数字取证的分层抽象模型的研究
一 概述选题背景
随着计算机应用的普及,计算机犯罪和其他犯罪的很多证据都以数字形式通过计算机或网络进行存储和传输,从而出现了电子证据(Digital Evidences)。由于电子证据的特殊性,其获取、存储、传输和分析都需要特殊的技术手段和严格的程序,否则,难以保证证据的客观性、关联性和合法性。
选题背景
计算机取证学(Computer Forensics)作为法学、刑事侦查学和计算机科学的交叉学科,必然要从这些不同学科的角度及其相互关系等方面进行研究。美国十分重视计算机取证学的研究,至少有70%的法律部门拥有自己的计算机取证实验室,经过资格认定的取证专家使用专门技术,通过网络或对从犯罪现场获取的计算机机器设备进行证据的提取和分析,目的在于提供非法活动的证据,并将这些证据提交给法庭,作为裁决的依据。
选题背景
近年来,我国计算机科学家和法学家也已经开始重视计算机证据这一特殊证据类型的研究,提出了一些法律观点并开发出了一些应用系统。我国G0vernment也已经意识到了计算机证据的重要性。但是,到目前为止,我国还没有专门的取证机构,计算机取证人员的认证也没有实行,律师界对计算机证据的认识还很模糊和肤浅。因此,开展计算机取证技术的研究,对于计算机科学的发展、计算机取证法律法规的健全和计算机取证工作的规范化都具有十分重要的意义。
back
选题目的和成果
我们在大量研究国外的研究成果的基础上,总结了目前计算机取证面临的问题。针对突出的取证数据量大、取证分析复杂和取证技术质疑性问题,我们借鉴了他人的研究成果,提出了分层抽象模型。该模型的显著特点是通用性和操作性强,且易于扩充,解决了取证所面临的信息来源复杂和数据量大的难题。我们在此基础上,我们给出了该模型的形式化描述,精确地描述了模型的语义和约束。我们借鉴了BRIAN CARRIAR的研究成果,在该模型中引入了转换正确度因子,独创性地给出了该因子的量化表示,以利于进一步地严格分析和推理,从而促进了数字取证的规范化进程。 back
前人的工作
给出数字取证的定义(目前无公认的官方定义)
DFRWS归纳:数字取证(Digital Forensics)是指为了促进对犯罪过程的再构,或者预见有预谋的破坏性的未授权行为,通过使用科学的、被证实的方法,对源于数字资源的数字证据进行保存、收集、确认、识别、分析、解释、归档和陈述等活动过程
前人的工作(取证程序模型)
取证程序模型的研究
由于电子证据的特殊性,其获取、存储、传输和分析都需要特殊的技术手段和严格的程序,否则,难以保证证据的客观性、关联性和合法性。
前人的工作(取证程序模型)
Mandia等[3]提出事件响应方法(Incident Response Methodology)
该方法针对被怀疑俘获的网络紧急系统的响应,可操作性强。其目的是核实针对系统的一次实时攻击,并将系统恢复到初始状态。该过程模型的缺陷在于适应面不广,而且分析过程过于笼统。
前人的工作(取证程序模型)
美国司法公证处(US. Department of Justice, DOJ)法律实施模型(a law enforcement model)
该模型参考了标准的物理现场调查模型,拉近了数字取证与司法实践间的距离。相对于事件响应模型而言,这个模型没有将更多的注意力投向检查和分析过程,模型的通用性还有待加强。
前人的工作(取证程序模型)
美国空军学院(US. Air Force Institute)提出了一个抽象过程模型
该模型为数字取证工具的开发提供了一个统一的、标准化的框架,可以应用于一定范围的事件。但是,若以后在这模型中增加一个子类将使其更难用。
前人的工作(取证程序模型)
Brian Carrier等吸取了前人的研究成果,引入计算机本身就是犯罪现场的理念,将物理犯罪现场的调查理论融入数字调查,提出了一个集成的数字调查过程模型。
该模型给出了准确的数字调查过程,并准确地指出数字证据收集和数字取证的不同。该模型也显示需要努力对数字事件进行调查。该模型清楚地显示了物理世界和数字世界的联系。这是一大突破
数字取证涉及的关键问题
可信度问题
取证技术复杂,难度大
可信度问题
数字证据自捕获之时起,其结构是否发生变化 ?--数据的“完整性” (Integrity)
数字证据表现客观事实的准确性和真实性如何 ?--数据的“精确度”(Fidelity)
可信度问题
由于数字证据比物理证据更容易伪造,用于分析的数字证据通常会以某种方式传输,他们在进行彻底检查前往往已被处理过了,而且他们往往是可疑数据的副本,再加上数据分析方法可能被曲解,这些都可能威胁到数字证据的完整性。
由于目前还缺乏完备的数字取证相关标准,现有的翻译和转换机理的准确性受到质疑,再加上最终决策对主观推理有很强的依赖性,数字证据的精确度受到了影响
可信度问题的解决
DFRWS指出可以通过制订数据传输的正确性标准,研究更多可重用的方法、模型和统计分析以鉴定活动过程来从技术上部分地解决数字取证的可信度问题。
取证技术难度大
一是取证的数据来源复杂,在一般情况下所获取的数据是设备最底层、最原始的信息,往往难以直接为人们所理解。再加上不同IDS系统提供的数据格式互不相同[1],由于现在还缺乏相关数据协同(interoperability)标准[2],要综合利用各类IDS所提供的数据就有难度。由于设计在单机环境下使用的工具不能容易地移植到网络多主机操作系统。而目前还没有见到对于融合各种网络操作系统、协议应用和数据格式的取证工具和技术作研究。
取证技术难度大
二是数据量大。由于现大部分网络取证的数据来源于入侵检测系统,而目前IDS在数据过滤和智能缩减方面效率不够好,这也是取证分析数据量大的一大因素
模型考虑出发点(1)
为了解决数字取证的复杂性和数据量大所带来的难度问题,我们考虑构建一个通用的、分层的数字取证模型。
为了解决数据协同难题,我们在模型中引入数据接口子层,一方面提供模型扩展特性,解决新技术或犯罪变种带来的问题;另一方面提供数据格式化接口,解决各类格式数据的协同(interoperability)问题。
模型架构
物理介质层
该层负责将物理设备上存储或传输的原始数据输出到一个标准接口,如IDE、SCSI或网卡接口。典型的物理介质有硬盘、移动U盘和内存芯片等存储介质,还有网络物理传输实体,如双绞线、光纤等等。对该层的分析主要针对物理介质上的数据存储和传输的形式。
介质管理层
该层负责组织存储介质和协调不同的网络通讯实体。该层的设置屏蔽了下面具体的物理表现形式,从而使该模型适用于所有的数字设备,初步实现数字取证的规范化。该层为数据层顺利获取数据来源提供了保障。
典型的实例有:将多片内存芯片整合成内存空间 ,协调不同的物理通讯接口(如RS232)和数据调制格式等等
模型考虑出发点(2)
为了解决翻译和转换机理的准确性受到质疑等所带来的数据可信度问题,我们借鉴Brian Carrier关于抽象层出错的思想[9、10],在模型中引入了转换准确度因子,在Brian Carrier的基础上,我们进一步在形式化描述中对该转换准确度因子进行了量化,从而精确地描述模型的语义和约束,也利于模型应用过程中进行严格的分析和推理。
数据层(1)
数据层(2)
数据转换子层,包括各类数据的识别模块,负责将各类源于介质管理层的数据翻译识别出来,如文件数据识别、内存数据识别和网络数据识别等等,其中文件数据识别模块负责将分区的字节和扇区翻译成目录和文件,内存数据识别模块负责将内存介质的字节流翻译成一系列进程和系统数据,网络数据识别模块负责将从物理网络或无线网络中得到的底层数据翻译成可由应用程序使用的数据;
数据层(3)
数据接口子层负责将底层各子模块递交上来的各类数据封装成统一的数据格式递交给取证层。若出现新的数据类型,只要在数据转换子层中添加对应的识别模块,即可实现模型应用的扩展。
取证层
取证层将从数据层获得的统一格式的数据按照取证处理规则进行分析,以获取证据,辅助司法决策。典型的取证分析的实例包括查看日志文件、配置文件、映像、文档以及执行反向工程,或对网络报文按照相应的规则进行关联分析等等。
形式化描述
层表示为四元组<Din, Rule, Dout, Tuthness>,其中:
Din表示层的输入数据集
Rule表示层的转换规则集
Dout表示层的输出数据集
Tuthness表示层的转换准确度因子
形式化描述(2)
准确度判定方法 对于四元组<Din,Rule,Dout,T>,假设TRUE(DDF),即假定取证层输入是真实有效的,∀ddi∈DD, ∃Li!ddf∈DDF,∃rf∈RF,ddf↦dd,那么t=1/MAX{Li} 。其中∃Li! a表示存在Li个不同的a,且Li ∈N ,i∈{1,2,3,…,|DD|} ,|DD|表示集合DD的长度。
形式化描述(3)
模型的整合
讲这些层赋予具体的规则描述整合起来就组成我们的模型
形式化描述(3)
模型整合的约束
假设层的输入源是真实可靠的,如果数据的读取或监听规则是一对一对应的满射,那么我们说通过层的规则转换获得的输出数据是真实可靠的。即TRUE(DP)∧( (∀dp∈DP,∃!dpm∈DPM,∃r∈RP,dp↦dpm)⇒TRUE(DPM)),其中谓词表达式TRUE(A)表示集合A中的元素是真实可靠的,∃!表示存在唯一的。
模型应用举例
应用举例
(1) 获取数据过程
所获得的数据有多种层次水平,有可能是从物理世界获取的底层数据(即介质层输出的数据),这是取证最先获得的数据。若介质层处理规则是满足保持证据连续性的限定条件,那么该底层数据是可靠数据。
所获得的数据有可能是从查看结果和数据过程中获得的数据。这类数据位于取证层。若这个数据的一系列处理满足保持证据连续性的限定条件,那么该数据是可靠证据。
应用举例
(2) 保存数据过程
若其输入数据是介质层次的数据,那么该保存过程的处理将经过介质层处理,如果此处理满足保持证据连续性的限定条件,那么该过程的输出数据是可靠证据。
若其输入数据是取证层次的数据,那么该保存过程的处理将经过介质层处理,如果此处理满足保持证据连续性的限定条件,那么该过程的输出数据是可靠证据。
应用举例
(3) 格式化数据过程
其输入的是最原始数据或介质管理层数据(这里衔接好象有点问题),其输出是数据层次的数据,经过了数据层的数据识别层和数据包装接口子层。若一系列处理满足保持证据连续性的限定条件,那么输出的格式化数据是可靠证据。
应用举例
(4) 分析数据过程
其输入若是数据层次的数据,经过取证层(分析,其实就是筛选)处理,输出取证层次的数据。(有点问题啊,说不出来)。如果分析过程满足保持证据连续性约束,那么输出数据是可靠证据。
若输入数据是查看结果和数据过程的输出,那么进行进一步地分析
应用举例
(5) 查看结果和数据过程
该过程将经过取证,这里是人机交换的接口。提供处理证据的策略选择。
若找到了目标证据,那么最后的专家证明数据连续性是顺理成章的
结语(1)
本文在分析国内外相关研究成果的基础上,讨论了数字取证的层次化处理问题,将通信的分层理论应用于数字取证的建模过程中,构建了数字取证的多层抽象模型,给出了复杂的取证形式化描述方法,还给出了转换准确度因子的量化方法,对推动数字取证的规范化进程做了有益的探索。
结语(2)
本文的研究工作尚属初步, 进一步的研究工作将在该模型框架下进一步对模型的适应性和规范性进行系统研究,还将利用概率论和统计学来进一步优化准确度因子的计算方法,使得模型更具时效性。
[b]此文章的PPT格式下载[/b]
[attach]3835[/attach]
页:
[1]