基于特征集構建的計算機取證模型研究

王永宏 申永軍

摘要：計算機取證模型大致可以分為靜態取證模型和動態取證模型兩類。動態取證模型主要結合入侵檢測技術，檢測異常事件的發生，從而采集動態數據，對采集來的數據進行整理、歸納后并入證據庫。靜態取證技術是在事后取證，對涉事計算機設備進行分析處理，提取磁盤和移動存儲設備的內容，對其進行分析歸類，最后形成證據。本文主要結合事后靜態取證技術提出一種基于證據文件特征集構建的取證模型，闡述了模型提出的目的和意義，分析了取證模型各模塊的功能和實現方法，敘述了基于特征集構建的取證模型的取證步驟，最后介紹了皮爾森相似度算法在構建特征集模型中的應用。

關鍵詞：計算機取證特征集模型皮爾森相似度算法

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2016）8（b）-0000-00

1 構建特征集模型的意義和目的

計算機取證技術的研究主要是為了保證電子證據的可信性和完整性，為此，取證專家們在研究過程中推出了一些計算機取證模型。一些常見的取證模型主要有：基于過程的取證模型、事件響應過程模型、抽象過程模型、綜合數字取證模型、多維計算機取證模型（MDMF）、基于蜜罐技術和入侵檢測的取證模型等。

利用計算機作為存儲工具的犯罪案件在計算機犯罪中占有很大的比例，當前可供人們使用的存儲設備多種多樣，硬盤、U盤和可移動磁盤等都是最常用的存儲工具。由于電子證據的易改變性，磁介質存儲的數據很容易被修改或者刪除。因此，基于磁盤的特性和文件系統的結構特點，數據恢復技術成為了靜態取證的重要手段。計算機取證最大的困難就是取證過程中證據的真實性問題。由于電子證據的易改變性，數據很容易被犯罪分子刪除或者改變，電子證據進行事后取證獲取的很有可能是犯罪嫌疑人處理過的數據。為了改變靜態取證中存在的這個問題，研究者們提出了動態取證的概念，利用入侵檢測的機制，將入侵檢測技術和計算機取證結合起來，形成了具有實時性、智能性、可擴展性的動態取證模型。傳統動態取證系統由數據獲取、數據挖掘、數據分析、證據鑒定、證據保全和證據提交等模塊組成，各模塊之間通過信息訪問進行通訊，完成協同取證功能。

入侵監測模塊進行系統監測，一旦發現非法入侵便及時報警。數據獲取模塊從文件系統中和網絡數據包中獲取文件，對文件進行提取和捕獲。并將數據處理后存入數據倉庫。數據挖掘模塊對數據倉庫的數據進行分析，找到與犯罪文件相關的數據文件，并且將文件的分析結果存入知識庫，對數據文件的下一次分析起指導作用。最后，將分析過濾后的原始證據文件進行證據鑒定并且歸類提交。

傳統的動態取證模型大多是面向過程的取證，其最大的缺陷是不能保證證據的連續性，傳統的取證模型將提取后的原始證據文件直接加以分析鑒定，并不對證據獲取和入侵檢測環節進行反饋，這就造成了證據鏈難以形成以及重要證據文件的缺失。

對文件系統的研究可以得出，文件系統的組織結構和日志文件的存在使得被刪除的文件得到恢復成為了可能。但是由于文件系統的特殊結構和日志文件的記錄方式，文件的刪除后對文件系統結構的影響不盡相同，從而造成文件恢復的困難。例如Mac OS上的HSF+文件系統采用B-樹來組織文件，進行文件刪除操作時，文件系統現將刪除后的文件記錄寫入日志文件，然后再由日志文件對文件系統進行更新，因此，日志文件的記錄和文件系統顯示刪除后的內容完全一致，這對數據恢復沒有任何幫助，刪除文件后，文件系統的卷頭、頭節點、葉子節點均會發生變化，也只節點中文件記錄前移，覆蓋被刪除文件，被刪除的文件記錄會完全消失。這時，被刪除文件的類型和特征就成為文件恢復的可能因素，結合盤區文件存儲的連續性特點，文件的恢復便成為可能。因此，如何通過構建文件的特征集，就成為本文研究的關鍵性問題。基于這個前提，本文提出了基于特征集構建的取證模型。

2 基于特征集構建的取證模型的提出

本文提出的基于特征值構建的計算機取證模型是為了解決原始證據文件獲取方面的困難，以數據恢復等取證技術作為出發點，運用數據挖掘技術對以獲取的文件數據進行分析處理，得到原始證據的同時，構建異常文件的特征集合，形成特征集模型，并且將文件特征反饋給證據獲取階段所運用的核心——數據恢復技術，使得整個取證系統形成自學習的功能，從而更加精準地獲取磁盤原始文件數據并且有效地挖掘原始證據文件之間的關系，形成證據鏈。取證模型如圖1所示：

獲取文件倉庫：運用數據恢復等數據獲取常用技術將本地磁盤或者移動設備的數據文件提取并保存在獲取文件倉庫，以待進一步分析認證。

異常文件庫：對獲取文件庫中文件運用數據挖掘等方法進行分析，得到孤立點文件集合，并且歸并為原始證據集合，以待證據鑒定。

特征集模型：分析異常文件庫中文件特性，提取證據文件特征，將特征構建特征模型，并入特征集模型。特征集模型的主要作用是提供異常文件的特征，并且對證據獲取階段的相關技術提供支持和反饋。

本文將特征集定義為一個多元組 ，其中 為針對每個文件的不同特征值，每個文件可以選取n個有效地特征。特征的結構如下：

每個特征包含兩個屬性，name屬性表示特征的名稱，prior屬性表示特征的優先級，這個屬性值將在分析異常文件時確定。當特征集模型在數據恢復等技術中應用時，遵循以下原則：當文件判斷為可疑文件待恢復時，優先考慮文件特征prior屬性值較高的特征作為恢復依據。

3 基于特征集構建的取證模型的取證步驟

與傳統的取證模型相比，本文所提出的取證模型的工作步驟主要是增加了特征集模塊的構建工作以及對證據獲取過程的反饋環節，基于特征集構建的取證模型工作步驟如圖2所示：

圖2 取證流程圖

取證前準備階段要保證取證環境的安全性和完整性，即待測設備和系統并未受到外界的破壞或者改變。隨后可以通過入侵檢測技術進行網絡數據截取或者利用數據恢復技術對磁盤文件進行提取的方式構建數據倉庫。接下來，對數據倉庫中的數據應用數據挖掘技術進行分析，找出孤立點文件并入異常文件庫。對異常文件庫中的文件進行特征分析，得到文件特征屬性并構建特征集。最后對異常文件庫中的文件進行證據鑒定，形成原始證據，并對其保存、歸類和提交。構建完成的特征集模型可以對數據獲取階段的入侵檢測技術和數據恢復技術加以支持，從而提高文件獲取的效率，并且保證證據的真實性和可信性以及證據鏈的構建。

4 基于皮爾森相關系數的文件特征相似度計算

對文件特征集的構建包括以下概念：

設備類型集 ：文件所屬設備類型組成的集合，包括本地磁盤（ ）、U盤（ ）、移動硬盤（ ）、光驅（ ）、其他存儲設備（ ）。 ，其中 表示設備類型，分別賦值并且標準化為0.1、0.2、0.3、0.4、0.5。

文件類型集 ：文件類型的集合，由于本文所研究對象為文本文件，所以文件類型包括.doc文件（ ），.pdf文件（ ），.txt文件（ ），其他文本文件（ ）。 ，其中 表示文件類型，分別賦值并且標準化為0.1、0.2、0.3、0.4。

文件狀態集 ：文件在系統中存在的狀態及來源組成的集合，文件狀態包括一般文件（ ）、隱藏文件（ ）、加密文件（ ）、恢復文件（ ）。 ，其中 表示文件狀態，分別賦值并且標準化為0.2、0.4、0.6、0.8。

最后修改時間集 ：文件的最后修改時間與基準時間距離的集合， ，其中 為文件最后修改時間與基準時間的距離（ ）。根據案件基本發生時間推測出基準時間段，如果文件最后修改時間在基準時間段內，則設為0， 不在基準時間段內且 ，則設為0.3， ，則設為0.4。

特征值權重 ：對于不同文件特征在相關度計算中所占權重不同，根據實驗結果，設置上述特征集的權重分別為 ， ， ， 。

定義 為要比較的文件對象，每個文件有上述4個特征，即

5結語

根據本文第四部分介紹的內容，利用皮爾森相關系數計算文件特征值之間的相似度得到文檔的特征相似度系數。通過對特征相似度系數的比較，可以將特征差異較為明顯的文檔孤立出來，進而形成異常集，通過分析異常集中文件的特征屬性的影響程度和出現頻度確定name和prior屬性，構建出特征集模型。

本文在傳統靜態和動態取證模型的基礎上提出了基于特征集構建的取證模型，模型增加了特征集模塊，這個模塊的構建使得證據獲取和分析過程形成一個閉環，建立起了自學習的系統，對靜態取證中電子證據的完整性和真實性起到了一定的保障作用。

參考文獻

[1]茍木理.面向Windows 8物理內存鏡像文件的內存取證技術研究[D].重慶大學，2013.

[2]王連海.基于物理內存分析的在線取證模型與方法的研究[D].山東大學，2014.

[3] Shao J D， Rong G， Hai-Jie G U. Fast mining of distance-based outliers in metric space[J].Journal of Zhejiang University，2009，43（2）.

[4] 黃斌，許榕生，鄧小鴻.一種基于孤立點挖掘的計算機取證技術[J].江南大學學報：自然科學版，2009，8（2）：131-134.

[5]Nassir Abdullah Nassir（那西爾）.A new technique of outlier detection[D].中南大學，2012.