0 引言

　　網(wǎng)絡(luò)取證通過抓取、記錄和分析網(wǎng)絡(luò)事件，以發(fā)現(xiàn)安全攻擊或其他的問題事件的來源。為獲取可以證明網(wǎng)絡(luò)犯罪的有效證據(jù)，需要對網(wǎng)絡(luò)犯罪在各種安全防御系統(tǒng)中遺留的各種信息進行收集和分析，而這些信息是多源的，有多種形式。因而需要一種能夠有效協(xié)同多種防御系統(tǒng)之間通信以及協(xié)同控制的方法，從而能夠更準(zhǔn)確收集網(wǎng)絡(luò)犯罪的有效證據(jù)，追蹤犯罪分子。當(dāng)前，關(guān)于網(wǎng)絡(luò)取證已有很多研究成果，如BHONDELE A提出了一種用于取證分析惡意的網(wǎng)絡(luò)數(shù)據(jù)包網(wǎng)絡(luò)取證框架[1]。JOY D等提出了面向用戶的取證分析方案，目的是設(shè)計一個健壯靈活協(xié)議格式以收集底層網(wǎng)絡(luò)數(shù)據(jù)[2]。張電等對網(wǎng)絡(luò)取證多源取證協(xié)同關(guān)聯(lián)技術(shù)進行研究[3]。張有東等重點研究了證據(jù)的關(guān)聯(lián)分析技術(shù)[4]。相關(guān)文獻對網(wǎng)絡(luò)取證中如何保持網(wǎng)絡(luò)會話的完整性進行了研究[5]。縱觀以往的研究成果，相關(guān)研究對協(xié)同關(guān)聯(lián)分析技術(shù)研究相對較多，而網(wǎng)絡(luò)系統(tǒng)間如何實現(xiàn)高效協(xié)同取證研究甚少，如近年來STONEY 等提出一種可以收集特定證據(jù)協(xié)同控制方法，并指出了協(xié)同中心在協(xié)同取證中的重要性[6]。

　　在實際網(wǎng)絡(luò)取證過程中，由于各網(wǎng)絡(luò)防御系統(tǒng)側(cè)重點不同，網(wǎng)絡(luò)系統(tǒng)采用的通信方式和通信協(xié)議也是不同的，一方面數(shù)據(jù)量較大時由于通信方式不同可能會引起阻塞；另一方面由于沒有統(tǒng)一的協(xié)議格式，各系統(tǒng)間通信語義理解也是困難的。基于以上分析，為了使網(wǎng)絡(luò)取證系統(tǒng)能夠協(xié)同多個安全取證系統(tǒng)有效取證，本文設(shè)計和實現(xiàn)了一種基于代理的協(xié)同取證方法。

1 框架設(shè)計

　　共享內(nèi)存多隊列協(xié)同取證方法(Coordinated-Forensic Method based on shared Memory multi Queue，CFMMQ)的基本結(jié)構(gòu)如圖1所示，主要包括一個取證協(xié)同控制中心(Forensic Center，F(xiàn)C)、運行于各個主機的唯一代理(Agent)及在該框架下運行的各種安全取證系統(tǒng)(如：IDS Sensor、Disaster Recovery、IDS Center、Forensic Network、Firewall、Security Audit等)。其中：Agent在各主機中有且只有一個，各個Agent之間可以相互通信；FC通過本地代理，實時監(jiān)控各安全取證系統(tǒng)狀態(tài)，為安全取證系統(tǒng)協(xié)同時提供必要信息，同時具有維持各個主機之間報文交換協(xié)議定義文件的一致性等功能。

圖1  網(wǎng)絡(luò)協(xié)同控制系統(tǒng)

　　Agent主要發(fā)揮監(jiān)控和通信的職能，監(jiān)控功能主要是針對本地安全取證系統(tǒng)的，通信功能主要指針對其他代理的。代理之間采用點對點通信，以互為客戶/服務(wù)器模式構(gòu)建通信網(wǎng)絡(luò)，數(shù)據(jù)交換采用統(tǒng)一的協(xié)議，從而有助于采用統(tǒng)一的協(xié)同控制安全策略。

　　各個安全取證系統(tǒng)只能通過本機的代理與其他系統(tǒng)通信協(xié)同取證。也就是說，當(dāng)安全取證系統(tǒng)與主機內(nèi)其他安全取證系統(tǒng)協(xié)同通信時，必須借助Agent交換數(shù)據(jù)，同時安全取證系統(tǒng)和其他主機的協(xié)同取證安全取證系統(tǒng)通信也通過Agent。因此，本地安全取證系統(tǒng)和Agent采用主機內(nèi)進程間通信策略,Agent之間采用主機間網(wǎng)絡(luò)通信策略。由于安全取證系統(tǒng)的復(fù)雜性，取證系統(tǒng)的數(shù)據(jù)交換可能瞬時出現(xiàn)大量數(shù)據(jù)造成瓶頸，為此CFMMQ框架在算法設(shè)計上進行了特別考慮。

2 數(shù)據(jù)通信設(shè)計

　　2.1 數(shù)據(jù)結(jié)構(gòu)

　　由框架設(shè)計可知，Agent與本地安全取證系統(tǒng)之間的通信是主機內(nèi)進程間的通信，一個Agent可以與多個本地安全取證系統(tǒng)進行數(shù)據(jù)交換。在技術(shù)上，主機內(nèi)部進程間通信可以選擇匿名管道、有名管道、消息隊列、套接字通信、共享內(nèi)存等，這里選擇共享內(nèi)存通信方式，該方式通信效率最高，這一點對大數(shù)據(jù)量通信特別重要。另外，共享內(nèi)存方式和其他通信方式相比更不容易被攻擊者發(fā)現(xiàn)和利用[7]。在共享內(nèi)存通信的基礎(chǔ)上，設(shè)計基于多隊列緩存的取證方法。

　　綜合考慮，共享內(nèi)存設(shè)計上共申請空間1 002 KB[8]，該空間被分為成數(shù)據(jù)區(qū)和管理區(qū)兩部分，數(shù)據(jù)區(qū)部分的大小1 000 KB用于系統(tǒng)之間數(shù)據(jù)通信，管理區(qū)部分的大小為2 KB用于保存相關(guān)的管理信息。共享內(nèi)存中共包含4種信息結(jié)構(gòu)，分別是基本信息塊、空閑信息塊、Agent信息塊和安全取證系統(tǒng)信息塊。

　　數(shù)據(jù)區(qū)部分：數(shù)據(jù)區(qū)部分包含若干基本信息塊，每個基本信息塊為1 KB，結(jié)構(gòu)如圖2(a)所示，基本信息塊設(shè)計為1 KB可以避免在操作系統(tǒng)中跨頁而降低效率。基本信息塊包括五部分，分別是前驅(qū)指針、后繼指針、消息頭、數(shù)據(jù)和冗余字節(jié)，基本信息塊可以置于不同的雙向隊列之中，包括空閑塊隊列、Agent數(shù)據(jù)塊隊列和安全取證系統(tǒng)數(shù)據(jù)塊隊列。

　　管理區(qū)部分：該部分主要用于存放管理隊列的信息。其中，用于管理空閑塊隊列的空閑塊信息包括隊首指針、隊尾指針和互斥鎖，如圖2(b)。用于管理Agent數(shù)據(jù)塊隊列的Agent信息包括隊列長度、隊首指針、隊尾指針、互斥鎖和通知信號，如圖2(c)。用于管理安全取證系統(tǒng)數(shù)據(jù)塊隊列的安全取證系統(tǒng)信息包括系統(tǒng)類型、隊列長度、隊首指針、隊尾指針、互斥鎖和通知信號，如圖2(d)。3個隊列都是雙向隊列，隊列中的基本元素都是基本信息塊?；コ怄i可以保證隊列信息的一致性，通知信號用于當(dāng)隊列有數(shù)據(jù)塊時通知讀取數(shù)據(jù)。

圖2  信息結(jié)構(gòu)

　　在基本信息塊中，包括16 B的消息頭和912 B的內(nèi)容信息。表1給出了消息頭的格式，其中系統(tǒng)類型8位中，前4位為安全取證系統(tǒng)類型，后4位表示子系統(tǒng)，如IDS的控制中心可以表示為00100001,前四位0010表示為入侵檢測系統(tǒng)（IDS）,后四位0001表示為IDS的控制中心子系統(tǒng)。

　　消息類型主要包括以下6種類型：

　　(1)心跳消息(HEART)

　　適用于安全取證系統(tǒng)向本地Agent發(fā)送，并由Agent綜合本機安全取證系統(tǒng)狀態(tài)定時向協(xié)同取證中心發(fā)送，目的是維持當(dāng)前不同主機安全取證系統(tǒng)活動狀態(tài)。

　　(2)查詢消息(INQUERY)

　　用于Agent查詢安全取證系統(tǒng)的各種信息，內(nèi)容格式見表2，查詢消息格式設(shè)計還可采用掩碼方式支持不同類型的查詢。如：當(dāng)需要查詢主機上所有安全取證系統(tǒng)時，系統(tǒng)類型設(shè)置為0xFF，查詢主機上所有的IDS子系統(tǒng)時系統(tǒng)類型為0x1F，這里假定IDS的編號為1。查詢位于不同主機的系統(tǒng)時，可以設(shè)置查詢系統(tǒng)的IP地址，查詢多個目標(biāo)IP地址時，可以設(shè)置成網(wǎng)絡(luò)掩碼的方式，實現(xiàn)廣播查詢。

　　(3)應(yīng)答消息(REPONSE)

　　適用于查詢消息的應(yīng)答，應(yīng)答查詢消息包含了應(yīng)答數(shù)據(jù)，如查詢的安全取證系統(tǒng)運行狀態(tài)信息等。

　　(4)傳輸消息(TRANFER)

　　用于安全取證系統(tǒng)之間或者安全取證系統(tǒng)與取證協(xié)同控制中心之間傳輸數(shù)據(jù)，具體的格式見表2。在數(shù)據(jù)塊長度足以承載傳輸信息時，則一個數(shù)據(jù)塊即可，此時置數(shù)據(jù)序列號為0xFF。當(dāng)傳送的信息超出數(shù)據(jù)塊長度時，需要對信息分成多個數(shù)據(jù)塊進行傳輸，數(shù)據(jù)序列號從0開始依次標(biāo)記，當(dāng)達到0xFE時，循環(huán)標(biāo)記，直到結(jié)束，標(biāo)記數(shù)據(jù)序列號為0xFF。

　　(5)協(xié)同控制命令消息(COMMAND)

　　為安全取證系統(tǒng)之間提供協(xié)同控制功能，根據(jù)安全策略，實現(xiàn)對其他安全取證系統(tǒng)進行啟動、停止等控制，包括其子系統(tǒng)。如：IDS的控制中心可以通過協(xié)同框架啟動、停止探測器，取證中心可以通過協(xié)同框架協(xié)同控制不同的安全取證系統(tǒng)等。

　　(6)錯誤消息(ERROR)

　　適用于當(dāng)消息傳輸錯誤時，返回提示信息。錯誤消息主要用于系統(tǒng)控制與安全取證系統(tǒng)之間協(xié)同通信的錯誤診斷。同時，也可通過錯誤消息了解不同安全取證系統(tǒng)狀況。

　　2.2 數(shù)據(jù)通信

　　數(shù)據(jù)通信包括兩方面，一是Agent與安全取證系統(tǒng)之間的數(shù)據(jù)交換，二是Agent與網(wǎng)絡(luò)其他主機之間的數(shù)據(jù)交換。

　　在Agent啟動時，進行初始化工作，對于數(shù)據(jù)區(qū)，初始化工作就是將數(shù)據(jù)區(qū)的空間建立空閑塊并加入空閑塊隊列。對于管理區(qū)，就是建立管理區(qū)信息結(jié)構(gòu)。Agent的工作過程如下：

　　(1)Agent從網(wǎng)絡(luò)讀取到數(shù)據(jù)

　　根據(jù)數(shù)據(jù)包格式檢查數(shù)據(jù)的正確性是Agent接收到其他Agent發(fā)來網(wǎng)絡(luò)數(shù)據(jù)的首要任務(wù)，之后進行數(shù)據(jù)包解析，取出空閑塊加載數(shù)據(jù)，并把數(shù)據(jù)塊加入對應(yīng)的安全取證系統(tǒng)數(shù)據(jù)塊隊列中，見圖3中④說明a。待安全取證系統(tǒng)從隊列讀取走數(shù)據(jù)后，該數(shù)據(jù)塊重新加入到空閑塊隊列，見圖3中①。

　　(2)Agent數(shù)據(jù)塊隊列接收到數(shù)據(jù)塊通知信息

　　當(dāng)Agent數(shù)據(jù)塊隊列接收到數(shù)據(jù)塊通知信息時，從隊列中取出數(shù)據(jù)塊，解析數(shù)據(jù)塊目的地址，如果數(shù)據(jù)塊的目地本機的安全取證系統(tǒng)，則把數(shù)據(jù)塊轉(zhuǎn)入相應(yīng)的安全取證系統(tǒng)數(shù)據(jù)塊隊列，并向該安全取證系統(tǒng)發(fā)送通知信號；如果數(shù)據(jù)塊目的地址是其他主機，則把數(shù)據(jù)塊信息發(fā)往目的主機的Agent，發(fā)送成功后，數(shù)據(jù)塊被轉(zhuǎn)入空閑塊隊列；當(dāng)數(shù)據(jù)塊隊列沒有數(shù)據(jù)，則進入等待狀態(tài)，待通知信號激活。

　　安全取證系統(tǒng)運行時首先檢查本地Agent運行狀態(tài)，并在共享內(nèi)存的管理區(qū)內(nèi)生成安全取證系統(tǒng)信息結(jié)構(gòu)，圖2(d)，用于維護安全取證系統(tǒng)數(shù)據(jù)塊隊列。

　　(1)安全取證系統(tǒng)端發(fā)送數(shù)據(jù)

　　當(dāng)安全取證系統(tǒng)需要發(fā)送數(shù)據(jù)時，利用共享內(nèi)存中的空閑塊加承載數(shù)據(jù)，并將該快從空閑塊隊列轉(zhuǎn)移到Agent的數(shù)據(jù)塊隊列中，見圖3中③。Agent獲取信號后，讀取隊列中數(shù)據(jù)，并解析數(shù)據(jù)包信息,然后根據(jù)目的地址進行發(fā)送。如果目的地址是其他主機的安全取證系統(tǒng)，則進一步判斷目的主機對應(yīng)的Agent狀態(tài)，如果正常則發(fā)往目的Agent，否則丟棄并返回相應(yīng)的錯誤信息，見圖3中②說明a。如果目的地址是本地主機，則把數(shù)據(jù)塊加入對應(yīng)的安全取證系統(tǒng)數(shù)據(jù)塊隊列中，見圖3中②說明b和④說明 b。

圖3  Agent與安全取證系統(tǒng)之間的數(shù)據(jù)通信

　　(2)安全取證系統(tǒng)讀取數(shù)據(jù)

　　當(dāng)安全取證系統(tǒng)數(shù)據(jù)塊隊接收到通知信號時，從數(shù)據(jù)塊隊列取出數(shù)據(jù)塊，讀取數(shù)據(jù)，把數(shù)據(jù)塊加入空閑塊隊列。在數(shù)據(jù)塊隊列沒有數(shù)據(jù)時，鎖定等待信號發(fā)生。

　　2.3 相關(guān)問題

　　死鎖問題：算法中存在多個互斥鎖，而每個互斥鎖的目的是保持本數(shù)據(jù)塊隊列的一致性，當(dāng)需要加入數(shù)據(jù)時由通知信號解鎖（如果隊列為空），否則表示隊列正在操作而等待；數(shù)據(jù)讀取時如果為空等待，否則鎖定而讀取，由上述算法描述可知數(shù)據(jù)的流動不存在循環(huán)流動，因此不會產(chǎn)生死鎖。

　　并行性：框架中個隊列操作為并行運行。Agent端需要啟動兩個線程同時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)和數(shù)據(jù)塊隊列。安全取證系統(tǒng)端則需要啟動線程讀取數(shù)據(jù)塊隊列，讀取數(shù)據(jù)塊隊列和發(fā)送數(shù)據(jù)也是通過多線程并行執(zhí)行的，這樣可以有效提高協(xié)同框架傳送數(shù)據(jù)報文的效率。

　　算法復(fù)雜度：空間復(fù)雜度方面，就是申請的共享內(nèi)存大小，實際占用內(nèi)存則由緩存數(shù)據(jù)塊的大小和數(shù)量決定，假設(shè)每個數(shù)據(jù)塊的大小為m和總塊數(shù)為n，則算法的空間復(fù)雜度為O(m×n)；時間復(fù)雜度方面，在發(fā)送數(shù)據(jù)包時操作是按照順序執(zhí)行的，與傳輸?shù)臄?shù)據(jù)量有關(guān)，假設(shè)傳輸?shù)臄?shù)據(jù)量是q，則算法的時間復(fù)雜度為O(q)。

　　2.4 協(xié)議分析

　　協(xié)議采用面向連接的TCP協(xié)議保證消息的可達性。通信數(shù)據(jù)在確保安全的情況下協(xié)同控制安全防御系統(tǒng)，從而保證證據(jù)的法律有效性。

　　協(xié)議安全性上需要考慮兩個方面，其一是主機內(nèi)安全系統(tǒng)采用共享內(nèi)存的方式與Agent之間的通信，其二是主機間采用網(wǎng)絡(luò)通信的方式借助Agent的通信。

　　安全系統(tǒng)與Agent之間采用共享內(nèi)存命名的方式實現(xiàn)獲取進程間共享內(nèi)存地址。如果攻擊者獲取了共享內(nèi)存的名稱，則可以獲取對共享內(nèi)存的控制，但前提條件是攻擊者必須控制主機并且取得獲取共享內(nèi)存的權(quán)限，因此可以通過提高主機的安全性進而提升共享內(nèi)存的權(quán)限方式確保共享內(nèi)存的安全。實際上攻擊者如果完全控制主機，那么取證系統(tǒng)獲取的數(shù)據(jù)也就不再可信。

　　對于主機間網(wǎng)絡(luò)通信，采用以下策略：

　　(1)當(dāng)通信流量小于一定的閾值（根據(jù)網(wǎng)絡(luò)帶寬、主機性能綜合判斷）時，采用SSL協(xié)議通信，從而保證傳輸數(shù)據(jù)的完整性和真實性。

　　(2)當(dāng)通信流量超過閾值時，則按照前述通信協(xié)議直接發(fā)送，這樣可以避免數(shù)據(jù)通信帶來的額外開銷，攻擊者在高速數(shù)據(jù)流情況下，不大可能采用TCP劫持會話技術(shù)偽造傳輸數(shù)據(jù)，進而可以保證數(shù)據(jù)傳輸?shù)陌踩浴?shù)據(jù)完整性方面則采用驗證碼的方式進行保障，詳見表1。這里并未采用MD5、SHA等散列算法進行校驗，主要目的是避免資源消耗和提高效率。

3 網(wǎng)絡(luò)報文格式

　　取證中心協(xié)同安全取證系統(tǒng)取證時，需要通過框架建立有效的網(wǎng)絡(luò)通信，為使安全取證系統(tǒng)間無歧義地協(xié)同控制和通信，須定義統(tǒng)一的網(wǎng)絡(luò)報文交換格式。這里采用非常有效描述語言是XML[9]格式，IDWG曾利用XML定義了入侵檢測組件的交換協(xié)議IDMEF[10]，這里結(jié)合IDMEF對入侵檢測信息描述的思想，定義了網(wǎng)絡(luò)報文格式，使之可應(yīng)用于多個安全取證系統(tǒng)之間進行網(wǎng)絡(luò)報文交換。報文采用UTF-8編碼，各Agent采用統(tǒng)一的DTD保證消息一致性，通過版本號來保持DTD文件的一致性。

　　下面是一個入侵檢測系統(tǒng)檢測到關(guān)鍵文件被刪除時的報文描述實例：

　　<?xml version="1.0" encoding="UTF-8"?>

　　<CFMMQ-Message version="1.0">

　　<CreateTime>2015-02-09 11:06:12</CreateTime>

　　<Source ID="0x32">

　　<Address>172.10.1.10</Address>

　　<System>intrusion-detection</System>

　　<Alert id="0x0501" type="delete">

　　<File>/etc/passwd</File>

　　</Alert>

　　</Source>

　　<Target>

　　<System>Forensic_Center</System>

　　</Target>

　　</CFMMQ-Message>

　　其中，消息的源系統(tǒng)編號ID為0x32，表示入侵檢測系統(tǒng)的類型。該報文表示入侵檢測系統(tǒng)檢測到passwd文件刪除，需要取證通知取證中心并由取證中心協(xié)同相關(guān)安全取證系統(tǒng)取證該事件。

4 實現(xiàn)

　　基于以上設(shè)計，實現(xiàn)了一個協(xié)同多個網(wǎng)絡(luò)安全取證系統(tǒng)的網(wǎng)絡(luò)協(xié)同控制系統(tǒng)。采用設(shè)計的統(tǒng)一報文以及協(xié)議算法，該系統(tǒng)協(xié)同網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort，實現(xiàn)了對網(wǎng)絡(luò)入侵事件的取證，協(xié)同防火墻軟件實現(xiàn)了對主機防火墻信息的取證，如圖4。

圖4  網(wǎng)絡(luò)協(xié)同取證系統(tǒng)實現(xiàn)

　　取證協(xié)同控制中心FC主機的IP地址為192.168.0.4，兩個運行代理的主機地址分別是192.168.0.10和192.168.0.8。FC上有取證中心、IDE center和FireWall天網(wǎng)防火墻，兩個代理主機上都有主機取證代理和FireWall天網(wǎng)防火墻，并分別有IDS Snort Sensor或IDE Sensor，在顯示區(qū)列出了一些事件列表。

　　取證中心也可以根據(jù)獲得的網(wǎng)絡(luò)安全信息，協(xié)同多個網(wǎng)絡(luò)安全取證系統(tǒng)同時進行網(wǎng)絡(luò)行為取證，當(dāng)入侵檢測系統(tǒng)分析到入侵行為時，協(xié)同網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻雙重記錄，有利于形成完整的證據(jù)鏈，所設(shè)計的底層通信算法能夠?qū)崿F(xiàn)各個網(wǎng)絡(luò)防御系統(tǒng)的有效通信和控制。同時在千兆網(wǎng)絡(luò)的環(huán)境中協(xié)同框架的瞬時流量可以承載600 Mb/s，達到了網(wǎng)絡(luò)協(xié)同控制的網(wǎng)絡(luò)通信的需求。

5 結(jié)束語

　　本文提出了一種共享內(nèi)存多隊列協(xié)同取證方法，設(shè)計了整個框架，在該框架中每臺主機擁有唯一的代理，代理負(fù)責(zé)安全取證系統(tǒng)之間及與協(xié)同取證中心之間的協(xié)同和通信，該方法通過取證中心協(xié)同安全取證系統(tǒng)取證。采用共享內(nèi)存的通信方式，設(shè)計了基于多隊列及通知信號機制的高速數(shù)據(jù)通信算法，提高通信效率。定義了基于XML的網(wǎng)絡(luò)報文格式，實現(xiàn)了一個網(wǎng)絡(luò)系統(tǒng)取證系統(tǒng)。協(xié)同控制框架為安全取證系統(tǒng)提供消息封裝、解析、傳遞等API，使安全取證系統(tǒng)能夠透明地接入該系統(tǒng)，而不必了解協(xié)同控制的實現(xiàn)細(xì)節(jié)。

　　參考文獻

　　[1] BHONDELE A，RAWAT S，RENUKUNTLA S S B.Network management framework for Network forensic analysis[C].Emerging ICT for Bridging the Future-Proceedings of the 49th Annual Convention of the Computer Society of India CSI Volume 2.Springer International Publishing，2015：397-404.

　　[2] JOY D，LI F，F(xiàn)URNELL S M.A user-oriented network forensic analyser：The design of a high-level protocol analyser[C].The 12th Australian Digital Forensics Conference，Western Australia，2014：84-93.

　　[3] 張電，高平，潘峰.網(wǎng)絡(luò)協(xié)同取證系統(tǒng)的設(shè)計與實現(xiàn)[J].信息安全與通信保密，2011(11)：89-91.

　　[4] 張有東，曾慶凱，王建東.網(wǎng)絡(luò)協(xié)同取證計算研究[J].計算機學(xué)報，2010，33(3)：504-513.

　　[5] 王文奇，苗鳳君，潘磊，等.網(wǎng)絡(luò)取證完整性技術(shù)研究[J].電子學(xué)報，2010，38(11)：2529-2534.

　　[6] STONEY D A，STONEY P L.Illustration and analysis of a coordinated approach to an effective forensic trace evidence capability[J].Forensic Science International，2015，253(8)：14-27.

　　[7] AVIRAM A，WENG S C，HU S，et al.Efficient systemenforced deterministic parallelism[J].Communications of the ACM，2012，55(5)：111-119.

　　[8] Jeffrey Richter.Windows核心編程[M].王建華，譯.北京：機械工業(yè)出版社，2005.

　　[9] FEIERTAN R，KAHN C，PORRAS P，et al.A common intrusion specification language(CISL)[EB/OL].[2015-6-20].http：//gost.isi.edu/cidf/drafts/language.txt.

　　[10] DEBAR H，TELECOM F.The intrusion detection message exchange format(IDMEF)[EB/OL].[2015-6-20].http：//datatracker.ietf.org/doc/rfc4765/.