Stochastická forenzní praxe - Stochastic forensics

Stochastická forenzní praxe je metoda forenzně rekonstruovat chybějící digitální aktivitu artefakty analýzou vznikající vlastnosti vyplývající z stochastický povaha moderních počítačů.[1][2][3] Na rozdíl od tradičních počítačová forenzní, na které se spoléhá digitální artefakty, stochastická forenzní práce nevyžaduje artefakty, a proto může znovu vytvořit aktivitu, která by jinak byla neviditelná.[3] Jeho hlavní aplikací je vyšetřování člověk zevnitř krádež dat.[1][2][4]

Dějiny

Stochastickou forenzní práci vynalezl v roce 2010 počítačový vědec Jonathan Grier detekovat a vyšetřovat člověk zevnitř krádež dat.[2] Krádež zasvěcených dat byla notoricky obtížná vyšetřit pomocí tradičních metod, protože ji nevytváří artefakty (například změny atributy souboru nebo Registr Windows ).[3][5] V důsledku toho průmysl požadoval novou vyšetřovací techniku.[6]

Od svého vynálezu se stochastická forenzní praxe používá při vyšetřování krádeží zasvěcených dat v reálném světě,[6] byl předmětem akademického výzkumu,[1][7] a setkal se s průmyslovou poptávkou po nástrojích a školení.[2][8][9]

Počátky ve statistické mechanice

Stochastická forenzní práce je inspirována statistická mechanika metoda použitá v fyzika.[2][6] Klasická newtonovská mechanika vypočítá přesnou polohu a hybnost každého částice v systému. To funguje dobře pro systémy, jako je Sluneční Soustava, které se skládají z malého počtu objektů. Nelze jej však použít ke studiu věcí jako a plyn, které mají nezvratně velký počet molekuly. Statistická mechanika se však nepokouší sledovat vlastnosti jednotlivých částic, ale pouze vlastnosti které vynořit se statisticky. Může tedy analyzovat složité systémy, aniž by potřeboval znát přesnou polohu jejich jednotlivých částic.

Nemůžeme předvídat, jak se bude každá jednotlivá molekula pohybovat a třást; ale přijetím této náhodnosti a jejím matematickým popisem můžeme pomocí zákonů statistiky přesně předpovědět celkové chování plynu. Fyzika prošla takovým posunem paradigmat na konci 19. století ... Mohla by digitální forenzní praxe takový posun paradigmatu také potřebovat?

— Jonathan Grier, vyšetřování krádeží dat se stochastickou forenzní analýzou, časopis Digital Forensics, květen 2012

Stejně tak moderní počítačové systémy, které mohou mít více než státy jsou příliš složité na to, aby mohly být zcela analyzovány. Stochastická forenzní společnost proto považuje počítače za a stochastický proces, který je sice nepředvídatelný, ale dobře definovaný pravděpodobnostní vlastnosti. Analýzou těchto vlastností statisticky, stochastická mechanika může rekonstruovat aktivitu, která proběhla, i když aktivita nevytvořila žádné artefakty.[2][3][6]

Použijte při vyšetřování krádeže zasvěcených dat

Hlavní aplikace Stochastic forensics je detekce a vyšetřování člověk zevnitř krádež dat. Krádež zasvěcených osob často provádí někdo, kdo je technicky oprávněn k přístupu k datům a kdo je pravidelně používá jako součást své práce. Nevytváří artefakty ani nemění atributy souboru nebo Registr Windows.[5] V důsledku toho, na rozdíl od externích počítačové útoky, které ze své podstaty zanechávají stopy útoku, je interní krádež dat prakticky neviditelná.[3]

Nicméně statistické rozdělení z souborové systémy ' metadata je ovlivněno tak rozsáhlým kopírováním. Analýzou této distribuce je stochastická forenzní společnost schopna takové krádeže dat identifikovat a zkoumat. Typické souborové systémy mají těžký ocas distribuce přístupu k souborům. Hromadné kopírování tento vzor narušuje a je následně zjistitelné.[1][2]

Na základě toho byla stochastická mechanika použita k úspěšnému vyšetřování krádeží zasvěcených dat tam, kde jiné techniky selhaly.[1][2][3][6] Typicky, poté, co stochastická forenzní organizace zjistí krádež dat, je vyžadováno sledování pomocí tradičních forenzních technik.[6]

Kritika

Stochastická forenzní kritika byla kritizována pouze za poskytnutí důkazů a údajů o krádeži dat, nikoli za konkrétní důkaz. Opravdu to vyžaduje, aby praktikující „myslel jako Sherlock, ne jako Aristoteles“. Některé povolené činnosti kromě krádeže dat mohou způsobit podobné narušení statistického rozdělení.[1][6]

Navíc mnoho operační systémy nesledovat přístup časová razítka ve výchozím nastavení není stochastická forenzní analýza přímo použitelná. Probíhá výzkum aplikace stochastické forenzní analýzy i na tyto operační systémy databáze.[2]

Ve svém současném stavu navíc stochastická forenzní praxe vyžaduje vyškoleného forenzního analytika, aby mohl aplikovat a vyhodnotit. Ozývají se výzvy k vývoji nástrojů pro automatizaci stochastické forenzní analýzy Naváděcí software a další.[2]

Reference

  1. ^ A b C d E F Grier, Jonathan (2011). „Detekce krádeží dat pomocí stochastické forenzní analýzy“. Journal of Digital Investigation. 8 (dodatek), S71-S77.
  2. ^ A b C d E F G h i j Schwartz, Mathew J. (13. prosince 2011).„Jak digitální forenzní detekuje krádež zasvěcených osob“. Informační týden.
  3. ^ A b C d E F Chickowski, Ericka (26. června 2012). „Nová forenzní metoda může nabít zloděje Nab Insider“. Temné čtení.
  4. ^ „Reflektor zasvěcených informací“. (Srpen 2012). SC Magazine
  5. ^ A b Carvey, Harlan. "Windows forenzní analýza DVD Toolkit". 2. vyd. Syngress Publishing; 2009.
  6. ^ A b C d E F G Grier, Jonathan (květen 2012). „Vyšetřování krádeží dat pomocí stochastické forenzní analýzy“. „Digital Forensics Magazine.“
  7. ^ Nishide, T., Miyazaki, S., & Sakurai, K. (2012). "Bezpečnostní analýza systémů offline elektronických peněz s Malicious Insider". Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications, 3 (1/2), 55-71.
  8. ^ Centrum obrany pro počítačovou kriminalitu, Agenda DC3 2012.
  9. ^ Black Hat Briefings, USA 2012.Chytání krádeží dat zasvěcených pomocí stochastické forenzní analýzy.

externí odkazy