数字取证的分层抽象模型的研究.ppt

数字取证的分层抽 象模型的研究 作者：龚春亚 Gongchunya@ 导师：钱钢 一 概述 2 go 选题目的和成果 go 1 选题背景 选题背景 随着计算机应用的普及，计算机犯罪和其 他犯罪的很多证据都以数字形式通过计 算机或网络进行存储和传输，从而出现 了电子证据（ Digital Evidences ）。由 于电子证据的特殊性，其获取、存储、 传输和分析都需要特殊的技术手段和严 格的程序，否则，难以保证证据的客观 性、关联性和合法性。 选题背景 ? 计算机取证学（ Computer Forensics ）作为法 学、刑事侦查学和计算机科学的交叉学科，必 然要从这些不同学科的角度及其相互关系等方 面进行研究。美国十分重视计算机取证学的研 究，至少有 70% 的法律部门拥有自己的计算机 取证实验室，经过资格认定的取证专家使用专 门技术，通过网络或对从犯罪现场获取的计算 机机器设备进行证据的提取和分析，目的在于 提供非法活动的证据，并将这些证据提交给法 庭，作为裁决的依据。 选题背景 ? 近年来，我国计算机科学家和法学家也已经开 始重视计算机证据这一特殊证据类型的研究， 提出了一些法律观点并开发出了一些应用系统。 我国政府也已经意识到了计算机证据的重要性。 但是，到目前为止，我国还没有专门的取证机 构，计算机取证人员的认证也没有实行，律师 界对计算机证据的认识还很模糊和肤浅。因此， 开展计算机取证技术的研究，对于计算机科学 的发展、计算机取证法律法规的健全和计算机 取证工作的规范化都具有十分重要的意义。 ? back 选题目的和成果 ? 我们在大量研究国外的研究成果的基础上，总 结了目前计算机取证面临的问题。针对突出的 取证数据量大、取证分析复杂和取证技术质疑 性问题，我们借鉴了他人的研究成果，提出了 分层抽象模型。该模型的显著特点是通用性和 操作性强，且易于扩充，解决了取证所面临的 信息来源复杂和数据量大的难题。我们在此基 础上，我们给出了该模型的形式化描述，精确 地描述了模型的语义和约束。我们借鉴了 BRIAN CARRIAR 的研究成果，在该模型中引 入了转换正确度因子，独创性地给出了该因子 的量化表示，以利于进一步地严格分析和推理， 从而促进了数字取证的规范化进程。 back 前人的工作 ? 给出数字取证的定义 （目前无公认的官方定义） ? DFRWS 归纳：数字取证（ Digital Forensics ） 是指为了促进对犯罪过程的再构，或者预见有 预谋的破坏性的未授权行为，通过使用科学的、 被证实的方法，对源于数字资源的数字证据进 行保存、收集、确认、识别、分析、解释、归 档和陈述等活动过程 前人的工作（取证程序模型） ? 取证程序模型的研究 ? 由于电子证据的特殊性，其获取、存储、 传输和分析都需要特殊的技术手段和严 格的程序，否则，难以保证证据的客观 性、关联性和合法性。 前人的工作（取证程序模型） ? Mandia 等 [3] 提出事件响应方法（ Incident Response Methodology ） 该方法针对被怀疑俘获的网络紧急系统的 响应，可操作性强。其目的是核实针对 系统的一次实时攻击，并将系统恢复到 初始状态。该过程模型的缺陷在于适应 面不广，而且分析过程过于笼统。 前人的工作（取证程序模型） ? 美国司法公证处（ US. Department of Justice, DOJ ）法律实施模型（ a law enforcement model ） 该模型参考了标准的物理现场调 查模型，拉近了数字取证与司法实践间 的距离。相对于事件响应模型而言，这 个模型没有将更多的注意力投向检查和 分析过程，模型的通用性还有待加强。 前人的工作（取证程序模型） ? 美国空军学院（ US. Air Force Institute ） 提出了一个抽象过程模型 ? 该模型为数字取证工具的开发提供了一 个统一的、标准化的框架，可以应用于 一定范围的事件。但是，若以后在这模 型中增加一个子类将使其更难用。 前人的工作（取证程序模型） ? Brian Carrier 等吸取了前人的研究成果，引入 计算机本身就是犯罪现场的理念，将物理犯罪 现场的调查理论融入数字调查，提出了一个集 成的数字调查过程模型。 ? 该模型给出了准确的数字调查过程，并准确地 指出数字证据收集和数字取证的不同。该模型 也显示需要努力对数字事件进行调