基于特征集構(gòu)建的計(jì)算機(jī)取證模型研究

王永宏 申永軍

摘要：計(jì)算機(jī)取證模型大致可以分為靜態(tài)取證模型和動(dòng)態(tài)取證模型兩類。動(dòng)態(tài)取證模型主要結(jié)合入侵檢測技術(shù)，檢測異常事件的發(fā)生，從而采集動(dòng)態(tài)數(shù)據(jù)，對(duì)采集來的數(shù)據(jù)進(jìn)行整理、歸納后并入證據(jù)庫。靜態(tài)取證技術(shù)是在事后取證，對(duì)涉事計(jì)算機(jī)設(shè)備進(jìn)行分析處理，提取磁盤和移動(dòng)存儲(chǔ)設(shè)備的內(nèi)容，對(duì)其進(jìn)行分析歸類，最后形成證據(jù)。本文主要結(jié)合事后靜態(tài)取證技術(shù)提出一種基于證據(jù)文件特征集構(gòu)建的取證模型，闡述了模型提出的目的和意義，分析了取證模型各模塊的功能和實(shí)現(xiàn)方法，敘述了基于特征集構(gòu)建的取證模型的取證步驟，最后介紹了皮爾森相似度算法在構(gòu)建特征集模型中的應(yīng)用。

關(guān)鍵詞：計(jì)算機(jī)取證特征集模型皮爾森相似度算法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2016）8（b）-0000-00

1 構(gòu)建特征集模型的意義和目的

計(jì)算機(jī)取證技術(shù)的研究主要是為了保證電子證據(jù)的可信性和完整性，為此，取證專家們?cè)谘芯窟^程中推出了一些計(jì)算機(jī)取證模型。一些常見的取證模型主要有：基于過程的取證模型、事件響應(yīng)過程模型、抽象過程模型、綜合數(shù)字取證模型、多維計(jì)算機(jī)取證模型（MDMF）、基于蜜罐技術(shù)和入侵檢測的取證模型等。

利用計(jì)算機(jī)作為存儲(chǔ)工具的犯罪案件在計(jì)算機(jī)犯罪中占有很大的比例，當(dāng)前可供人們使用的存儲(chǔ)設(shè)備多種多樣，硬盤、U盤和可移動(dòng)磁盤等都是最常用的存儲(chǔ)工具。由于電子證據(jù)的易改變性，磁介質(zhì)存儲(chǔ)的數(shù)據(jù)很容易被修改或者刪除。因此，基于磁盤的特性和文件系統(tǒng)的結(jié)構(gòu)特點(diǎn)，數(shù)據(jù)恢復(fù)技術(shù)成為了靜態(tài)取證的重要手段。計(jì)算機(jī)取證最大的困難就是取證過程中證據(jù)的真實(shí)性問題。由于電子證據(jù)的易改變性，數(shù)據(jù)很容易被犯罪分子刪除或者改變，電子證據(jù)進(jìn)行事后取證獲取的很有可能是犯罪嫌疑人處理過的數(shù)據(jù)。為了改變靜態(tài)取證中存在的這個(gè)問題，研究者們提出了動(dòng)態(tài)取證的概念，利用入侵檢測的機(jī)制，將入侵檢測技術(shù)和計(jì)算機(jī)取證結(jié)合起來，形成了具有實(shí)時(shí)性、智能性、可擴(kuò)展性的動(dòng)態(tài)取證模型。傳統(tǒng)動(dòng)態(tài)取證系統(tǒng)由數(shù)據(jù)獲取、數(shù)據(jù)挖掘、數(shù)據(jù)分析、證據(jù)鑒定、證據(jù)保全和證據(jù)提交等模塊組成，各模塊之間通過信息訪問進(jìn)行通訊，完成協(xié)同取證功能。

入侵監(jiān)測模塊進(jìn)行系統(tǒng)監(jiān)測，一旦發(fā)現(xiàn)非法入侵便及時(shí)報(bào)警。數(shù)據(jù)獲取模塊從文件系統(tǒng)中和網(wǎng)絡(luò)數(shù)據(jù)包中獲取文件，對(duì)文件進(jìn)行提取和捕獲。并將數(shù)據(jù)處理后存入數(shù)據(jù)倉庫。數(shù)據(jù)挖掘模塊對(duì)數(shù)據(jù)倉庫的數(shù)據(jù)進(jìn)行分析，找到與犯罪文件相關(guān)的數(shù)據(jù)文件，并且將文件的分析結(jié)果存入知識(shí)庫，對(duì)數(shù)據(jù)文件的下一次分析起指導(dǎo)作用。最后，將分析過濾后的原始證據(jù)文件進(jìn)行證據(jù)鑒定并且歸類提交。

傳統(tǒng)的動(dòng)態(tài)取證模型大多是面向過程的取證，其最大的缺陷是不能保證證據(jù)的連續(xù)性，傳統(tǒng)的取證模型將提取后的原始證據(jù)文件直接加以分析鑒定，并不對(duì)證據(jù)獲取和入侵檢測環(huán)節(jié)進(jìn)行反饋，這就造成了證據(jù)鏈難以形成以及重要證據(jù)文件的缺失。

對(duì)文件系統(tǒng)的研究可以得出，文件系統(tǒng)的組織結(jié)構(gòu)和日志文件的存在使得被刪除的文件得到恢復(fù)成為了可能。但是由于文件系統(tǒng)的特殊結(jié)構(gòu)和日志文件的記錄方式，文件的刪除后對(duì)文件系統(tǒng)結(jié)構(gòu)的影響不盡相同，從而造成文件恢復(fù)的困難。例如Mac OS上的HSF+文件系統(tǒng)采用B-樹來組織文件，進(jìn)行文件刪除操作時(shí)，文件系統(tǒng)現(xiàn)將刪除后的文件記錄寫入日志文件，然后再由日志文件對(duì)文件系統(tǒng)進(jìn)行更新，因此，日志文件的記錄和文件系統(tǒng)顯示刪除后的內(nèi)容完全一致，這對(duì)數(shù)據(jù)恢復(fù)沒有任何幫助，刪除文件后，文件系統(tǒng)的卷頭、頭節(jié)點(diǎn)、葉子節(jié)點(diǎn)均會(huì)發(fā)生變化，也只節(jié)點(diǎn)中文件記錄前移，覆蓋被刪除文件，被刪除的文件記錄會(huì)完全消失。這時(shí)，被刪除文件的類型和特征就成為文件恢復(fù)的可能因素，結(jié)合盤區(qū)文件存儲(chǔ)的連續(xù)性特點(diǎn)，文件的恢復(fù)便成為可能。因此，如何通過構(gòu)建文件的特征集，就成為本文研究的關(guān)鍵性問題。基于這個(gè)前提，本文提出了基于特征集構(gòu)建的取證模型。

2 基于特征集構(gòu)建的取證模型的提出

本文提出的基于特征值構(gòu)建的計(jì)算機(jī)取證模型是為了解決原始證據(jù)文件獲取方面的困難，以數(shù)據(jù)恢復(fù)等取證技術(shù)作為出發(fā)點(diǎn)，運(yùn)用數(shù)據(jù)挖掘技術(shù)對(duì)以獲取的文件數(shù)據(jù)進(jìn)行分析處理，得到原始證據(jù)的同時(shí)，構(gòu)建異常文件的特征集合，形成特征集模型，并且將文件特征反饋給證據(jù)獲取階段所運(yùn)用的核心——數(shù)據(jù)恢復(fù)技術(shù)，使得整個(gè)取證系統(tǒng)形成自學(xué)習(xí)的功能，從而更加精準(zhǔn)地獲取磁盤原始文件數(shù)據(jù)并且有效地挖掘原始證據(jù)文件之間的關(guān)系，形成證據(jù)鏈。取證模型如圖1所示：

獲取文件倉庫：運(yùn)用數(shù)據(jù)恢復(fù)等數(shù)據(jù)獲取常用技術(shù)將本地磁盤或者移動(dòng)設(shè)備的數(shù)據(jù)文件提取并保存在獲取文件倉庫，以待進(jìn)一步分析認(rèn)證。

異常文件庫：對(duì)獲取文件庫中文件運(yùn)用數(shù)據(jù)挖掘等方法進(jìn)行分析，得到孤立點(diǎn)文件集合，并且歸并為原始證據(jù)集合，以待證據(jù)鑒定。

特征集模型：分析異常文件庫中文件特性，提取證據(jù)文件特征，將特征構(gòu)建特征模型，并入特征集模型。特征集模型的主要作用是提供異常文件的特征，并且對(duì)證據(jù)獲取階段的相關(guān)技術(shù)提供支持和反饋。

本文將特征集定義為一個(gè)多元組 ，其中 為針對(duì)每個(gè)文件的不同特征值，每個(gè)文件可以選取n個(gè)有效地特征。特征的結(jié)構(gòu)如下：

每個(gè)特征包含兩個(gè)屬性，name屬性表示特征的名稱，prior屬性表示特征的優(yōu)先級(jí)，這個(gè)屬性值將在分析異常文件時(shí)確定。當(dāng)特征集模型在數(shù)據(jù)恢復(fù)等技術(shù)中應(yīng)用時(shí)，遵循以下原則：當(dāng)文件判斷為可疑文件待恢復(fù)時(shí)，優(yōu)先考慮文件特征prior屬性值較高的特征作為恢復(fù)依據(jù)。

3 基于特征集構(gòu)建的取證模型的取證步驟

與傳統(tǒng)的取證模型相比，本文所提出的取證模型的工作步驟主要是增加了特征集模塊的構(gòu)建工作以及對(duì)證據(jù)獲取過程的反饋環(huán)節(jié)，基于特征集構(gòu)建的取證模型工作步驟如圖2所示：

圖2 取證流程圖

取證前準(zhǔn)備階段要保證取證環(huán)境的安全性和完整性，即待測設(shè)備和系統(tǒng)并未受到外界的破壞或者改變。隨后可以通過入侵檢測技術(shù)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)截取或者利用數(shù)據(jù)恢復(fù)技術(shù)對(duì)磁盤文件進(jìn)行提取的方式構(gòu)建數(shù)據(jù)倉庫。接下來，對(duì)數(shù)據(jù)倉庫中的數(shù)據(jù)應(yīng)用數(shù)據(jù)挖掘技術(shù)進(jìn)行分析，找出孤立點(diǎn)文件并入異常文件庫。對(duì)異常文件庫中的文件進(jìn)行特征分析，得到文件特征屬性并構(gòu)建特征集。最后對(duì)異常文件庫中的文件進(jìn)行證據(jù)鑒定，形成原始證據(jù)，并對(duì)其保存、歸類和提交。構(gòu)建完成的特征集模型可以對(duì)數(shù)據(jù)獲取階段的入侵檢測技術(shù)和數(shù)據(jù)恢復(fù)技術(shù)加以支持，從而提高文件獲取的效率，并且保證證據(jù)的真實(shí)性和可信性以及證據(jù)鏈的構(gòu)建。

4 基于皮爾森相關(guān)系數(shù)的文件特征相似度計(jì)算

對(duì)文件特征集的構(gòu)建包括以下概念：

設(shè)備類型集 ：文件所屬設(shè)備類型組成的集合，包括本地磁盤（ ）、U盤（ ）、移動(dòng)硬盤（ ）、光驅(qū)（ ）、其他存儲(chǔ)設(shè)備（ ）。 ，其中 表示設(shè)備類型，分別賦值并且標(biāo)準(zhǔn)化為0.1、0.2、0.3、0.4、0.5。

文件類型集 ：文件類型的集合，由于本文所研究對(duì)象為文本文件，所以文件類型包括.doc文件（ ），.pdf文件（ ），.txt文件（ ），其他文本文件（ ）。 ，其中 表示文件類型，分別賦值并且標(biāo)準(zhǔn)化為0.1、0.2、0.3、0.4。

文件狀態(tài)集 ：文件在系統(tǒng)中存在的狀態(tài)及來源組成的集合，文件狀態(tài)包括一般文件（ ）、隱藏文件（ ）、加密文件（ ）、恢復(fù)文件（ ）。 ，其中 表示文件狀態(tài)，分別賦值并且標(biāo)準(zhǔn)化為0.2、0.4、0.6、0.8。

最后修改時(shí)間集 ：文件的最后修改時(shí)間與基準(zhǔn)時(shí)間距離的集合， ，其中 為文件最后修改時(shí)間與基準(zhǔn)時(shí)間的距離（ ）。根據(jù)案件基本發(fā)生時(shí)間推測出基準(zhǔn)時(shí)間段，如果文件最后修改時(shí)間在基準(zhǔn)時(shí)間段內(nèi)，則設(shè)為0， 不在基準(zhǔn)時(shí)間段內(nèi)且 ，則設(shè)為0.3， ，則設(shè)為0.4。

特征值權(quán)重 ：對(duì)于不同文件特征在相關(guān)度計(jì)算中所占權(quán)重不同，根據(jù)實(shí)驗(yàn)結(jié)果，設(shè)置上述特征集的權(quán)重分別為 ， ， ， 。

定義 為要比較的文件對(duì)象，每個(gè)文件有上述4個(gè)特征，即

5結(jié)語

根據(jù)本文第四部分介紹的內(nèi)容，利用皮爾森相關(guān)系數(shù)計(jì)算文件特征值之間的相似度得到文檔的特征相似度系數(shù)。通過對(duì)特征相似度系數(shù)的比較，可以將特征差異較為明顯的文檔孤立出來，進(jìn)而形成異常集，通過分析異常集中文件的特征屬性的影響程度和出現(xiàn)頻度確定name和prior屬性，構(gòu)建出特征集模型。

本文在傳統(tǒng)靜態(tài)和動(dòng)態(tài)取證模型的基礎(chǔ)上提出了基于特征集構(gòu)建的取證模型，模型增加了特征集模塊，這個(gè)模塊的構(gòu)建使得證據(jù)獲取和分析過程形成一個(gè)閉環(huán)，建立起了自學(xué)習(xí)的系統(tǒng)，對(duì)靜態(tài)取證中電子證據(jù)的完整性和真實(shí)性起到了一定的保障作用。

參考文獻(xiàn)

[1]茍木理.面向Windows 8物理內(nèi)存鏡像文件的內(nèi)存取證技術(shù)研究[D].重慶大學(xué)，2013.

[2]王連海.基于物理內(nèi)存分析的在線取證模型與方法的研究[D].山東大學(xué)，2014.

[3] Shao J D， Rong G， Hai-Jie G U. Fast mining of distance-based outliers in metric space[J].Journal of Zhejiang University，2009，43（2）.

[4] 黃斌，許榕生，鄧小鴻.一種基于孤立點(diǎn)挖掘的計(jì)算機(jī)取證技術(shù)[J].江南大學(xué)學(xué)報(bào)：自然科學(xué)版，2009，8（2）：131-134.

[5]Nassir Abdullah Nassir（那西爾）.A new technique of outlier detection[D].中南大學(xué)，2012.