《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示方法
計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示方法
楊 珺1,,李 晶1,,王 敏2,陳 晨1,,廖偉輝1
1.武漢大學(xué) 電子信息學(xué)院,,湖北 武漢 430079,;2.通信指揮學(xué)院 二系,湖北 武漢 43001
摘要: 針對(duì)計(jì)算機(jī)證據(jù)格式繁雜不利于形成證據(jù)鏈的問(wèn)題,,提出了計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示方法,。該方法將計(jì)算機(jī)證據(jù)的描述層次劃分為數(shù)據(jù)表示層、證據(jù)表示層,、事件表示層和案件表示層,,并在這些層次上分別采用證據(jù)元數(shù)據(jù)來(lái)描述計(jì)算機(jī)證據(jù)。通過(guò)對(duì)計(jì)算機(jī)異常事件證據(jù)元數(shù)據(jù)的設(shè)計(jì),,實(shí)現(xiàn)對(duì)計(jì)算機(jī)證據(jù)的內(nèi)在屬性和關(guān)系進(jìn)行統(tǒng)一的表達(dá),,能夠方便地組織、分析、融合和提交計(jì)算機(jī)證據(jù),。
關(guān)鍵詞: 計(jì)算機(jī)安全
Abstract:
Key words :

 摘  要: 針對(duì)計(jì)算機(jī)證據(jù)格式繁雜不利于形成證據(jù)鏈的問(wèn)題,,提出了計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示方法。該方法將計(jì)算機(jī)證據(jù)的描述層次劃分為數(shù)據(jù)表示層,、證據(jù)表示層,、事件表示層和案件表示層,并在這些層次上分別采用證據(jù)元數(shù)據(jù)來(lái)描述計(jì)算機(jī)證據(jù),。通過(guò)對(duì)計(jì)算機(jī)異常事件證據(jù)元數(shù)據(jù)的設(shè)計(jì),,實(shí)現(xiàn)對(duì)計(jì)算機(jī)證據(jù)的內(nèi)在屬性和關(guān)系進(jìn)行統(tǒng)一的表達(dá),能夠方便地組織,、分析,、融合和提交計(jì)算機(jī)證據(jù)。
關(guān)鍵詞: 計(jì)算機(jī)安全,;電子犯罪對(duì)策,;計(jì)算機(jī)取證;證據(jù),;元數(shù)據(jù)

  目前,,計(jì)算機(jī)犯罪活動(dòng)日趨猖獗,因此有效地組織計(jì)算機(jī)犯罪證據(jù)信息,,形成計(jì)算機(jī)證據(jù)鏈?zhǔn)且豁?xiàng)非常重要的工作,。計(jì)算機(jī)證據(jù)來(lái)源眾多,格式繁雜[1-2],。一次入侵事件的證據(jù)可能留存于網(wǎng)絡(luò),、網(wǎng)絡(luò)設(shè)備以及計(jì)算機(jī)系統(tǒng)中,這些記錄了入侵者的入侵手段,、入侵時(shí)間和入侵結(jié)果的證據(jù)相互間存在著緊密的聯(lián)系,,為了能夠?qū)@些格式不盡相同卻具有相關(guān)性的證據(jù)進(jìn)行有效地組織、分析,、融合和提交,,迫切需要對(duì)它們進(jìn)行統(tǒng)一的表示。元數(shù)據(jù)(Metadata)是描述數(shù)據(jù)的數(shù)據(jù)[3],,是對(duì)信息對(duì)象編碼式的結(jié)構(gòu)化描述,,它主要用來(lái)描述數(shù)據(jù)的內(nèi)容、質(zhì)量,、所有者,、提供方式、覆蓋范圍以及管理方式等,,是數(shù)據(jù)與數(shù)據(jù)用戶之間的橋梁。
  本文擬用元數(shù)據(jù)對(duì)計(jì)算機(jī)證據(jù)進(jìn)行描述,以便計(jì)算機(jī)證據(jù)元數(shù)據(jù)能夠統(tǒng)一地表達(dá)計(jì)算機(jī)證據(jù)的內(nèi)在屬性及其相互間的關(guān)系,,為形成計(jì)算機(jī)證據(jù)鏈奠定良好的基礎(chǔ),。
1 計(jì)算機(jī)證據(jù)元數(shù)據(jù)
1.1 計(jì)算機(jī)證據(jù)
  計(jì)算機(jī)證據(jù)也稱電子證據(jù),是指在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備運(yùn)行過(guò)程中產(chǎn)生的能夠表征某種事件事實(shí)的數(shù)據(jù)集合,。
  計(jì)算機(jī)證據(jù)源分為計(jì)算機(jī)系統(tǒng)證據(jù)源和計(jì)算機(jī)網(wǎng)絡(luò)證據(jù)源,。計(jì)算機(jī)系統(tǒng)證據(jù)源包括:系統(tǒng)日志文件、數(shù)據(jù)文件,、內(nèi)存映像文件,、臨時(shí)文件、空閑磁盤空間等,;計(jì)算機(jī)網(wǎng)絡(luò)證據(jù)源包括:網(wǎng)絡(luò)數(shù)據(jù)包,、殺毒軟件日志文件、防火墻日志文件,、入侵檢測(cè)系統(tǒng)日志文件,、各種服務(wù)器日志文件等。
1.2 計(jì)算機(jī)證據(jù)元數(shù)據(jù)
    目前,,元數(shù)據(jù)還沒有統(tǒng)一的定義,,一些學(xué)者將元數(shù)據(jù)簡(jiǎn)單定義為:關(guān)于數(shù)據(jù)的數(shù)據(jù)[4],而該定義無(wú)法清晰地反映元數(shù)據(jù)的內(nèi)涵,。于是,,不同領(lǐng)域的學(xué)者從不同角度對(duì)該定義進(jìn)行了擴(kuò)展和深化[3]。當(dāng)前,,在計(jì)算機(jī)取證領(lǐng)域中,,對(duì)計(jì)算機(jī)證據(jù)元數(shù)據(jù)的定義還未見報(bào)道。
    通過(guò)分析和總結(jié)元數(shù)據(jù)在其他領(lǐng)域中的定義,,本文將計(jì)算機(jī)證據(jù)元數(shù)據(jù)定義為:一種構(gòu)建在計(jì)算機(jī)證據(jù)基礎(chǔ)上具有統(tǒng)一格式的結(jié)構(gòu)化數(shù)據(jù),,它是計(jì)算機(jī)證據(jù)的結(jié)構(gòu)化描述。其目的是描述計(jì)算機(jī)證據(jù)的基本特征,、基本屬性和相互關(guān)系,,以便那些格式不同的相關(guān)證據(jù)能夠進(jìn)行有效地組織、分析,、融合和提交,。
1.3 計(jì)算機(jī)證據(jù)元數(shù)據(jù)特點(diǎn)
    作為對(duì)計(jì)算機(jī)證據(jù)結(jié)構(gòu)化描述的一種方式,計(jì)算機(jī)證據(jù)元數(shù)據(jù)的基本特點(diǎn)為:
    (1)描述性:計(jì)算機(jī)證據(jù)元數(shù)據(jù)按照規(guī)則描述對(duì)象,,并以此組織和管理證據(jù)資源,。
    (2)動(dòng)態(tài)性:計(jì)算機(jī)證據(jù)元數(shù)據(jù)會(huì)隨著描述對(duì)象的變化而變化。
    (3)多樣性:從不同角度對(duì)描述對(duì)象的特征進(jìn)行劃分并產(chǎn)生多種計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示形式,。
    (4)復(fù)雜性:計(jì)算機(jī)證據(jù)元數(shù)據(jù)可以嵌套,,既是元數(shù)據(jù)的集合,也是可選擇性的元數(shù)據(jù)。
    (5)多層性:計(jì)算機(jī)證據(jù)元數(shù)據(jù)的描述對(duì)象可以是多層次的,。
    (6)支撐性:計(jì)算機(jī)證據(jù)元數(shù)據(jù)能夠有效地維護(hù)描述對(duì)象的原始性和完整性,,能夠與描述對(duì)象共存。
2 計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示
2.1 計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示原則
    本文依據(jù)以下原則對(duì)計(jì)算機(jī)證據(jù)元數(shù)據(jù)進(jìn)行描述,。
    (1)模塊化:根據(jù)內(nèi)容將計(jì)算機(jī)證據(jù)劃分為不同模塊,,各個(gè)模塊分別采用不同類型的計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示,以滿足不同的應(yīng)用需求,。
    (2)一致性:計(jì)算機(jī)證據(jù)元數(shù)據(jù)的描述應(yīng)盡量與元數(shù)據(jù)的國(guó)際標(biāo)準(zhǔn),、國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)保持一致。
    (3)可擴(kuò)展:通過(guò)復(fù)用,、嵌接,、延伸、細(xì)化,、修改等方式,,構(gòu)建新的計(jì)算機(jī)證據(jù)元數(shù)據(jù);預(yù)留計(jì)算機(jī)證據(jù)元數(shù)據(jù)的元素空間以適應(yīng)未來(lái)的需求,。
    (4)穩(wěn)定性:將基本的,、共同的和必需的內(nèi)容歸納為1個(gè)核心元素集,核心元素集具有相對(duì)的穩(wěn)定性,,能夠滿足基本的應(yīng)用需求,。
    (5)互操作:計(jì)算機(jī)證據(jù)元數(shù)據(jù)應(yīng)支持異構(gòu)系統(tǒng)間的互操作,它可在不同系統(tǒng)間實(shí)現(xiàn)傳輸,、交換或轉(zhuǎn)換,。
    (6)遞歸性:計(jì)算機(jī)證據(jù)元數(shù)據(jù)能被逐層地描述、定義,、確認(rèn)和驗(yàn)證,。在每個(gè)層次上,計(jì)算機(jī)證據(jù)元數(shù)據(jù)均具有獨(dú)立元素,。
    (7)開放性:一旦出現(xiàn)新的計(jì)算機(jī)證據(jù)源,,即可設(shè)計(jì)出相應(yīng)的計(jì)算機(jī)證據(jù)元數(shù)據(jù)。
2.2 計(jì)算機(jī)證據(jù)元數(shù)據(jù)的表示層次
    根據(jù)計(jì)算機(jī)取證分析遞進(jìn)構(gòu)造證據(jù)鏈的特點(diǎn)以及計(jì)算機(jī)證據(jù)元數(shù)據(jù)的特點(diǎn)和表示原則,,將描述層次劃分為數(shù)據(jù)表示層,、證據(jù)表示層、事件表示層和案件表示層,,并在這些層次上分別采用計(jì)算機(jī)證據(jù)元數(shù)據(jù)對(duì)描述對(duì)象進(jìn)行描述,,它們的相互關(guān)系如圖1所示。

  數(shù)據(jù)表示層的任務(wù)是描述原始的取證數(shù)據(jù),。如,,對(duì)于系統(tǒng)日志文件,、防火墻日志文件、數(shù)據(jù)文件等具有嚴(yán)謹(jǐn)記錄格式的原始取證數(shù)據(jù),,可借鑒其本身的描述格式來(lái)構(gòu)建相應(yīng)的計(jì)算機(jī)證據(jù)元數(shù)據(jù),;對(duì)于網(wǎng)絡(luò)數(shù)據(jù)包,可參照TCP/IP協(xié)議樹和網(wǎng)絡(luò)數(shù)據(jù)特征屬性來(lái)構(gòu)建相應(yīng)的計(jì)算機(jī)證據(jù)元數(shù)據(jù),。
    證據(jù)表示層的任務(wù)是描述取證分析后的數(shù)據(jù)。經(jīng)取證分析方法得到的證據(jù)通常與取證數(shù)據(jù)具有相同的格式,,因此在證據(jù)表示層可采用與數(shù)據(jù)表示層相同或相似的計(jì)算機(jī)證據(jù)元數(shù)據(jù)描述,。
    事件表示層的任務(wù)是描述計(jì)算機(jī)異常事件的所有證據(jù),即在事件表示層,,對(duì)計(jì)算機(jī)異常事件的所有證據(jù)進(jìn)行統(tǒng)一的規(guī)范化描述和表示,,是對(duì)證據(jù)的進(jìn)一步分析、關(guān)聯(lián)和融合的過(guò)程,,是形成計(jì)算機(jī)證據(jù)鏈的核心和關(guān)鍵步驟,。
    案件表示層的任務(wù)是描述計(jì)算機(jī)案件(一系列計(jì)算機(jī)異常事件)的所有證據(jù),是提交證據(jù),、形成調(diào)查報(bào)告的基礎(chǔ),。
2.3 事件表示層的描述
   通常,一個(gè)事件由事件主體,、事件目標(biāo),、事件時(shí)間、事件地點(diǎn)以及事件操作來(lái)描述,。異常事件元數(shù)據(jù)根據(jù)計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示原則,,并參考通用入侵檢測(cè)對(duì)象GIDO(Generalized Intrusion Detection Objects)中的事件描述類[5]、事件對(duì)象描述,、交換格式IODEF(Incident Object Description and Exchange Format)中的若干事件類[6]來(lái)設(shè)計(jì),,該描述如表1所示。

  表中省略了部分同類的,、繁冗的數(shù)據(jù)項(xiàng)子項(xiàng)和子元素,,將描述事件地點(diǎn)的數(shù)據(jù)項(xiàng)分布到各個(gè)相應(yīng)的數(shù)據(jù)項(xiàng)子項(xiàng)或子元素中,并用位置節(jié)點(diǎn)標(biāo)示,,增加了復(fù)合事件描述,,復(fù)合事件是單一事件的集合運(yùn)算(并、與,、異或等運(yùn)算),,它復(fù)用了單個(gè)事件的一般性描述,保持了元數(shù)據(jù)描述結(jié)構(gòu)上的完整性,。
  元數(shù)據(jù)是一種基本信息組織方法,,是信息的標(biāo)準(zhǔn)化表示,,它能夠?yàn)樾畔⑾到y(tǒng)各個(gè)層次的內(nèi)容提供規(guī)范的定義、描述,、交換和解析,,能夠?yàn)榉植嫉摹?fù)雜的信息系統(tǒng)提供互操作和整合平臺(tái),,可以為計(jì)算機(jī)智能識(shí)別,、處理、集成各種信息提供工具,。
  采用計(jì)算機(jī)證據(jù)元數(shù)據(jù)對(duì)計(jì)算機(jī)證據(jù)進(jìn)行統(tǒng)一描述有利于計(jì)算機(jī)證據(jù)的組織,、分析、融合和提交,,有利于計(jì)算機(jī)證據(jù)鏈的形成,。
參考文獻(xiàn)
[1] 殷聯(lián)甫.計(jì)算機(jī)取證技術(shù)[M].北京:科學(xué)出版社,2008.
[2] 寧勇.電子證據(jù)的基本問(wèn)題與取證初探[D].北京:清華大學(xué),,2004.
[3] 許永濤.基于E-R-P建模體系的政務(wù)信息資源元數(shù)據(jù)模型與應(yīng)用研究[D].大連:大連理工大學(xué),,2008.
[4] HILLMANN D.Usingg Dublin Core[EB/OL]. (2001-04-12)[2008-12-20].http://www.dublincore.org/documents.
[5] A common intrusion specification language[EB/OL]. (1999-6-11)[2008-8-12]. http://gost.isi.edu/cidf/drafts/ language.txt.
[6] RFC5070: The incident object description exchange format[EB/OL].(2007-12-1)[2009-3-11].http://www.rfc-editor.org/rfc/ rfc5070.txt.
 

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。