📄Работа №58736
Тема: Методика применения SIEM Splunk и log2timeline для анализа образа жесткого диска в компьютерной криминалистике
Тип работы
Бакалаврская работа
Предмет
физика
Объем:
41 листов
Год:
2016
Просмотров:
106
4750
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
ВВЕДЕНИЕ 4
1. КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА 6
1.1. Определение компьютерной криминалистики 6
1.2. Журнал регистрации событий и временные метки 8
1.3. Проблемы при анализе временных меток 11
1.4. Создания обобщённого журнала событий 12
2. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ LOG2TIMELINE 14
2.1. Структура 14
2.2. Получаемый объект 15
3. СИСТЕМА АНАЛИЗА SPLUNK 18
3.1. Обзор 18
3.2. Установка 19
3.3. Конфигурационные файлы 19
4. ИНТАГРАЦИЯ ДАННЫХ LOG2TIMELINE В SPLUNK 21
4.1. Подготовка образа жесткого диска 21
4.1.1. Обзор программ для снятия образа 21
4.1.2. Снятие образа диска с помощью FTK Imager 3.4 22
4.2. Монтирование полученного образа 26
4.3. Использование log2timeline для получения артефактов 28
4.4. Загрузка полученных данных в Splunk 28
4.4.1. Создание индекса 28
4.4.2. Описание структуры файла 29
4.4.3. Загрузка данных в Splunk 29
4.4.4. Поиск в системе Splunk 29
4.4.5. Создание приложения для визуализации данных 30
ЗАКЛЮЧЕНИЕ 34
СПИСОК ЛИТЕРАТУРЫ 35
Приложение
1. КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА 6
1.1. Определение компьютерной криминалистики 6
1.2. Журнал регистрации событий и временные метки 8
1.3. Проблемы при анализе временных меток 11
1.4. Создания обобщённого журнала событий 12
2. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ LOG2TIMELINE 14
2.1. Структура 14
2.2. Получаемый объект 15
3. СИСТЕМА АНАЛИЗА SPLUNK 18
3.1. Обзор 18
3.2. Установка 19
3.3. Конфигурационные файлы 19
4. ИНТАГРАЦИЯ ДАННЫХ LOG2TIMELINE В SPLUNK 21
4.1. Подготовка образа жесткого диска 21
4.1.1. Обзор программ для снятия образа 21
4.1.2. Снятие образа диска с помощью FTK Imager 3.4 22
4.2. Монтирование полученного образа 26
4.3. Использование log2timeline для получения артефактов 28
4.4. Загрузка полученных данных в Splunk 28
4.4.1. Создание индекса 28
4.4.2. Описание структуры файла 29
4.4.3. Загрузка данных в Splunk 29
4.4.4. Поиск в системе Splunk 29
4.4.5. Создание приложения для визуализации данных 30
ЗАКЛЮЧЕНИЕ 34
СПИСОК ЛИТЕРАТУРЫ 35
Приложение
📖 Введение
Вследствие развития информационных технологий все больше и больше сфер человеческой деятельности начинает использовать их в своей повседневной деятельности. Произошел переход от речевой и письменной информации к электронной. В передачи, обработке и распределении информации участвуют все слои общества, в том числе и криминальные. Правоохранительные органы заинтересованы в раскрытии преступлений, совершаемых с использованием компьютерной информации.
Наука занимающееся раскрытием и расследованием преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации, о применяемых для этого технических средствах получила название компьютерной криминалистики [1].
Одним из способов раскрытия преступления криминалистом является нахождение различных артефактов в системе. Под артефактом подразумевается какой-либо цифровой объект, представляющий интерес для криминалиста (например, данные реестра, история посещенных сайтов, данные баз данных и т.д.).
Разнообразие этих артефактов слишком велико, что представляет сложность для ручного анализа. Например, криминалисту необходимо знать структуру реестра, структуру баз данных, а также особенности хранения этой информации, а также знать устройство, на котором располагаются эти данные.
В настоящее время в компьютерной криминалистике активно используются приложения, позволяющие быстро и не повредив данные собрать информацию об артефактах в системе. Также эти приложение дают гарантии в суде того что информация не была искажена.
В целях сокращения времени, затрачиваемого на поиск и анализ артефактов в системе такие приложения должны позволять исследовать как весь жесткий диск целиком, так и конкретные его разделы. Также очень удобным оказывается способность приложения работать с образом жесткого 4
диска. И учитывая, что время на поиск и анализ ограничено, а также то что современные объёмы памяти даже на персональных компьютерах достигают нескольких терабайт, такие приложения должны достаточно быстро обрабатывать большие объёмы данных.
Одним из таких приложений является log2timeline позволяющий найти все записи о изменениях файлов и собрать их воедино [21. Основная задача, преследуемая log2timeline создание файла в котором бы хранились все записи, найденные в системе для последующего их анализа криминалистом.
Однако анализ криминалистом этих данных все еще затруднен. Т.к. объём записей огромен и лишь малая доля из них являются артефактами необходимыми для проведения расследования. Необходимо средство способное структурировать данные, а также фильтровать их по критериям задаваемых криминалистом.
Одним из возможных решений для структуризации полученных данных является использование Splunk - системы анализа операционной деятельности в области информационных технологий, собирающий и анализирующий большие объёмы машинных данных [31.
Целью работы является разработка приема интеграции данных, при использовании log2timeline в систему Splunk.
Поставленная цель потребовала решения следующих задач:
1) Изучить средство log2timeline;
2) Провести обзор программного обеспечения для работы с образом жесткого диска;
3) Изучить систему Splunk;
4) Изучить средства визуализации, предлагаемые системой Splunk;
5) Подготовить методику интеграции данных полученных с помощью log2timeline в систему Splunk;
6) Разработать пример использования средств визуализации, при анализе данных полученных с помощью log2timeline.
Наука занимающееся раскрытием и расследованием преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации, о применяемых для этого технических средствах получила название компьютерной криминалистики [1].
Одним из способов раскрытия преступления криминалистом является нахождение различных артефактов в системе. Под артефактом подразумевается какой-либо цифровой объект, представляющий интерес для криминалиста (например, данные реестра, история посещенных сайтов, данные баз данных и т.д.).
Разнообразие этих артефактов слишком велико, что представляет сложность для ручного анализа. Например, криминалисту необходимо знать структуру реестра, структуру баз данных, а также особенности хранения этой информации, а также знать устройство, на котором располагаются эти данные.
В настоящее время в компьютерной криминалистике активно используются приложения, позволяющие быстро и не повредив данные собрать информацию об артефактах в системе. Также эти приложение дают гарантии в суде того что информация не была искажена.
В целях сокращения времени, затрачиваемого на поиск и анализ артефактов в системе такие приложения должны позволять исследовать как весь жесткий диск целиком, так и конкретные его разделы. Также очень удобным оказывается способность приложения работать с образом жесткого 4
диска. И учитывая, что время на поиск и анализ ограничено, а также то что современные объёмы памяти даже на персональных компьютерах достигают нескольких терабайт, такие приложения должны достаточно быстро обрабатывать большие объёмы данных.
Одним из таких приложений является log2timeline позволяющий найти все записи о изменениях файлов и собрать их воедино [21. Основная задача, преследуемая log2timeline создание файла в котором бы хранились все записи, найденные в системе для последующего их анализа криминалистом.
Однако анализ криминалистом этих данных все еще затруднен. Т.к. объём записей огромен и лишь малая доля из них являются артефактами необходимыми для проведения расследования. Необходимо средство способное структурировать данные, а также фильтровать их по критериям задаваемых криминалистом.
Одним из возможных решений для структуризации полученных данных является использование Splunk - системы анализа операционной деятельности в области информационных технологий, собирающий и анализирующий большие объёмы машинных данных [31.
Целью работы является разработка приема интеграции данных, при использовании log2timeline в систему Splunk.
Поставленная цель потребовала решения следующих задач:
1) Изучить средство log2timeline;
2) Провести обзор программного обеспечения для работы с образом жесткого диска;
3) Изучить систему Splunk;
4) Изучить средства визуализации, предлагаемые системой Splunk;
5) Подготовить методику интеграции данных полученных с помощью log2timeline в систему Splunk;
6) Разработать пример использования средств визуализации, при анализе данных полученных с помощью log2timeline.
✅ Заключение
В рамках дипломной работы выполнено следующее:
1) Изучено средство log2timeline;
2) Проведен обзор программного обеспечения для работы с образом жесткого диска;
3) Изучена система Splunk;
4) Изучены средства визуализации, предлагаемые системой Splunk;
5) Подготовлена методика интеграции данных полученных с помощью log2timeline в систему Splunk. Которая полностью описана в Приложении 2.
6) Разработан пример использования средств визуализации, при анализе данных полученных с помощью log2timeline.
Следует заметить, что Splunk предлагает огромный комплекс средств, которые способны очень сильно упростить процесс анализа артефактов, полученных с помощью log2timeline, создавая при этом наборы поисковых запросов, которые способны сильно ускорить анализ артефактов во время проведения последующих расследований, в тоже время позволяя легко настраивать запросы с учетом решаемых задач в конкретный момент времени.
1) Изучено средство log2timeline;
2) Проведен обзор программного обеспечения для работы с образом жесткого диска;
3) Изучена система Splunk;
4) Изучены средства визуализации, предлагаемые системой Splunk;
5) Подготовлена методика интеграции данных полученных с помощью log2timeline в систему Splunk. Которая полностью описана в Приложении 2.
6) Разработан пример использования средств визуализации, при анализе данных полученных с помощью log2timeline.
Следует заметить, что Splunk предлагает огромный комплекс средств, которые способны очень сильно упростить процесс анализа артефактов, полученных с помощью log2timeline, создавая при этом наборы поисковых запросов, которые способны сильно ускорить анализ артефактов во время проведения последующих расследований, в тоже время позволяя легко настраивать запросы с учетом решаемых задач в конкретный момент времени.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.