[发明专利]一种基于数据关联的自动内存证据分析方法

说明书

技术领域

本发明涉及的是一种计算机犯罪取证领域，涉及对内存证据自动分析、关联，以便重现犯罪场景的方法，尤其是一种适合自动分析Windows XP内存证据的方法。 

背景技术

内存取证在过去十年发展迅速。这是因为内存能够提供磁盘不包含的正在运行的进程、实际执行的二进制代码、打开的网络连接及端口等调查者所关心的信息。尽管犯罪者可通过加密、代码混淆、挂钩等方式隐藏其行为，但非法行为仍必须在内存中执行，并难免留下痕迹。因此，来自内存的犯罪证据更加可靠，也更具实时性。基于上述优点，内存取证在近年来吸引了越来越多研究者的关注。但现有的内存取证研究主要侧重于如何可靠地获取内存镜像等证据，关于如何自动分析已获得证据的关注较少。近年来，随着硬件技术的发展，计算机内存容量已从MB级增长到TB级，而网络及云计算平台的广泛使用也使调查者经常需要同时分析很多内存镜像。面对海量的数据以及复杂、缺乏语义信息的低层OS数据结构，如何自动完成内存证据分析，找出其中隐藏的犯罪行为并以调查者容易理解的方式重构其犯罪过程已成为亟待解决的重要问题。 

现有的内存证据分析方法主要分为基于字符串搜索、基于内存扫描、基于特征(signature)扫描和基于操作系统内核关键数据结构分析几种。字符串搜索建立在已知关键词的基础上，是早期流行的简单方法。该方法需要的人工干预较多，且搜索结果包含大量噪声。内存扫描分析方法是一种基于线性内存扫描的暴力破解方法。该方法逐个字节的扫描整个内存，然后获取需要的信息。在当前海量、复杂的分析背景下，该方法花费的时间往往比较长。基于特征(signature)扫描的分析技术通常使用一系列规则来精确的描述某种特征，然后使用扫描器进行扫描。该方法需要预先定义合适的规则，所以不能识别未知行为。尽管其精确度及效率较前两种方法有所提升，但在当前分析背景下该方法仍显得力不从心。目前主流的内存分析技术是分析内存数据结构，即通过研究关键的内存数据结构获得该结构中的信息，从而获得感兴趣的犯罪证据。但目前这类方法仅针对特定数据类型进行分析，比如恢复内存中的进程列表、二进制文件、打开的网络连接等，分析结果比较单一。即使是当前流行的取证分析框架volatility，也仅仅提供对各类内存信息的恢复及罗列，具体的犯罪行为识别及场景重构仍需人工完成。事实上证据分析过程需要综合考虑各类证据，通过数据之间的彼此关联印证来发现更多的犯罪行为，进而重构犯罪过程。 

发明内容

针对现有技术在内存证据自动分析领域的不足，本发明目的是提出了一种基于数据关联的自动证据分析方法。借助关键数据结构分析以及聚类方法全面分析进程、文件、用户、动态链接库等主要内存数据之间的各种关系。 

本发明的技术方案是，一种基于数据关联的自动内存证据分析方法，其特征在于：借助关键数据结构分析以及聚类方法全面分析了进程、文件、用户、动态链接库等主要内存数据之间的各种关系；对于进程与其他信息之间，依次自动识别进程与文件关联、进程与动态链接库关联、进程与用户关联以及进程与网络报关联；对于进程与进程之间的关联，依次可自动识别进程间父子关联、进程间服务关联和进程间通信关联。通过描述这些关系，本发明能够将彼此独立的数据组织成关联图，从更高的语义层次揭示原始证据的含义。 

进一步，所述分析以进程为中心，涵盖了进程与进程之间的父子关联、通信关联和服务关联，以及进程与文件、动态链接库、用户、网络信息等内存信息的关联。本发明设计了一种基于数据关联的自动内存证据分析机制。在计算机取证过程中，内存中最重要的信息就是进程。进程代表了计算机中各种运行的软件、服务。因此，为了从内存包含的大量不同类别的信息中梳理出有用的关联关系，本发明机制采取了以进程为中心的关联分析策略，将内存中的关联关系分成进程间关联和进程与其他信息的关联两类。为了从不同角度展现内存中进程与进程的关系。提出了以父子关系、通信关系和服务目的关系为基础的关联方法。在进程与内存其他数据间的关联方面，主要选取了进程与文件、进程与动态链接库、进程与用户以及进程与网络包的关联关系加以分析。之所以选取这些关联，是因为它们对于计算机取证而言非常有用。为以可靠的方式揭示这些关联关系，并揭示内存中无直接指示信息的隐式关联关系，设计了一种综合使用数据结构分析及聚类技术的关联方法。对于内存中有标识的关联，将以分析内存数据结构为主进行识别。在识别过程中将比较各种标识数据结构，最终选择一种最为可靠的结构。而对于隐含关联的分析，主要基于聚类方法进行。因为windows XP仍是当前国内取证调查时最常见的操作系统，因此本发明主要基于Windows XP SP2操作系统的数据结构。