24、网络日志文件数字取证模型解析

网络日志文件数字取证模型解析

1 现有取证模型的问题

当前可用的取证模型本质上较为通用，这导致在日志挖掘中应遵循的具体程序存在模糊性。这种模糊性最终可能影响在法庭上呈现的证据的可采性。

2 提出的模型

2.1 模型概述

提出的日志文件数字取证模型具有四个基本层，以法律法规为模型的基础。四个层分别为：准备层、发现层、测试层和阐释层。每层都有独特的流程，需在启动下一层之前完成。该模型采用自上而下的布局，简单易遵循，每层内的流程按箭头方向进行，同时，法医调查应遵循的预防措施也是模型的一部分。

2.2 准备层

准备层包含两个过程：方法制定和事前准备。
- 方法制定 ：组织需意识到进行调查的必要性，并确保运营和基础设施能够支持调查。通常需要一个触发事件，如非法行为导致的事件。应通知执法部门有关违规情况，并告知所有相关方可能进行的法医调查。需考虑法律和技术问题以及对业务运营的影响。调查的主要目标是在不中断业务运营的情况下从日志文件中恢复可采证据。相关的法医准备计划有三个目标：在不中断业务运营的情况下恢复可采证据；使调查成本与事件相称；确保证据对法律行动的结果产生积极影响。
- 事前准备 ：若准备不当，调查可能无法系统进行，导致证据失去价值。在事前准备过程中，应初步了解犯罪性质和要执行的活动，包括组建合适的团队、分配团队成员职责、积累包装证据源和检索的日志文件条目的材料、进行法律协调和获得一般监控批准等。

2.3 发现层

发现层在准备层之后，通过对网络设备进行测试和实验，识别嫌疑人的数字足迹，目标是发现嫌疑人与事件之间的联系。该层的过程包括：
- 证据搜索 ：调查人员需对物理和虚拟犯罪现场进行调查，决定收集证据的最佳方法。包括评估犯罪现场、制定相关搜索计划、搜索潜在证据源，识别与案件相关的关键证据，评估现场电子设备，识别现场人员并进行初步访谈，与系统管理员访谈获取系统、应用程序、用户和安全措施的详细信息。若需搜索搜查令未列出的物品，应记录适当更改并可能获取新的搜查令。收集的证据必须记录并建立保管链。
- 检测和识别 ：在检查网络设备日志文件之前，法医调查人员必须使用专业技术和工具确认组织计算机网络是否受到入侵。可使用基于签名的入侵检测系统和/或基于异常的入侵检测系统。完成检测和识别后，执法部门需获得与检测到的事件相关的搜查令才能继续调查。
- 初始响应 ：调查人员需向组织领导简要介绍检测和识别过程的结果。若入侵声称是假的，调查在此结束；若为真，则需确保事件现场安全，包括将目标计算机与网络隔离并维护系统日志文件的完整性。
- 安全措施实施 ：当调查人员是受害组织内部事件响应团队成员时，需解释被利用的漏洞以及如何改进网络安全，应在初始响应后立即进行，以便系统管理员在法医调查开始时了解漏洞。
- 网络监控 ：监控和控制组织计算机网络中的流量，确保事件现场安全以维护日志文件的完整性，降低网络设备日志文件被新事务更新的速率，限制网络流量以减少数据恢复过程中搜索相关日志条目时的工作量。
- 数据恢复 ：调查人员需在日志文件中寻找网络犯罪分子的数字足迹，重点关注网络设备和日志文件服务器的日志文件。该过程称为映射，包括五个子过程：目标设定、目标执行、数据恢复、过滤和验证。

以下是发现层各过程的表格总结：
|过程|描述|
| ---- | ---- |
|证据搜索|调查犯罪现场，决定证据收集方法，识别关键证据，记录证据并建立保管链|
|检测和识别|确认网络入侵，使用专业系统，获取搜查令|
|初始响应|向组织领导汇报结果，确保事件现场安全|
|安全措施实施|解释漏洞并提出改进建议|
|网络监控|监控流量，维护日志完整性，限制流量|
|数据恢复|寻找数字足迹，包括目标设定等五个子过程|

下面是准备层和发现层的 mermaid 流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(准备层):::process --> A1(方法制定):::process
    A --> A2(事前准备):::process
    B(发现层):::process --> B1(证据搜索):::process
    B --> B2(检测和识别):::process
    B --> B3(初始响应):::process
    B --> B4(安全措施实施):::process
    B --> B5(网络监控):::process
    B --> B6(数据恢复):::process
    A --> B

2.4 测试层

测试层在发现层之后，通常在法医实验室进行，包括三个过程：
- 运输和存储 ：当调查人员确认映射过程已全面完成后，将过滤后的证据和扣押的设备运输到法医实验室进行安全保管和进一步分析。此步骤确保证据的完整性，降低证据被篡改的风险。运输过程中要采取适当的安全措施，如将扣押设备放在防静电袋中，证据应存放在气候受控、电磁辐射、灰尘、热量和湿度较小的环境中。
- 审讯 ：法医调查人员检查检索到的日志条目以获取与案件相关的信息。该过程分为三个子过程：
- 预处理 ：目标是为模式发现产生一个结构化、可靠和集成的数据源，包括数据清理、事务识别、会话识别、数据集成和转换五项任务。
- 模式发现 ：应用数据挖掘、机器学习、模式识别和统计等领域的算法和技术，搜索用于访问资源的密码、异常隐藏文件和目录以及文件扩展名和签名不匹配等。
- 模式分析 ：也称为重建，包括解析和回溯两个主要活动。解析通过消除无关数据提取显著规则、模式和统计信息；回溯使用会话识别中获取的源 IP 地址追溯到互联网服务提供商（ISP），最终追溯到源计算机，并通过参考源计算机日志文件中的时间戳确定密码和用户 ID。
- 分析 ：调查人员对审讯过程进行技术审查，主要活动是关联。关联日志文件中的事件包括识别数据片段之间的关系、分析隐藏数据、确定源计算机日志文件和过滤后日志文件的重要性，还包括根据提取的数据重建事件数据并得出适当结论。其他关键活动包括时间框架分析、隐藏数据分析、应用程序分析和文件分析，分析结果应完整准确地记录，用于法律程序。

以下是测试层各过程的表格总结：
|过程|描述|
| ---- | ---- |
|运输和存储|将证据和设备运输到实验室，确保完整性，采取安全措施|
|审讯|检查日志条目，包括预处理、模式发现和模式分析|
|分析|对审讯过程进行技术审查，主要是关联事件，还有其他关键活动并记录结果|

2.5 阐释层

阐释层是日志文件取证模型的最后一层，重点是解释调查中所有过程的结果，包括两个过程：
- 呈现 ：将调查结果呈现给公司管理层、执法官员、法官和陪审团、律师和专家证人。需将所有过程的个别结果结合起来，全面审查审讯和分析过程的结果。由于法庭上会有对立理论，需要提供事件的证实证据和对事件理论或模型的支持。应准备包含各种调查过程摘要和调查结果的报告，并准备好支持材料，如过滤后的原始日志文件条目、保管链文件和各种证据的详细信息。
- 结论和跟进 ：审查调查中的所有步骤，确定可能需要改进的领域。结果及其后续解释可用于进一步完善网络日志调查，还包括分发信息为未来调查提供基础，并遵循有关信息共享的适用政策和程序。

2.6 预防措施

从发现层到阐释层都必须遵守预防措施，减少调查中出现的错误及其影响。主要预防措施包括：
1. 避免在原始日志条目的副本上进行实验。
2. 记录对原始日志副本的任何更改，包括负责调查人员的姓名、更改性质和时间。
3. 遵守所有相关的 IT 最佳实践，如 ISO 27002、COBIT、COSO 和 PCI DSS。
4. 当调查变得困难或复杂时咨询专家。
5. 在整个调查过程中保持严格的保管链程序。
6. 秉持诚信，勤奋、尽责和细致。

2.7 法律法规

由于数字取证过程的性质和适用的法律法规，错误可能代价高昂。因此，理解法律法规对法医调查过程的影响至关重要。各层的所有过程都必须根据现行法律法规进行，包括当地和/或国际制度。从调查开始前到案件解决都要仔细考虑法律法规，否则受害组织可能遭受重大损失，可能因证据损毁被罚款，罪犯可能逃脱惩罚。

3 结论

提出的日志文件取证模型适用于计算机网络调查，特别是涉及网络日志挖掘的调查。该模型旨在增强法律程序中证据的可采性和可信度，专注于从日志文件中提取、分析和关联数据，强调在调查的所有阶段严格遵守预防措施和适用的法律法规。

下面是测试层和阐释层的 mermaid 流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    C(测试层):::process --> C1(运输和存储):::process
    C --> C2(审讯):::process
    C --> C3(分析):::process
    D(阐释层):::process --> D1(呈现):::process
    D --> D2(结论和跟进):::process
    C --> D