基于Docker容器的电子数据取证方法

针对目前基于Docker容器的取证技术缺陷, 提出一种基于Docker主机的调查取证模型, 并根据该取证模型中Docker主机所处不同状态给出有针对性的数据取证方法. 实验结果表明, 利用该模型取证能更有针对性地获取相关电子证据.     

面向网络安全事件的入侵检测与取证分析

为了提高安全事件应急响应的效率,设计并实现了一个入侵检测与取证分析自动化响应模型.该模型基于特定的安全事件信息,使用OpenFlow交换机实现报文的过滤和转发,利用PF-RING ZC零拷贝工具自动采集报文流量,使用开源入侵检测软件Suricata和多特征关联冗余消除算法完成对网络流量的入侵检测和警报冗余消除,同时结合Bro系统进行应用层协议分析以完成对网络流量的取证分析,可显著减少人工的干预.通过僵尸主机的检测实例对该模型进行了验证,结果表明了该模型对于提升安全事件应急响应效率的有效性.     

基于数字化营区的计算机取证模型研究

为加强部队网络安全管理,防止涉密网泄密,设计出基于数字化营区的取证模型.该模型能自动记录上网痕迹与移动存储介质使用痕迹,从而保证取证模型中的证据识别提取.通过实践证明,该模型一方面在行政监管中起到了震慑作用,另一方面在泄密后能够进行监察取证.     

基于蜜罐的网络动态取证系统研究

针对计算机静态取证技术和常用的动态取证技术中存在的问题,提出了基于虚拟蜜罐的网络动态取证系统模型。该模型将在被保护子网上对流经的网络数据进行实时监控,编写程序对检测到的入侵进行报警,并通过修改iptables的nat表,利用重定向技术将检测到的入侵数据导入到蜜罐中进行记录,实现了入侵检测技术、蜜罐技术与防火墙技术的联动,达到实时动态取证的目的。实验结果表明,该系统不仅可以保护网络和主机不受攻击,还可以长时间的获取证据,并使得证据不受污染,达到了预期效果。     

文档碎片取证分析模型

为进行文档碎片取证调查,提出了一个文档碎片取证分析模型.该模型扩展了现有的文档碎片取证过程,并将不同抽象层次的文档碎片数据引入该模型.同时将扩展的可信计算技术应用于该模型,解决了文档碎片取证过程中证据链保全机制.对该模型的取证能力进行了评价.通过案例分析,该模型具有较强的文档碎片取证能力并能够进行分布式取证分析.     

数据恢复在电子数据取证与司法鉴定中的应用

在对电子数据恢复取证与司法鉴定应用现状进行分析的基础上,提出了一种电子数据恢复取证与司法鉴定模型,通过在电子数据恢复流程中实施多人数字签名、流程监管、介质镜像和哈希校验,提高电子数据在诉讼案件中的可采信力、证明力和法律效力.模型针对数据恢复介质毁坏的不同情况,有针对性地分别利用文件定位算法、文件特征字算法、文档碎片重组算法进行精准、高效的电子数据恢复取证与司法鉴定.实验结果表明,该模型在保证正确率的基础上,具有良好的工作效率.     

主机监控系统的分布式控制研究

研究了传统的主机监控系统,为了使主机监控系统能应用于大型关联主机群环境,对主机监控系统实现分布式管理.提出了一种新型的基于树形安全域的分布式管理模型,给出了了该模型的形式化定义,并分析了该模型的优点,最后描述基于树形安全域的分布式控制模型节点管理服务、分布安全策略访问管理、命令交互协议、主控主机故障恢复问题.在大型关联主机群分布式主机监控系统中,该模型较好地解决了分布策略的统一灵活管理的问题.     

基于内存共享机制的容器间快速通信方法

提出了一种基于内核内存共享的同宿主Docker容器间高速通信方案.通过在宿主系统上实现面向内核内存共享的专用虚拟字符设备驱动,Docker容器间的通信进程通过该设备驱动中实现的内存映射方法将同一块内核内存空间映射到相应容器进程的地址空间中,在不破坏容器隔离特性的基础上实现容器间内存共享;在该内核内存共享空间设计实现了面向连接的通信模型,并提供用户级的应用程序接口,实现同宿主Docker容器高速互联.在NUMA体系环境下的验证结果表明:基于内存共享的同宿主Docker容器间通信方案与Docker默认的虚拟网桥通信方式相比,对于Docker容器在同一NUMA节点上和在跨NUMA节点上的两种通信场景,最大吞吐量分别提升了350%和110%.     

Web数字取证系统的研究与实现

通过对当前信息安全的分析,数字取证已成为信息安全和司法领域的研究热点.文中在分析现有Web攻击的基础上,综合利用基于主机和网络的入侵检测技术,开发出一套高效实用的Web数字取证系统.该系统通过取证代理不断监视和分析网络中对Web服务器的访问情况,在保护Web服务器安全的基础上,确定网络入侵者的行为是否已构成犯罪,然后提取和分析入侵犯罪信息,实现证据信息的完整性保护,同时通过对证据进行融合,生成入侵犯罪证据.     

基于遗传算法的Docker集群调度策略

Docker集群技术因其轻量级、部署简单、高效等特点而成为构建云计算平台的新方案.为了提升传统Docker集群调度策略的负载均衡性能和增加多任务并发调度能力,文中提出了基于遗传算法的Docker集群调度策略.该策略将多个任务合并成一个调度组,并生成相应调度结果作为种群个体;然后结合任务负载模式、节点当前负载状态及硬件性能计算集群负载均衡值并作为个体适应度;最后利用遗传算法筛选出全局近似最优解作为调度结果.实验结果表明,文中策略与目前流行的Docker Swarm的Spread策略、权值调度策略相比,负载均衡性能和多任务调度效率均有了显著的提高.     

智能取证技术研究

计算机取证已成为解决争议和打击计算机犯罪的重要手段,充分利用智能信息处理技术实现计算机取证的意义重大。从取证形式化分析、用户行为分析、智能图像取证、智能视频取证4个方面讨论了近年来智能取证技术的发展及其存在的问题,最后对智能取证技术未来趋势作了分析讨论。     

A forensic method for efficient file extraction in HDFS based on three-level mapping

The large scale and distribution of cloud computing storage have become the major challenges in cloud forensics for file extraction. Current disk forensic methods do not adapt to cloud computing well and the forensic research on distributed file system is inadequate. To address the forensic problems, this paper uses the Hadoop distributed file system (HDFS) as a case study and proposes a forensic method for efficient file extraction based on three-level (3L) mapping. First, HDFS is analyzed from overall architecture to local file system. Second, the 3L mapping of an HDFS file from HDFS namespace to data blocks on local file system is established and a recovery method for deleted files based on 3L mapping is presented. Third, a multi-node Hadoop framework via Xen virtualization platform is set up to test the performance of the method. The results indicate that the proposed method could succeed in efficient location of large files stored across data nodes, make selective image of disk data and get high recovery rate of deleted files.     

基于代理的主动型网络取证系统

针对数字证据特点和网络取证要求，设计实现了一种基于代理的主动型网络取证系统。该系统从入侵检测系统和主机系统等多数据源主动收集数字证据，通过完整性算法保证数字证据传输和存贮过程中的完整性。取证分析时，系统根据网络攻击各阶段时间与空间相关性，数据流时间与空间特征融合，数据流与数据包特征融合等多种技术手段实现多阶段网络攻击过程分析和攻击源定位。使用及鉴定结果表明，系统能够满足网络取证要求，能够正确有效地实现网络取证的各项功能。     

基于网络负载容量的高速网络取证数据采集器的设计与实现

为了解决高速网络取证的证据完整性问题,提出了经济的可扩展模型,提出一种新的基于网络负载容量的负载均衡策略.该算法通过动态反馈和预测机制得到证据捕获端的处理能力,以一个会话为分配单位,将网络数据包分发给负载容量最大的捕获端.实验结果表明,该系统的扩展性,可以满足当前大流量网络的需求.     

下一代网络取证系统

高速网络环境下,网络取证面临着大规模、大数据分析的严峻挑战,文中指出目前技术上的限制,同时提出应对新的发展需求的下一代网络取证系统模型。     

抗深度取证的多粒度融合图像修复网络

数字图像的真伪判别是图像安全领域中的基础问题,因数字媒体极易被攻击篡改,针对图像的取证技术得到了广泛的研究.另一方面,对图像篡改反取证技术的研究,不仅追求更逼真的图像篡改操作,也从相反的方向促进了取证技术的发展.图像修复作为基础的图像篡改操作,一直是国内外学者的研究热点.针对被修复篡改后的图像会被深度取证网络取证的问题,提出了一种抗深度取证的多粒度融合图像修复(multi-granularity fusion-based image inpainting network resistant to deep forensics,MGFR)网络.MGFR网络包括编解码器、多粒度生成模块以及多粒度注意力模块.首先,输入的破损图像被编码器编码成深度特征,深度特征通过多粒度生成模块生成3个不同粒度中间特征;然后,采用多粒度注意力模块来计算不同粒度中间特征之间的相关性并将其融合;最后,融合特征通过解码器生成输出结果.另外,所提出的MGFR网络被重建损失、模式噪声损失、深度取证损失以及对抗损失联合监督.研究结果显示,所提出的MGFR网络在拥有较好的修复性能的同时能成功规避深度取证网络的取证.     

基于Linux的IM服务计算机取证系统研究

对Linux下实时通信软件的分类、配置、构成进行了分析,提出了一种基于多Agent的计算机取证模型,给出了系统的结构和设计,以及采用的关键技术.该系统能够准确地定位和收集LumaQQ等Linux实时通信信息,进行数据分析,形成取证报告.     

一种云取证中间件系统的设计

云计算的快速发展在产生巨大的经济效益的同时,也带来了计算机犯罪问题。针对如何从云中全面、便利地获取到可信、完整的数字证据,提出了一种云取证中间件的设计方法。该方法主要包括远程控制端证据再现、服务端证据分析和监控管理、客户端内存获取和分析3个部分。该设计比传统在线取证方法更符合传统物证技术的要求,提高了取证人员的工作效率和证据的可信度。在Windows 10系统（客户端）和Centos7.0（服务端）系统上的验证结果表明,该设计是有效和可靠的。