科研方向
网络犯罪取证
电子数据取证与分析技术研究
1.电子数据证据研究。
为了有效获取网络犯罪电子证据信息,提高网络案件破案率,必须大力加强电子数据提取、电子数据功能性取证、行为性取证等三个方面的创新研究。
(1)电子数据提取研究。重点对云服务器,智能手机APP,暗网,docker容器,物联网等设备开展电子数据提取研究。
(2)电子数据功能性取证研究。重点对恶意程序的运行机制、危害后果等进行分析和鉴定,主要包括模拟仿真分析,反编译及分析,程序的同一性分析等。
(3)电子数据行为性取证研究。重点进行电子数据取证中的行为刻画,主要研究时间规律刻画方法,工具行为刻画方法,内容性规律刻画方法,社会关系刻画等。
2.大数据背景下的电子数据取证分析技术研究。
(1)异构电子数据处理研究。大数据背景下电子数据种类多、数据量大、来源广泛,电子数据的类型、结构有着巨大的差异,无法直接用于大数据取证分析。研究解决不同类型网络犯罪案件中关键数据的智能化选择与提取,研究提取结果的结构化展示及标准,研究提取数据的存储固定标准,研究异构电子数据提取、处理过程合法性的监督链等,是大数据背景下进行取证分析的关键。
(2)大数据取证分析研究。目前取证需要分析的数据量与日俱增,分析内容日趋复杂,使用传统取证方法发现大量涉案数据之间的关联变得尤为困难。研究基于人工智能和专家系统的自动取证方法,对涉案检材进行智能数据提取,研究智能取证分析模型,对提取处理后的多源结构化数据进行智能化检查,通过模式匹配、数据挖掘等操作后,可视化输出分析结果,智能分析检材中的潜在关联,以便取证人员在大规模检材中高效发掘、固定证据,打击犯罪。
3.网络攻击背景下的电子数据取证分析研究。
(1)网络攻击溯源取证与分析。研究传统网络攻击环境下,基于网络抓包,网络日志等开展网络攻击取证,重建攻击过程等;以维护数据安全,保护关键基础设施为目的,研究不同系统平台下审计日志、应用程序日志和网络日志等细粒度数据采集,构建溯源图,实现大数据溯源图存储优化,查询和可视化,实现高级可持续攻击取证分析与溯源重建,解决攻击语义鸿沟等问题,维护网络安全。
(2)APT攻击威胁检测研究。针对APT攻击潜伏期长,技术手段隐蔽等特点,基于ATT&CK框架,研究APT攻击战略,战术和技术实现,复现APT攻击,掌握APT攻击原理和实现方式;研究基于系统审计日志,利用图匹配规则、无监督异常检测、图神经网络学习等方法实时/离线检测APT攻击;基于深度学习的加密恶意流量检测;研究在已知入侵环境中,基于自动化威胁情报实现主动威胁狩猎等任务,维护数据安全。