| 发明名称 | 一种基于数据关联的自动内存证据分析方法 | ||
| 摘要 | 一种基于数据关联的自动内存证据分析方法,借助关键数据结构分析以及聚类方法全面分析了进程、文件、用户、动态链接库等主要内存数据之间的各种关系;对于进程与其他信息之间,依次自动识别进程与文件关联、进程与动态链接库关联、进程与用户关联以及进程与网络报关联;对于进程与进程之间的关联,依次可自动识别进程间父子关联、进程间服务关联和进程间通信关联。通过描述这些关系,本方法可以将彼此独立的数据组织成关联图,从更高的语义层次揭示原始证据的含义。 | ||
| 申请公布号 | CN104392171A | 申请公布日期 | 2015.03.04 |
| 申请号 | CN201410696545.0 | 申请日期 | 2014.11.27 |
| 申请人 | 南京大学 | 发明人 | 伏晓;骆斌 |
| 分类号 | G06F21/52(2013.01)I | 主分类号 | G06F21/52(2013.01)I |
| 代理机构 | 南京瑞弘专利商标事务所(普通合伙) 32249 | 代理人 | 陈建和 |
| 主权项 | 一种基于数据关联的自动内存证据分析方法,其特征在于:借助关键数据结构分析以及聚类方法全面分析了进程、文件、用户、动态链接库等主要内存数据之间的各种关系;对于进程与其他信息之间,依次自动识别进程与文件关联、进程与动态链接库关联、进程与用户关联以及进程与网络报关联;对于进程与进程之间的关联,依次可自动识别进程间父子关联、进程间服务关联和进程间通信关联。 | ||
| 地址 | 210093 江苏省南京市鼓楼区汉口路22号 | ||