电子数据取证与分析技术研究

1.电子数据证据研究。

为了有效获取网络犯罪电子证据信息，提高网络案件破案率，必须大力加强电子数据提取、电子数据功能性取证、行为性取证等三个方面的创新研究。

(1)电子数据提取研究。重点对云服务器，智能手机APP，暗网，docker容器，物联网等设备开展电子数据提取研究。

(2)电子数据功能性取证研究。重点对恶意程序的运行机制、危害后果等进行分析和鉴定，主要包括模拟仿真分析，反编译及分析，程序的同一性分析等。

(3)电子数据行为性取证研究。重点进行电子数据取证中的行为刻画，主要研究时间规律刻画方法，工具行为刻画方法，内容性规律刻画方法，社会关系刻画等。

2.大数据背景下的电子数据取证分析技术研究。

(1)异构电子数据处理研究。大数据背景下电子数据种类多、数据量大、来源广泛，电子数据的类型、结构有着巨大的差异，无法直接用于大数据取证分析。研究解决不同类型网络犯罪案件中关键数据的智能化选择与提取，研究提取结果的结构化展示及标准，研究提取数据的存储固定标准，研究异构电子数据提取、处理过程合法性的监督链等，是大数据背景下进行取证分析的关键。

(2)大数据取证分析研究。目前取证需要分析的数据量与日俱增，分析内容日趋复杂，使用传统取证方法发现大量涉案数据之间的关联变得尤为困难。研究基于人工智能和专家系统的自动取证方法，对涉案检材进行智能数据提取，研究智能取证分析模型，对提取处理后的多源结构化数据进行智能化检查，通过模式匹配、数据挖掘等操作后，可视化输出分析结果，智能分析检材中的潜在关联，以便取证人员在大规模检材中高效发掘、固定证据，打击犯罪。

3.网络攻击背景下的电子数据取证分析研究。

（1）网络攻击溯源取证与分析。研究传统网络攻击环境下，基于网络抓包，网络日志等开展网络攻击取证，重建攻击过程等；以维护数据安全，保护关键基础设施为目的，研究不同系统平台下审计日志、应用程序日志和网络日志等细粒度数据采集，构建溯源图，实现大数据溯源图存储优化，查询和可视化，实现高级可持续攻击取证分析与溯源重建，解决攻击语义鸿沟等问题，维护网络安全。

    （2）APT攻击威胁检测研究。针对APT攻击潜伏期长，技术手段隐蔽等特点，基于ATT&CK框架，研究APT攻击战略，战术和技术实现，复现APT攻击，掌握APT攻击原理和实现方式；研究基于系统审计日志，利用图匹配规则、无监督异常检测、图神经网络学习等方法实时/离线检测APT攻击；基于深度学习的加密恶意流量检测；研究在已知入侵环境中，基于自动化威胁情报实现主动威胁狩猎等任务，维护数据安全。