Стохастическая криминалистика - Stochastic forensics

Стохастическая криминалистика это способ судебно-медицинский реконструировать недостающую цифровую активность артефакты, анализируя эмерджентные свойства в результате стохастический природа современных компьютеров.[1][2][3] В отличие от традиционных компьютерная экспертиза, который опирается на цифровые артефакты стохастическая криминалистика не требует артефактов и, следовательно, может воссоздать деятельность, которая в противном случае была бы невидимой.[3] Его главное приложение - расследование инсайдер кража данных.[1][2][4]

История

Стохастическая криминалистика была изобретена в 2010 году ученым-компьютерщиком. Джонатан Грир обнаружить и исследовать инсайдер кража данных.[2] Кража инсайдерских данных, как известно, трудно расследовать с использованием традиционных методов, поскольку она не создает никаких артефакты (например, изменения в атрибуты файла или же Реестр Windows ).[3][5] Следовательно, промышленность потребовала новой методики расследования.[6]

С момента своего изобретения стохастическая криминалистика использовалась в реальных расследованиях кражи инсайдерских данных,[6] был предметом научных исследований,[1][7] и удовлетворить потребности отрасли в инструментах и ​​обучении.[2][8][9]

Истоки статистической механики

Стохастическая криминалистика основана на статистическая механика метод, используемый в физика.[2][6] Классическая ньютоновская механика вычисляет точное положение и импульс каждого частица в системе. Это хорошо работает для таких систем, как Солнечная система, состоящий из небольшого количества объектов. Однако его нельзя использовать для изучения таких вещей, как газ, которые имеют трудноразрешимо большое количество молекулы. Статистическая механика, однако, не пытается отслеживать свойства отдельных частиц, а только те свойства, которые появляться статистически. Следовательно, он может анализировать сложные системы без необходимости знать точное положение их отдельных частиц.

Мы не можем предсказать, как будет двигаться и трясти какая-либо отдельная молекула; но приняв эту случайность и описав ее математически, мы можем использовать законы статистики для точного прогнозирования общего поведения газа. Подобная смена парадигмы произошла в физике в конце 1800-х годов ... Может ли цифровая криминалистика тоже нуждаться в таком изменении парадигмы?

— Джонатан Гриер, Расследование кражи данных с помощью стохастической криминалистики, журнал Digital Forensics, май 2012 г.

Точно так же современные компьютерные системы, которые могут иметь более состояний, слишком сложны, чтобы их можно было полностью проанализировать. Следовательно, стохастическая криминалистика рассматривает компьютеры как случайный процесс, который, хотя и непредсказуем, хорошо определил вероятностный характеристики. Анализируя эти свойства статистически стохастическая механика может реконструировать имевшую место активность, даже если она не создала никаких артефактов.[2][3][6]

Использование при расследовании кражи инсайдерских данных

Главное приложение стохастической криминалистики обнаруживает и исследует инсайдер кража данных. Кража инсайдерских данных часто осуществляется теми, кто технически уполномочен на доступ к данным и регулярно использует их в рамках своей работы. Он не создает артефактов и не изменяет атрибуты файла или же Реестр Windows.[5] Следовательно, в отличие от внешних компьютерные атаки, которые по своей природе оставляют следы атаки, кража инсайдерских данных практически незаметна.[3]

Тем не менее статистическое распределение из файловые системы ' метаданные влияет такое крупномасштабное копирование. Анализируя это распределение, стохастическая криминалистика может идентифицировать и исследовать такие кражи данных. Типичные файловые системы имеют тяжелый хвост раздача файлового доступа. Массовое копирование нарушает этот шаблон и, следовательно, обнаруживается.[1][2]

Исходя из этого, стохастическая механика использовалась для успешного расследования кражи инсайдерских данных там, где другие методы не помогли.[1][2][3][6] Как правило, после того, как стохастическая криминалистика обнаружила кражу данных, требуется последующее наблюдение с использованием традиционных методов судебной экспертизы.[6]

Критика

Стохастическая криминалистика подвергалась критике как только предоставляющая доказательства и указания на кражу данных, а не конкретные доказательства. Действительно, практикующий должен «думать как Шерлок, а не Аристотель». Определенные санкционированные действия, помимо кражи данных, могут вызвать аналогичные нарушения статистических распределений.[1][6]

Кроме того, многие операционные системы не отслеживать доступ отметки времени по умолчанию, поэтому стохастическая криминалистика не применяется напрямую. Ведутся исследования по применению стохастической криминалистики к этим операционным системам, а также базы данных.[2]

Кроме того, в текущем состоянии стохастическая судебная экспертиза требует наличия обученного судебного аналитика для применения и оценки. Были призывы к разработке инструментов для автоматизации стохастической криминалистики с помощью Программное обеспечение для навигации и другие.[2]

Рекомендации

  1. ^ а б c d е ж Гриер, Джонатан (2011). «Обнаружение кражи данных с помощью стохастической криминалистики». Журнал цифровых исследований. 8 (Приложение), S71-S77.
  2. ^ а б c d е ж грамм час я j Шварц, Мэтью Дж. (13 декабря 2011 г.).«Как цифровая криминалистика обнаруживает кражи изнутри». Информационная неделя.
  3. ^ а б c d е ж Чиковски, Эрика (26 июня 2012 г.). «Новый метод судебной экспертизы может выявить воров, несущих инсайдерскую информацию». Темное чтение.
  4. ^ «Взгляд изнутри на угрозы». (Август 2012 г.). Журнал SC
  5. ^ а б Карви, Харлан. «Набор инструментов DVD для судебной экспертизы Windows». 2-е изд. Syngress Publishing; 2009 г.
  6. ^ а б c d е ж грамм Гриер, Джонатан (май 2012 г.). «Расследование кражи данных с помощью стохастической криминалистики». «Журнал цифровой криминалистики».
  7. ^ Нишиде, Т., Миядзаки, С., и Сакураи, К. (2012). «Анализ безопасности автономных электронных денежных систем с помощью вредоносного инсайдера». Журнал беспроводных мобильных сетей, повсеместных вычислений и надежных приложений, 3 (1/2), 55-71.
  8. ^ Центр киберпреступности Министерства обороны, Повестка дня DC3 на 2012 год.
  9. ^ Брифинги Black Hat, США 2012 г.Выявление кражи инсайдерских данных с помощью стохастической криминалистики.

внешняя ссылка