随着科学技术的发展和互联网的广泛应用与普及,人们在学习、工作和生活中得益于科技发展和信息网络的应用所带来的巨大便利的同时,也面临着前所未有的网络安全威胁。近年来,基于互联网的犯罪一直呈上升趋势,利用计算机或以计算机为目标的犯罪事件越来越多,给整个社会和国家带来了巨大的安全威胁,计算机犯罪已成为各国司法部门函待解决的一大难题。如何能够打击和遏制这种犯罪并解决计算机安全面临的问题成为当前研究热点,计算机取证技术的研究应运而生。计算机取证是在计算机犯罪案件中对案件进行调查取证和分析的技术,是打击计算机犯罪,维护计算机系统安全的重要手段。但是目前的计算机取证研究只是对证据的简单查找,需要大量人工参与,并且无法找出证据之间的潜在的关联。
本文结合数据挖掘技术在大量数据处理方面的优势,针对恶意代码电子证据的特点,对FP-Growth算法进行了改造,提出基于FP-Growth的加权频繁模式挖掘算法。首先静态分析恶意代码样本的导入表,并对其API调用序列进行统计作为FP-Growth算法的加权依据,使不同的API调用序列具有不同的权重,增加了这些序列生成关联规则的可能性,最终生成规则库。经过和FP-Growth算法对比分析,改进后的算法对计算机证据分析具有更高的准确性。其次,为了更好的对恶意代码的行为进行取证,还设计了恶意代码取证系统对其进行动态取证分析,通过监控恶意代码的进程、注册表、文件记录和端口号来记录其行为,并生成取证报告。最后通过具体的实例验证了该方法的可行性和对主机的影响。
本文关键词:
