支持犯罪重现的实时计算机取证技术研究

计算机取证技术的研究为调查计算机犯罪提供了一种新的有效方法和工具。然而当前相关研究没有考虑取证需求的按需制定、多源证据链的推理以及犯罪重现等细节，致使计算机取证技术难于实际应用和部署。本项目将重点考虑这些因素，以多源证据链的推理与融合为核心科学问题，研究支持犯罪重现的实时取证基础理论和关键功能单元技术与方法，构建一个实时、高效、准确的入侵取证系统。并拟在以下方面取得创新性成果：通用灵活的按需取证模型、本地劫持异地复制的电子证据采集架构、轻量级的电子证据安全性增强技术、单源证据链推理和多源证据链融合相结合的证据链挖掘算法、基于数据回放的犯罪重现技术等。项目力争在计算机实时取证理论和方法两个方面取得突破，为我国打击计算机犯罪案件提供理论依据和技术支撑。

本项目的研究目的是为调查计算机犯罪提供一种新的有效方法和工具，经过了三年的系统研究，以多源证据链的推理与融合为核心科学问题，本项目支持犯罪重现的实时取证基础理论和关键功能单元技术与方法，构建一个实时、高效、准确的入侵取证系统。在2010年度，本项目基于实时取证的思想，研究了一种支持回滚恢复的按需取证技术，提出按需取证的概念，即在取证之初基于不同取证环境合理设置取证方法及对象，从而达到缩小处理范围、缩短调查取证时间、提高证据有效性的目的。提出了应用无关的电子证据采集技术，为了取证分析操作标准化，我们根据不同的功能将系统调用分为四类，具体包括文件系统、网络、进程和信号，在此基础上， 基于系统调用劫持技术所获取的系统调用级证据数据由一个证据向量EV来表示。研究了取证机制自身的安全性，我们采用模块隐藏、流量隐藏技术提高隐蔽性。通过操作内核模块管理链表，并禁止模块符号信息导出的方法实现了证据数据采集的核心部件的隐藏。在2011年度，本项目主要研究了证据链推理技术，重点突破了两个关键问题：证据图合并问题以及证据的证明力增强问题，我们采取的解决办法是，由于各跳板主机利用网络数据通信进行交互，因此只需关注证据图中的网络对象，并根据与之进行数据交互的主机的地址信息来查找相关联的证据图，向攻击源头方向的查找过程称为后向追踪， 而远离攻击源头方向的查找过程称为前向追踪。根据上述思路，我们提出了基于对象依赖的多源证据融合技术框架，设计了事件聚焦和事件分析两个主要证据分析阶段，并利用证据图的前趋图、后继图以及关键点操作三个核心步骤实现了证据的融合和推理框架。证据图给出了对象之间关联关系的最直观表示， 因此取证分析操作就等价于尽可能全面地生成证据图。方便取证分析人员更快更准地发现证据图中的关键对象节点，使之有针对性地快速定位入侵过程中的关键步骤。在2012年度，我们主要完成了前两个年度研发的技术和功能模块的整合，设计实现整个系统，并运行调试，并完成了取证系统性能调优。在三年的研究过程中，本项目严格按照项目计划书的要求执行，最终完成一个运行良好的原型系统，在国内核心期刊以上或国际刊物与会议上发表学术论文18篇；培养了博士研究生2人、硕士研究生3人。