随着计算机网络技术的发展和普及,计算机网络安全越来越受到人们的关注和重视。网络中存在着越来越多的非法攻击行为,严重影响网络的性能并威胁着个人隐私的安全。计算机取证技术正是在这种应用背景下发展起来的,它的目标就是对计算机系统和计算机网络中发生的犯罪行为进行取证分析,获取入侵事件的电子证据。
论文对计算机取证技术、电子证据和系统日志的相关概念进行了总结,介绍了Linux系统和Windows系统下常见的系统日志和应用程序日志,论证了日志作为电子证据的可行性,在此基础上提出了基于系统日志的计算机网络取证的实现模型,并分析了计算机日志取证应该注意的问题。论文对日志取证过程中的关键问题进行了研究,其中日志的取证分析和完整性保护与验证是研究的重点。作者提出了基于时间戳和多特征匹配的日志关联分析方法,找出存在关联的日志记录,实现对安全事件的重建。论文重点提出了利用SSL协议作为日志数据传输中的完整性保护方案,利用CES算法对日志数据的保存和抽取进行签名保护,利用采集对象的选择和日志模板对日志的内容的完整性进行验证。接着给出结构设计,并进行了详细描述,实现了一个基于日志的计算机网络用户行为取证分析系统,并从系统的安全性、日志采集性能、数据传输性能、日志数据的完整性、取证分析等五个方面对系统的性能进行了测试和分析,分析结果表明,系统具备了基本的网络取证功能。论文最后作了简要的总结,回顾了已完成的工作,指出了其中的不足,并对未来工作进行了展望。
近些年来,计算机取证技术正在成为人们关注和研究的热点学科之一,已经发展了一批成熟的计算机取证技术和取证工具。在我国,计算机取证技术研究刚刚起步,目前还没有自己的关于计算机网络取证的工具.本论文是在“面向大规模互联网络的信息安全保障体系研究”的背景下,对计算机网络取证技术进行了研究,重点研究了日志的取证分析和完整性保护与验证技术,设计和实现了基于系统日志的计算机网络用户行为取证分析系统。
[关键词] 计算机犯罪,计算机取证,系统日志,SSL协议,统计分析,关联分析