Clark A.A Correlation Method for Establishing Provenance of Timestamps in Digital Evidence[J].Digital Investigation, 2006, 3: 98-107.
[24]Stallard T, Levitt K.Automated Analysis for Digital Forensic Science: Semantic Integrity Checking[C]//Proc.of the 19th Annual Computer Security Applications Conference.[S.l.]:IEEE Press, 2003: 160-167.
[25]Case A, Cristina A, Marziale L, et al.FACE: Automated Digital Evidence Discovery and Correlation[J].Digital Investigation,2008, 5: 65-75.
[26]Zhu Yuandong, James J, Gladyshev P.A Comparative Methodology for the Reconstruction of Digital Events Using Windows Restore Points[J].Digital Investigation, 2009, 6: 8-15.
[27]Zhu Yuandong, Gladyshev P, James J.Using shellbag Information to Reconstruct User Activities[J].Digital Investigation, 2009, 6: 69-77.
[28]James J, Gladyshev P, Zhu Yuandong.Signature Based Detection of User Events for Postmortem Forensic Analysis[J].Digital Forensics and Cyber Crime, 2011, 53: 96-109.
[29]Carrier B.A Hypothesis-based Approach to Digital Forensic Investigations[D].West Lafayette, USA: Purdue University, 2006.
[30]Carrier B, Spafford E H.An Event-based Digital Forensic Investigation Framework[C]//Proc.of Digital Forensic Research Workshop.Baltimore, USA: [s.n.], 2004.
[31]Carrier B D, Spafford E H.Categories of Digital Investigation Analysis Techniques Based on the Computer History Model[J].Digital Investigation, 2006, 3: 121-130.
[32]Arnes A, Haas P, Vigna G, et al.Digital Forensic Recon Struction and the Virtual Security Testbed Vise[C]//Proc.of the 3rd International Conference on Detection of Intrusions and Malware & Vulnerability Assessment.Berlin, Germany:Springer-Verlag, 2006: 144-163.
[33]James J, Gladyshev P, Abdullah M T, et al.Analysis of Evidence Using Formal Event Reconstruction[EB/OL].(2010-11-25).http://dblp.uni-trier.de/db/conf/icdf2c/icdf2c2009.html#JamesGAZ09.
[34]Hankins R, Uehara T, Liu Jigang.A Turing Machine-based Model for Computer Forensic Reconstruction[C]//Proc.of the 3rd IEEE International Conference on Secure Software Integration and Reliability Improvement.[S.l.]: IEEE Press,2009: 289-290.
[35]Lee J T, Choi H K, Kim K J.Gathering and Storage Technique Implementation of Volatility Memory Data for Real-forensic[C]//Proc.of the 4th International Conference on Computer Sciences and Convergence Information Technology.[S.l.]: IEEE Press, 2009: 1076-1079.
[36]伏 晓, 蔡圣闻, 谢 立.网络安全管理技术研究[J].计算机科学, 2009, 36(2): 15-19.
[37]Ayers D.A Second Generation Computer Forensic Analysis System[J].Digital Investigation, 2009, 6: 34-42.
