基于因果关系的反取证擦除技术检测模型

计算机工程与科学 ›› 2024, Vol. 46 ›› Issue (07): 1229-1236.

• 计算机网络与信息安全 • 上一篇下一篇

基于因果关系的反取证擦除技术检测模型

杜放，焦健，焦立博

(北京信息科技大学计算机学院，北京 100101)

收稿日期:2023-10-12 修回日期:2023-11-20 接受日期:2024-07-25 出版日期:2024-07-25 发布日期:2024-07-19
基金资助:
国家自然科学基金(62202059)

An anti-forensic detection model based on causality calculation

DU Fang,JIAO Jian,JIAO Li-bo

(Computer School,Beijing Information Science & Technology University,Beijing 100101,China)

Received:2023-10-12 Revised:2023-11-20 Accepted:2024-07-25 Online:2024-07-25 Published:2024-07-19

摘要/Abstract

摘要： 在现代网络攻击中，攻击者常常利用各种反取证技术来掩盖他们的踪迹。反取证技术中的数据擦除的危害性较大，攻击者可以使用这种攻击来删除或破坏数据，从而达到销毁攻击证据、扰乱取证过程的目的。由于擦除活动自身的隐蔽性使其很难被察觉，因此利用基于因果关系的溯源技术，提出了一种反擦除数据检测模型。模型根据警报信息生成警报溯源图，并通过攻击行为特征为图中的每条路径计算异常分数，通过进一步筛选和聚合计算，最终生成攻击路径。实验结果表明，该模型可以较好地实现反取证擦除活动的溯源跟踪，并能提高反数据擦除攻击活动和正常活动之间的辨识度。

关键词: 反取证, 攻击溯源, 因果关系, 网络安全, 数据擦除

Abstract: In modern network attacks, attackers often use various anti-forensics techniques to conceal their tracks. The harm of data erasure in anti-forensics technology is significant. Attackers can use this attack to delete or destroy data, thereby destroying attack evidence and disrupting the forensics process. Due to the concealment of the erasure activity itself, it is difficult to detect. This paper proposes an anti-forensics check module (AFCM) using causal relationship based traceability technology. The model generates an alert traceability graph based on alert information, and calculates anomaly scores for each path in the graph through attack behavior characteristics. Through further filtering and aggregation calculations, the attack path is ultimately generated. The experimental results show that this model can effectively achieve traceability tracking of anti-forensics erasure activities and improve the identification between anti data erasure attack activities and normal activities.

Key words: anti-forensics, attack traceability, causal relationship, network security, data wiping

杜放, 焦健, 焦立博. 基于因果关系的反取证擦除技术检测模型[J]. 计算机工程与科学, 2024, 46(07): 1229-1236.

DU Fang, JIAO Jian, JIAO Li-bo. An anti-forensic detection model based on causality calculation[J]. Computer Engineering & Science, 2024, 46(07): 1229-1236.

[1]	白坚镜, 顾瑞春, 刘清河. SDN环境中基于Bi-LSTM的DDoS攻击检测方案[J]. 计算机工程与科学, 2023, 45(02): 277-285.
[2]	刘世文1,5，马多耀2,4，雷程1,3,5，尹少东2,4，张红旗1,5. 基于网络安全态势感知的主动防御技术研究[J]. 计算机工程与科学, 2018, 40(06): 1057-1061.
[3]	刘强，蔡志平，殷建平，董德尊，唐勇，张一鸣. 网络安全检测框架与方法研究[J]. 计算机工程与科学, 2017, 39(12): 2224-2229.
[4]	吴果，陈雷，司志刚，白利芳. 网络安全态势评估指标体系优化模型研究[J]. 计算机工程与科学, 2017, 39(05): 861-869.
[5]	赵宁1,谢淑翠2. 基于dpdk的高效数据包捕获技术分析与应用[J]. 计算机工程与科学, 2016, 38(11): 2209-2215.
[6]	任方. Ad Hoc网络的自适应分布式PKG机制[J]. J4, 2015, 37(07): 1272-1279.
[7]	李岩1，王挺1，张晓艳2. ICIC_Prediction:基于因果关系全局动态特性的预测方法[J]. J4, 2015, 37(05): 1001-1008.
[8]	陈宏亮，刘莉平，赵明，陈志刚. 认知无线网络中基于信誉度管理的动态频谱接入研究[J]. J4, 2015, 37(03): 498-502.
[9]	唐湘滟, 程杰仁, 殷建平, 龚德良. 基于NP模式的报文检测方法[J]. 计算机工程与科学, 2014, 36(11): 2128-2131.
[10]	陈大乾，任广伟. 对社区电子政务网络安全和数据共享问题的思考[J]. J4, 2014, 36(09): 1705-1710.
[11]	马占飞1，尹传卓2. 基于ACE和SSL的Firewall与IDS联动系统研究[J]. J4, 2014, 36(08): 1486-1492.
[12]	张令通1，2，罗森林2. 基于TCP协议首部的网络隐蔽通道技术研究[J]. J4, 2014, 36(06): 1072-1076.
[13]	张拥军1，2,唐俊2. 基于云模型的网络安全态势分析与评估[J]. J4, 2014, 36(01): 63-67.
[14]	甘亮1,2，李润恒1，贾焰1，刘健3. HS-StreamCube:网络安全事件流实时多维分析系统[J]. J4, 2013, 35(3): 72-79.
[15]	王海龙1,2，唐勇2，龚正虎2. 僵尸网络命令与控制信道的特征提取模型研究[J]. J4, 2013, 35(2): 62-67.

基于因果关系的反取证擦除技术检测模型

An anti-forensic detection model based on causality calculation

PDF

可视化

摘要/Abstract

引用本文

使用本文

相关文章 15

编辑推荐

Metrics

本文评价