新型网络信息分析取证技术最新版挑战（PDF36页）

1896192019872006新型网络信息分析取证技术发展与挑战李建华教授、博士生导师上海交通大学信息安全工程学院2014年6月2目录背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五网络时代信息技术发展趋势信息网络时代的三维世界与演变背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五人机界面（终端设备）物联网/传感网人机物和谐计算环境人类社会物理世界信息世界人类社会、信息世界、物理世界三元世界形成网域(CyberSpace)，形成了人-机-物和谐发展“新四化”：网络化、普适化、智能化、融合化人们的生活方式、知识积累、研究创新已在相当程度上取决于对网络的利用能力。值得关注的技术演变背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五需要全面理解与应用新兴的网电空间广泛、无所不在(UbiquitousandPervasive)的网络网电空间形态网络融合性互联网，电信网络，广播电视网络，物联网IoT,信息物理融合系统CPS终端多样性智能手机，电视，PC，PDA,IPAD…内容多元化搜索引擎Google，百度社交网络Facebook,Twitter云计算，对等网络(P2P)服务…领域广泛性政治，经济，文化，军事和社会各个层面互联网物联网电信网络广播电视网络Cyberspace新兴信息技术演进趋势（一）背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五社交网络社交网络––––微博类应用在线社交类应用即时消息类应用共享空间等其他应用新兴信息技术演进趋势（二）背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五NITS定义的云计算可视化模型“云”计算新兴信息技术演进趋势（三）背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五物联网将所有物品通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备与互联网连接起来，进行信息交换和通讯，实现智能化识别、定位、跟踪、监控和管理；国际电信联盟2005年的一份报告曾描绘“物联网”时代的景象：当司机出现操作失误时汽车会自动报警；公文包会提醒主人忘带了什么东西；衣服会“告诉”洗衣机对颜色和水温的要求等。最终形成“智慧的地球”互联网新兴信息技术演进趋势（四）背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五三网融合三网融合（即三网合一）是指电信网、计算机网和有线电视网三大网络通过技术改造，能够提供包括语音、数据、图像等综合多媒体的通信业务。新兴信息技术演进趋势（五）背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五大数据融合分析不再缺乏信息而是信息量过于庞大，如缺乏有效融合分析手段，大数据不仅无法带来有效的知识还将模糊业务焦点背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五计算机网络信息分析取证必要性背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五加强信息应用管理、维护网络空间安全已成为各国政府面临的重大战略需求互联网和信息技术的迅猛发展，网络空间已成为现实社会在数字时代的延伸和扩展网络空间的泛在性、异构性、开放性和交互性，导致互联网欺诈犯罪、谣言散播乃至群体性事件召集现象层出不穷网络空间犯罪打防管控工作，迫切需要加强计算机网络信息分析取证领域的关键技术攻关与产业应用推广以及相关法律法规/标准规范的制定完善公共安全事件应急处置背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五新疆“7.5”事件拉萨“打砸抢烧”各类公共安全事件常通过手机等智能/电子设备和计算机网络途径有预谋、有组织地发起通过计算机网络信息分析取证，可有效把控通讯证据、网络证据，有效预防各类涉恐事件的发生；通过计算机网络信息分析取证，有力支撑各类案件的侦破、定性与结案。美国“911”网络违法信息传播管控背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五网络社会色情、谣言、反动等违法信息非法传播迅速，影响面广。计算机网络信息分析取证可有效解决：色情、反动信息鉴别及非法传播途径定位、跟踪；恶意热点事件信息挖掘、定位及关键节点行为取证。色情信息法轮功宣传网络谣言应对违法行为的技术化、智能化转变背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五随着计算机技术和密码技术的普及，违法犯罪主体的技术化、智能化能力不断加强，利用密码、口令、信息隐藏等技术隐秘传输非法信息的现象日益普遍。强化针对加密隐藏信息分析取证的能力对于彻查证据、提高网络社会管理能力具有重要意义。即时加密通信与本地存储隐藏有260个字法轮功宣传材料的图像法轮大法：强烈谴责割卖活体器官，紧急呼吁制止灭绝屠杀……提高针对恶意攻击事件的主动取证能力背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五网络社会的高度开放性和交互性，使得安全风险急剧增加，木马攻击、分布式拒绝服务攻击等各类恶意攻击防不胜防，仅仅依靠传统的事后取证手段已不能满足实际应用需求，实时识别网上恶意行为，构筑线上/线下主动取证体系迫在眉睫。上海7.18私车牌照拍卖系统攻击“黑客”恶意程序攻击窃取背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五计算机网络信息分析取证面临的挑战取证范围广背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五需面向各类型网络媒体（新闻、论坛、SNS等）的传输发信息实现深度获取需面向无线移动通信、自组织网络传输信息实现协议数据侦听与恢复需面向本地涉案介质、信息系统用户信息实现全面采集证据内容结构多元、信息冗余，如何有效实现海量、异构、多元信息的智能采集是网络信息分析取证应用难点之一认知复杂度高背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五证据信息不再仅为二进制电子数据，而是以可视媒体信息（文本、图像、视频）为主对可视媒体证据必须从信息内容的知识发现取证、证据载体的篡改散布行为取证等多方面同时展开可视媒体信息的特征高维、相互关联、语义丰富、认知复杂等特性，使得目前对其实现数据、行为分析取证面临诸多困难法律法规/标准规范尚未健全背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五法律法规/标准规范用于约束/指导人们的行为针对计算机网络犯罪新环境，相关法律法规/标准规范有待进一步补充完善及制定背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五体系架构由技术和管理两部分组成信息采集技术信息分析取证技术取证系统和产品计算机网络信息取证法律法规/标准规范取证应用层分析取证层信息获取层背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五•信息采集公共信息采集私有信息采集线上信息采集线下信息采集本地信息采集远程信息采集•信息分析编码格式盲识别等信息预处理加密隐藏检测提取内容分析行为分析数据挖掘……•线索/证据发现取证溯源追踪保全……背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五海量异构信息内容综合获取分析证据信息涉及数据内容、用户行为、时间节点等诸多多元/异构要素，驻留于服务器、计算机磁盘、手机SIM卡等远程/本地存储介质，并通过网络、介质物理迁移等途径传播扩散需要重点攻关统一的网络媒体内容采集技术、网上恶意行为检测技术及介质/终端数据提取技术，解决线上/线下、多元、异构计算机网络内容、行为与数据的采集难题背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五海量异构信息内容综合获取分析(续)研究基于网络浏览行为模拟的网络信息采集技术–网络媒体的多样性（内嵌脚本片段、需要身份认证及个性化交互信息等）需要普适的媒体发布信息获取技术–传统的网络交互过程编程重构难以满足当前的信息取证应用需求，自然人网络浏览行为模拟是明确的替代技术加强网络安全协议深度检测技术积累–网络空间匿名性特点，使得信息传输环节身份伪装、报文伪造等现象日益严峻–网络信息取证需要可智能提取并分析未知格式报文的通信协议深度检测技术建设网页恶意代码植入检测功能平台–CNCERT2012年统计数据表明，电子政务网站已成为网页恶意代码植入重灾区–网络恶意代码植入检测在打击计算机犯罪方面技术需求明确、成效预期显著重视智能手机及现场介质信息采集分析技术–针对各类智能手机终端的快速、通用数据获取分析技术是制约手机取证发展的关键问题之一–立足于通过智能手机平台漏洞利用技术，以密取方式获取各类移动终端存储的关键信息，同样也是手机取证技术的关键背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五可视媒体信息鉴定及盗版追踪取证网络/存储介质/软件技术的发展，为敏感信息（情色图片/小说）散布、信息伪造及侵权（如周老虎事件、明星艳照）、恶意言论煽动（如茉莉花革命）等行为提供了强力支撑。针对该类信息取证，需要进行媒体含义理解/真伪识别/版权识别以及热点事件和关键节点挖掘。需要重点分析网络媒体内容特征/信息性质及甄别相应信息发布传播者，解决敏感、伪造等媒体信息以及发布传播者的取证难题。背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五可视媒体信息鉴定及盗版追踪取证(续)网络敏感信息分析取证–色情/反动等敏感信息发布传播、垃圾信息泛滥对网络环境污染明显，对该类信息进行基于信息特征分析的监控,可为锁定其发布者、传播者提供证据网络信息关键节点/群体挖掘取证–社交网络、BBS/论坛等的文本信息具有扩散速度快、影响范围广、盲信者众多等特点，因此从海量互联网信息中分析热点信息并挖掘、定位、取证网络关键节点/群体，对于互联网管理工作而言非常必要可视媒体信息篡改检测–随着各类高质量、高精度的可视媒体处理设备和编辑软件的出现，对可视媒体的修改更加方便–可视媒体信息用于出庭作证时，必须以专业的技术手段鉴定其真伪性–可重点研究基于数字水印的主动/基于媒体特征理解的被动媒体信息篡改检测可视媒体信息盗版追踪–可视媒体版权产品的盗版发行现象屡禁不止，其瓶颈问题在于缺乏有效的盗版追踪取证技术–现阶段可重点研究采用新型编码嵌入方案的可信水印技术，以及基于数字指纹的视频信息非法散布追踪技术背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五加密隐藏信息分析取证基于GPU的可重构破译集群系统基于密码分析的破译、检测系统基于暴力遍历的破译基于密码分析技术的破译基于逆向工程的暴力算法设计基于GPU集群的优化实现技术基于规则的字典破解技术椭圆曲线密码旁路攻击技术隐写图像盲检测技术频率域的盲检测针对调色板图像置换操作的盲检测核心技术层资源实现层针对目前违法犯罪分子广泛采用的文档加密技术（RAR、OFFICE）和加密信息传递（微信、QQ、PGP等）、存储工具（TrueCrypt等），需要重点解决加密隐藏信息的准确、快速、深度分析取证难题，并采用大规模分布式GPU集群的方法来极大提升加密隐藏信息分析的能力，为司法取证提供核心技术支撑背景意义一体系架构二关键技术及系统三法律法规/管理规范四趋势展望五加密隐藏信息分析取证(续)重视基于规则的字典池生成和管理方法–针对复杂口令暴力破解问题，可基于数据挖掘技术对真实口令数据库进行分析提炼口令因子库，并进一步扩展符合我国国情的口令字典仓库（中文信息、唐诗宋词）研究椭圆曲线密码旁路攻击算法–椭圆曲线密码算法普遍应用于高强度加密通信，目前针对其暂未出现快速有效的破译攻击方法推进基于硬件加速技术的可重构破译集群系统–集成分布式技术、硬件集群技术、智能调度技术、云计算技术、GPU通用计算优化技术、密码算法快速实现技术等，可极大提升密文信息破译与取证能力研究面向隐写信息的盲检测算法–传统的时域图像隐写盲检测技术过分依赖先验信息–服务于计算机网络信息取证分析的隐写信息盲检测，可重点攻关频率域、变换域的隐写图像通用盲检测方法背景意义一体系