《网络安全知识体系》
网络安全取证(三)
定义和概念模型
数字取证科学或数字取证是应用科学工具和方法来识别,收集和分析数字(数据)工件,以支持法律诉讼。从技术角度来看,正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或(数字)伪影。随着信息技术的快速采用,数字证据的重要性与日新月异,导致数据以指数级的速度不断积累。同时,网络连接和IT系统的复杂性迅速增长,导致可能需要调查的更复杂的行为。
该知识区的主要目的是提供数字取证技术和功能的技术概述,并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践,因为这些原则的应用的具体情况往往因司法管辖区而异。例如,知识区讨论了不同类型证据的可用性,但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取,处理和提供数字证据的法律程序相关的具体问题。
![网络安全取证(三)定义和概念模型之概念模型]( "网络安全取证(三)定义和概念模型之概念模型")
内容
1 定义和概念模型
1.3 概念模型
一般来说,在从可用数据源分析网络系统时,有两种可能的方法可以重建相关事件序列-以州为中心和以历史为中心/以日志为中心。以状态为中心的方法的起点是感兴趣系统状态的快照;例如,硬盘驱动器或其他存储介质的当前内容。利用特定系统/应用程序如何运行的知识,我们可以推断出先前感兴趣的状态。例如,如果已知文件的唯一片段位于介质上,但该文件无法通过正常的文件系统接口获得,则最可能的解释是文件曾经存储在文件系统中,但随后被删除(空间被标记为重用),并被较新的文件部分覆盖。这里的主要限制是缺乏历史数据点,这限制了我们在过去任何给定时间点推断系统状态的能力。
以日志为中心的方法依赖于显式的、带时间戳的事件历史记录(日志),该历史记录记录了对系统状态的更新。例如,数据包捕获包含一段时间内网络通信的完整历史记录。操作系统(OS)维护各种监视日志,这些日志详细说明了操作系统内核和不同应用程序操作的各个方面;其他审核和安全监控工具可以提供更多潜在的相关事件。许多应用程序(尤其是企业域中的应用程序)都提供应用程序级日志。因此,日志丰富的环境可能包含与调查相关的所有详细信息。挑战在于筛选日志条目(通常以百万计),以整理和汇总相关事件。
从历史上看,存储一直是计算机系统中的宝贵资源,导致软件设计通过更新信息来强调空间效率,并保持最少的日志信息。因此,取证的主要方法主要是以州为中心。
在过去的十到五年中,技术进步使存储和带宽丰富且价格合理,这导致IT系统和应用程序维护的日志数据量大幅增加。作为操作系统和单个应用程序正常操作的一部分,增加通过网络发送的遥测数据的数量和粒度的明显趋势。因此,非常需要发展一种取证方法,使日志信息具有相应更高的重要性。换句话说,当前时期标志着数字取证方法的重要发展,需要大量的重组和方法更新。
1.3.1 认知任务模型
差分分析是调查过程的基本组成部分,应用于不同的抽象级别和各种工件。但是,它并没有提供取证专家如何实际进行调查的总体视图。这对于构建更好地支持认知过程的取证工具尤为重要。
不幸的是,数字取证并不是认知科学家真正感兴趣的主题,也没有连贯的努力来记录取证调查。因此,我们采用最初由Pirolli&Card开发的感知过程来描述智力分析-一种与取证分析非常相似的认知任务。Pirolli&Card认知模型源自深入的认知任务分析(CTA),并为认知任务的不同方面提供了合理详细的视图。情报分析师的工作。尽管许多工具不同,但取证和情报分析在性质上非常相似-在这两种情况下,分析师都必须通过堆积如山的原始数据。识别(相对较少的)相关事实,并将它们组合成一个连贯的故事。使用这种模型的好处是:a)它本身提供了对调查过程的相当准确的描述,并允许我们将各种工具映射到调查的不同阶段;b)它为解释在数字取证领域内开发的各种模型之间的关系提供了一个合适的框架;c)它可以无缝地整合来自其他调查部门的信息。
整个过程如图1所示。矩形框表示信息处理管道中的不同阶段,从原始数据开始,以可呈现的结果结束。箭头表示将信息从一个框移动到另一个框的转换过程。x轴近似于将信息从原始处理阶段移动到特定处理阶段所需的总体工作量。y轴显示每个阶段的处理信息中的结构量(相对于调查过程)。因此,总体趋势是将相关信息从图的左下角移动到右上角。实际上,处理既可以蜿蜒穿过局部循环的多次迭代,也可以跳过阶段(对于由经验丰富的调查人员处理的常规案件)。
外部数据源包括特定调查的所有潜在证据源,例如磁盘映像、内存快照、网络捕获和参考数据库(例如已知的哈希值)莱斯。鞋盒是已确定为可能相关的所有数据的子集,例如两个感兴趣的人之间的所有电子邮件通信。在任何给定时间,鞋盒的内容都可以被视为分析师对可能与案例相关的信息内容的近似值。证据文件仅包含与案件直接相关的部分,例如有关感兴趣主题的特定电子邮件交换。
该架构包含更有组织的证据版本,例如事件的时间线或关系图,这允许对证据进行更高级别的推理。假设是一个初步结论,它解释了模式中观察到的证据,并且通过扩展,可以形成最终结论。一旦分析师确信假设得到了证据的支持,该假设就会变成一个陈述,这是该过程的初始乘积。报告通常采取调查员报告的形式,既涉及与法律案件相关的高级结论,又记录了形成结论所依据的低级技术步骤。整个分析过程本质上是迭代的,有两个主要的活动循环:觅食环路,涉及为获取潜在信息来源而采取的行动,然后查询它们并检查它们的相关性;以及一个意义形成循环,其中分析师以迭代的方式开发一个由证据支持的概念模型。
图1:从认知任务分析中得出的分析师意义形成循环的名义模型。
两个循环中的信息转换过程可以分为自下而上(组织数据以建立理论)或自上而下(基于理论的数据)的过程。分析人员以机会主义的方式应用这些技术,并进行多次迭代,以回应新发现的证据和高级调查问题。
原文始发于微信公众号(河南等级保护测评):网络安全取证(三)定义和概念模型之概念模型
评论