基于windows日志的计算机取证模型设计

作     者：何志鹏 

作者单位：中山大学 

学位级别：硕士

导师姓名：龙冬阳

授予年度：2011年

学科分类：030604[法学-侦查学] 03[法学] 0839[工学-网络空间安全] 08[工学] 0838[工学-公安技术] 030609[法学-涉外警务学] 0306[法学-公安学] 

主      题：计算机取证 日志 完整性保护与验证 安全传输 

摘      要：随着计算机和网络技术的发展和普及,计算机犯罪正变得日益猖獗,严重危害网络安全和个人隐私,与此同时,计算机取证的应用也得到逐步拓展。 日志文件记录了计算机系统运行过程中发生的异常现象,是打击计算机犯罪非常重要的线索和来源。要想把计算机日志作为合法的电子证据提供给法庭,就必须采取有效的措施来保证日志证据的完整性、真实性和可信性。 论文首先对计算机取证的定义、原则、工作内容、过程步骤和电子证据的相关概念特点进行了总结,然后介绍了计算机日志的相关概念和Windows系统的一些日志文件,归纳了当前国内外计算机取证、日志研究领域的发展现状,论证了日志数据作为电子证据的法律依据和基于日志取证的可行性,在此基础上列举研究了基于日志取证的相关技术,设计了一种基于Windows日志的计算机取证模型,本模型充分结合计算机日志取证的原则、特点,使用MD5消息摘要和RSA数字签名技术在日志信息完整性保护与验证方面进行了创新研究;通过对称加密算法(DES)与非对称加密算法(RSA)的结合使用,在日志信息的安全传输上(基于SSL协议)既保证了安全性又提高了传输效率;利用数据挖掘相关分析处理方法,提高了日志分析的效率和准确程度;使用数据库实现日志信息的安全存储,确保了日志证据的完整性、真实性和可信性。