1.4 论文的研究目标、创新及组织结构
1.4.1 研究目标
本论文力图实现以下主要目标:
1.构建一个满足动态性、实时性、自适应性要求的动态取证体系结构,根据入侵进展自适应调整取证过程,尽可能在安全的前提下提取完整的入侵证据。
2.提出一种有效的入侵威胁评估方法,合理地评估所调查行为造成危害的程度
3.提出一种证据分析方法,能够从多个证据源收集证据,通过自动化分析描述入侵的全貌。
4.提出一种维护监督链的方案,对证据的收集、传输到最后保存及出示整个过程提供全面的安全保护,并能够容忍入侵。本文的研究受“国家自然科学基金项目60573120”和国家教育部2007国防科研重点培育项目“网络安全事件关联分析方法研究”资助。
1.4.2 主要工作和创新点
针对1.3节所提的几个问题,论文对自适应动态取证体系结构、证据分析方法、入侵威胁评估方法以及证据保全方法分别进行了研究。论文的创新点如下:
1.构建自适应动态取证体系结构。
在分析传统动态取证的工作机制的基础上,构建一种自适应动态取证体系结构,结合了入侵检测、入侵诱骗以及入侵容忍技术,根据入侵对系统的影响能够自适应地调整系统资源以及取证过程,能够在满足安全的前提下,更深入地了解入侵的步骤,获取更完整的证据。
2.提出基于灰关联的入侵威胁评估算法。
提取并量化了评估入侵威胁度的重要因素,提出基于灰关联理论的入侵威胁度评估算法,能够更合理地评估入侵威胁严重程度。
3.提出基于入侵关联图的入侵模式发现算法。
提出了入侵关联图的概念,并提出了一种基于入侵关联图的入侵模式发现方法,该方法除了能发现一对主机之间的多步攻击之外,还能够发现涉及多个主机的入侵过程。
4.提出一种三维的事件时间线表示方法。
对涉及多个主体的入侵事件在时间上的进展进行可视化描述。
5.提出具有检错功能的证据分布存储算法。
提出ED一IDA算法对证据信息编码分布存储,并通过累积校验保证分片的完整性,提高证据的容侵性。利用用户密钥自动生成编码矩阵,既保证了安全性,又保证了可用性。
1.4.3 论文的组织结构
论文共分七章。
第一章首先说明了研究背景,然后介绍国内外关于计算机取证和网络取证的研究现状,最后对课题研究目标,论文的主要工作与组织结构进行说明。
第二章对网络取证的体系结构以及相关技术的研究进行了介绍。分析了静态取证和动态取证的机制,并分析了目前己有的结合入侵检测技术、入侵诱骗技术,以及采用分布式结构的网络取证体系结构的特点和存在问题,然后对网络取证中有关证据分析技术、证据保全技术以及其他技术的研究情况进行介绍。
第三章介绍自适应的动态取证体系结构。首先提出了自适应动态取证的思想,然后描述了其系统框架。然后对该框架建立FSM模型,描述其工作过程,并采用半马尔科夫模型对其进行安全性及可用性的量化分析。最后,用一个入侵实例验证了该方法的有效性。该框架中的一些关键技术和算法在第四章至第六章进行介绍。
第四章介绍了基于灰关联的入侵威胁度评估方法。首先介绍了现有的入侵威胁评估方法,然后在结合前人的研究成果和自适应动态取证框架特点的基础上选取并量化了评估入侵威胁的因素。接着介绍了灰关联分析的有关原理,在此基础上提出了一种入侵威胁度评估算法,最后通过实际的入侵实验对该方法和另两种已有算法进行了对比。
第五章介绍了基于入侵关联图的入侵模式发现方法。首先提出入侵关联图的概念以及构造算法和合并算法,然后介绍在入侵关联图的基础上发现入侵模式的方法,最后通过实验对该方法的效果进行说明。最后还描述如何利用三维事件时间线的方法对入侵模式进行可视化描述。
第六章介绍了一种多层证据保护方案,首先分析了已有的一些技术,然后介绍了证据信息的维护监督链方案,最后阐述了ED一IDA算法对证据分片编码存储的方法,并对安全性进行了分析。
第七章总结全文,展望未来。
