《网络安全知识体系》

网络安全取证（五）

定义和概念模型

简介

数字取证科学或数字取证是应用科学工具和方法来识别，收集和分析数字（数据）工件，以支持法律诉讼。从技术角度来看，正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或（数字）伪影。随着信息技术的快速采用，数字证据的重要性与日新月异，导致数据以指数级的速度不断积累。同时，网络连接和IT系统的复杂性迅速增长，导致可能需要调查的更复杂的行为。

该知识区的主要目的是提供数字取证技术和功能的技术概述，并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践，因为这些原则的应用的具体情况往往因司法管辖区而异。例如，知识区讨论了不同类型证据的可用性，但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取，处理和提供数字证据的法律程序相关的具体问题。

内容

1  定义和概念模型

觅食循环是分析师可以执行的三种处理之间的平衡行为-探索，丰富和利用。探索通过包含大量数据有效地扩展了鞋盒;扩充通过提供更具体的查询来缩小它，这些查询包含更少的对象以供考虑;利用是对工件的仔细阅读和分析，以提取事实和推论。这些选择中的每一种都有不同的成本和潜在的回报，根据信息觅食理论，分析师寻求优化其成本/收益权衡。

在这种情况下，信息觅食是一个高度迭代的过程，需要大量增量调整以应对新出现的证据。调查员有责任将过程保持在目标范围内，并在任何法律限制的范围内。

意义形成是一个认知术语，根据克莱因被广泛引用的定义，是理解模棱两可的情况的能力。这是建立态势感知和理解的过程，以支持面对不确定性的决策-努力理解人与地点之间的联系和事件，以预测其轨迹并有效行动。

意义形成循环涉及三个主要过程：问题结构-假设的创建和探索，证据推理-使用证据来支持/反驳假设和决策-从一组可用的替代方案中选择行动方案。

重要的是要认识到，所描述的信息处理循环紧密地联系在一起，并且经常在任一方向上触发迭代。新证据可能需要新的工作理论，而新的假设可能会推动寻找新证据来支持或反驳它。

考虑到图1中的整个过程，我们可以更好地了解不同参与者之间的角色和关系。目前，数字取证研究人员和工具开发人员主要提供从取证目标获取数字证据，从中提取（和逻辑重建）数据对象的手段，以及搜索，过滤和组织它的基本工具。在复杂的案件中，例如多国安全事件，识别和获取相关的取证目标可能是一个困难而漫长的过程。它通常是为了在多个司法管辖区获得必要的法律裁决，以及多个组织的合作。

取证调查员是这些技术能力的主要使用者，他们利用这些能力来分析具体案件并提出与法律有关的结论。调查人员有责任推动该过程并执行所有信息觅食和意义形成任务。随着所分析数据量的不断增长，取证软件提供更高水平的自动化和抽象变得越来越重要。数据分析和自然语言处理方法开始出现在专用的取证软件中，并且-未来-需要将越来越多的统计和机器学习工具纳入该过程。

法律专家在所描绘过程的右上角工作，以建立/反驳法律理论。因此，调查员的任务可以被描述为将高度具体的技术事实转化为更高层次的表示和解释它们的理论。这种解释几乎总是与作为案件一部分的人的行为顺序有关，例如嫌疑人，受害者和证人。

总而言之，调查人员不必是取证软件工程师，但他们必须在技术上足够精通，才能理解从数据源中提取的工件的重要性，并且他们必须能够完整阅读相关的技术文献（同行评审文章）。随着工具的复杂程度越来越高，研究人员将需要对工具采用的越来越多的数据科学方法有一个有效的理解，以便正确解释结果。同样，分析师必须对法律环境有一个有效的了解，他们必须能够制作一份称职的报告，并就证人提出他们的调查结果。如有必要，请站立。

原文始发于微信公众号（河南等级保护测评）：网络安全取证（五）定义和概念模型之概念模型