王永宏 申永軍

摘要：計算機取證模型大致可以分為靜態(tài)取證模型和動態(tài)取證模型兩類。動態(tài)取證模型主要結合入侵檢測技術，檢測異常事件的發(fā)生，從而采集動態(tài)數(shù)據(jù)，對采集來的數(shù)據(jù)進行整理、歸納后并入證據(jù)庫。靜態(tài)取證技術是在事后取證，對涉事計算機設備進行分析處理，提取磁盤和移動存儲設備的內容，對其進行分析歸類，最后形成證據(jù)。本文主要結合事后靜態(tài)取證技術提出一種基于證據(jù)文件特征集構建的取證模型，闡述了模型提出的目的和意義，分析了取證模型各模塊的功能和實現(xiàn)方法，敘述了基于特征集構建的取證模型的取證步驟，最后介紹了皮爾森相似度算法在構建特征集模型中的應用。

關鍵詞：計算機取證特征集模型皮爾森相似度算法

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2016）8（b）-0000-00

1 構建特征集模型的意義和目的

計算機取證技術的研究主要是為了保證電子證據(jù)的可信性和完整性，為此，取證專家們在研究過程中推出了一些計算機取證模型。一些常見的取證模型主要有：基于過程的取證模型、事件響應過程模型、抽象過程模型、綜合數(shù)字取證模型、多維計算機取證模型（MDMF）、基于蜜罐技術和入侵檢測的取證模型等。

利用計算機作為存儲工具的犯罪案件在計算機犯罪中占有很大的比例，當前可供人們使用的存儲設備多種多樣，硬盤、U盤和可移動磁盤等都是最常用的存儲工具。由于電子證據(jù)的易改變性，磁介質存儲的數(shù)據(jù)很容易被修改或者刪除。因此，基于磁盤的特性和文件系統(tǒng)的結構特點，數(shù)據(jù)恢復技術成為了靜態(tài)取證的重要手段。計算機取證最大的困難就是取證過程中證據(jù)的真實性問題。由于電子證據(jù)的易改變性，數(shù)據(jù)很容易被犯罪分子刪除或者改變，電子證據(jù)進行事后取證獲取的很有可能是犯罪嫌疑人處理過的數(shù)據(jù)。為了改變靜態(tài)取證中存在的這個問題，研究者們提出了動態(tài)取證的概念，利用入侵檢測的機制，將入侵檢測技術和計算機取證結合起來，形成了具有實時性、智能性、可擴展性的動態(tài)取證模型。傳統(tǒng)動態(tài)取證系統(tǒng)由數(shù)據(jù)獲取、數(shù)據(jù)挖掘、數(shù)據(jù)分析、證據(jù)鑒定、證據(jù)保全和證據(jù)提交等模塊組成，各模塊之間通過信息訪問進行通訊，完成協(xié)同取證功能。

入侵監(jiān)測模塊進行系統(tǒng)監(jiān)測，一旦發(fā)現(xiàn)非法入侵便及時報警。數(shù)據(jù)獲取模塊從文件系統(tǒng)中和網(wǎng)絡數(shù)據(jù)包中獲取文件，對文件進行提取和捕獲。并將數(shù)據(jù)處理后存入數(shù)據(jù)倉庫。數(shù)據(jù)挖掘模塊對數(shù)據(jù)倉庫的數(shù)據(jù)進行分析，找到與犯罪文件相關的數(shù)據(jù)文件，并且將文件的分析結果存入知識庫，對數(shù)據(jù)文件的下一次分析起指導作用。最后，將分析過濾后的原始證據(jù)文件進行證據(jù)鑒定并且歸類提交。

傳統(tǒng)的動態(tài)取證模型大多是面向過程的取證，其最大的缺陷是不能保證證據(jù)的連續(xù)性，傳統(tǒng)的取證模型將提取后的原始證據(jù)文件直接加以分析鑒定，并不對證據(jù)獲取和入侵檢測環(huán)節(jié)進行反饋，這就造成了證據(jù)鏈難以形成以及重要證據(jù)文件的缺失。

對文件系統(tǒng)的研究可以得出，文件系統(tǒng)的組織結構和日志文件的存在使得被刪除的文件得到恢復成為了可能。但是由于文件系統(tǒng)的特殊結構和日志文件的記錄方式，文件的刪除后對文件系統(tǒng)結構的影響不盡相同，從而造成文件恢復的困難。例如Mac OS上的HSF+文件系統(tǒng)采用B-樹來組織文件，進行文件刪除操作時，文件系統(tǒng)現(xiàn)將刪除后的文件記錄寫入日志文件，然后再由日志文件對文件系統(tǒng)進行更新，因此，日志文件的記錄和文件系統(tǒng)顯示刪除后的內容完全一致，這對數(shù)據(jù)恢復沒有任何幫助，刪除文件后，文件系統(tǒng)的卷頭、頭節(jié)點、葉子節(jié)點均會發(fā)生變化，也只節(jié)點中文件記錄前移，覆蓋被刪除文件，被刪除的文件記錄會完全消失。這時，被刪除文件的類型和特征就成為文件恢復的可能因素，結合盤區(qū)文件存儲的連續(xù)性特點，文件的恢復便成為可能。因此，如何通過構建文件的特征集，就成為本文研究的關鍵性問題。基于這個前提，本文提出了基于特征集構建的取證模型。

2 基于特征集構建的取證模型的提出

本文提出的基于特征值構建的計算機取證模型是為了解決原始證據(jù)文件獲取方面的困難，以數(shù)據(jù)恢復等取證技術作為出發(fā)點，運用數(shù)據(jù)挖掘技術對以獲取的文件數(shù)據(jù)進行分析處理，得到原始證據(jù)的同時，構建異常文件的特征集合，形成特征集模型，并且將文件特征反饋給證據(jù)獲取階段所運用的核心——數(shù)據(jù)恢復技術，使得整個取證系統(tǒng)形成自學習的功能，從而更加精準地獲取磁盤原始文件數(shù)據(jù)并且有效地挖掘原始證據(jù)文件之間的關系，形成證據(jù)鏈。取證模型如圖1所示：

獲取文件倉庫：運用數(shù)據(jù)恢復等數(shù)據(jù)獲取常用技術將本地磁盤或者移動設備的數(shù)據(jù)文件提取并保存在獲取文件倉庫，以待進一步分析認證。

異常文件庫：對獲取文件庫中文件運用數(shù)據(jù)挖掘等方法進行分析，得到孤立點文件集合，并且歸并為原始證據(jù)集合，以待證據(jù)鑒定。

特征集模型：分析異常文件庫中文件特性，提取證據(jù)文件特征，將特征構建特征模型，并入特征集模型。特征集模型的主要作用是提供異常文件的特征，并且對證據(jù)獲取階段的相關技術提供支持和反饋。

本文將特征集定義為一個多元組 ，其中 為針對每個文件的不同特征值，每個文件可以選取n個有效地特征。特征的結構如下：

每個特征包含兩個屬性，name屬性表示特征的名稱，prior屬性表示特征的優(yōu)先級，這個屬性值將在分析異常文件時確定。當特征集模型在數(shù)據(jù)恢復等技術中應用時，遵循以下原則：當文件判斷為可疑文件待恢復時，優(yōu)先考慮文件特征prior屬性值較高的特征作為恢復依據(jù)。

3 基于特征集構建的取證模型的取證步驟

與傳統(tǒng)的取證模型相比，本文所提出的取證模型的工作步驟主要是增加了特征集模塊的構建工作以及對證據(jù)獲取過程的反饋環(huán)節(jié)，基于特征集構建的取證模型工作步驟如圖2所示：

圖2 取證流程圖

取證前準備階段要保證取證環(huán)境的安全性和完整性，即待測設備和系統(tǒng)并未受到外界的破壞或者改變。隨后可以通過入侵檢測技術進行網(wǎng)絡數(shù)據(jù)截取或者利用數(shù)據(jù)恢復技術對磁盤文件進行提取的方式構建數(shù)據(jù)倉庫。接下來，對數(shù)據(jù)倉庫中的數(shù)據(jù)應用數(shù)據(jù)挖掘技術進行分析，找出孤立點文件并入異常文件庫。對異常文件庫中的文件進行特征分析，得到文件特征屬性并構建特征集。最后對異常文件庫中的文件進行證據(jù)鑒定，形成原始證據(jù)，并對其保存、歸類和提交。構建完成的特征集模型可以對數(shù)據(jù)獲取階段的入侵檢測技術和數(shù)據(jù)恢復技術加以支持，從而提高文件獲取的效率，并且保證證據(jù)的真實性和可信性以及證據(jù)鏈的構建。

4 基于皮爾森相關系數(shù)的文件特征相似度計算

對文件特征集的構建包括以下概念：

設備類型集 ：文件所屬設備類型組成的集合，包括本地磁盤（ ）、U盤（ ）、移動硬盤（ ）、光驅（ ）、其他存儲設備（ ）。 ，其中 表示設備類型，分別賦值并且標準化為0.1、0.2、0.3、0.4、0.5。

文件類型集 ：文件類型的集合，由于本文所研究對象為文本文件，所以文件類型包括.doc文件（ ），.pdf文件（ ），.txt文件（ ），其他文本文件（ ）。 ，其中 表示文件類型，分別賦值并且標準化為0.1、0.2、0.3、0.4。

文件狀態(tài)集 ：文件在系統(tǒng)中存在的狀態(tài)及來源組成的集合，文件狀態(tài)包括一般文件（ ）、隱藏文件（ ）、加密文件（ ）、恢復文件（ ）。 ，其中 表示文件狀態(tài)，分別賦值并且標準化為0.2、0.4、0.6、0.8。

最后修改時間集 ：文件的最后修改時間與基準時間距離的集合， ，其中 為文件最后修改時間與基準時間的距離（ ）。根據(jù)案件基本發(fā)生時間推測出基準時間段，如果文件最后修改時間在基準時間段內，則設為0， 不在基準時間段內且 ，則設為0.3， ，則設為0.4。

特征值權重 ：對于不同文件特征在相關度計算中所占權重不同，根據(jù)實驗結果，設置上述特征集的權重分別為 ， ， ， 。

定義 為要比較的文件對象，每個文件有上述4個特征，即

5結語

根據(jù)本文第四部分介紹的內容，利用皮爾森相關系數(shù)計算文件特征值之間的相似度得到文檔的特征相似度系數(shù)。通過對特征相似度系數(shù)的比較，可以將特征差異較為明顯的文檔孤立出來，進而形成異常集，通過分析異常集中文件的特征屬性的影響程度和出現(xiàn)頻度確定name和prior屬性，構建出特征集模型。

本文在傳統(tǒng)靜態(tài)和動態(tài)取證模型的基礎上提出了基于特征集構建的取證模型，模型增加了特征集模塊，這個模塊的構建使得證據(jù)獲取和分析過程形成一個閉環(huán)，建立起了自學習的系統(tǒng)，對靜態(tài)取證中電子證據(jù)的完整性和真實性起到了一定的保障作用。

參考文獻

[1]茍木理.面向Windows 8物理內存鏡像文件的內存取證技術研究[D].重慶大學，2013.

[2]王連海.基于物理內存分析的在線取證模型與方法的研究[D].山東大學，2014.

[3] Shao J D， Rong G， Hai-Jie G U. Fast mining of distance-based outliers in metric space[J].Journal of Zhejiang University，2009，43（2）.

[4] 黃斌，許榕生，鄧小鴻.一種基于孤立點挖掘的計算機取證技術[J].江南大學學報：自然科學版，2009，8（2）：131-134.

[5]Nassir Abdullah Nassir（那西爾）.A new technique of outlier detection[D].中南大學，2012.