数据集概述
该数据集包含Windows操作系统取证痕迹相关数据,基于CTF竞赛中的Windows设备镜像,通过Plaso工具生成安全事件时间线并转换为二进制属性,以CSV格式存储为多个文件,支持数据分析与机器学习应用。
文件详解
该数据集包含多个CSV格式文件,按不同案例或场景分类存储,具体如下:
- 目录结构:数据集分为七个子目录,如Magnet_CTF_2019_Windows_Desktop、Magnet_CTF_2020_Windows_Desktop、Magnet_CTF_2022_Windows_Laptop、NIST_Data_Leakage_Case、Stolen_Szechuan_Sauce_DC、Stolen_Szechuan_Sauce_Desktop等
- 文件类型:所有文件均为CSV格式
- 文件示例:
- Magnet_CTF_2019_Windows_Desktop_evt.csv:包含inode、id、datetime、computer_name、source_name等字段的事件日志数据
- Magnet_CTF_2019_Windows_Desktop_file.csv:包含filename、inode、datetime、file_path、name等字段的文件系统数据
- 其他类似文件:如Magnet_CTF_2020_Windows_Desktop_evt.csv、NIST_Data_Leakage_Case_file.csv等,均遵循“场景名称_文件类型.csv”的命名模式
适用场景
- 数字取证研究:分析Windows操作系统中的取证痕迹,如文件系统记录和事件日志
- 安全事件分析:基于CTF竞赛案例,重建安全事件时间线
- 机器学习应用:利用转换后的二进制属性数据,训练和测试数字取证相关的机器学习模型
- 取证工具评估:验证Plaso等取证工具的有效性和准确性
- 网络安全教学:作为数字取证课程的实践数据集,帮助学生理解Windows系统取证方法
