版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、計(jì)算機(jī)取證牽涉的數(shù)據(jù)量龐大,潛在的證據(jù)通常分布在多種不同的日志中。從多源日志進(jìn)行取證,能使證據(jù)更為完備,結(jié)論更加可靠,同時(shí)也帶來(lái)了復(fù)雜度增加的問(wèn)題,分析和關(guān)聯(lián)這些日志由于需要人腦的大量參與而變得困難和乏味。因此,自動(dòng)將來(lái)自多源日志的安全事件關(guān)聯(lián)成事件場(chǎng)景成為輔助取證的迫切需要。國(guó)內(nèi)外在日志關(guān)聯(lián)技術(shù)方面做了大量工作,但總的來(lái)說(shuō)體現(xiàn)出以下幾方面問(wèn)題:(1) 關(guān)聯(lián)時(shí)人工參與多,自動(dòng)化程度不高:(2) 關(guān)聯(lián)結(jié)果難以體現(xiàn)事件發(fā)生的有序性和邏輯性;
2、(3) 處理的數(shù)據(jù)源單一,沒(méi)有從多源日志進(jìn)行關(guān)聯(lián)。 針對(duì)上述問(wèn)題,本文在結(jié)合國(guó)內(nèi)外現(xiàn)有研究成果的基礎(chǔ)上,提出了一種融合多源日志輔助取證的事件場(chǎng)景關(guān)聯(lián)方法,并設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)基于所提事件場(chǎng)景關(guān)聯(lián)方法的原型系統(tǒng) PC-ECF。所提方法思想及其實(shí)現(xiàn)過(guò)程描述如下: 考慮到來(lái)自多源日志的相關(guān)安全事件不是孤立的,而是具有內(nèi)在邏輯聯(lián)系的,本文利用事件“前提/結(jié)果”因果關(guān)系對(duì)安全事件進(jìn)行場(chǎng)景關(guān)聯(lián)。事件前提是指使事件成功發(fā)生所必須滿(mǎn)足的條
3、件集合;事件結(jié)果是指事件成功發(fā)生后必然造成的后果集合。該方法首先對(duì)標(biāo)準(zhǔn)的 IDMEF 數(shù)據(jù)模型進(jìn)行了擴(kuò)展,用擴(kuò)展后的數(shù)據(jù)模型 Event 對(duì)來(lái)自多源日志的各類(lèi)安全事件進(jìn)行格式化;再憑借專(zhuān)家經(jīng)驗(yàn)定義出事件“前提/結(jié)果”知識(shí)庫(kù),事件的“前提/結(jié)果”知識(shí)采用謂詞邏輯的形式表示;通過(guò)匹配前一事件發(fā)生的結(jié)果和后一事件發(fā)生的前提,將這些事件關(guān)聯(lián)成事件場(chǎng)景;最后關(guān)聯(lián)的結(jié)果用本文定義的事件關(guān)聯(lián)圖的形式進(jìn)行可視化。 實(shí)驗(yàn)結(jié)果表明,利用本文所提事件
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 基于多源日志的安全事件提取方法研究.pdf
- 基于事件場(chǎng)景關(guān)聯(lián)的多源安全信息融合研究.pdf
- 基于moss的異源實(shí)體關(guān)聯(lián)方法研究
- 基于MOSS的異源實(shí)體關(guān)聯(lián)方法研究.pdf
- 多源異構(gòu)數(shù)據(jù)的跨域關(guān)聯(lián)方法研究及應(yīng)用.pdf
- 基于多檢測(cè)融合的稀疏變異關(guān)聯(lián)方法研究.pdf
- 結(jié)合模糊推理的多源安全日志事件關(guān)聯(lián)融合技術(shù)研究.pdf
- 基于場(chǎng)景分析的多源圖像融合方法研究.pdf
- 基于攻擊圖的多源安全事件關(guān)聯(lián)分析研究.pdf
- 基于SWRL規(guī)則的本體關(guān)聯(lián)方法研究.pdf
- 書(shū)目關(guān)聯(lián)數(shù)據(jù)的關(guān)聯(lián)方法研究
- 基于多種類(lèi)信息的航跡關(guān)聯(lián)方法研究.pdf
- 書(shū)目關(guān)聯(lián)數(shù)據(jù)的關(guān)聯(lián)方法研究.pdf
- 被動(dòng)多傳感器量測(cè)數(shù)據(jù)關(guān)聯(lián)方法研究.pdf
- 基于區(qū)域事件日志過(guò)程挖掘方法研究.pdf
- 基于日志的事件挖掘方法研究與應(yīng)用.pdf
- 基于因果關(guān)聯(lián)攻擊場(chǎng)景重構(gòu)的方法研究.pdf
- 基于多源日志的網(wǎng)絡(luò)威脅分析系統(tǒng)的研究.pdf
- 基于多告警源關(guān)聯(lián)分析的僵尸檢測(cè)方法研究.pdf
- 基于多源事件融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法研究.pdf
評(píng)論
0/150
提交評(píng)論