多維計算機取證模型研究
丁麗萍1,2,3+,王永吉1
1 (中國科學院軟體研究所 網際網路軟體技術實驗室)
2 (北京人民警察學院 公安科技教研部)
3 (中國科學院研究生院)
Study on Multi-Dimension Computer Forensics Model
DING Li-Ping1,2,3+ , WANG Yong-Ji1
1(Laboratory for Internet Software Technologies, Institute of Software, Chinese Academy of Sciences, Beiing, 100080, China)
2(Institute of Police Affairs, Beijing People's Police College, Beijing 100029, China)
3(Graduate School of the Chinese Academy of Sciences, Beijing 100039, China)
Abstract: There are various computer forensics models now. But these models can not solve the problem of the computer evidence's adoption. In this paper, based on the study and analysis of all the existing models, A new computer forensics model named MDFM (Multi-Dimension Forensics Model) is presented. MDFM not only is compatible with all the other models but also adds time and monitor for the whole computer forensics process. This makes it possible that the computer forensics policies can change with time and the monitor data can be a part of the presentation in court.
Key words: computer forensics; model; multi-dimension model; time restriction; the whole process monitor
摘要:計算機取證的模型多種多樣,但都沒有從根本上解決計算機證據的可採用性問題.在對現有模型的深入研究和分析的基礎上提出了一個多維計算機取證模型(Multi-Dimension Forensics Model, MDFM),該模型既兼容了現有的模型,又增加了時間約束和對取證過程的全程監督,使得取證策略可以隨時間變化並可以把取證過程的監督數據作為證據的一部分呈堂.
關鍵字:計算機取證 模型 多維模型 時間約束 全程監督
1.引言
由於電子證據的特殊性,計算機取證既涉及到技術問題又受相關法律法規的約束.因此,計算機取證必須遵循嚴格的過程和程式,否則,就會導致所獲取的證據缺乏可靠性和合法性,從而不被採用.自上個世紀90年代以來,人們相繼提出了很多計算機取證的模型,目前,有些研究人員提出應該通過分析網路取證的詳細需求,建立包含犯罪行為案例,入侵行為案例和電子證據特徵的取證知識庫,還有的學者提出採用XML和OEM數據模型,數據融合技術,取證知識庫,專家推理機制和挖掘引擎的取證計算模型,並開始著手研究對這些模型的評價機制.但這些模型普遍存在的問題包括注重細節,缺乏通用性;注重法律或技術的一個方面而沒有很好地把二者結合起來;注重靜態的取證分析而沒有考慮取證模型隨時間的變化.因此,導致了計算機取證的模型不實用,不適用.按照這樣的模型開發出來的取證產品和工具很難滿足計算機取證工作的實際需求,從而難以收集到符合證據的可採用性標準的證據.本文提出了一個多維計算機取證模型(Multi-Dimension Forensics Model, MDFM),該模型既兼容了現有的模型,又增加了時間約束和對取證過程的全程監督,使得取證策略可以隨時間變化並可以把取證過程的監督數據作為證據的一部分呈堂.
文章其他部分的安排如下:第二部分是相關研究工作,介紹了一些典型的計算機取證模型;第三部分提出了一個多維計算機取證模型;第四部分是對提出的模型的形式化描述;第五部分是結論.
2.相關研究工作
計算機取證的早期模型包括基本過程模型(Basic Process Model),事件回響過程模型(Incident Response Process Model),法律執行過程模型 (Law Enforcement Process Model),過程抽象模型(An Abstract Process Model).後來,在總結前面這些模型的基礎上,形成了綜合模型(The Integrated Digital Investigation Model)等[3].文獻[venan enhancemodel]又在總結前邊的幾種模型的基礎上提出了一種增強的計算機取證模型.基於需求的計算機取證模型和計算機取證的層次模型都是我國的學者提出的.
2.1早期的計算機取證模型
基本過程模型(Basic Process Model)
這一模型的代表人物是Farmer 和 Venema,他們提出的基本的取證過程是:
現場安全保證及隔離(secure and isolate)
記錄現場信息(record the scene)
系統地查找證據(conduct a systematic search for evidence)
對證據進行提取和打包(collect and package evidence)
保護監督鏈(maintain chain of custody)
基於此模型,Farmer 和 Venema開發出了基於unix的取證產品:TCT(The Coroner's Toolkit)
事件回響過程模型(Incident Response Process Model)
Chris Prosise 和 Kevin Mandia在其著作《應急回響——計算機犯罪調查》(Incident Response:Investigating computer crime)中把計算機取證的事件回響過程模型分為如下階段:
取證準備階段(Pre-incident Preparation)
事件偵測階段(Detection of the Incident)
初始回響階段(Initial Response)
回響策略確定(Response Strategy Formulation)
備份(Duplication)
調查(Investigation)
安全方案實施(Secure Measure Implementation)
網路監控(Network Monitoring)
恢復(Recovery)
報告(Reporting)
補充(Follw—up)
法律執行過程模型 (Law Enforcement Process Model)
法律執行模型的典型模型代表是美國法務部"電子犯罪現場調查指南"中提出的模型.該過程模型的內容是:
準備階段(Preparation)
收集階段(Collection):主要是保護與評估現場,對現場記錄歸檔(Document the Scene),證據提取(Evidence Collection)等.
檢驗(Examination)
分析(Analysis)
報告(Reproting)
過程抽象模型(An Abstract Process Model)
這個模型是美國空軍研究院,美國法務部,美國信息戰督導防禦局提出的.過程抽象模型的研究被認為在數字取證基本理論和基本方法研究中具有里程碑的作用.airforce的過程抽象模型包括:
識別(identification)
準備(preparation)
策略制定(approach strategy)
保存(preservation)
收集(collection)
檢驗(examination)
分析(analysis)
提交(presentation)
返回證據(returning evidences)
2.2綜合計算機取證模型(IDIP,The Integrated Digital Investigation Model)[4]
這一模型在總結前幾個模型的基礎上把計算機取證過程組織成了5個步驟,如圖所示:
準備階段
這一階段主要目的是保證取證所需的各種人力物力資源.主要任務有操作準備和設備準備.操作準備就是保證取證人員通過培訓能夠勝任取證工作;設備準備是指取證工具的準備是充分的.
部署階段
這一階段是為了提供偵查和確認機制,包括偵查和通報階段,確認和授權階段.前者對事件進行偵查和通告,後者是為了獲得對事件的法律調查權.
物理犯罪現場調查階段
這一階段的目的是收集和分析物理證據並重構犯罪行為.包括保護現場,調查取證,記錄歸檔,進一步搜尋取證,重構和出示等六個階段.
數字犯罪現場調查階段
這一階段主要是收集和深入分析物理調查階段獲取的數字證據,它包括和物理調查階段類似的步驟:保護現場,調查取證,記錄歸檔,深入分析,重構犯罪事實和出示證據六個階段.
總結階段
這一階段要對取證的整個過程進行跟蹤總結,發現問題並積極改進.
2.3增強的計算機取證模型(The Enhanced Digital Investigation Process Model,EIDIPM)
EIDIP模型是在對綜合模型進行改進的基礎上提出的,這一計算機取證模型應該包括五步:
準備階段
如前所述就是人力物力和財力的準備.
部署階段
這一階段是事件偵查和確認階段,包括五個步驟:偵查和確認階段,物理犯罪現場調查階段,數字犯罪現場調查階段,確認和授權階段,提交證據階段.
反饋階段
前邊的階段已經獲取了犯罪嫌疑人的物理犯罪證據,這一階段要進行鑑定以完成法律程式.包括:數字犯罪現場的進一步調查分析和獲得進一步調查的法律授權兩步.
實施階段
這一階段要調查主要的犯罪現場,獲取和分析有關的證據並識別潛在的作案人.包括:進行物理現場調查發現潛在的電子證據,進行數字犯罪現場調查確定作案的時間,重構犯罪事實以支持可能性最大的犯罪臆斷,證據的呈堂階段等
總結階段
發現取證過程中的問題並提出改進措施.