（计算机应用技术专业论文）计算机取证中的模型推理方法研究.pdf

机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡 献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名： 签字日期： a 产，月。工日 学位论文版权使用授权书 本学位论文作者完全了解重庞邮鱼太堂有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查 阅和借阅。本人授权重庞童电太堂可以将学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 签字日期：胡7 年岁月。1 同 导师签名： 吣。枢 签字日期：1 一年g 百沙日 j 摘要 摘要 计算机取证技术近年来获得飞速发展。与此同时，随着计算机犯罪 的多样化以及民事调查类型的增多，计算机取证分析师却在多方面面临 着挑战，如：海量数据、案件复杂程度的增加、取证结果的可信度等。 基于模型的推理是近年来计算机取证领域一个十分活跃的研究方向，针 对调查目标系统建立模型，利用该模型根据己知证据进行推理，从而实 现证据的形式化自动分析，是解决这些挑战的可行性方法之一。 根据现实案例建立的模型，其复杂程度直接关系到推理的效率。对 调查目标系统建立分层模型，利用分层的推理算法来进行推理是减少推 理的节点空间，提高推理效率的方法之一。 本文的研究从以下几个方面进行： 1 ) 为了减少推理的节点空间，利用分层p e t r i 网对调查目标系统进行 建模，使用单路正向的推理策略，实现了分层p e t r i 网的正向推理算法。 并对分层与未分层模型的推理效率进行了比较，实验结果表明该算法减 少了推理的节点空间。 2 ) 实现了基于分层p e t r i 网模型的推理原型系统，该系统输入分层 p e t r i 网模型文件和已知的证据信息，输出所有能解释证据的路径；能对 调查者根据调查目标或调查对象可能的结果给出的假设进行验证，找出 既能解释证据又满足假设的路径。 3 ) 针对取证模型中推理的路径数量发散问题和计算机取证中电子 证据的时间先后特性，利用时间m e a l y 型有限状态自动机对调查目标系统 进行了建模，使用双路双向的推理策略以提高推理效率，实验结果证明， 该算法效率较高。 关键词：计算机取证，推理，分层p e t r i 网，有限状态自动机 ( b m p u t e rf o r e n s i c si sd e v e l o p i n gv e r yf a s ti nr e c e n ty e a 琏a tt h es 锄et i m e ，w i t h t h ei n c r e 勰i n gr a n g c0 fc r i m i n a l 觚dc i v i li l l v e s t i g a t i o n s ，c o m p u t e rf o r c n s i c si n v e s t i g a t o r f a c e s 伊e a tc h a l l e n g e s ，s u c h 弱m a s sd a t a i l l c r e a u s i n gc o m p l e x i t yo fc a s e s ，r e l i a b i l i t y0 f f o r e n s i c s m o d e l - b a s e dr e 弱o n i n gi sah o tr e s e a r c hd i f e c t i o nr c c e n t l yi nc o m p u t e r f b r e n s i c s o n eo ff e a s i b l em e t h o d st 0s o l v et h e s ep r o b l e m si st 0m o d e l t h ct a r g e ts y s t e m ， r e a l i z ef o 咖a l 卸t o m a t i c 粗a l y s i sf o re v i d e n c cb yr e a s o n i n ga c c 0 r d i n ge v i d e n c e s t h ec o m p l e x i t y0 fm o d e l sw h i c hm o d e la c c o r d i n gc a s e si sd i r e c t l yr e l a t e dt ot h c e f f i c i e n c yo fr e 邪o n i n g m o d e l i n gh i e r a r c h i c a lm o d e lf o r t h ei n v e s t i g a t i o nt a 玛e ts y s t e m 卸dr e d u c i n gs t a t cs p a c eb yh i e r a 】f c h i c a lr e a s o n i n g 丽t l l l l l e t i ci so n e0 ft h em e t h o d st 0 i m p r 0 v ee f ! f i c i e n c y n i sp a p e ri n d u d e sf o l l o w i n g3a s p e c t s ： 1 ) h lo r d e rt 0r e d u c es t a t es p a c cd u r i n gt h er e a s o n i n g ，w eu s eh i e r a r c h i c a lp e t r i n e t st om o d e li l e s t i g a t i o nt a 喀e ts y s t e m h lo r d e rt oi m p r 0 v et h er e a s o n i n ge m c i e n c y ， f o r w a r dt r a c i n ga r i t h m e t i cb a s e dh i e r a r c h i c a lp e t r in e t sm o d e li sr e a l i z e dt h r o u g l lt h e s i n 出e - m u t ef o r w a r dr c a s o n i n gs t f a t e g y t h e n ，i ti sc o m p a r e dw i t ht h ee 倚c i e n c y0 f h i e r a r c h i c a lp e t r in e t sm o d e l 锄d m m o np e t r in e t sm o d e lb ye x p e r i m e n t s t h er e s u l t s o fe x p e r i m e n t ss h ( n t h a tt h ea r i t h m e t i cr e d u c e ss t a t es p a c ed u r i n gt h er e a s o n i n g 2 ) i ti sr e a l i z e dt h ep r o t o t y p es y s t e mo fr e a s o n i n gb a s e dh i e r a r c h i c a ip e t r in e t s 1 1 l ep r o t o t y p es y s t e mi n p u tt h ef i l eo fh i e r a r c h i c a lp e t r in e t sm o d e l 锄dt h el 【l l o w n i n f o 姗a t i o no fe l e c t r o n i cc v i d e n c e sa i l do u t p u tp a t h st h a tm e e te l e c t r o n i ce v i d e n c e s h l a d d i t i o n ，i tc a nt e s tt h eh y p o t h e s i sw h i c hi n v e s t i g a t o fg i v e sa c c o r d i n gp o s s i b l er e s u l to f i n v e s t i g a t i o nt a 唱e t ，柚dg i v eu sp a t h st h a tm e e te l e c t r o n i ce v i d e n c e sa n d t h eh y p o t h e s i s 3 ) i no r d e r t os o l v et h ep r o b l e mo fr e a s o n i n gi n e f f i c i e n c yw i t ht h er e a s o n i n g p a t h se x t e n s i o ni ns i n 酉e - c h a n n e lr e a s o n i n ga l g o f i t h m ，t h r o u g l lt h et i m e ds u c c e s s i v e l y r e l a t i o no fe l e c t r o n i ce v i d e n c e sa n dt h ec h a r a c t e f i s t i cp r o p e n y0 ft h ed i v e r g e n c e0 ft h e r e a s o n i n gp a t h sq u a i l t i t y ，t a r g e ts y s t e m 锄de l e c t i d n i ce v i d e n c ef b 咖a l i z eb a s e d0 n t i m e dm e a l yf i n i t es t a t em a c h i n e ( t m m ) m o d e l 锄dad o u b l e c h a n n e ld o u b l e t r a c i n g r e a s o n i n gs t r a t e g yi sp r e s e n t e d t h er e s u l t so fe x p e r i m e n t ss h o wt h a ts t r a t e g yi m p r o v e s t h er e a s o n i n ge f f i c i e n c y k e yw o r d s ：c o m p u t e rf o r e n s i c s ，r e a s o n i n g ，h i e r a r c h i c a lp e t r in e t s ，f i n i t es t a t e m a c b i n e 目录 目录 摘要i a b s t “l c t 第一章绪论1 1 1 论文选题背景1 1 1 1 引言1 1 1 2 计算机取证的过程2 1 1 3 早期的计算机取证过程模型2 1 1 4 电子证据4 1 1 5 电子证据的自动分析技术5 1 2 论文的主要工作6 1 3 论文的组织结构。6 第二章计算机取证推理模型8 2 1 基于模型的推理8 2 2f s m 模型9 2 3p e t r j 网模型1 1 2 3 1p e t r i 网定义”1 1 2 3 2p e t r i 网可达性1 1 2 3 3p e t r i 网系统建模1 2 2 4 本章小结1 2 第三章基于分层p e t r i 网的模型推理”1 4 3 1 分层的基本知识1 4 3 2p e t r i 网的分层模型1 5 3 2 1 基本概念1 7 3 2 2 电子证据的形式化1 8 3 3 推理策略1 9 3 - 3 1 一般推理策略”1 9 3 3 2 变迁触发规则“2 0 3 - 3 3 改进的可覆盖性树”2 1 3 3 4 算法实现2 3 3 4 案例和实验结果2 4 m 重庆邮电大学硕士论文 目录 3 4 1 案例分析2 4 3 4 2 实验结果”2 9 3 5 本章小结3 0 第四章分层推理模型系统的设计3 1 4 1 系统总体设计。3 1 4 2 系统的具体实现3 2 4 2 1 预处理模块3 2 4 2 2 证据解释模块3 2 4 2 3 假设验证模块3 3 4 2 4 系统管理模块3 5 4 3 本章小结3 6 第五章时间m e a l y 有限状态自动机的双路推理策略一3 7 5 1 引言3 7 5 2 时间m e a l y 有限状态自动机的形式化。3 7 5 2 1 基本概念3 8 5 2 2 推理策略3 9 5 2 3 算法实现”4 0 5 3 案例分析4 1 5 4 实验结果4 2 5 4 1 实验准备4 2 5 4 2 实验过程4 2 5 5 本章小结4 3 第六章总结及未来工作4 5 6 1 总结4 5 6 2 未来工作4 5 致谢4 7 攻硕期间从事的科研工作及取得的研究成果4 8 参考文献”4 9 第一章绪论 1 1 论文选题背景 1 1 1 引言 随着计算机技术的发展和信息化的普及程度越来越高，计算机逐渐 成为人们生活和工作中不可或缺的组成部分，它改变了人们传统的生活 节奏和工作习惯【。计算机犯罪也应运而生。当今，利用高技术和高智 慧实施的智能犯罪日益猖獗，特别是计算机犯罪已成为现代社会的一个 严重的社会问题，对社会造成的危害也越来越严重，必须引起高度的重 视。计算机犯罪是指针对计算机系统的完整性或正常行为造成危害后果 的行为，而计算机在相关的犯罪案例中充当了黑客入侵的目标、作案的 工具和犯罪信息的存储器这3 种角色【2 1 。计算机犯罪主要可以分为以下 两种类型【3 】：利用计算机来实施的犯罪以及针对计算机实施的犯罪。据 有关部门统计，1 9 9 9 年国内各类计算机违法犯罪案件共立案9 0 8 起，2 0 0 0 年共立案2 6 7 0 起，2 0 0 1 年则达2 7 4 1 起，由此造成的经济损失令人触目 惊心，引发的社会问题也越来越突出。现今，计算机犯罪更趋于普遍化， 这是由于计算机入侵者的攻击方式出现了新的趋势1 4 j ： 1 1 攻击过程的自动化和攻击工具的快速更新； 2 1 攻击工具的不断复杂化； 3 ) 系统漏洞发现得更快； 4 1 渗透防火墙。 要解决这种民事纠纷，打击计算机犯罪就需要找到充分、可靠、有 说服力的证据【5 1 。由于计算机犯罪的隐蔽性和匿名性等特点使得对计算 机犯罪的侦查非常困难，另外电子证据本身和取证过程的要求都要有别 于传统的取证方法，这对司法和计算机领域都提出了新的研究课题，计 算机取证技术也就应运而生。计算机取证是一个涉及法学、刑事侦查学、 计算机科学等学科的交叉学科i6 1 ，是运用计算机及其相关科学和技术的 原理与方法获取与计算机相关的证据以证明某个客观事实存在的过程 【7 1 ，其领域包括网络取证和系统取证两部分i 引。 第一章绪论 计算机取证不同于一般案件的取证，具有特殊的要求，在计算机取 证过程中，通常应按照如下步骤进行1 9 j ： 1 ) 在取证检查中，保护目标计算机系统，避免发生任何的改变、伤 害、数据破坏或病毒感染； 2 ) 发现目标系统中的所有文件。包括现存的正常文件、已经被删除 但仍存在于磁盘上( 即还没有被新文件覆盖) 的文件、隐藏文件、受到密 码保护的文件和加密文件； 3 ) 全部( 或尽可能) 恢复发现的已删除文件； 4 ) 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件 和交换文件的内容； 5 ) 如果可能并且如果法律允许，访问被保护或加密文件的内容； 6 ) 分析在磁盘的特殊( 通常是无法访问的) 区域中发现的所有相关 数据。包括但并不局限于：所谓的未分配磁盘空间一虽然目前没有被使 用，但可能包含有先前的数据残留；文件中的“s l a c k 空间一文件的磁 盘存储空间是以簇为单位分配的，如果文件的长度不是簇长度的整数倍， 那么分配给文件的最后一簇中会有未被当前文件使用的剩余空间，其中 可能包含了先前文件遗留下来的信息，可能是有用的证据； 7 ) 打印对目标计算机系统的全面分析结果，包括所有的相关文件列 表和发现的文件数据。然后给出分析结论，其中包括系统的整体情况， 发现的文件结构、数据和作者的信息，对信息的任何隐藏、删除、保护、 加密企图，以及在调查中发现的其它的相关信息； 8 ) 给出必需的专家证明。 1 1 3 早期的计算机取证过程模型 计算机取证的早期模型包括事件响应过程模型( i n c i d e n tr e s p o n s e p r o c e s sm o d e l ) 【1 叭、过程抽象模型( a na b s t r a c tp r o c e s sm o d e l ) 【1 1 1 、计算机 取证层次模型。 1 ) 事件响应过程模型 c h f i sp r o s i s e 和k e v i nm a n d i a 在其著作应急响应一计算机犯罪调 查( i n c i d e n tr e s p o n s e ：i n v e s t i g a t i n gc o m p u t e rc r i m e ) 中把计算机取证的 事件响应过程模型分为如下阶段：取证准备阶段( p r e i n c i d e n t 2 第一章绪论 p r e p a r a t i o n ) 、事件侦测阶段( d e t e c t i o no ft h ci n c i d e n t ) 、初始响应阶段 ( i n i t i a lr e s p o n s e ) 、响应策略确定( r e s p o n s es t r a t e g yf o r m u l a t i o n ) 、备份 ( d u p l i c a t i o n ) 、调查( i n v e s t i g a t j 彻) 、安全方案实施( s e c u r em e a s u r e i m p l e m e n t a t i o n ) 、网络监控( n e t w o r km o n i t o r i n g ) 、恢复( r e c o v e r y ) 、报告 ( r e p o r t i n g ) 、卡卜充( f o l l w - u p ) 。 2 ) 过程抽象模型 这个模型是美国空军研究院美国司法部美国信息督导防御局提出 的。过程抽象模型的研究被认为在数据取证基本理论和基本方法研究中 具有里程碑的作用。a i rf o r c e 的抽象模型包括识别( i d e n t i f i c a t i o n ) 、 准备( p r e p a r a t i o n ) 、策略制定( a p p r o a c hs t r a t e g y ) 、保存( p r e s e r v a t i o n ) 、收 集( c o l l e c t i o n ) 、检验( e x a m i n a t i o n ) 、分析( a n a l y s i s ) 、提交( p r e s e n t a t i o n ) 、 返回证据( r e t u r n i n ge v i d e n c e s ) 。 3 ) 计算机取证的层次模型 该模型是第十九次计算机安全技术交流会上提出的。这一模型认为： 计算机取证可以分为证据发现层、证据固定层、证据提取层、证据分析 层和证据表达层五个层次，如图1 1 所示： 证据表达层 证据分析层 证据提取层 证据固定层 证据发现层 图1 1 计算机取证的层次模型 证据发现层：电子证据的发现就是通过侦查和现场勘察搜集最原始 的证据。可以把一般的侦查技术与计算机技术相结合进行研究。这方面 的研究包括取证专用的入侵检测系统( i n t f u s i o nd e t e c t i o ns y s t e m ，i d s ) 、 网络线索自动挖掘技术、溯源技术、数据过滤、磁盘镜像技术等等。 证据固定层：电子证据的固定主要是解决证据的完整性验证即通过 数字签名和见证人签名等保证现场勘察和侦查获得的数据的完整性和真 实性。 证据提取层：证据的提取从本质上说就是从众多的未知和不确定性 中找到确定性的东西。 证据分析层：分析证据是计算机取证的核心和关键，即通过关联分 3 第一章绪论 罪行为动机以 及嫌疑人特征。证据分析内容包括：分析计算机的类型：采用的操作系 统是否为多操作系统或有无隐藏的分区；有无可疑外设、有无远程控制 木马程序及当前计算机系统的网络环境。注意分析过程的开机关机过程 尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序。分 析在磁盘的特殊区域中发现的所有相关数据，利用磁盘存储空闲空间的 数据分析技术进行数据恢复，获得文件被增、删、改、复制前的痕迹等。 证据表达层：证据的表达即通过数据恢复，残缺数据提取、解码、 解密、过滤等技术将原始数据表达成可以理解的抽象数据。 1 1 4 电子证据 电子证据出现在法庭上在我国只是近1 0 年左右的事情，但在信息技 术较发达的美国却已有3 0 年左右的历史了。 电子证据不同于传统的证据，它是以计算机形式存在并为证据使用 的一切材料及其派生物1 5 1 。与传统证据相比，电子证据具有以下4 个特 占【1 2 】 ， 、 1 1 电子证据同时具有较高的精密性和脆弱易逝性； 2 ) 电子证据具有较强的隐蔽性； 3 ) 电子证据具有多媒体性； 4 1 电子证据还具有收集迅速、易于保存、占用空间少、容量大、传 送和运输方便、可以反复重现、便于操作等特点。 传统的计算机取证工具有e n c a s e 【13 1 、s l e u t h “t 等【1 4 1 。而我国的计算 机普及与应用起步较晚，有关计算机取证的研究与实践工作也仅有1 0 年的历史，相关的法律法规仍很不完善，学界对计算机犯罪的研究也主 要集中于计算机犯罪的特点、预防对策及其给人类带来的影响。目前法 庭案例中出现的电子证据都比较简单，多是文档、电子邮件、程序源代 码等不需特殊工具就可以取得的信息。但随着技术的进步，计算机犯罪 的水平也在不断提高，目前的计算机取证技术己不能满足打击计算机犯 罪、保护网络与信息安全的要求，自主开发适合我国国情的、能够全面 检查计算机与网络系统的计算机取证的工具与软件已经迫在眉睫1 1 引。 正是由于计算机犯罪数量的增多以及电子证据的特殊性，使计算机 取证分析师面临着诸多挑战，归纳起来，主要有三个方面： 1 ) 证据获取方面。证据获取就是通过侦查和现场勘察收集最原始的 证据。由于电子证据的来源和存在形式的多样性，证据获取工作存在很 4 第一章绪论 多困难。其中包括保存系统和设备状态，保护证据尤其是易失性存储设 备中的潜在证据，以便给调查员提供日后可能需要的数据。数据的来源 有单个计算机、网络以及相关设备中的数据。 2 _ ) 证据保存方面。证据的有效性是科学地分析案件、顺利破案的前 提，因此证明取证人员所收集到的证据没有被故意修改过成为取证的难 点之一。证据保存主要是解决证据的完整性验证，通过数字签名和见证 人签名等保证现场勘察和侦察获得的数据的完整性和真实性。 3 ) 证据分析方面。随着存储技术的发展以及攻击手段的不断提高， 为计算机取证目的而收集的信息量之巨大与甄别出与案件关联的、反映 案件客观事实的证据之问题的引入准确性之间的矛盾将越发突出【l 引，而 且通常一个异常行为往往隐藏于分散的多个数据之中，犯罪行为产生、 变动的电子证据都存储在计算机应用系统相对应的缓存区、数据库或临 时文件中，并和海量的正常的计算机数据混杂在一起。调查人员必须在 收集到的信息中分析各个数据证据间的关联，以便获得潜在的数字犯罪 证据。 1 1 5 电子证据的自动分析技术 当前计算机取证形式化自动分析的理论基础还比较薄弱，调查的过 程还主要是依靠专家手动以及非形式化的推理，导致耗费了大量的时间 以及取证专家的劳力。由于分析结果的易错性以及其结果很难用于在法 庭上辩护，当前计算机取证非形式化的分析方法还不适合于复杂分析。 因此，计算机取证委员会不仅需要更好的获取工具，而且急需更好的分 析工具，要提倡更科学的分析方法。为了提高计算机取证调查的时效性， 取证调查员必须从手工操作和费时的任务中解脱出来，用更多的时间来 思考f 1 7 】。因而下一步的主要方向是采用形式化的建模及分析，分析过程 尽量形式化并进步自动化。因为规范、合理的取证分析必须建立在可 信的科学理论的基础上以解释现有证据为什么支持以及怎样支持专家的 某个结论【1 引。 传统的办法是先根据调查目标对象建立理论模型并对电子证据进行 形式化表示，推理的背景知识、证据来源与表达、推理的过程等都需要 严格的形式化。然后根据采集到的证据利用模型进行推理，从而实现证 据的自动分析。b r e w e r 等提出了使用耦合的隐马尔科夫模型表达嫌疑人 之间的交互方式【1 引，g e r b e r 等尝试了计算机输入输出信息的形式化【2 0 1 。 目前证据自动分析技术主要利用f s m 模型和p e t r i 网模型对调查目标系 5 重庆邮电大学硕士论文第一章绪论 统建模并进行推理。详细的研究现状及理论模型将在第二章介绍。随着 案件复杂程度的增加，针对调查目标系统建立的模型也会更加复杂，而 且现有的推理方法推理时必须考虑全部的节点空间，推理的时间复杂度 高，从而造成推理效率的下降，应用起来十分困难。因而如何提高推理 的效率，降低推理的时间复杂度，成为我们需要解决的问题。 1 2 论文的主要工作 本文的主要工作就是利用分层p e t r i 网对计算机犯罪案件的调查目 标系统进行建模，实现p e t r i 网的分层结构，并对电子证据进行了形式化， 提出了基于分层p e t r i 网的事件重建推理算法。利用最初调查到的已知证 据片段作为全局初始状态，对模型进行正向的分层推理，排除不符合已 知证据的场景，找出所有符合证据陈述的解释，从而进行计算机犯罪事 件的重建。并设计了一个基于分层p e t r i 网的推理原型系统，利用正向的 推理策略，对犯罪事件进行重建，减少了推理的节点空间，提高了推理 的效率。通过例子和实验结果证明了该方法的有效性。另外，对于有限 状态自动机的推理方法也进行了研究，针对推理过程中路径数量发散的 特性，充分利用了电子证据的时间特性，将时间信息引入有限状态自动 机中，提出了一个基于时间m e a l y 有限状态自动机的双路双向的事件重 建推理算法，一定程度上减少了推理路径数量发散的问题。 1 3 论文的组织结构 本论文组织结构如下： 第一章介绍了论文的选题背景，对计算机取证模型的研究现状做了 一般性叙述，介绍了证据自动分析技术中使用的模型，最后给出了论文 的主要工作及文章的组织结构； 第二章介绍了计算机取证中对案件进行建模推理、实现电子证据自 动化分析的研究现状，并介绍了当前主要的可以利用其对案件建模的两 种数学模型； 第三章介绍了分层的基本概念，给出了分层p e t r i 网的结构及系统和 证据的形式化方法，提出了基于分层p e t r i 网的事件重建推理算法，并给 出了案例和实验结果； 6 重庆邮电大学硕士论文 第一章绪论 第四章介绍了分层p e t r i 网的推理原型系统的设计，包括了系统框 架、系统模块、实现的功能等； 第五章初步研究了基于时间有限状态自动机的双路双向推理算法， 实验结果证明了该算法的有效性，能从一定程度上减少推理过程中路径 数量发散问题； 第六章对本文进行了总结，提出下一步的研究计划。 7 重庆邮电大学硕士论文 第二章计算机取证推理模型 第二章计算机取证推理模型 2 1 基于模型的推理 基于模型的推理是近年来计算机取证领域一个十分活跃的研究方向 之一，其正确性、完备性及可维护性等特点能够克服传统诊断系统的缺 陷，因而显示出充满生机的诱人前景。 事件重建是取证分析中调查所发生事件的重要任务，它在安全事件 调查中是一项基本活动。它可定义为是运用科学的方法来确定可能的事 件发生序列，从而来解释犯罪发生的场景1 2 。 利用调查目标模型进行推理实现对电子证据形式化自动分析，进行 犯罪事件的重建，是当前计算机取证领域的一个重要发展方向。c a r r i e r 和s p a f f o r d 提出了按照逻辑的因果关系模型来对电子证据进行关联，从而 对犯罪事件过程进行事件重建【2 2 1 。其过程包括证据鉴别、角色划分、事 件重建和测试、事件排序、假设检验等。这是一个概括性的理论框架模 型，对取证工作起到了一定帮助，但讨论比较抽象，也没有具体的实现。 g l a d v s h e v 和p a t e l 论述了如何利用有限状态自动机来进行数字调查中的 事件重建f 2 1 2 3 1 ，并给出了事件重建过程的数学定义。从理论上表明可以 利用自动推理的方式实现自动化分析，重建计算机犯罪相关的活动。该 文的方法可以归纳为：调查对象首先被描述为一个有限状态自动机，如 果犯罪事件发生后发现系统处于某一特定的状态，那么所有可能导致系 统进入这一特定状态的场景或行为都可以通过逆推转换得到。这就为把 有限状态自动机理论应用于计算机犯罪事件重建提供了理论依据，正如 该文作者所说，现有工作离最终的应用目标还有很遥远。从取证( 证据) 的角度看该方法的局限性在于未解释“可观察到的特性( p r o p e f t y ) 的准 确含义以及如何从“可观察到的特性( p r o p e r t y ) 得到作为推理基础的观 察记录( o b s e r v a t i o n ) 。目前该方法需要用手工完成表达观察记录。另外， 自动机推理仅限定在逆向推理一种方式，虽然该假设有一定的合理性， 但限定过分严格，没有灵活性。s t e p h e n s o n 利用着色p e t r i 网对蠕虫攻击 进行建模【2 4 1 ，首先遵循e e d i ( t h ee n d t o e n dd i g i t a l i n v e s t i g a t i o n ) 过程对 一次蠕虫攻击进行调查分析，提出假设，然后使用d i p l 语言作为p e t r i 网 的输入，从而验证假设，找出事件发生的原因。 8 计算机取证推理模型 了时间m e a l y 有 限状态自动机模型，可同时表达系统运行的时间特性、输入、输出信息。 单路多策略的通用推理算法可从开始状态正向推理或从中间状态进行逆 向或正向推理，在适应实际的各类证据方面具有很好的灵活性。 由于有限状态自动机在表达系统中的同步、并发、冲突等行为具有 很大局限性，而p e t r i 网【2 6 】特别便于描述系统中进程或部件的顺序、并 发、冲突以及同步等关系，是对动态系统建模的好工具。任何一个有限 状态自动机都可以用p e t r i 网来表示，但任一p e c r i 网却不一定能由有限 状态自动机描述。因而利用p e t r i 网对调查目标系统建模，利用观察到的 证据信息，对证据进行形式化，从形式化的某个场景进行正向和逆向的 推理，进行事件的重建，是一个好方法。由于复杂系统建立的p e t r i 网模 型非常复杂，推理时需要考虑全部的节点空间，因而可以对其分层描述， 利用分层的思想逐步推理求精，减少推理的时间复杂度，提高推理效率。 下面介绍电子证据形式化自动化分析中用到的两种模型。 2 2f s m 模型 利用有限状态自动机实现计算机取证分析的一般方式可描述为：获 得调查对象的有限状态自动机模型；从某个( 些) 证据( 已知状态或已知事 件) 开始通过系统演化( 推理) 对需要解决的争议或需要调查的假设进行判 断，建立证据之间的联系，( 在演化过程中) 去掉不符合现有证据的场景， 最后得到案件( 或安全事件) 所有可能发生过的场景。 有限状态自动机( f s m ) 是一个通过简单化假设刻划复杂系统的数学 模型。在u m l 各种工具中，有限状态自动机( f s m ) 是一种强大的支持动 态建模的工具。通过一张图表便可以描述很复杂的逻辑，能有效的支持 各种复杂行为的建模。它广泛应用于通信协议、图形界面以及其它很多 应用中。一般地，假定以下条件成立： 1 ) 被模型化的系统具有有限个状态； 2 ) 在一定状态下的行为应是同一的； 3 ) 系统在任何时间段内总停留在某一状态上； 4 ) 系统状态的改变( 迁移) 的条件是有限的； 5 ) 迁移是系统对事件的反应； 6 ) 迁移所用时间近似为零。 精确地说，状态是一个在有限时间段内保持可辨识的本体的状况， 9 重庆邮电大学硕士论文第二章计算机取证推理模型 迁移是系统对促使从一状态移到另一状态的事件的反应。图2 1 中是一个 非常简单的f s m 。系统可以处于三个状态之一一状态a 、状态b 和状态c 。 一组事件一事件a ，事件b 和事件c 一会引发图中所示的变迁。注意对每一 个状态来说，某些事件会引起变迁，而某些却不会。 图2 1f s m 状态转换图 g l a d y s h e v 利用有限状态自动机对如下案例【z 1j 进行了建模和推理：在 一办公室内有一台打印机由两台计算机共享，那么打印费用就得由这两 台电脑的使用者a l i c e 和b o b 共同承担。但是a l i c e 声称她从未使用过打印 机因此拒绝支付任何费用，而b o b 却不赞成并声称a l i c e 到打印机取过资 料。系统管理员c a r l 负责调查解决此次纠纷。c 经过调查发现，该打印机 自购买之后一直仅受a 和b 的控制，c 又联系打印厂商，得到打印机的工 作机制：当打印机接收到一个打印任务时，该任务被储存在第一个未被 分配的打印目录内；在进行打印时，打印机从第一个目录扫描，并选取 第一个打印任务；当打印任务完成后，相应的打印目录被标示为 “如彪纪d ”，但打印用户名被保存下来；打印机一次只接收来自一个用户 的一个打印任务；初始时刻，打印目录皆为空。建立后的模型如图2 2 所 示： 图2 2 打印机例子的有限状态自动机模型 图中显示了打印目录的有限状态自动机模型。椭圆型表示目录中可 1 0 重庆邮电大学硕士论文第二章计算机取证推理模型 能存在的相应的状态。箭头表示增加( 或删除) 打印工作。图中每个椭圆 显示了相应状态中打印目录中的内容。由于并不复杂，开始时模型中仅 有两个目录入口。例如，状态1 2 表示打印目录中有一个a l j c e 的打印任务， 有一个b o b 的打印任务。目录初始的状态是为空，用状态1 来表示。而被 c a r l 发现的打印机目录的状态用椭圆表示为状态1 7 。a l i c e 宣称她从没使 用过打印机，但是根据打印机目录的终止状态为1 7 ，要想回溯到初始状态 1 ，必须经过状态1 2 或状态6 ，因此可以据此判断a l i c e 的宣称为假。 这样建立的有限状态自动机模型，并据此进行推理具有一定的可行 性，但是，当事件变得更加复杂，证据并不是单一证据，有初始证据， 过程中间采集的证据以及最终的结果，因此建立的有限状态自动机模型 会变得非常复杂，要据此进行推理也会变得困难重重。 2 3p e t r i 网模型 p e t r i 网由德国科学家c a r lap e t r i 于1 9 6 2 年在他的博士文中首次提 出，用于描述计算机系统事件之间的因果关系。4 0 多年来，p e t r i 网理论 得到不断地充实和发展，日益完善，在计算机、自动化、通信、交通以 及制造等领域得到广泛应用。p e t r i 网模型表达能力强，且有严格的数学 理论基础，又有直观的图形表示。 2 3 1p e t r i 网定义 p e t r i 网【2 6 】是一个四元组= ( s ，l f ，加，其中： 1 ) s = p l ，s 2 ， ，表示库所节点的有限集合，刀为库所个数； 2 ) 丁= f 1 ，f 2 ，f 朋，表示变迁节点的有限集合，m 为变迁个数，变迁是 库所间转换的过程并且是瞬时完成； 3 ) f t ) u 仃s ) ，表示库所到变迁或变迁到库所的映射，库所到 变迁或变迁到库所用有向弧连接； 4 ) m 为库所当前的标识，m = 【m ( s 1 ) ，m ( s 2 ) ，m ( s 开) 】，m 是，l 维的向量， 其中m ( s f ) 为库所s f 的标识数，f = 1 ，2 ，咒。 2 3 2p e t r i 网可达性 可达性是p e t r i 网一个重要的行为特性，可达性描述了从初始标识m 重庆邮电大学硕士论文 第二章计算机取证推理模型 可以到达的那些标识，或者给定一标识，是否可以经一系列变迁的触发 从初始标识到达该标识。如果存在变迁f 啊以从标识m 进行触发，称此 变迁f 在标识m 有发生权( e 厅口6 比d ) ，记为m 【f 。如果存在变迁f z 在标识m 有发生权，并且经过f 触发后到达m ，则称m 为从m 直接可达的，记为 m p m 。若存在变迁序列f 1 ，f 2 ，“和标识序列肘1 ，帆，帆使得 州f l m 1 【f 2 尥，慨1 h 慨，则称帆为从舸达的。 从初始标识开始，得到所有可能到达的标识，将所有这些标识以及 触发产生这些标识的变迁用一个图形表示，图中的节点为标识，节点之 间用表示变迁的带箭头的弧连接，这样的图称为可达图。 2 3 3p e t r i 网系统建模 由于有限状态自动机在直接表达系统中的同步、并发、冲突等行为 具有很大的局限性，因此可以利用p e t r i 网对调查系统系统建模，主要目 的就是借助系统模型来进行形式化推理和证据解释。这种系统模型既有 直观的图形表示，又可以给出形式化的表述。一个p e t r i 网模型确切的描 述了一个系统的结构和运行，那么这个系统所具有的性质也会在其p e t r i 网模型上得到体现。文献【2 7 】引入时间p e t r i 网实现调查目标的系统建模， 分析电子证据之间的关系，提出了基于时间p e t r i 网的正向推理算法，从 被观察到得最初全局状态进行正向推理，并逐步利用事件的时间信息， 建立该全局状态下的可覆盖性树，形成较准确的事件重建过程以辅助调 查人员取证分析。含时间因素的p e t r i 网实际上是在原型p e t r i 网的基础上， 定义了一个从变迁集到某种时间因素集的映射，推理时加入了一个时间 因素的判断，从本质上来说是一个对原型p e t r i 网的扩充，实现了与经典 p e t r i 网模型的兼容，虽然通过时间限制界定了推理的时间范围，但是推 理时仍然需要考虑全部的节点空间，每次进行路径延伸时需要对网中每 个变迁的触发性进行判断，推理效率