基于模糊认知图计算机在线证据智能的分析技术研究.docxVIP

分类号： TP391密 级：单位代码： 10431学 号： 1043112258硕士学位论文基于模糊认知图的计算机在线证据智能分析技术研究作 者 姓 名赵猛猛专业计算机应用技术所 在 学 院指导教师姓名专业技术职务信息学院王连海 研究员2015 年 06 月 08 日万方数据万方数据A Thesis Submitted for the Application ofthe Master’s Degree of EngineeringIntelligent Analysis of Computer OnlineEvidence Based on Fuzzy Cognitive MapCandidate:Specialty:Supervisor:Zhao MengmengComputer Application TechnologyProfessor Wang LianhaiQilu University of Technology,Jinan,ChinaJune, 2015万方数据万方数据学位论文独创性声明本人声明，所呈交的学位论文系在导师指导下本人独立完成的研究成果。文中引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法律意义上已属于他人的任何形式的研究成果，也不包含本人已用于其他学位申请的论文或成果，与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。论文作者签名：日期：年月日学位论文知识产权权属声明本人在导师指导下所完成的论文及相关的职务作品，知识产权归属齐鲁工业大学。齐鲁工业大学享有以任何方式发表、复制、公开阅览、借阅以及申请专利等权利，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，本人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时，署名单位仍然为齐鲁工业大学。论文作者签名：导 师 签 名：日期：日期：年年月月日日万方数据齐鲁工业大学硕士学位论文目录摘要 IABSTRACT I第 1 章 绪论 11.1 研究背景及意义 11.2 国内外研究现状 21.2.1 国外研究现状 21.2.2 国内研究现状 31.3 论文主要工作 31.4 论文结构 4第 2 章 计算机取证概述 52.1 计算机取证相关概念 52.2 计算机取证的原则 52.3 计算机取证的步骤 62.4 计算机取证的类型 72.4.1 离线取证 72.4.2 在线取证 82.5 内存镜像获取方式 82.5.1 硬件获取物理内存镜像 82.5.2 软件获取物理内存镜像 92.6 Windows 内存管理 102.6.1 内存管理概述 102.6.2 虚拟地址空间 112.6.3 分页机制 122.6.4 虚拟地址转换机制 122.7 本章小结 131万方数据齐鲁工业大学硕士学位论文第 3 章 木马及木马检测 153.1 木马程序工作原理 153.2 木马的功能及特征 153.3 木马的分类 163.4 木马的常用技术 173.4.1 植入技术 173.4.2 通信技术 173.4.3 自启动技术 183.5 木马检测技术 183.5.1 特征码检测技术 183.5.2 实时监控技术 193.5.3 网络检测技术 193.5.4 虚拟机技术 203.6 本章小结 20第 4 章 模糊认知图 214.1 模糊认知图的概念 214.2 模糊认知图的特点 224.3 模糊认知图结构构建 234.3.1 人工构建模糊认知图 234.3.2 学习构建模糊认知图 244.4 模糊认知图的推理机制 254.5 概率模糊认知图 274.6 本章小结 27第 5 章 基于模糊认知图的计算机在线证据智能分析 295.1 引言 295.2 基于模糊认知图的在线证据分析模型 295.3 基于模糊认知图的在线证据木马检测流程 305.4 物理内存镜像信息获取 315.5 模糊认知图的构建 335.5.1 概念节点的选取 332万方数据齐鲁工业大学硕士学位论文5.5.2 因果关系的确定 335.5.3 概念间权值的确定 345.6 内存镜像木马检测糊认知图 345.7 内存镜像的木马检测算法 365.8 实验与分析 375.9 本章小结 40第 6 章 总结与展望 43参考文献 45致谢 49在学期间主要科研成果 513万方数据齐鲁工业大学硕士学位论文摘要作为打击计算机犯罪的有力武器计算机取证受到人们广泛的关注。由于硬盘存储容量的增加传统的离线取证显现出一些不足。由于内核级木马的流行也使得在线取证受到挑战，因为这样获得的在线证据可能是不真实的。当我们仅有一份犯罪机器的内存镜像其他证据都被破坏时，内存镜像分析的结果将对案件审理起决定性作用，因此通过获取算机完整内存镜像的计算机在线取证以及证据分析已经成为研究的热点。在线证据分析指是