摘 要: 針對計算機證據(jù)格式繁雜不利于形成證據(jù)鏈的問題,提出了計算機證據(jù)元數(shù)據(jù)表示方法。該方法將計算機證據(jù)的描述層次劃分為數(shù)據(jù)表示層、證據(jù)表示層、事件表示層和案件表示層,并在這些層次上分別采用證據(jù)元數(shù)據(jù)來描述計算機證據(jù)。通過對計算機異常事件證據(jù)元數(shù)據(jù)的設(shè)計,實現(xiàn)對計算機證據(jù)的內(nèi)在屬性和關(guān)系進行統(tǒng)一的表達(dá),能夠方便地組織、分析、融合和提交計算機證據(jù)。
關(guān)鍵詞: 計算機安全;電子犯罪對策;計算機取證;證據(jù);元數(shù)據(jù)
目前,計算機犯罪活動日趨猖獗,因此有效地組織計算機犯罪證據(jù)信息,形成計算機證據(jù)鏈?zhǔn)且豁椃浅V匾墓ぷ鳌S嬎銠C證據(jù)來源眾多,格式繁雜[1-2]。一次入侵事件的證據(jù)可能留存于網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備以及計算機系統(tǒng)中,這些記錄了入侵者的入侵手段、入侵時間和入侵結(jié)果的證據(jù)相互間存在著緊密的聯(lián)系,為了能夠?qū)@些格式不盡相同卻具有相關(guān)性的證據(jù)進行有效地組織、分析、融合和提交,迫切需要對它們進行統(tǒng)一的表示。元數(shù)據(jù)(Metadata)是描述數(shù)據(jù)的數(shù)據(jù)[3],是對信息對象編碼式的結(jié)構(gòu)化描述,它主要用來描述數(shù)據(jù)的內(nèi)容、質(zhì)量、所有者、提供方式、覆蓋范圍以及管理方式等,是數(shù)據(jù)與數(shù)據(jù)用戶之間的橋梁。
本文擬用元數(shù)據(jù)對計算機證據(jù)進行描述,以便計算機證據(jù)元數(shù)據(jù)能夠統(tǒng)一地表達(dá)計算機證據(jù)的內(nèi)在屬性及其相互間的關(guān)系,為形成計算機證據(jù)鏈奠定良好的基礎(chǔ)。
1 計算機證據(jù)元數(shù)據(jù)
1.1 計算機證據(jù)
計算機證據(jù)也稱電子證據(jù),是指在計算機系統(tǒng)和網(wǎng)絡(luò)設(shè)備運行過程中產(chǎn)生的能夠表征某種事件事實的數(shù)據(jù)集合。
計算機證據(jù)源分為計算機系統(tǒng)證據(jù)源和計算機網(wǎng)絡(luò)證據(jù)源。計算機系統(tǒng)證據(jù)源包括:系統(tǒng)日志文件、數(shù)據(jù)文件、內(nèi)存映像文件、臨時文件、空閑磁盤空間等;計算機網(wǎng)絡(luò)證據(jù)源包括:網(wǎng)絡(luò)數(shù)據(jù)包、殺毒軟件日志文件、防火墻日志文件、入侵檢測系統(tǒng)日志文件、各種服務(wù)器日志文件等。
1.2 計算機證據(jù)元數(shù)據(jù)
目前,元數(shù)據(jù)還沒有統(tǒng)一的定義,一些學(xué)者將元數(shù)據(jù)簡單定義為:關(guān)于數(shù)據(jù)的數(shù)據(jù)[4],而該定義無法清晰地反映元數(shù)據(jù)的內(nèi)涵。于是,不同領(lǐng)域的學(xué)者從不同角度對該定義進行了擴展和深化[3]。當(dāng)前,在計算機取證領(lǐng)域中,對計算機證據(jù)元數(shù)據(jù)的定義還未見報道。
通過分析和總結(jié)元數(shù)據(jù)在其他領(lǐng)域中的定義,本文將計算機證據(jù)元數(shù)據(jù)定義為:一種構(gòu)建在計算機證據(jù)基礎(chǔ)上具有統(tǒng)一格式的結(jié)構(gòu)化數(shù)據(jù),它是計算機證據(jù)的結(jié)構(gòu)化描述。其目的是描述計算機證據(jù)的基本特征、基本屬性和相互關(guān)系,以便那些格式不同的相關(guān)證據(jù)能夠進行有效地組織、分析、融合和提交。
1.3 計算機證據(jù)元數(shù)據(jù)特點
作為對計算機證據(jù)結(jié)構(gòu)化描述的一種方式,計算機證據(jù)元數(shù)據(jù)的基本特點為:
(1)描述性:計算機證據(jù)元數(shù)據(jù)按照規(guī)則描述對象,并以此組織和管理證據(jù)資源。
(2)動態(tài)性:計算機證據(jù)元數(shù)據(jù)會隨著描述對象的變化而變化。
(3)多樣性:從不同角度對描述對象的特征進行劃分并產(chǎn)生多種計算機證據(jù)元數(shù)據(jù)表示形式。
(4)復(fù)雜性:計算機證據(jù)元數(shù)據(jù)可以嵌套,既是元數(shù)據(jù)的集合,也是可選擇性的元數(shù)據(jù)。
(5)多層性:計算機證據(jù)元數(shù)據(jù)的描述對象可以是多層次的。
(6)支撐性:計算機證據(jù)元數(shù)據(jù)能夠有效地維護描述對象的原始性和完整性,能夠與描述對象共存。
2 計算機證據(jù)元數(shù)據(jù)表示
2.1 計算機證據(jù)元數(shù)據(jù)表示原則
本文依據(jù)以下原則對計算機證據(jù)元數(shù)據(jù)進行描述。
(1)模塊化:根據(jù)內(nèi)容將計算機證據(jù)劃分為不同模塊,各個模塊分別采用不同類型的計算機證據(jù)元數(shù)據(jù)表示,以滿足不同的應(yīng)用需求。
(2)一致性:計算機證據(jù)元數(shù)據(jù)的描述應(yīng)盡量與元數(shù)據(jù)的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)保持一致。
(3)可擴展:通過復(fù)用、嵌接、延伸、細(xì)化、修改等方式,構(gòu)建新的計算機證據(jù)元數(shù)據(jù);預(yù)留計算機證據(jù)元數(shù)據(jù)的元素空間以適應(yīng)未來的需求。
(4)穩(wěn)定性:將基本的、共同的和必需的內(nèi)容歸納為1個核心元素集,核心元素集具有相對的穩(wěn)定性,能夠滿足基本的應(yīng)用需求。
(5)互操作:計算機證據(jù)元數(shù)據(jù)應(yīng)支持異構(gòu)系統(tǒng)間的互操作,它可在不同系統(tǒng)間實現(xiàn)傳輸、交換或轉(zhuǎn)換。
(6)遞歸性:計算機證據(jù)元數(shù)據(jù)能被逐層地描述、定義、確認(rèn)和驗證。在每個層次上,計算機證據(jù)元數(shù)據(jù)均具有獨立元素。
(7)開放性:一旦出現(xiàn)新的計算機證據(jù)源,即可設(shè)計出相應(yīng)的計算機證據(jù)元數(shù)據(jù)。
2.2 計算機證據(jù)元數(shù)據(jù)的表示層次
根據(jù)計算機取證分析遞進構(gòu)造證據(jù)鏈的特點以及計算機證據(jù)元數(shù)據(jù)的特點和表示原則,將描述層次劃分為數(shù)據(jù)表示層、證據(jù)表示層、事件表示層和案件表示層,并在這些層次上分別采用計算機證據(jù)元數(shù)據(jù)對描述對象進行描述,它們的相互關(guān)系如圖1所示。
數(shù)據(jù)表示層的任務(wù)是描述原始的取證數(shù)據(jù)。如,對于系統(tǒng)日志文件、防火墻日志文件、數(shù)據(jù)文件等具有嚴(yán)謹(jǐn)記錄格式的原始取證數(shù)據(jù),可借鑒其本身的描述格式來構(gòu)建相應(yīng)的計算機證據(jù)元數(shù)據(jù);對于網(wǎng)絡(luò)數(shù)據(jù)包,可參照TCP/IP協(xié)議樹和網(wǎng)絡(luò)數(shù)據(jù)特征屬性來構(gòu)建相應(yīng)的計算機證據(jù)元數(shù)據(jù)。
證據(jù)表示層的任務(wù)是描述取證分析后的數(shù)據(jù)。經(jīng)取證分析方法得到的證據(jù)通常與取證數(shù)據(jù)具有相同的格式,因此在證據(jù)表示層可采用與數(shù)據(jù)表示層相同或相似的計算機證據(jù)元數(shù)據(jù)描述。
事件表示層的任務(wù)是描述計算機異常事件的所有證據(jù),即在事件表示層,對計算機異常事件的所有證據(jù)進行統(tǒng)一的規(guī)范化描述和表示,是對證據(jù)的進一步分析、關(guān)聯(lián)和融合的過程,是形成計算機證據(jù)鏈的核心和關(guān)鍵步驟。
案件表示層的任務(wù)是描述計算機案件(一系列計算機異常事件)的所有證據(jù),是提交證據(jù)、形成調(diào)查報告的基礎(chǔ)。
2.3 事件表示層的描述
通常,一個事件由事件主體、事件目標(biāo)、事件時間、事件地點以及事件操作來描述。異常事件元數(shù)據(jù)根據(jù)計算機證據(jù)元數(shù)據(jù)表示原則,并參考通用入侵檢測對象GIDO(Generalized Intrusion Detection Objects)中的事件描述類[5]、事件對象描述、交換格式IODEF(Incident Object Description and Exchange Format)中的若干事件類[6]來設(shè)計,該描述如表1所示。
表中省略了部分同類的、繁冗的數(shù)據(jù)項子項和子元素,將描述事件地點的數(shù)據(jù)項分布到各個相應(yīng)的數(shù)據(jù)項子項或子元素中,并用位置節(jié)點標(biāo)示,增加了復(fù)合事件描述,復(fù)合事件是單一事件的集合運算(并、與、異或等運算),它復(fù)用了單個事件的一般性描述,保持了元數(shù)據(jù)描述結(jié)構(gòu)上的完整性。
元數(shù)據(jù)是一種基本信息組織方法,是信息的標(biāo)準(zhǔn)化表示,它能夠為信息系統(tǒng)各個層次的內(nèi)容提供規(guī)范的定義、描述、交換和解析,能夠為分布的、復(fù)雜的信息系統(tǒng)提供互操作和整合平臺,可以為計算機智能識別、處理、集成各種信息提供工具。
采用計算機證據(jù)元數(shù)據(jù)對計算機證據(jù)進行統(tǒng)一描述有利于計算機證據(jù)的組織、分析、融合和提交,有利于計算機證據(jù)鏈的形成。
參考文獻
[1] 殷聯(lián)甫.計算機取證技術(shù)[M].北京:科學(xué)出版社,2008.
[2] 寧勇.電子證據(jù)的基本問題與取證初探[D].北京:清華大學(xué),2004.
[3] 許永濤.基于E-R-P建模體系的政務(wù)信息資源元數(shù)據(jù)模型與應(yīng)用研究[D].大連:大連理工大學(xué),2008.
[4] HILLMANN D.Usingg Dublin Core[EB/OL]. (2001-04-12)[2008-12-20].http://www.dublincore.org/documents.
[5] A common intrusion specification language[EB/OL]. (1999-6-11)[2008-8-12]. http://gost.isi.edu/cidf/drafts/ language.txt.
[6] RFC5070: The incident object description exchange format[EB/OL].(2007-12-1)[2009-3-11].http://www.rfc-editor.org/rfc/ rfc5070.txt.