Linux下基于日志分析的入侵取證系統(tǒng)研究.pdf

1、計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，給人們的辦公和生活帶來了極大的便利。在人們越來越依賴于計(jì)算機(jī)的同時，以計(jì)算機(jī)為對象或工具的計(jì)算機(jī)犯罪也日益猖獗。計(jì)算機(jī)犯罪嚴(yán)重的危害了個人的隱私和利益以及社會的發(fā)展。為打擊計(jì)算機(jī)犯罪，作為計(jì)算機(jī)科學(xué)和法學(xué)的交叉科學(xué)――計(jì)算機(jī)取證應(yīng)運(yùn)而生。 計(jì)算機(jī)取證包括計(jì)算機(jī)證據(jù)的獲取、保存、分析和歸檔的全過程。其中對計(jì)算機(jī)證據(jù)的分析過程是指從海量數(shù)據(jù)中發(fā)現(xiàn)有入侵嫌疑的數(shù)據(jù)，是獲得犯罪證據(jù)的重要步驟。而計(jì)算機(jī)證據(jù)的

2、來源復(fù)雜，格式也不統(tǒng)一，包括系統(tǒng)日志、入侵殘留物、交換區(qū)空間等。 論文主要探討了Linux環(huán)境下基于日志分析的入侵取證原型系統(tǒng)的分析設(shè)計(jì)。首先介紹了入侵取證出現(xiàn)的大背景，緊接著對背景知識進(jìn)行了簡要的介紹，包括當(dāng)前國內(nèi)外研究情況以及論文中會使用到的一些基本知識。然后從入侵取證的目標(biāo)出發(fā)，對方法論進(jìn)行了詳細(xì)的探討。接下來分模塊介紹了原型系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)方法，并對原型系統(tǒng)進(jìn)行了相應(yīng)的測試。最后總結(jié)了目前入侵取證系統(tǒng)存在的主要發(fā)展障礙，

3、為下一步的研究設(shè)定了目標(biāo)。 論文所設(shè)計(jì)的入侵取證系統(tǒng)主要包括三個功能模塊：日志收集模塊、日志分析模塊、以及用戶交互模塊。日志收集模塊負(fù)責(zé)從系統(tǒng)中收集各種日志，并將其導(dǎo)入數(shù)據(jù)庫；日志分析模塊負(fù)責(zé)從收集的日志中發(fā)現(xiàn)有入侵嫌疑的日志數(shù)據(jù)；而用戶交互模塊則作為用戶同入侵取證系統(tǒng)之間交互的橋梁。 在日志分析部分，作者結(jié)合了數(shù)據(jù)挖掘和模糊數(shù)學(xué)中的相關(guān)知識，對日志分析算法做出了探討和研究。希望能夠拋磚引玉，對計(jì)算機(jī)取證領(lǐng)域的研究者有所