《网络安全知识体系》
网络安全取证(四)
定义和概念模型
简介
数字取证科学或数字取证是应用科学工具和方法来识别,收集和分析数字(数据)工件,以支持法律诉讼。从技术角度来看,正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或(数字)伪影。随着信息技术的快速采用,数字证据的重要性与日新月异,导致数据以指数级的速度不断积累。同时,网络连接和IT系统的复杂性迅速增长,导致可能需要调查的更复杂的行为。
该知识区的主要目的是提供数字取证技术和功能的技术概述,并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践,因为这些原则的应用的具体情况往往因司法管辖区而异。例如,知识区讨论了不同类型证据的可用性,但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取,处理和提供数字证据的法律程序相关的具体问题。
内容
1 定义和概念模型
1.3.2 自下而上的流程
• 搜索和筛选:外部数据源、硬盘驱动器、网络流量等。根据关键字,时间限制和其他因素搜索相关数据,以消除绝大多数不相关的数据。
• 阅读和提取:分析鞋盒中的集合,以提取可以支持或反驳理论的单个事实和关系。生成的工件片段(例如,单个电子邮件)通常带有与案例相关性的注释。
• 模式化:在此步骤中,单个事实和简单含义被组织成一个模式,该模式可以帮助组织和识别越来越多的事实和事件的重要性和关系。时间轴分析是交易的基本工具之一;但是,任何组织和可视化事实的方法-图表,图表等-都可以大大加快分析速度。这不是一个容易正式化的过程,大多数取证工具并不直接支持它。因此,生成的架构可能存在于一张纸上,白板上或仅存在于调查人员的脑海中。由于整体情况可能相当复杂,因此各个架构可能涵盖其特定方面,例如发现的事件序列。
• 构建案例:从对模式的分析中,分析师最终提出可以测试的理论或工作假设,可以解释证据。工作假设是一个初步结论,需要更多的支持证据,以及对替代解释的严格测试。它是调查过程的核心组成部分,也是将法律和技术方面聚集在一起以建立案件的共同参考点。
• 讲故事:取证调查的典型结果是一份初步报告,也许还有在法庭上的口头陈述。实际的演示可能只包含由数字证据强烈支持的故事部分;可以通过利用其他来源的证据来确定较弱的点。
1.3.3自上而下的流程
• 重新评估:来自客户的反馈可能需要重新评估,例如收集更有力的证据或寻求替代理论。
• 寻求支持:假设可能需要更多事实才能引起人们的兴趣,理想情况下,将针对每个(合理地)可能的替代解释进行测试。
• 寻找证据:理论分析可能需要重新评估证据以确定其重要性/出处,或者它可能触发对更多/更好证据的搜索。
• 搜索关系:文件中的证据片段可以建议对数据上的事实和关系进行新的搜索。
• 搜索信息:来自任何更高级别的反馈循环最终都可以级联到对其他信息的搜索中;这可能包括新的来源,或者重新检查在以前的传递过程中过滤掉的信息。
原文始发于微信公众号(河南等级保护测评):网络安全取证(四)定义和概念模型之概念模型
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论