（计算机软件与理论专业论文）基于petri网的事件重建应用研究.pdf

重庆邮电大学硕士论文摘要 摘要 计算机犯罪的高技术特性使取证科学产生了一个新的分支，即计算机 取证。与传统取证不同的是，计算机取证收集、分析的数据是计算机运行 过程中所产生的数据。事件重建是计算机取证分析的一个重要部分，它是 一项调查安全事件中所发生具体事件的重要任务。在入侵事件发生后，如 何有效地进行计算机犯罪事件重建是计算机取证领域当前急需解决的重 要问题。一种使事件重建更加严谨、可信的途径是采用标准模型对事件重 建进行形式化定义。在此基础上，事件重建的自动分析才有可能实现。 为了实现上述目标，本文主要做了如下两个方面的研究工作： ( 1 ) 根据计算机证据的特征及相关性，探讨了事件重建的基本模型， 把事件重建过程划分为四个阶段：证据鉴别、因果关联、事件重建、假设 验证。我们的目标是希望根据这一模型能使事件重建更具通用性。 ( 2 ) 为使事件重建具有较好的理论支持，文本以p e t r i 网为基本推理 模型，提出了一个基于p e t r i 网的事件重建逆向推理算法。该算法有以下 特征：将被调查的系统模拟为一个p e t r i 网；运用专门的形式化定义来描 述证据；根据被调查系统的最终状态进行逆向推理，重建出整个事件发展 的全貌，从而达到澄清事实、消除矛盾的目的。 ( 3 ) 对基于p e t r i 网的事件重建逆向推理算法编程实现，开发了一个 基于p e t r i 网的事件重建系统p n e r s 。 经过实际相关案例的实验，结果表明本文模型和方法是有效、可行的， 能够对计算机犯罪事件重建起到较好的辅助作用。 关键词：计算机取证，事件重建，p e t r i 网 重庆邮电大学硕士论文 a b s t r a c t a b s t r a c t t h et e c h n i c a ln a t u r eo fc o m p u t e rc r i m el e a d st h ed e v e l o p m e n to fan e w b r a n c ho ff o r e n s i cs c i e n c ec a l l e dc o m p u t e rf o r e n s i c s i n s t e a do ft r a d i t i o n a l f o r e n s i c s ，i tc o l l e c t s a n da n a l y s e sd a t a p r o d u c e db yc o m p u t e r s e v e n t r e c o n s t r u c t i o ni sa ni m p o r t a n tp a r to fc o m p u t e rf o r e n s i ca n a l y s i s i ti st h e p r o c e s so fd e t e r m i n i n gt h ee v e n t st h a th a p p e n e dd u r i n ga ni n c i d e n t i ti s a n e x t r e m e l yi m p o r t a n tt a s ki nc o m p u t e rf o r e n s i c s t or e c o n s t r u c tt h ec o m p u t e r c r i m ee v e n t sa f t e rac o m p u t e ri n t r u s i o no c c u r s o n ew a yt om a k ee v e n t r e c o n s t r u c t i o nm o r er i g o r o u si st oe m p l o ym a t h e m a t i c a lm o d e l s t h u s e v e n t r e c o n s t r u c t i o nc o u l db e d o n ea u t o m a t i c a l l y + t oa c h i e v et h e s eo b j e c t i v e s ，t h i st h e s i sf o c u s e so nt h ef o l l o w i n gt o p i c s ： ( 1 ) b a s e do nt h ec h a r a c t e r i s t i c so fe v i d e n c e s ，ab a s i ce v e n tr e c o n s t r u c t i o n m o d e li sd i s c u s s e d ，a n dt h er e c o n s t r u c t i o np r o c e s si sd i v i d e di n t of i v ep h a s e s ： e v i d e n c ee x a m i n a t i o n ，c a u s a lc o r r e l a t i o n ，e v e n tc o n s t r u c t i o na n dh y p o t h e s i s t e s t i n g o u rg o a li st om a k ee v e n tr e c o n s t r u c t i o nm o r ec o m p a t i b l e ( 2 ) b e c a u s eo ft h ep r e v a l e n ta p p l i c a t i o no fp e t r in e t a nb a c k w a r dr e a s o n i n ge v e n t r e c o n n s t r u e t i o na l g o r i t h mb a s e do np e t r in e ti s p r o p o s e d t h ed e f i n e df o r m a le v e n t r e c o n s t r u c t i o na l g o r i t h mb a s e do np e t r in e t st h e o r yp o s s e s s t h ef o l l o w i n gf e a t u r e s ：t h e s y s t e mu n d e ri n v e s t i g a t i o ni sm o d e l e da s a p e t r in e t ，a n das p e c i a l - p u r p o s e f o r m a l i s mi su s e df o rd e s c r i b i n gt h ee v i d e n c e ，a n df o rt h ea i mo fc l a r i l y i n g m a t t e r sa n dr e m o v i n gc o n f l i c t ，t h ea l g o r i t h mc a nr e c o n s t r u c tt h ew h o l ep r o c e s so f c o r p u sd e l i c t if r o mt h el a s ts y s t e m ss t a t ew h i c hc a nb ei n v e s t i g a t e de a s i l y ( 3 ) f i n a l l y ，w ed e v e l o p as o f t w a r e s y s t e m c a l l e dp e t r in e te v e n t r e c o n s t r u c t i o ns y s t e m ( p n e r s ) e x p e r i m e n ti n d i c a t e dt h a tt h ep r o p o s e dm o d e la n da l g o r i t h m a r eb o t h f e a s i b l ea n de f f e c t i v e ，a n dc o u l dp r o v i d eac o n v e n i e n ts u p p l e m e n t a r yt o o lf o r c o m p u t e rc r i m ee v e n tr e c o n s t r u c t i o n k e y w o r d s ：c o m p u t e rf o r e n s i c s ，e v e n tr e c o n s t r u c t i o n ，p e t r in e t 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包合其 他人已经发表或撰写过的研究成果，也不包含为获得重鏖塑电太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均己在论文中作了明确的说明并表示谢意。 学位论文作者签名：暂羽 签字日期：呐年r 月9 日 学位论文版权使用授权书 本学位论文作者完全了解重庭邮直太堂有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查 阅和借阅。本人授权重庆邮电盍堂可以将学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：督羽导师签名：，硼i 记 签字眦御年n 7 日签字眺川年霸7 日 重庆邮电大学硕士论文第一章绪论 1 1 引言 第一章绪论弟一早珀下匕 近年来，我国信息技术和信息产业迅猛发展，计算机技术特别是因特 网技术对我国政治、经济、军事、科技、文化、教育、卫生以及人民群众 的日常生活等国民经济和社会发展的各个领域都产生了广泛而深远的影 响，同时也为违法犯罪分予提供了新的犯罪空间和手段。计算机犯罪 ( c o m p u t e rc r i m e ) 呈现日趋严重的发展态势，从最初的仅是针对钱财的犯 罪，发展为针对政治、军事、知识产权等多个领域的犯罪；从单机犯罪， 发展到现在的网络犯罪、信息犯罪。计算机犯罪给国家安全和社会稳定造 成了严重的威胁，严重地危害了我国的政治安全、经济安全和社会安定【l 】。 根据新刑法第2 8 5 条和第2 8 6 条分别规定的有关计算机犯罪的内容，以及 1 9 9 7 年1 2 月1 1 日最高人民法院发布的关于执行中华人民共和国刑法 确定罪名的规定，所谓计算机犯罪是指借助计算机实施相关犯罪，以计算 机资源为对象而实施的犯罪的总称【2 】。通俗的讲，计算机犯罪是针对和利 用计算机系统，通过非法操作或者其它手段对计算机系统的完整性或正常 行为造成危害后果的行为1 3j 。 由于计算机和网络与人们的生活已十分密切，以此为基础的由各种应 用引起的纠纷也不断出现，例如l9 9 6 年北京大学一学生状告其同学冒名 向美国大学发了一封拒绝接受该校提供的奖学金的电子邮件【4 】。前几年各 大门户网站相互指责对手网站内容侵权的报道也不少。与此同时，针对计 算机系统或网络的犯罪活动以及利用计算机和网络从事各种犯罪活动的 人越来越多，由此造成的经济损失令人触卧晾心，引发的社会问题也越来 越突出。要解决这种民事纠纷，打击计算机犯罪就需要找到充分、可靠、 有说服力的证据。计算机在相关的犯罪案例中可以扮演黑客入侵的目标、 作案的工具和犯罪信息的存储器这3 种角色【5 】。无论作为哪种角色，通 常都会在计算机及其外设中留下大量与犯罪有关的数据，进而可以依据相 关技术找到证明某个事实的证据。因此，计算机和法学的交叉学科一一计 算机取证 6 l ( c o m p u t e rf o r e n s i c s ) 受到了越来越多的关注。 计算机取证与传统取证不同的是，计算机取证分析人员收集和分析的 重庆邮电大学硕士论文第一章绪论 数据来自于计算机设备的运作、传输和存储。不过计算机取证分析的目的 仍然是澄清犯罪事件中的犯罪活动，并鉴别出犯罪人员。现在，计算机取 证正在迅速的发展，尽管已经出现了很多各种各样的技术和工具，但到目 前为止，还很少有支持调查发现准确性的理论。 2 0 0 1 年的第一届计算机取证调查研究会议提出，计算机取证领域缺乏 的是从事实表述向数字处理表述转换的理论基础研究，受过良好培训的生 物取证专家可以利用d n a 分析技术，通过细胞理论、人类遗传理论和或然 性理论来为收集到的证据做出合理的解释，然而在绝大部分的计算机证据 分析中尚没有满足此类要求的技术出现。从那时起，计算机取证尽管在一 些领域取得了明显进步，比如在验证信息拷贝的工具，和专门的信息检验 和分析工具方面，但在事件重建理论方面却很少有人研究。 事件重建是调查在犯罪事件发生过程中发生具体事件的一项重要任 务，它是取证调查分析的核心和关键步骤，因为调查人员决定的是发生了 什么事和是怎样发生的，而不是简单的决定为什么会发生和是谁从事的犯 罪活动。 在通常的取证中，证据和罪犯的活动之间的联系都是非常直接明显的， 比如一枚留在墙上的指纹可以表明某人曾经接触过这面墙，因为指纹的独 特曲线可以用来辨别嫌疑人，因此常识性的推理对于分析犯罪过程中的活 动通常就足够了。然而在计算机取证中，证据和罪犯的犯罪活动之间的联 系就要复杂的多，一个单独的动作往往就会导致一个或数个数字设备中连 串的可以作为电子证据的活动的发生。因此，简单的基于常识的推理对于 计算机证据的分析已经显得并不充分。 1 2 研究目标 一种使事件重建更加严谨的途径是采用数学的方法，一旦事件重建被 形式化，那么事件重建的自动分析就有可能实现。本文研究的目的就是要 为事件重建给出严格的定义，即：( 1 ) 为事件重建定义一个形式化的模 型和算法；( 2 ) 并把此模型和算法应用于计算机犯罪事件调查的形式化 和自动化分析中。 重庆邮电大学硕士论文第一章绪论 1 3 研究思想 在现实世界中许多数字系统，包括数字电路、计算机程序和网络协议 都可以用p e t r i 网描述，一个p e t r i 网可以被描绘成是一张图，库所节点 代表系统的某种资源或某种前提条件，变迁节点代表使系统状态发生变化 的事件，箭头方向代表状态之间转换方向。 在把整个系统看成是一个p e t r i 网的情况下，系统的正常运行过程便 可以看成是一个由初始状态到最终状态的不断转换过程，这一过程也可以 看成是一条路径，并且可能存在着抵达同一目标状态的多条路径，如果所 搜集到的证据位于此过程的某一条路径上，那么就可以断定犯罪事件是沿 这条路径发生的。由此，在调查分析时，若犯罪事件发生后发现系统处于 某一特定的状态，那么所有可能导致系统进入这一特定状态的场景或行为 都可以通过逆推转换得到。这就为把p e t r i 网理论应用于计算机犯罪事件 重建提供了理论依据。这种根据系统的最终状态进行逆向推理的方法更符 合实际，因为现实中事后取证调查人员往往最容易获取犯罪现场的最终状 态。为了实现上述目标，提出了一个基于p e t r i 网模型的事件逆向推理算 法，并加以编程实现了能够自动化完成推理重建的系统p n e r s ，最后以 一些案例实验验证了其可行性和有效性。 1 4 论文结构 论文全文共八章，组织结构如下： 第一章介绍了计算机取证和分析的发展状况，以及本论文的研究背景、 研究思想和研究工作。 第二章主要介绍计算机取证的相关概念。给出了计算机证据( 电子证 据) 和计算机取证的概念，介绍了计算机取证的相关技术及其发展方向。 第三章主要针对目前的研究主要倾向于证据的识别，而不是事件的识 别，探讨了事件重建的理论模型，以便于计算机犯罪事件分析处理的自动 化。 第四章主要介绍了运用p e t r i 网进行事件重建的理论证据进行形式化定 义，提出了一个基于p e t r i 网的事件重建逆向推理算法。 第五章设计了一个基于p e t r i 网的事件重建系统p n e r s ，并介绍其基 本功能和详细的设计与实现。 重庆邮电大学硕士论文 第一章绪论 第六章结合一个实际的案例， 到了澄清事实、消除矛盾的目的， 行性和有效性。 用p n e r s 进行重建推理重建，最后达 这样更近一个的验证了算法和系统的可 第七章对本文进行了总结，并探讨了尚存在的问题和未来的研究方向。 4 重庆邮电大学硕士论文 第二章计算机取证理论基础 2 1 引言 第二章计算机取证理论基础 本文主要研究的是如何进行计算机犯罪事件重建，涉及的理论主要包 括：计算机证据理论n 2 | ，计算机取证理论q3 i ，事件重建理论3 3 。3 6 1 等。为 了后面叙述的方便，本章首先对上述理论做一个简要的介绍。 2 2 计算机证据 2 2 1 计算机证据的定义 计算机证据是指以计算机形式存在的、用作证据使用的一切材料及其 派生物，或者说借助计算机生成的一切证据。 计算机证据与电子证据有着千丝万缕的联系但却不同于电子证据。很 多时候，计算机证据在外延上要大于电子证据，因为以机械式计算机、光 学计算机、生物计算机为基础的证据只能从“功能上等同”的角度临时当 作电子证据处理，显然不是典型的电子证据；电子证据在外延上也可能大 于计算机证据，例如固定电话机是基于属于模拟电子技术的半导体技术而 制成的现代通讯工具，他所录制的电话资料就属于电子证据而不属于计算 机证据。尽管计算机证据、电子证据、数字证据在概念内涵和外延上是有 差别的，但一般情况下使用时可以不严格区分。 2 2 2 计算机证据的分类 计算机证据陆3 通常是指任何以数字形式保存或传输的具有检验价值的 信息，根据计算机证据所要证明的事实，计算机证据可以被划分为不同的 种类： ( 1 ) 在法庭上所呈现的用来证明拥有的事实的数字图像或软件，此 类证据称为直接证据。直接证据通常是指与某一事实相关的第 重庆邮电大学硕士论文第二章计算机取证理论基础 一手证据，在控辩双方的争议行为中通常被拿米作为证词使用， 这些证据通常是指那些通过五官就可以直接感知到的证据； ( 2 ) 法庭上以电子邮件内容的形式呈现出来的证据称为文件证据； ( 3 ) r 志文件、文件的时间戳和各种用于重建犯罪行为序列的系统 信息称之为问接证据，间接证据通常是指那些不用于直接证明 一个事实，而是调查人员通过这些事实来推断事件中另一事实 是否存在或不存在； ( 4 ) 那些通过数字签名证明了可信的数字文件也可以被纳入证词的 范畴。 2 2 3 计算机证据的特点 计算机证据与传统的证据相比较，有以下突出的特点”1 ： ( 1 ) 计算机证据同时具有较高的精密性和脆弱易逝性。计算机证据 以技术为依托，很少受主观因素的影响，能够避免其它证据的一些 弊端，如证言的误传、书证的误记等。 ( 2 ) 计算机证据具有较强的隐蔽性。计算机证据在计算机系统中可存在 的范围很广，使得证据容易被隐藏。 ( 3 ) 计算机证据具有多媒性。计算机证据的表现形式是多样的，尤其是 多媒体技术的出现，更使计算机证据综合了文本、图形、图像、动 画、音频及视频等多种媒体信息。 ( 4 ) 计算机证据还具有收集迅速、易于保存、占用空间少、容量大、传 送和运输方便、可以反复重现、易于使用、便于操作等特点。 计算机证据的这些特点表明计算机取证面临不少难题，有完全不同于 传统取证的问题需要研究。计算机取证是信息安全领域中比较新的课题， 特别是近几年计算机取证技术成了信息安全领域的焦点，已经连续几年成 为全球最具权威的网络安全论坛组织f i r s t ( f o r u mo fi n c i d e n tr e s p o n s e a n ds e c u f i t yt e a m s ) 年会的焦点，可以相信计算机取证仍将是未来几年 信息安全领域的研究热点。 重庆邮电大学硕士论文 第二章计算机取证理论基础 2 3 计算机取证 2 3 1 计算机取证概述 计算机取证是运用计算机及其相关科学和技术的原理与方法获取与计 算机相关的证据以证明某个事实的过程。 计算机和网络的技术的广泛应用正改变着人们的生活、生产方式。 c n n i c 互联网统计报告”1 显示，截止到2 0 0 3 年1 2 月3 1 日，我国的上网 用户总人数为7 9 5 0 万人，可见上网用户总数增长非常之快，社会对网络 相关应用的需求越来越旺盛。美国有6 0 的小企业、8 0 的中型企业、9 0 的大型企业已借助互联网广泛开展商务活动，计算机与网络已成为社会 经济生活重要的组成部分。 由于计算机和网络与人们的生活己十分密切，以此为基础的各种应用 引起的纠纷也不断出现。例如1 9 9 6 年北京大学一名学生状告其同学冒名 向美国大学发了一封拒绝接受该校提供的奖学金的电子邮件“1 。前几年各 大门户网站相互指责对手网站内容侵权的报道也不少，与此同时，针对计 算机系统或网络的犯罪活动以及利用计算机和网络从事各种犯罪活动的 人越来越多，由此造成的损失令人触目惊心。网络黑客的恶意攻击事件不 断增加，攻击方式日新月异，网络安全已成为严重问题。遏制这种日益严 重的计算机犯罪形势，就必须将犯罪分子绳之以法，以法律的威慑力量来 减少计算机犯罪的发生。 要解决这种民事纠纷，打击计算机犯罪就需要找到充分、可靠、有说 服力的证据。计算机在相关的犯罪案例中可以扮演黑客入侵的目标、作案 的工具和犯罪信息的存储器这3 种角色”l 。因此，计算机和法学的交叉学 科一一计算机取证( c o m l ) u t e rf o r e n s i c s ) 受到了越来越多的关注。 有关计算机取证的定义很多，综合起来，计算机取证是运用计算机及 其相关科学和技术的原理与方法来获取与训算机相关的证据以证明某个 事实的过程。在传统取证中，由于民事纠纷的当事方明确，问题会略为明 确一些，但在本质上与计算机取证是一致的，所以在讨论计算机取证的问 题时，研究人员往往以打击计算机犯罪作为r 标进行研究。值得注意的是 不仅刑事、民事案件会涉及计算机取证技术，国家安全部门、军事部门也 会涉及，只是该证据不是呈递给法官而是成为国家领导人、国家安仝部门 重庆邮电大学硕士论文第二章计算机取证理论基础 领导、相关军事部门领导决策的依据。也许法律规定的程序有所不同，但 从技术层面上看，取证的要求是相同的。所以认为计算机取证只是和计算 机犯罪联系在起是不够准确的，尽管计算机犯罪是人们关注最多的，讨 论问题也往往以计算机犯罪为例。 网络安全概念中有个“木桶”理论，讲的是一个浅显而重要的原则： 一个桶能装的水量不取决于桶有多高，而取决于组成该桶的最短的那块木 条的高度。应用在网络安全领域就是：网络安全系统的强度取决于其中最 为薄弱的一环。 检测和发现网络系统中的薄弱环节，最大程度地保证网络系统的安全， 、其中最为有效的方法之一就是定期对网络系统进行安全性分析，及时发现 并改f 系统和网络存在的脆弱性和漏洞，保证系统的安全性。一个系统的 安全测评工作对管理员是非常重要和必要的。 2 3 2 取证模型和取证过程的标准化 现在美国至少有7 0 的法律部门拥有自己的计算机取证实验室，取证专 家在实验室内分析从犯罪现场获取的计算机及其外设，试图找出是谁在什 么时间、从哪里、怎样地进行了什么非法活动。 按照取证时刻潜在证据的特性计算机取证可分为静态取证和动态取 证。静态取证是指潜在的证据存储在未运行的计算机系统、未使用的手机、 个人数字助理等设备的存储器或独立的磁盘、光盘等媒介上；动态取证指 潜在的证掘存在于网络数据流和运行中的计算机系统中的证据。由于网络 数据流和计算机系统里的证据特性上的差异人们常使用基于主机的取证 和基于网络的取证2 种说法。 对于静态取证，重要的是及时的现场保护，通过相关的文件、日志分 析工具对入侵者在系统上的遗留信息进行分析和提取。对于动态取证，可 进行网络现场监视获取证据，动态分析入侵者的个人信息和攻击手段，或 通过陷阱和智能追踪的方式，提取实时数字证据并及时提交给法律执行部 门。还可以结合入侵检测等其他技术，及时保护现有数据信息，通过建立 快照、数字签名、时间戳等方式进行本地保护，并转移到可信设备中。 2 0 0 1 年，c h r i sp r o s i s e 和k e v i nm a n d i a 在“i n c i d e n tr e s p o n s e ： i n v e s t i g a t i n g c o m p u t e r c r i m e 书中提出了事件响应过程模型的概念”， 该模型将耿自f 过程分为1 1 个步骤，从响应安全事件的角度全面、具体地 重庆邮电大学硕士论文 第二章计算机取证理论基础 考虑了取证问题，是计算机取证过程中一项卓有成效的工作。 法律执行过程模型( l a we n f o r c e m e n tp r o c e s sm o d e l ) ：2 0 0 1 年美国司法 部( d o j ) 在“电子犯罪现场调查指南”中提出了一个计算机取证程序调查 模型【7 】。这个指南对不同类型的电子证据以及对其安全处理的不同方法都 进行了说明。指南面向的对象是一直从事物理犯罪取证( 非数字取证) 的司 法人员，因此重点在于满足他们的需要。而对于系统的分析涉及较少。d o j 的法律执行过程模型基本步骤为： ，一 ( 1 ) 准备阶段( p r e p a r a t i o n ) ：在调查前，准备好所需设备和工具。 ( 2 ) 收集阶段( c o l l e c t i o n ) ：搜索和定位电子证据。 ( 3 ) 检验( 威a m i n a t i o n ) ：对可能存在于系统中的证据进行校验与分析。 ( 4 ) 分析( a n a l y s i s ) ：对检验分析的结果进行复审和再分析，提取与对 案件侦破有价值的信息。 ( 5 ) 报告( r e p o r t i n g ) ：对案件的分析检验结果汇总提交。 此过程模型基于标准的物理犯罪( p h y s i c a lc r i m e ) 现场调查过程模型。 另外，此模型将硬盘作为电子证据收集的对象之一，容易引起概念上的混 淆。在调查中，办案人员不知道硬盘中是否存有案件相关的电子证据。在 一般概念上，首先应确定电子证据的存储位置，然后进行提取，但在这个 模型中在确定电子证据的存储位置之前就对所谓的电子证据进行提取了。 因此，收集阶段更准确的说是对物理证据的收集，当对被收集的物理证据 进行检验分析时才对电子证据定位和提取。 后来人们逐渐关注计算机取证更为本质的内容，这就有了抽象过程模 型。建立了抽象数字取证模型n 卜1 7 1 ，这一阶段的工作对取证过程标准化有 比较大地意义，为相关的立法工作也提供了支持。 2 3 3 计算机证据获取与分析技术 在计算机取证的过程中，需要遵守以下的原则： ( 1 ) 在不对原有证物进行任何改动或损害的前提下获取证据 ( 2 ) 证明所获得的证据和原有的数据是相同的 ( 3 ) 在不改变数据的前提下对其进行分析 数据获取技术的关键是如何保证在获取数据的同时不破坏原始介质， 一般不推荐使用原始介质进行取证分析。常用的数据获取技术包括引：对 重庆邮电大学硕士论文第二章计算机取证理论基础 计算机系统和文件的安全获取技术，避免对原始介质进行任何破坏和干 扰：对数据和软件的安全搜集技术；对磁盘或其它存储介质的安全无损伤 备份技术；对己删除文件的恢复、重建技术；对闲散的磁盘空间、未分配 空间和自由空间中包含的信息的发掘技术；对交换文件、缓存文件、临时 文件中包含的信息的复原技术：计算机在某一特定时刻活动内存中的数据 的搜集技术；网络流动数据的获取技术等。 现有的取证技术“”主要是基于获取的物理存储介质，并对磁盘进行删 除数据恢复、关键字型证据搜索、文件内容显示等。由于当前取证软件的 功能集中在磁盘处理上，而缺乏更多的分析，其他工作大部分依赖于取证 专家人工进行，几乎造成计算机取证软件等同于磁盘分析软件的错觉。 分析证据就是通过关联分析证实信息的存在、信息的来源以及信息传 播途径，重构犯罪行为、动机以及嫌疑人特征。 针对犯罪行为构成的证据分析”：按照犯罪构成的四个要件( 主体、 客体、主观方面、客观方面) 进行分析。犯罪主体分析就是依据计算机证 据对嫌疑入画像( 进行轮廓勾画) ，依据信息构建行为人的地理位置、上 网习惯、性别、爱好、技术水平等基本情况。对犯罪客体的分析包括受害 程度评估、受害原因等。对犯罪客观方面的分析主要是对犯罪行为重构， 证实嫌疑人在什么时间、用什么方法、实施过什么操作。对犯罪主观方面 的分析是对犯罪动机的重构。 在已经获取的数掘流或信息流中寻找、匹配关键词或关键短语是目前 的主要数据分析技术“，具体包括：文件属性分析技术；文件数宁摘要分 析技术；日志分析技术；根据已经获得的文件或数据的用词、语法和写作 ( 编程) 风格，推断出其可能的作者的分析技术：发掘同一事件的不同证 据间的联系的分析技术；数据解密技术：密码破译技术：对电子介质中的 被保护信息的强行访问技术等。 人们逐渐探索自动分析的可能性“1 。，如事先找出一些问题的内在的 规律，分析出相应的程序化步骤，编写成软件工具。目前这方面只有很小 的进展，针对个别场景的特定规律考虑自动化检查分析。另外还有借助人 工智能技术如数据挖掘方法，分析大量数据中某些数据的联系，也有利用 智能数据分析方法事先勾勒出犯罪分子的轮廓，帮助取证专家进行进一步 取证。 对训算机证搠的不确定性”“、可能的错误、信息的缺失问题进行分类 研究，有人提出了，种分级度量的方法。该研究结果对其他研究人员具有 重庆邮电大学硕士论文 第二章计算机取证理论基础 很大的启发作用，只有将计算机证据的确定性表达得非常准确，容易理解， 人们对计算机证据的怀疑才能减少，法官采信计算机证据的机会才会更 大。 规范、合理的取证分析应该建立在可信的科学理论的基础上以解释现 有证据为什么支持以及怎样支持专家的某个结论。开始讨论了这类基本理 论问题，对于计算机取证分析缺乏理论支持的局面乜5 。，提出了用有限状态 自动机支持规范的计算机取证调查中的事件重建心引，但比较简单，应用起 来具有相当的难度，并且不能满足实际工作中出现的一些并发、异步和冲 突等问题。 2 4 取证技术的发展方向 计算机取证学是相对较新的学科，经过这些年的发展，已经在理论和 实践上取得了重大的成绩，但是现在的取证技术还存在着较大的局限性， 难以适应社会的需求，并且随着计算机与网络技术的迅速发展，计算机取 证还必须应对新的挑战。综合起来看，计算机取证领域将向以下几个方向 发展： 第一，预备取证措施普遍化 由于计算机证据的特性，以及网络攻击者、权利滥用者可能采取的反 取证措施，预先采取预备取证措施显得越来越重要。在设计网络体系结构、 设计安全管理设施与策略时就将计算机取证当作安全部署的一个要求，事 先做好准备，进行动态取证，使取证变的容易，也有助于抓到所谓的“精 英”攻击者。所以，采取预备取证措施将普遍化。我估计，有信息资产、 业务依赖于计算机与网络的单位设置安全管理部门、安排安全管理职位、 采取预备取证措施将和现在每个单位设置安全保卫部门一样普遍。 第二，计算机取证领域继续扩大 除台式机外，大量的移动设各如便携式计算机、掌上电脑、手机都可 能成为犯罪的目标或工具。我们认为具有一定数据存储能力和通信能力的 设备都会逐渐纳入计算机取证人员的视野。而犯罪的证据也会以各种不同 的形式分布在计算机、便携式设备、路由器、交换机、入侵检测系统等不 同设备上。 第三，取证工具自动化、专业化与集成化 我们已经面临着呈爆炸增长的数据量的挑战。计算机的存储能力以超 重庆邮电大学硕士论文第二章计算机取证理论基础 过莫尔定律的速度增长，儿年以前个人计算机的硬盘往往是几百m ，现在 个人计算机的硬盘多数是几十g ，上百g ，更别说大型服务器系统。存储 能力增长本是好事，我们面对的关键的、本质的问题是数据量的爆炸增长。 我们需要功能更强、自动化程度更高的取证工具的帮助。取证工具将不断 利用新的信息处理技术( 如数据挖掘等人工智能技术) 。现在，很多工作 都依赖于人工实现的情况大大降低了取证的速度和取证结果的可靠性，也 无法满足实际需要。 要找到合适的证据就需要针对不同的场合设计专门化产品( 包括硬件 和信息格式方面) ，做出相应的取证工具。另外，计算机取证科学是一门综 合性的学科，涉及到磁盘分析、加密、图形和音频文件的研究、日志信息 发掘、数据库技术、媒介的物理性质等许多方面的知识。 第四，标准化工作将逐步展开，法律法规将逐步完善 标准化工作对于一个行业都具有重要意义，主要集中在取证工具评价 标准与取证过程标准方面。与计算机取证相关的法律法规将逐步出台，将 会逐渐完善，为计算机取证和计算机( 电子) 证据的使用提供法律上更明 确的依据。 第五，为了能让计算机取证工作向着更好的方向发展，制定从事计算 机取证、计算机证据鉴定的机构和从业人员的资质审核办法也是十分必要 的。 2 5 本章小节 本章主要介绍了计算机证据和取证的相关概念及理论基础。首先简单 介绍了计算机证据理论，然后我们重点对计算机取证和事件重建这一新兴 研究领域的基本问题、思想方法、理论基础及其相互关系、研究现状以及 存在的问题进行了较为详细的介绍。 重庆邮电大学硕士论文 第三章事件重建理论模型 3 1 引言 第三章事件重建理论模型 目前，计算机犯罪事件调查的研究尚大多集中于证据的查找和收集， 取证的目的也多是通过对计算机犯罪场景拷贝的分析来收集犯罪证据，而 不在于识别计算机证据和犯罪现场是怎样形成的。而分析己收集到的证据 所拥有的特征对了解整个计算机犯罪事件婀过程是非常有帮助的阳7 | 。 事件重建可以通过鉴别证据的特征来识别为什么被调查目标会处于当 前的状态，即是通过分析犯罪事件发生以前的事件来解释整个计算机犯罪 事件的。因此，事件重建的过程实际上就是通过已搜集到的证据来分析之 前所发生的所有具体事件。 3 2 事件重建的研究现状 m i l l e ra n dj a m e s 根据物理世界的犯罪场景把计算机犯罪事件重建划分 为五个阶段口7 ，3 引：第一个阶段是收集相关证据并加以处理；第二个阶段是 根据现有证据和犯罪场景对发生的事件提出一个初步的推测；第三阶段是 随着对证据的鉴别，对犯罪场景形成各种假定；第四个阶段是对形成的假 设进行验证；第五个阶段是形成最终的结论。 r y n e a r s o n 介绍了一种基于常识推理的事件重建方法凹引。常识推理主要 用于推测调查目标怎样才能转换至当前的状态，其间对每一个调查目标进 行分析和推理，以得到各种潜在的线索。r y n e a r s o n 的处理过程首先得到 一个关于犯罪场景初步描述，然后重建每一个已发生的关键事件，并形成 关于未知事件的假设，如果找到反驳现有假设的证据，那么就逆推重建过 程，以寻找证据解释存在的矛盾。 b e v e la n dg a r d n e r 则提供了一种正式的事件重建过程引。他运用事件 来表达一件违背既定规则或策略的活动，运用事件片段来表达事件发生时 的具体细节。首先分析已搜集到的证据，然后鉴别其真实性和完整性，并 寻找与证据相关的事件和证据所拥有的特征及其关系，比如和其他证据间 的相关性、发，e 时间等，最后综合所有的信息对事件进行排序或把犯罪场 重庆邮电大学硕士论文 第三章事件重建理论模型 景分成不同的事件组以对证据进行解释。 c a s e y 采用了计算机证据在时间、实现的功能上的相关性来实现事件重 建“。可以通过来自文件、日志、或目击证人等媒介所提供的时间信息对 证据进行排序，也可以根据相关性及聚类的特点来把证据划分为受害者、 攻击者、可疑等来推断潜在证据存在的地方，以搜集到更多的证据。 3 3 事件重建的相关定义 定义1 ( 事件) 是指发生的使一个或多个设备的状态产生改变的动作 或活动。 定义2 ( 计算机犯罪事件) 是指在计算机内发生的违背既定安全策略 或规则的事件。 定义3 ( 事件重建) 事件重建是一项调查安全事件中所发生具体事件 的重要任务。 一般而言，调查目标是指与某一犯罪事件相关的计算机证据，在物理 世界中犯罪事件通常是一个连续不断的过程，并不能自然而然的区分出每 一个单独的事件，因此必须把这一过程离散化，以来分析或者检验每一个 发生的事件。由于计算机本身就是数字的，因此在计算机中运行的代码本 身就已经实现了离散化，这便为计算机证据的自动化分析提供了前提条 件。 考虑到计算机犯罪调查目标在事件中所扮演的角色，可以把证据划分 为前因和后果两类； 定义4 ( 前因) 如果一份证据或被调查目标所扮演的角色是导致了事 件的产生，那么便称之为前因。可以通过识别如果前因没有发生那么是否 会产生相同的后果来检验前因。 定义5 ( 后果) 个事件的后果所扮演的角色是它的状态被事件的前 因所改变。 3 4 事件重建的基本步骤 鉴于已经定义的事件，可以推测事件重建过程中所发生的事件，并假 设在重建阶段开始时，证据就已被部分收集到。在这里把事件重建过程划 分为四个阶段： 重庆邮电大学硕士论文第三章事件重建理论模型 ( 1 ) 证据鉴别 ( 2 ) 因果关联 ( 3 ) 事件重建 ( 4 ) 假设验证 下边将对每一阶段进行详细的介绍，我们的目标便是希望能够根据这 一模型来设计一个软件工具以进行事件重建和取证分析。 3 4 i 证据鉴别 事件重建的第一阶段是对已搜集到的证据进行鉴别。即在犯罪行为现 场对己搜集到的数据进行粗略的检查，以使计算机犯罪调查人员认识到这 些数据满足作为证据的基本条件。这一阶段的主要目标是识别所有与调查 目标相关的信息，并区分出各个调查目标所具有的特征。最后得到一份关 于每一证据所具有特征的列表。 另外，数据的可靠性和完整性也将在此阶段进行检验。比如文件的时 间戳，如果它们被系统修改过，或者被攻击者篡改过，那么在此阶段就要 把它们识别出来。如果要恢复已删除的文件，那么被恢复文件的准确性将 由恢复工具来决定。如果数据是取白于运行中的计算机系统，那么这些数 据将与那些已被攻击者篡改过的软件相关，这些数据也将被鉴别以寻找攻 击者篡改软件后所留下的痕迹。 在图3 】f a ) 中我们得到与计算机犯罪调查事件相关的调查目标丘z z , n 以以及用圈表示，而这些目标之间是相互孤立的，即调查目标之间尚没 有建立起联系。 oooo 围固固 ( a ) 队母们婚o o 斗固 ( b ) 图3 1h t - 据举别与因果联系 重庆邮电大学硕士论文第三章事件重建理论模型 3 4 2 因果关联 在对每一个调查目标进行鉴别以后，知道了它们各自所拥有的特征信 息，进而将验证为什么会得到这些信息，在这一阶段的目标是把每一调查 目标的当前状态关联到它所涉及的可能事件中，并识别出它们之间的因果 关系。 在调查分析时，为了识别调查目标的后果，可以检验它的每一个特征 是如何转换至当前这一状态的。由定义可知，那些调查目标所具有的特征 信息对事件重建来讲是最为有用的，因此在此阶段我们将主要寻找那些具 有代表性前、关联性的、或者功能性的信息。 调查目标的每一特征都可能是一个或者多个事件的前因，它们按照既 定的策略和规则进行转换。因此，当一个潜在的事件被发现时，谢查人员 必须查找出与此事件联系的前因和后果。 比如在传统取证中，我们在调查一只带平面的玻璃球时，通过鉴别这 只玻璃球，我们把它的组成材料作为一类特征，把它的形状和外部特征作 为其独有特征。对其平面的解释可能是被故意制造出来的，因此它是从一 堆沙子中制造玻璃球事件的后果；同样，它也可被解释为：最初是一圆形 的玻璃球，后被扔向一堵墙，在此场景下，玻璃球、墙和地球的引力是此 事件的前因，而带平面的球和凹陷的墙壁则是此事件的后果。 比如在调查计算机中的某一可执行文件时，通过分析与它相关的系统 调用可以得出它引发了那些事件。它可能打开了某文件或网络套接字； 对这一可执行文件的进一步分析可能将显示它仅仅打开了那一个端口的 套接字，或者仅仅读出了某一指定目录内的文件。例如写字板应用程序， 装载这个应用程序的进程可以看成是一个写a s c i i 文件的事件，也可能是 读a s c i i 文件到内存的事件。现在考虑一个含敏感信息的a s c i i 文本文件， 它可以看成是一个写数据到a s c i i 文件的事件的后果，也可以看成是从 a s c i i 文件读数据事件的莳因。 根据证据鉴别阶段所得到的调查目标及其相关性，我们可以为图3 1 ( a ) 中的调查目标进行因果关联。如果一个调查目标是一个事件的前因，那么 将有一条从调查目标到事件的有向弧产生：如果一个调查目标是一个事件 的后果，那么将有条从事件到调查目标的有向弧产生，如图3 ，1 ( b ) 所示。 重庆邮电大学硕士论文第三章事件重建理论模型 3 4 3 事件重建 在已经根据因果关系把证据进行了联系后，就可以利用已有的证据进 行事件重建了。这一阶段的目标就是通过对搜集到的证据和它们之间的关 系进行分析，以得到单个事件与能发生的事件序列。 由于每一个事件都至少是一个调查目标的前因或者后果，因此这一阶 段的目的便是尽量使它们关联起来。如果知道某一事件能够改变某一特 征，那么便可以通过回溯查找到其前因；同样，通过前因的特征也可以寻 找到改变其特征的后果和事件。即通过某一事件可以改变某一特征这一线 索逆向查找其前因，正向查找其后果。一 图3 2 ：事件重建 事件重建阶段接受前面的因果关联，但在计算机中一般很难实现，因 为进程和内核信息一般很难被收集到，系统一旦断电这些信息都将丢失。 因此，在不确定情况下通常都需要对场景进行假设。但对大多计算机调查 而言一个好处是，取证调查人员通常都会有一个犯罪场景的拷贝，并且很 容易从中得到新的证据。因此，新的调查线索的查找既可以在已搜集到的 证据中查找，又可以在犯罪场景的拷贝中寻找。新的线索一旦找到，就需 要对其进行鉴别和因果关联，以便在随后的事件重建中使用。 当回溯查找事件的前因时，通过分析证据的典型特征，可以寻找到新 的调查目标。比如一副j p e g 图片，并不是每一个应用程序都可以处理这 种格式，因此仅有有限数目的应用程序可以读一个j p e g 文件并对其进行 处理，同样也仅有有限数目的