提出一种包含报警标准化、去冗余、场景重构和报警聚合的网络取证分析方法.通过去除失败攻击的报警,减少了对证据分析的干扰.在场景重构中,通过反向关联,减少了不必要的证据,同时通过对孤立报警的补充,保证了证据链的完整性.在报警聚合中,提出了聚合同一攻击步骤的不同报警的方法,以抽象层和具体层两个层次重构入侵场景.最后通过实验验证了所提出方法的有效性.

• 出版日期2014
• 单位东北大学; 沈阳工程学院