返回
基于windows主机日志的取证分析方法研究

基于windows主机日志的取证分析方法研究

ID:33165214

大小:10.38 MB

页数:90页

时间:2019-02-21

基于windows主机日志的取证分析方法研究_第1页
基于windows主机日志的取证分析方法研究_第2页
基于windows主机日志的取证分析方法研究_第3页
基于windows主机日志的取证分析方法研究_第4页
基于windows主机日志的取证分析方法研究_第5页
资源描述:

《基于windows主机日志的取证分析方法研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、万方数据分类号UDC作者姓名:指导教N-密级学位论文基于Windows主机日志的取证分析方法研究申请学位级别:学科专业名称:论文提交日期:学位授予日期:评阅人:申月莉董晓梅副教授东北大学信息科学与工程学院硕士学科类别:计算机软件与理论2013年12月论文答辩日期:年月答辩委员会主席:申德荣教授孙焕良教授东北大学2013年12月工学2013年12月申德荣教授万方数据AThesisinComputerSoftwareandTheoryResearchonForensicsAnalysisMethodsBasedonWindowsLogsByS

2、henYueliSupervisor:AssociateP琴ofessorDongXiaomeiNortheasternUniversityDecember2013万方数据独创性声明本人声明,所呈交的学位论文是在导师的指导下完成的。论文中取得的研究成果除加以标注和致谢的地方外,不包含其他人己经发表或撰写过的研究成果,也不包括本人为获得其他学位而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢意。学位论文作者签名:印瞒1日期:护11.f≯.矽学位论文版权使用授权书本学位论文作者和指导教师完全了解东北大

3、学有关保留、使用学位论文的规定:即学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部或部分内容编入有关数据库进行检索、交流。作者和导师同意网上交流的时间为作者获得学位后:半年口一年口一年半口两年一学位论文作者签名:渖J诵签字日期:加阶2.抛‘导师躲鸯葩枝签字日期:沪眈7≥.邪//万方数据东北大学硕士学位论文摘要基于Windows主机日志的取证分析方法研究摘要计算机技术的飞速发展促进了社会的进步,带动了经济的发展,也改变了人们的生活和工作方式。然而,计算机技术为人们提供便利的

4、同时,也为网络犯罪提供了新的犯罪空问和手段。所以,我们需要充分发挥技术的作用和法律的威力来遏制计算机犯罪。日志文件记录了操作系统和应用程序以及用户的操作过程,同时也保存了入侵者的痕迹,因此成为计算机取证中重要的证据来源。如何从大量的易被破坏的日志记录中找出存在的关联,并进一步重构出入侵场景,是本文研究的主要内容。首先,针对日志记录数据量庞大且不同类型的同志包含的属性不同导致的挖掘困难,本文提出了基于EventlD分类模型的冗余数据清理技术,并针对不同的日志类型设计不同的格式化标准。通过EventID分类模型和格式化处理,能够有效降低分析的

5、数据量。其次,由于频繁模式挖掘过程中日志记录包含属性取值范围过大,致使FPTree的空间复杂度过高,极大地降低了处理效率;并且不同的属性有相同的属性值,导致产生的关联规则无法判断属性值的确切含义。针对以上问题,本文提出了一个基于FPGrowth的日志挖掘算法PFPGrowth。本文算法在建立频繁模式树之前首先对属性进行预处理,然后采用面向需求的约束属性组技术建立频繁模式树。然后,针对如何从大量的关联规则中筛选出与入侵相关的规则进行场景重构的问题,本文提出了一种基于模拟攻击的格式化规则匹配方法。先通过模拟攻击产生与入侵相关的格式化规则,再通

6、过匹配属性前缀与格式化规则来实现规则匹配。最后,本文提出了一种基于规则库与属性跟踪的场景重构方法。首先按照入侵步骤提取对应的规则和记录,之后根据可疑属性继续深入追踪并结合注册表变化,最后通过属性相关性将入侵步骤按照时间戳排序实现入侵场景的重构。实验部分通过比较日志记录个数和属性约束个数对FPGrowth和PFPGrowth效率的影响,验证了PFPGrowth算法对大数据量挖掘过程以及与属性相关的挖掘过程的有效性,并且实验结果表明采用本文方法实现的监控程序对系统性能影响不大。关键字:计算机取证;Windows日志;PFPGrowth;格式化

7、规则匹配;场景重构万方数据东北大学硕士学位论文摘要.IV.万方数据东北大学硕士学位论文AbstractResearchonForensicsAnalysisMethodsBasedonWindowsLogsAbstractTherapiddevelopmentofcomputertechnologyhasnotonlypromotedtheprogressofthesocietyandtheeconomicdevelopment,butalsochangedthewaypeopleliveandwork.However,italsopro

8、videsnewcrimespaceandcrimemeansfornetworkcriminals.Soweneedtomakefulluseoftechnologyandlawtocurb

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。