基于特征集构建的计算机取证模型研究.docVIP

基于特征集构建的计算机取证模型研究 　　摘要：计算机取证模型大致可以分为静态取证模型和动态取证模型两类。动态取证模型主要结合入侵检测技术，检测异常事件的发生，从而采集动态数据，对采集来的数据进行整理、归纳后并入证据库。静态取证技术是在事后取证，对涉事计算机设备进行分析处理，提取磁盘和移动存储设备的内容，对其进行分析归类，最后形成证据。本文主要结合事后静态取证技术提出一种基于证据文件特征集构建的取证模型，阐述了模型提出的目的和意义，分析了取证模型各模块的功能和实现方法，叙述了基于特征集构建的取证模型的取证步骤，最后介绍了皮尔森相似度算法在构建特征集模型中的应用。 　　关键词：计算机取证特征集模型皮尔森相似度算法 　　中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2016）8（b）-0000-00 　　1 构建特征集模型的意义和目的 　　计算机取证技术的研究主要是为了保证电子证据的可信性和完整性，为此，取证专家们在研究过程中推出了一些计算机取证模型。一些常见的取证模型主要有：基于过程的取证模型、事件响应过程模型、抽象过程模型、综合数字取证模型、多维计算机取证模型（MDMF）、基于蜜罐技术和入侵检测的取证模型等。 　　利用计算机作为存储工具的犯罪案件在计算机犯罪中占有很大的比例，当前可供人们使用的存储设备多种多样，硬盘、U盘和可移动磁盘等都是最常用的存储工具。由于电子证据的易改变性，磁介质存储的数据很容易被修改或者删除。因此，基于磁盘的特性和文件系统的结构特点，数据恢复技术成为了静态取证的重要手段。计算机取证最大的困难就是取证过程中证据的真实性问题。由于电子证据的易改变性，数据很容易被犯罪分子删除或者改变，电子证据进行事后取证获取的很有可能是犯罪嫌疑人处理过的数据。为了改变静态取证中存在的这个问题，研究者们提出了动态取证的概念，利用入侵检测的机制，将入侵检测技术和计算机取证结合起来，形成了具有实时性、智能性、可扩展性的动态取证模型。传统动态取证系统由数据获取、数据挖掘、数据分析、证据鉴定、证据保全和证据提交等模块组成，各模块之间通过信息访问进行通讯，完成协同取证功能。 　　入侵监测模块进行系统监测，一旦发现非法入侵便及时报警。数据获取模块从文件系统中和网络数据包中获取文件，对文件进行提取和捕获。并将数据处理后存入数据仓库。数据挖掘模块对数据仓库的数据进行分析，找到与犯罪文件相关的数据文件，并且将文件的分析结果存入知识库，对数据文件的下一次分析起指导作用。最后，将分析过滤后的原始证据文件进行证据鉴定并且归类提交。 　　传统的动态取证模型大多是面向过程的取证，其最大的缺陷是不能保证证据的连续性，传统的取证模型将提取后的原始证据文件直接加以分析鉴定，并不对证据获取和入侵检测环节进行反馈，这就造成了证据链难以形成以及重要证据文件的缺失。 　　对文件系统的研究可以得出，文件系统的组织结构和日志文件的存在使得被删除的文件得到恢复成为了可能。但是由于文件系统的特殊结构和日志文件的记录方式，文件的删除后对文件系统结构的影响不尽相同，从而造成文件恢复的困难。例如Mac OS上的HSF+文件系统采用B-树来组织文件，进行文件删除操作时，文件系统现将删除后的文件记录写入日志文件，然后再由日志文件对文件系统进行更新，因此，日志文件的记录和文件系统显示删除后的内容完全一致，这对数据恢复没有任何帮助，删除文件后，文件系统的卷头、头节点、叶子节点均会发生变化，也只节点中文件记录前移，覆盖被删除文件，被删除的文件记录会完全消失。这时，被删除文件的类型和特征就成为文件恢复的可能因素，结合盘区文件存储的连续性特点，文件的恢复便成为可能。因此，如何通过构建文件的特征集，就成为本文研究的关键性问题。基于这个前提，本文提出了基于特征集构建的取证模型。 　　2 基于特征集构建的取证模型的提出 　　本文提出的基于特征值构建的计算机取证模型是为了解决原始证据文件获取方面的困难，以数据恢复等取证技术作为出发点，运用数据挖掘技术对以获取的文件数据进行分析处理，得到原始证据的同时，构建异常文件的特征集合，形成特征集模型，并且将文件特征反馈给证据获取阶段所运用的核心――数据恢复技术，使得整个取证系统形成自学习的功能，从而更加精准地获取磁盘原始文件数据并且有效地挖掘原始证据文件之间的关系，形成证据链。取证模型如图1所示： 　　获取文件仓库：运用数据恢复等数据获取常用技术将本地磁盘或者移动设备的数据文件提取并保存在获取文件仓库，以待进一步分析认证。 　　异常文件库：对获取文件库中文件运用数据挖掘等方法进行分析，得到孤立点文件集合，并且归并为原始证据集合，以待证据鉴定。 　　特征集模型：分析异常文件库中文件特性，提取证据文件特征，将特