数字取证的分层抽象模型的研究.pptVIP

数字取证的分层抽象模型的研究 一 概述 选题背景 随着计算机应用的普及，计算机犯罪和其他犯罪的很多证据都以数字形式通过计算机或网络进行存储和传输，从而出现了电子证据（Digital Evidences）。由于电子证据的特殊性，其获取、存储、传输和分析都需要特殊的技术手段和严格的程序，否则，难以保证证据的客观性、关联性和合法性。 选题背景 计算机取证学（Computer Forensics）作为法学、刑事侦查学和计算机科学的交叉学科，必然要从这些不同学科的角度及其相互关系等方面进行研究。美国十分重视计算机取证学的研究，至少有70%的法律部门拥有自己的计算机取证实验室，经过资格认定的取证专家使用专门技术，通过网络或对从犯罪现场获取的计算机机器设备进行证据的提取和分析，目的在于提供非法活动的证据，并将这些证据提交给法庭，作为裁决的依据。 选题背景 近年来，我国计算机科学家和法学家也已经开始重视计算机证据这一特殊证据类型的研究，提出了一些法律观点并开发出了一些应用系统。我国政府也已经意识到了计算机证据的重要性。但是，到目前为止，我国还没有专门的取证机构，计算机取证人员的认证也没有实行，律师界对计算机证据的认识还很模糊和肤浅。因此，开展计算机取证技术的研究，对于计算机科学的发展、计算机取证法律法规的健全和计算机取证工作的规范化都具有十分重要的意义。 back 选题目的和成果 我们在大量研究国外的研究成果的基础上，总结了目前计算机取证面临的问题。针对突出的取证数据量大、取证分析复杂和取证技术质疑性问题，我们借鉴了他人的研究成果，提出了分层抽象模型。该模型的显著特点是通用性和操作性强，且易于扩充，解决了取证所面临的信息来源复杂和数据量大的难题。我们在此基础上，我们给出了该模型的形式化描述，精确地描述了模型的语义和约束。我们借鉴了BRIAN CARRIAR的研究成果，在该模型中引入了转换正确度因子，独创性地给出了该因子的量化表示，以利于进一步地严格分析和推理，从而促进了数字取证的规范化进程。 back 前人的工作 给出数字取证的定义（目前无公认的官方定义） DFRWS归纳：数字取证（Digital Forensics）是指为了促进对犯罪过程的再构，或者预见有预谋的破坏性的未授权行为，通过使用科学的、被证实的方法，对源于数字资源的数字证据进行保存、收集、确认、识别、分析、解释、归档和陈述等活动过程 前人的工作（取证程序模型） 取证程序模型的研究 由于电子证据的特殊性，其获取、存储、传输和分析都需要特殊的技术手段和严格的程序，否则，难以保证证据的客观性、关联性和合法性。 前人的工作（取证程序模型） Mandia等[3]提出事件响应方法（Incident Response Methodology） 该方法针对被怀疑俘获的网络紧急系统的响应，可操作性强。其目的是核实针对系统的一次实时攻击，并将系统恢复到初始状态。该过程模型的缺陷在于适应面不广，而且分析过程过于笼统。 前人的工作（取证程序模型） 美国司法公证处（US. Department of Justice, DOJ）法律实施模型（a law enforcement model） 该模型参考了标准的物理现场调查模型，拉近了数字取证与司法实践间的距离。相对于事件响应模型而言，这个模型没有将更多的注意力投向检查和分析过程，模型的通用性还有待加强。 前人的工作（取证程序模型） 美国空军学院（US. Air Force Institute）提出了一个抽象过程模型 该模型为数字取证工具的开发提供了一个统一的、标准化的框架，可以应用于一定范围的事件。但是，若以后在这模型中增加一个子类将使其更难用。 前人的工作（取证程序模型） Brian Carrier等吸取了前人的研究成果，引入计算机本身就是犯罪现场的理念，将物理犯罪现场的调查理论融入数字调查，提出了一个集成的数字调查过程模型。 该模型给出了准确的数字调查过程，并准确地指出数字证据收集和数字取证的不同。该模型也显示需要努力对数字事件进行调查。该模型清楚地显示了物理世界和数字世界的联系。这是一大突破 数字取证涉及的关键问题 可信度问题 取证技术复杂，难度大 可信度问题 数字证据自捕获之时起，其结构是否发生变化 ？--数据的“完整性” （Integrity） 数字证据表现客观事实的准确性和真实性如何 ？--数据的“精确度”(Fidelity) 可信度问题 由于数字证据比物理证据更容易伪造，用于分析的数字证据通常会以某种方式传输，他们在进行彻底检查前往往已被处理过了，而且他们往往是可疑数据的副本，再加上数据分析方法可能被曲解，这些都可能威