支持犯罪重現的實時計算機取證技術研究

計算機取證技術的研究為調查計算機犯罪提供了一種新的有效方法和工具。然而當前相關研究沒有考慮取證需求的按需制定、多源證據鏈的推理以及犯罪重現等細節，致使計算機取證技術難於實際套用和部署。本項目將重點考慮這些因素，以多源證據鏈的推理與融合為核心科學問題，研究支持犯罪重現的實時取證基礎理論和關鍵功能單元技術與方法，構建一個實時、高效、準確的入侵取證系統。並擬在以下方面取得創新性成果：通用靈活的按需取證模型、本地劫持異地複製的電子證據採集架構、輕量級的電子證據安全性增強技術、單源證據鏈推理和多源證據鏈融合相結合的證據鏈挖掘算法、基於數據回放的犯罪重現技術等。項目力爭在計算機實時取證理論和方法兩個方面取得突破，為我國打擊計算機犯罪案件提供理論依據和技術支撐。

本項目的研究目的是為調查計算機犯罪提供一種新的有效方法和工具，經過了三年的系統研究，以多源證據鏈的推理與融合為核心科學問題，本項目支持犯罪重現的實時取證基礎理論和關鍵功能單元技術與方法，構建一個實時、高效、準確的入侵取證系統。在2010年度，本項目基於實時取證的思想，研究了一種支持回滾恢復的按需取證技術，提出按需取證的概念，即在取證之初基於不同取證環境合理設定取證方法及對象，從而達到縮小處理範圍、縮短調查取證時間、提高證據有效性的目的。提出了套用無關的電子證據採集技術，為了取證分析操作標準化，我們根據不同的功能將系統調用分為四類，具體包括檔案系統、網路、進程和信號，在此基礎上， 基於系統調用劫持技術所獲取的系統調用級證據數據由一個證據向量EV來表示。研究了取證機制自身的安全性，我們採用模組隱藏、流量隱藏技術提高隱蔽性。通過操作核心模組管理鍊表，並禁止模組符號信息導出的方法實現了證據數據採集的核心部件的隱藏。在2011年度，本項目主要研究了證據鏈推理技術，重點突破了兩個關鍵問題：證據圖合併問題以及證據的證明力增強問題，我們採取的解決辦法是，由於各跳板主機利用網路數據通信進行互動，因此只需關注證據圖中的網路對象，並根據與之進行數據互動的主機的地址信息來查找相關聯的證據圖，向攻擊源頭方向的查找過程稱為後向追蹤， 而遠離攻擊源頭方向的查找過程稱為前向追蹤。根據上述思路，我們提出了基於對象依賴的多源證據融合技術框架，設計了事件聚焦和事件分析兩個主要證據分析階段，並利用證據圖的前趨圖、後繼圖以及關鍵點操作三個核心步驟實現了證據的融合和推理框架。證據圖給出了對象之間關聯關係的最直觀表示， 因此取證分析操作就等價於儘可能全面地生成證據圖。方便取證分析人員更快更準地發現證據圖中的關鍵對象節點，使之有針對性地快速定位入侵過程中的關鍵步驟。在2012年度，我們主要完成了前兩個年度研發的技術和功能模組的整合，設計實現整個系統，並運行調試，並完成了取證系統性能調優。在三年的研究過程中，本項目嚴格按照項目計畫書的要求執行，最終完成一個運行良好的原型系統，在國核心心期刊以上或國際刊物與會議上發表學術論文18篇；培養了博士研究生2人、碩士研究生3人。