一種基于日志關(guān)聯(lián)分析的取證模型

摘 要：日志文件是計算機獲取電子證據(jù)的重要資源。文章基于現(xiàn)有日志取證系統(tǒng)片面取證并且未考慮日志信息的安全性的不足，提出了基于日志關(guān)聯(lián)分析的取證模型，通過事件特征關(guān)聯(lián)、事件時間序列關(guān)聯(lián)和事件空間序列關(guān)聯(lián)各網(wǎng)絡(luò)安全設(shè)備和應(yīng)用程序的日志信息，把各種日志信息進行綜合關(guān)聯(lián)分析，使得到的取證結(jié)果更可靠、公正和客觀。

關(guān)鍵詞：日志取證；關(guān)聯(lián)分析；特征關(guān)聯(lián)；序列關(guān)聯(lián)

0 引言

隨著信息技術(shù)的發(fā)展，計算機犯罪案件不斷涌現(xiàn)，計算機取證技術(shù)成為人們研究的熱點。計算機取證要解決的關(guān)鍵問題是如何從計算機犯罪現(xiàn)場挖掘犯罪方法、犯罪動機、犯罪工具，確定犯罪責任。日志文件是計算機和網(wǎng)絡(luò)系統(tǒng)用于記錄發(fā)生在計算機本地系統(tǒng)或者網(wǎng)絡(luò)中的事件的重要審計憑據(jù)，是計算機犯罪線索勘查取證的重要對象，是計算機犯罪中非常重要的線索和證據(jù)來源。分析日志數(shù)據(jù)能及時發(fā)現(xiàn)入侵者入侵行為，是提取犯罪證據(jù)的重要手段。然而，進行日志分析存在如下困難：日志文件本身并不安全，一旦攻擊者獲得root權(quán)限，就可以輕而易舉地修改、破壞或刪除系統(tǒng)所保存的日志記錄，從而使得日志分析失去意義；日志文件的格式與種類具有多樣性，需要統(tǒng)一格式或跨平臺操作；目前還沒有形成比較完善的日志分析策略。本文將從這幾個方面入手，提出了基于日志分析處理策略的取證模型。

1 日志關(guān)聯(lián)分析取證模型