基于日志的计算机取证技术研究与实现

摘要

计算机技术的飞速发展为人类文明开启一扇新大门，它在创造巨大财富的同时，也必然伴随毁坏的发生，计算机犯罪便是其中最常见也最屡禁不止的网络犯罪行为。计算机取证技术正是在这种情况下产生并发展起来的，它的目的便是充分搜寻电子证据，恢复网络犯罪现场，实现打击并破获计算机犯罪。计算机日志作为取证工作的关键证据，其安全性、完整性等都有着至关重要的作用。文章以Windows日志为基础，主要研究设计了如下内容：
　　1.研究设计了一个计算机日志完整性检测模型。本模型主要利用Hash函数，为计算机系统日志生成一系列连续排列的日志唯一标识符，该标识符可以快速准确检测出日志是否被篡改，且能查到被篡改日志位置，同时利用数字签名技术为标识符确认身份，防止其中途被篡改。模型也引入了可信第三方，一方面可以提高存储性能，另一方面可以提高其存储安全性。性能分析结果表明模型能够实现计算机日志快速高效的完整性检测。
　　2.建立一个计算机取证动态模型。该模型基于改进的Aprior算法，改进后的算法可以有效减少频繁项目集的生成数量，从而增加搜索效率，同时在Apriori算法中新增加了一个目标日志标识位，它对取证人员发现“感兴趣”日志非常有用，尤其在计算机日志量大且更新快的情况下效果更佳。通过对不同最小支持度和不同日志量两种情况下的性能进行分析，结果表明基于改进的Apriori算法计算机取证更快速、更准确、更有目的性。

目录

封面

声明

致谢

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景及意义

1.2 国内外研究概况

1.3 国内外研究已取得成果和进展

1.4 论文主要内容与组织结构

1.5 本章小结

第二章 计算机取证相关知识

2.1 计算机取证概念

2.2 日志概述

2.3本章小结

第三章 相关算法

3.1 Hash函数简介

3.2 数字签名

3.3 Apriori简介

3.4本章小结

第四章 基于Hash函数的计算机日志完整性检测模型设计

4.1 问题提出

4.2 模型设计

4.3 模块实现

4.4 性能分析

4.5 本章小结

第五章 基于Apriori的计算机日志动态取证模型设计

5.1 问题提出

5.2 模型设计

5.3 关键技术实现

5.4 性能分析

5.5 本章总结

第六章 总结与展望

6.1 总结

6.2 展望

参考文献

作者简介

学位论文数据集