計算機取證的層次模型

"trusion Detection System

計算機取證的層次模型
該模型是第十九次計算機安全技術交流會上提出的.這一模型認為:計算機取證可以分為證據發現層,證據固定層,證據提取層,證據分析層和證據表達層五個層次.我們可以認為:這五個層次就構成了一個層次模型.
證據發現層:計算機證據的發現就是通過偵查和現場勘察蒐集最原始的證據.計算機證據的發現技術實際上屬於偵查技術.可以把一般的偵查技術與計算機技術相結合進行研究.這方面的研究包括取證專用的入侵檢測系統(Intrusion Detection System, IDS),網路線索自動挖掘技術,溯源技術,數據過濾,磁碟鏡像技術等等.根據計算機證據的來源的不同, 計算機證據的發現可以分為網路證據的發現,單機證據的發現和相關設備證據的發現.
證據固定層:計算機證據的固定主要是解決證據的完整性驗證,即通過數字簽名和見證人簽名等保證現場勘察和偵查獲得的數據的完整性和真實性.
證據提取層:證據的提取從本質上說就是從眾多的未知和不確定性中找到確定性的東西,通過數據恢復,殘缺數據提取,解碼,解密,過濾等技術將原始數據表達成可以理解的抽象數據.
證據分析層:分析證據是計算機取證的核心和關鍵.即通過關聯分析證實信息的存在,信息的來源以及信息傳播途徑,重構犯罪行為,動機以及嫌疑人特徵.證據分析的內容包括:分析計算機的類型,採用的作業系統,是否為多作業系統或有無隱藏的分區;有無可疑外設;有無遠程控制,木馬程式及當前計算機系統的網路環境.注意分析過程的開機,關機過程,儘可能避免正在運行的進程數據丟失或存在的不可逆轉的刪除程式.分析在磁碟的特殊區域中發現的所有相關數據.利用磁碟存儲空閒空間的數據分析技術進行數據恢復,獲得檔案被增,刪,改,複製前的痕跡.等等.
證據表達層:證據的提取從本質上說就是從眾多的未知和不確定性中找到確定性的東西,通過數據恢復,殘缺數據提取,解碼,解密,過濾等技術將原始數據表達成可以理解的抽象數據.
取證人員面對的是各種互不相同的案件,有些甚至不是刑法上定義的計算機犯罪而是其他犯罪.所以計算機取證應該不僅僅是計算機犯罪證據的獲取.因此,證據的獲取很難說有固定的,一成不變的方法和模式,應該具體問題具體分析.
把對目標計算機系統的全面分析和追蹤結果進行匯總,然後給出分析結論,這一結論的內容應包括:系統的整體情況,發現的檔案結構,數據,作者的信息,對信息的任何隱藏,刪除,保護,加密企圖,以及在調查中發現的其它的相關信息.標明提取時間,地點,機器,提取人及見證人.然後以證據的形式按照合法的程式提交給司法機關.

相關詞條

熱門詞條

聯絡我們