Тип работы:
 Предмет:
 Язык работы:


Методика применения SIEM Splunk и log2timeline для анализа образа жесткого диска в компьютерной криминалистике

Работа №58736

Тип работы

Бакалаврская работа

Предмет

физика

Объем работы41
Год сдачи2016
Стоимость4750 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
63
Не подходит работа?

Узнай цену на написание


ВВЕДЕНИЕ 4
1. КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА 6
1.1. Определение компьютерной криминалистики 6
1.2. Журнал регистрации событий и временные метки 8
1.3. Проблемы при анализе временных меток 11
1.4. Создания обобщённого журнала событий 12
2. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ LOG2TIMELINE 14
2.1. Структура 14
2.2. Получаемый объект 15
3. СИСТЕМА АНАЛИЗА SPLUNK 18
3.1. Обзор 18
3.2. Установка 19
3.3. Конфигурационные файлы 19
4. ИНТАГРАЦИЯ ДАННЫХ LOG2TIMELINE В SPLUNK 21
4.1. Подготовка образа жесткого диска 21
4.1.1. Обзор программ для снятия образа 21
4.1.2. Снятие образа диска с помощью FTK Imager 3.4 22
4.2. Монтирование полученного образа 26
4.3. Использование log2timeline для получения артефактов 28
4.4. Загрузка полученных данных в Splunk 28
4.4.1. Создание индекса 28
4.4.2. Описание структуры файла 29
4.4.3. Загрузка данных в Splunk 29
4.4.4. Поиск в системе Splunk 29
4.4.5. Создание приложения для визуализации данных 30
ЗАКЛЮЧЕНИЕ 34
СПИСОК ЛИТЕРАТУРЫ 35
Приложение


Вследствие развития информационных технологий все больше и больше сфер человеческой деятельности начинает использовать их в своей повседневной деятельности. Произошел переход от речевой и письменной информации к электронной. В передачи, обработке и распределении информации участвуют все слои общества, в том числе и криминальные. Правоохранительные органы заинтересованы в раскрытии преступлений, совершаемых с использованием компьютерной информации.
Наука занимающееся раскрытием и расследованием преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации, о применяемых для этого технических средствах получила название компьютерной криминалистики [1].
Одним из способов раскрытия преступления криминалистом является нахождение различных артефактов в системе. Под артефактом подразумевается какой-либо цифровой объект, представляющий интерес для криминалиста (например, данные реестра, история посещенных сайтов, данные баз данных и т.д.).
Разнообразие этих артефактов слишком велико, что представляет сложность для ручного анализа. Например, криминалисту необходимо знать структуру реестра, структуру баз данных, а также особенности хранения этой информации, а также знать устройство, на котором располагаются эти данные.
В настоящее время в компьютерной криминалистике активно используются приложения, позволяющие быстро и не повредив данные собрать информацию об артефактах в системе. Также эти приложение дают гарантии в суде того что информация не была искажена.
В целях сокращения времени, затрачиваемого на поиск и анализ артефактов в системе такие приложения должны позволять исследовать как весь жесткий диск целиком, так и конкретные его разделы. Также очень удобным оказывается способность приложения работать с образом жесткого 4
диска. И учитывая, что время на поиск и анализ ограничено, а также то что современные объёмы памяти даже на персональных компьютерах достигают нескольких терабайт, такие приложения должны достаточно быстро обрабатывать большие объёмы данных.
Одним из таких приложений является log2timeline позволяющий найти все записи о изменениях файлов и собрать их воедино [21. Основная задача, преследуемая log2timeline создание файла в котором бы хранились все записи, найденные в системе для последующего их анализа криминалистом.
Однако анализ криминалистом этих данных все еще затруднен. Т.к. объём записей огромен и лишь малая доля из них являются артефактами необходимыми для проведения расследования. Необходимо средство способное структурировать данные, а также фильтровать их по критериям задаваемых криминалистом.
Одним из возможных решений для структуризации полученных данных является использование Splunk - системы анализа операционной деятельности в области информационных технологий, собирающий и анализирующий большие объёмы машинных данных [31.
Целью работы является разработка приема интеграции данных, при использовании log2timeline в систему Splunk.
Поставленная цель потребовала решения следующих задач:
1) Изучить средство log2timeline;
2) Провести обзор программного обеспечения для работы с образом жесткого диска;
3) Изучить систему Splunk;
4) Изучить средства визуализации, предлагаемые системой Splunk;
5) Подготовить методику интеграции данных полученных с помощью log2timeline в систему Splunk;
6) Разработать пример использования средств визуализации, при анализе данных полученных с помощью log2timeline.


Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

В рамках дипломной работы выполнено следующее:
1) Изучено средство log2timeline;
2) Проведен обзор программного обеспечения для работы с образом жесткого диска;
3) Изучена система Splunk;
4) Изучены средства визуализации, предлагаемые системой Splunk;
5) Подготовлена методика интеграции данных полученных с помощью log2timeline в систему Splunk. Которая полностью описана в Приложении 2.
6) Разработан пример использования средств визуализации, при анализе данных полученных с помощью log2timeline.
Следует заметить, что Splunk предлагает огромный комплекс средств, которые способны очень сильно упростить процесс анализа артефактов, полученных с помощью log2timeline, создавая при этом наборы поисковых запросов, которые способны сильно ускорить анализ артефактов во время проведения последующих расследований, в тоже время позволяя легко настраивать запросы с учетом решаемых задач в конкретный момент времени.



1 Федотов Н.Н. Форензика - компьютерная криминалистика - М.:
Юридический Мир, 2007. - 432 с.
2 Официальная страница проекта log2timeline. - 2016. https://github.com/log2timeline/plaso/wiki
3 Журнал - «Windows IT Pro», № 02, 2012
4 Криминалистика / Аверьянова Т.В., Белкин, Р. С., Корухов Ю. Г., Россинская Е. Р. — М.: НОРМА — ИНФРА-М, 2000. — 990 с.
5 Kent K. Guide to Integrating Forensic Techniques into Incident Response - Recommendations of the National Institute of Standards and Technology (NIST) / Kent K., Chevalier S., Grance T., Dang H., 2006.
6 Carrier B. File System Forensic Analysis / Carrier B., Boston Mass.: Addison- Wesley., 2006
7 Lee, R. Advanced Digital Forensics and Incident Response (SANS FOR508). Bethesda, MD: SANS Institute., 2015
8 Tony Knutson, Filesystem Timestamps: What Makes Them Tick? / GIAC (GCFA) Gold Certification, 2016
9 Olsson J., Computer Forensic Timeline Visualization Tool / Olsson J., Boldt M., ScienceDirect Digital Investigation, Volume 6, 2009
10 Kristinn G., Mastering the Super Timeline With log2timeline / GIAC (GCFA) Gold Certification, 2010
11 James Miller, Mastering Splunk / Packt Publishing Ltd, 2014
12 Официальная документация продукта Splunk Enterprise. - 2016 http://docs.splunk.com/Documentation/Splunk/latest/Overview/AboutSplunkEnt erprise
13 Сайт проекта SIFT Workstation на котором можно скачать последний дистрибутив одноименной операционной системы. - 2016 https://digital-forensics.sans.org/community/downloads#overview
14 Ссылка на установочный пакет последней версии Splunk Enterprise. - 2016 https://www.splunk.com/en us/products/splunk-enterprise.html
15 Forensic Images: For Your Viewing Pleasure / GIAC (GCFA) Gold Certification
Author: Sally Vandeven Advisor: Barbara Filkins
16 Официальный сайт компании SANS. - 2016
https: //www.sans.org/


Работу высылаем на протяжении 30 минут после оплаты.




©2025 Cервис помощи студентам в выполнении работ
.