基于深度学习的Linux系统DKOM攻击检测 被引量：1

1

作者 陈亮 孙聪 《计算机科学》 CSCD 北大核心 2024年第9期383-392,共10页

直接内核对象操纵(DKOM)攻击通过直接访问和修改内核对象来隐藏内核对象,是主流操作系统长期存在的关键安全问题。对DKOM攻击进行基于行为的在线扫描适用的恶意程序类型有限且检测过程本身易受DKOM攻击影响。近年来,针对潜在受DKOM攻击... 直接内核对象操纵(DKOM)攻击通过直接访问和修改内核对象来隐藏内核对象,是主流操作系统长期存在的关键安全问题。对DKOM攻击进行基于行为的在线扫描适用的恶意程序类型有限且检测过程本身易受DKOM攻击影响。近年来,针对潜在受DKOM攻击的系统进行基于内存取证的静态分析成为一种有效和安全的检测方法。现有方法已能够针对Windows内核对象采用图神经网络模型进行内核对象识别,但不适用于Linux系统内核对象,且对于缺少指针字段的小内核对象的识别有效性有限。针对以上问题,设计并实现了一种基于深度学习的Linux系统DKOM攻击检测方案。首先提出了一种扩展内存图结构刻画内核对象的指针指向关系和常量字段特征,利用关系图卷积网络对扩展内存图的拓扑结构进行学习以实现内存图节点分类,使用基于投票的对象推测算法得出内核对象地址,并通过与现有分析框架Volatility的识别结果对比实现对Linux系统DKOM攻击的检测。提出的扩展内存图结构相比现有的内存图结构能更好地表示缺乏指针但具有常量字段的小内核数据结构的特征,实现更高的内核对象检测有效性。与现有基于行为的在线扫描工具chkrootkit相比,针对5种现实世界Rootkit的DKOM行为,所提方案实现了更高的检测有效性,精确度提高20.1%,召回率提高32.4%。 展开更多

关键词 内存取证 恶意软件检测 操作系统安全 图神经网络 二进制分析

在线阅读 下载PDF 职称材料

内存取证研究与进展 被引量：30

2

作者 张瑜 刘庆中 +2 位作者 李涛 吴丽华 石春 《软件学报》 EI CSCD 北大核心 2015年第5期1151-1172,共22页

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面... 网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源和发展演化过程;其次介绍了操作系统内存管理关键机制;然后探讨了内存取证的数据获取和分析方法,归纳总结目前内存取证研究的最新技术;最后讨论了内存取证存在的问题、发展趋势和进一步的研究方向. 展开更多

关键词 网络安全 内存取证 网络攻击 网络犯罪 应急响应

在线阅读 下载PDF 职称材料

一种基于闪存物理镜像的FAT文件系统重组方法 被引量：4

3

作者 张丽 谭毓安 +3 位作者 郑军 马忠梅 王文明 李元章 《电子学报》 EI CAS CSCD 北大核心 2013年第8期1487-1493,共7页

文件系统重组是闪存设备取证研究进行数据恢复的主要手段.传统的文件系统重组方法需要同时获取闪存设备在同一时刻的逻辑镜像和物理镜像,该条件在取证实践中常常难以满足,故提出一种仅依赖闪存物理镜像重组文件分配表(FAT)文件系统的方... 文件系统重组是闪存设备取证研究进行数据恢复的主要手段.传统的文件系统重组方法需要同时获取闪存设备在同一时刻的逻辑镜像和物理镜像,该条件在取证实践中常常难以满足,故提出一种仅依赖闪存物理镜像重组文件分配表(FAT)文件系统的方法.在引入统计分析法从物理镜像中提取逻辑地址字段和页状态字段的基础上,给出利用最新页状态值准确重组闪存设备最新FAT文件系统镜像的算法.最后以MTK6229闪存设备物理镜像的FAT文件系统重组过程为例,验证上述重组算法及相关方法是正确的. 展开更多

关键词 数字取证 闪存 物理镜像 文件系统重组 空闲区

在线阅读 下载PDF 职称材料

基于KPCR结构的Windows物理内存分析方法 被引量：9

4

作者 郭牧 王连海 《计算机工程与应用》 CSCD 北大核心 2009年第18期74-77,143,共5页

介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,... 介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。 展开更多

关键词 计算机取证 计算机在线取证 物理内存分析 数字取证

在线阅读 下载PDF 职称材料

Windows 8下基于镜像文件的内存取证研究 被引量：3

5

作者 向涛 苟木理 《计算机工程与应用》 CSCD 2013年第19期63-67,共5页

内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结... 内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析,提取出相应特征;基于这些特征,提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明,该算法能够成功提取隐藏进程和非隐藏进程,及其各进程相关的线程信息,为内存取证分析提供了可靠的数据基础。 展开更多

关键词 内存取证 WINDOWS8 进程 线程 物理内存分析

在线阅读 下载PDF 职称材料

人工免疫行为轮廓取证分析方法 被引量：2

6

作者 杨珺 曹阳 +1 位作者 马秦生 王敏 《电子科技大学学报》 EI CAS CSCD 北大核心 2010年第6期911-914,919,共5页

针对当前数据挖掘取证分析方法存在的取证分析效率低的问题,提出了采用免疫克隆算法来构建频繁长模式行为轮廓的取证分析方法。该方法以行为数据和频繁项集的候选模式分别作为抗原和抗体,以抗原对抗体的支持度作为亲和度函数,以关键属... 针对当前数据挖掘取证分析方法存在的取证分析效率低的问题,提出了采用免疫克隆算法来构建频繁长模式行为轮廓的取证分析方法。该方法以行为数据和频繁项集的候选模式分别作为抗原和抗体,以抗原对抗体的支持度作为亲和度函数,以关键属性作为约束条件,以最小支持度作为筛选条件,通过对抗体进行免疫克隆操作来构建基于频繁长模式的行为轮廓;采用审计数据遍历行为轮廓匹配对比的分析方法来检测异常数据。实验结果表明,与基于Apriori-CGA算法的取证分析方法相比,该方法的行为轮廓建立时间和异常数据检测时间均大幅降低。该方法有助于提高取证分析的效率以及确立重点调查取证的范围。 展开更多

关键词 人工免疫 行为轮廓 计算机取证 计算机安全 数据挖掘 电子犯罪对策 信息分析 模式匹配

在线阅读 下载PDF 职称材料

计算机取证中的物理内存取证分析方法研究 被引量：6

7

作者 殷联甫 《计算机应用与软件》 CSCD 2010年第12期295-298,共4页

阐述物理内存取证分析的基本概念及相关研究现状,重点研究了Windows系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作。

关键词 计算机犯罪 计算机安全 计算机取证 物理内存取证

在线阅读 下载PDF 职称材料

基于Windows物理内存取证系统设计与实现 被引量：1

8

作者 李炳龙 鲁越 《信息网络安全》 2011年第11期50-53,共4页

随着信息安全技术的快速发展,数字取证调查技术已经成为重要技术之一。由于物理内存中包含计算机操作的大量信息,针对物理内存的实时取证分析已成为当前数字犯罪调查领域中的热点研究问题之一。文章通过研究物理内存获取技术,内存进程... 随着信息安全技术的快速发展,数字取证调查技术已经成为重要技术之一。由于物理内存中包含计算机操作的大量信息,针对物理内存的实时取证分析已成为当前数字犯罪调查领域中的热点研究问题之一。文章通过研究物理内存获取技术,内存进程管理模式,信息关键词搜索技术等相关技术背景,实现对Windows物理内存的镜像获取,内存中的隐藏进程和异常进程的检测,内存中敏感信息的检测分析三方面功能。通过对用户主机进行调查检测,掌握用户大量的操作行为和有用信息,为计算机犯罪取证调查和信息安全检查提供了一种很好的方法手段。 展开更多

关键词 计算机取证 物理内存镜像 进程 EProcess 字符匹配

在线阅读 下载PDF 职称材料

多媒体技术在物理空间安全领域的应用与发展 被引量：2

9

作者 赵军红 张卫强 +2 位作者 郑明慧 张萌 黄伟庆 《信息安全研究》 2016年第2期172-179,共8页

聚焦于以各种多媒体形式为栽体的信息处理技术在物理空间信息安全中的应用,阐述了语音、图像和视频相关的信息隐藏技术、数字水印技术、信息源识别技术以及多媒体取证技术等在安全领域的应用和发展现状,并对各种多媒体处理技术在信息安... 聚焦于以各种多媒体形式为栽体的信息处理技术在物理空间信息安全中的应用,阐述了语音、图像和视频相关的信息隐藏技术、数字水印技术、信息源识别技术以及多媒体取证技术等在安全领域的应用和发展现状,并对各种多媒体处理技术在信息安全领域的交叉应用和发展趋势进行了详细讨论. 展开更多

关键词 多媒体信息安全 物理空间安全 信息隐藏 语音识别 多媒体取证

在线阅读 下载PDF 职称材料

基于蜜罐技术的主动取证系统

10

作者 薛磊 孙国梓 李云 《电信科学》 北大核心 2010年第S2期148-150,共3页

目前计算机取证大多在犯罪事件发生后对目标系统进行静态分析取证,存在一定的局限性。通过分析当前主要计算机犯罪方式,将计算机取证与蜜罐思想相结合,提出了一种利用蜜罐技术,在计算机犯罪实施过程中实时取证的主动取证方法,保证证据... 目前计算机取证大多在犯罪事件发生后对目标系统进行静态分析取证,存在一定的局限性。通过分析当前主要计算机犯罪方式,将计算机取证与蜜罐思想相结合,提出了一种利用蜜罐技术,在计算机犯罪实施过程中实时取证的主动取证方法,保证证据的有效性,同时也避免了对真实数据的破坏。 展开更多

关键词 蜜罐技术 主动取证 计算机犯罪 数据安全

在线阅读 下载PDF 职称材料

青少年网络行为监测软件的研发

11

作者 孔祥瑞 叶骏 +1 位作者 向大为 麦永浩 《信息网络安全》 2013年第1期75-78,共4页

文章以预防青少年网络犯罪为目的,运用计算机取证技术,开发一款能够监控青少年网络行为的软件,有助于尽早发现其异常的网络行为,预防网络犯罪,维护网络安全。

关键词 青少年网络犯罪 计算机取证技术 青少年网络行为 网络安全

在线阅读 下载PDF 职称材料