基于行为时序逻辑多方协作取证研究.docVIP

基于行为时序逻辑多方协作取证研究 　　【 摘 要 】 论文提出了一种基于行为时序逻辑和片面性理论的多方协作取证的形式化方法，有望在多方参与的调查取证中验证不可观察的行为证据，并将其应用到一个取证实例中。 　　【 关键词 】 入侵取证；行为时序逻辑；片面性；多方协作取证 　　【 中图分类号 】 TP309.2 　　【 文献标识码 】 A 　　Multilateral Cooperation Intrusion Forensics Based onTemporal Logic of Actions 　　LI Jun-tao 1 Tang Zheng-yi 2 Zhang Jin-lei 1 　　（1.Information School of Guizhou University of Finance and Ecnomics GuizhouGuiyang 550025； 　　2.College of Information Science and Engineering， Fujian University of Technology FujianFuzhou 350118） 　　【 Abstract 】 Put foreword a formalist method of multi-party cooperation intrusion forensics based on Temporal Logic of Actions and Opacity Theory， expected to verify the evidence not easy observed， and apply it to an intrusion forensic instance. 　　【 Keywords 】 computer intrusion forensic； temporal logic of actions； opacity； multilateral cooperation intrusion forensics 　　1 引言 　　在取证调查时，调查者的主要难题就是证明入侵者行为是否蓄意而为，这可以用系统状态的性质来刻画，即这些状态是否是入侵者的伪装，这使得对它们的计算更加难以执行。对入侵者来说，调查者作为第三方仅有有限的关于它们攻击行为的观测记录，即所能收集到的不完备的证据集。举例来说，一个入侵检测系统的报警文件仅仅给出了有关远程执行命令集的信息，并不能向展示系统是如何被攻击的。从这一考虑出发，有必要对文献[1]提出的形式化方法进行补充，使之能够证明源于入侵活动不完全观测的数字证据。 　　2 多方协作取证的理论基础 　　不同的观察者从不同的角度观察同一个事务往往会得出不同的观察结果，瞎子摸象的故事就是这种现象的一个典型代表。对安全事件的取证调查也会碰到这样的情况，即不同的调查者依据各自的知识和技术，对收集到的不同证据集进行分析，这必然会产生相互间的合作问题。而这种协作也必然会给取证调查工作带来新的性质。 　　为了更好地处理多方协作取证，提出了一种片面性理论。这种理论来源于文献[2]中提出的不透明性（Opacity）概念。近十几年来，有许多关于安全性描述问题的研究，也提出不少有价值的理论方法，其中有一些就是基于不透明性的，它已被证明是描述安全性的一种很有前途的技术。为了使之更适于取证调查任务，对其进行扩展，使之支持多方观察和协作，并称之为片面性理论。 　　2.1 不透明性简介 　　一般来讲，一个给定性质的不透明性[2]就是指：一个第三方仅能访问整个系统运行情况的一部分（称之为可观察部分），而不能推断出系统性质的全部真相。不透明性的一些研究成果在应用开发、系统验证和可判定性证明等领域被认为前景广阔。文献[3]用通信顺序进程（CSP）的表达法给出了不透明性的形式定义，其在某种程度上为表达匿名安全性提供了一个独特的方法。它采用模型检测技术在有限状态模型下判定这一性质。文献[4]提出了一种更一般的描述不透明性，但不处理可判定性问题的框架。这一框架在文献[2]中得到了应用，并使用抽象技术对不透明性质进行验证。近来，不透明性概念已逐步被扩展到一般性系统，不再仅限于密码协议方面。其中最主要的扩展是在PETRI网和标号转移系统（Labeled Transition Systems）中处理不透明性证明的可判定性。 　　2.2 系统状态和运转的可见性 　　依赖于观察者所使用的技术和手段，有些系统的状态变量可以观察到，而另一些可能观察不到，这就是要说的可见性。使用TLHA规约对调查者对系统的观察进行建模，当然要考虑这一性质，提出状态标签的概念来表示这一性质。用ls表示状态s的标签，用ls（v）表示状态s中的一个变量v