[01195433]数字取证模型、关键技术与应用

随着信息技术的迅猛发展,数字犯罪如雨后春笋般地发生,不但给个人带来巨大经济损失,同时对国家安全产生严重的影响。因此,打击和制止数字犯罪已经成为国家安全战略的重要内容。当前数字取证技术已经成为制止和威慑数字犯罪的关键技术之一,而数字犯罪事件调查取证模型构建、数字证据提取与分析等技术是实现数据取证,进而侦破数字犯罪这种新型犯罪的关键。 本项目依托国家自然科学基金课题“文件雕刻理论与碎片文件雕刻技术研究”,课题组通过近十年时间的持续攻关,针对磁盘存储介质、智能手机,以及云计算等环境中数字犯罪事件调查取证模型构建、数字证据提取与数字证据分析等问题,进行了深入研究,取得了如下主要创新。 1、构建了针对磁盘碎片化证据提取问题的基于集合论划分思想的碎片文件雕刻模型、针对证据兼容性差的基于证据库的数字证据转换模型,以及针对云计算环境的云取证模型等数字取证模型,实现了数字犯罪事件调查取证流程规范化、取证技术标准化和取证目标可回溯的科学调查模型。 2、建立了多种类型的碎片文件雕刻算法,研制了支持磁盘映像、逻辑分区及物理磁盘的文件雕刻系统平台,能够在犯罪分子反取证、存储介质剧烈撞击等造成的极端情况下,有效提取数字犯罪事件相关的碎片文档、碎片图像、碎片邮件、碎片数据库等数字证据,同时该系统平台能够将新型文件类型快速增加到碎片文件证据雕刻技术体系中,快速形成碎片证据提取能力。 3、提出了一种基于磁盘元数据的信息盗取行为取证分析方法,能够实现未知文件系统下盗取痕迹的快速检测,以及远程盗取行为的自动判断;提出了一种基于迭代KNN的微信取证算法,能够实现基于微信的犯罪事件的快速证据分类与提取;提出了一种基于文件特征可视化（2DDPCA）的隐藏证据识别与提取方法,能够实现批量文件数据下隐藏证据的识别与提取;设计了一种基于语义倾斜的主题挖掘取证算法,能够快速挖掘犯罪会话主体,并可有效缩短人工分析消耗的时间;提出了一种多源即时通信社交关系取证方法,能够实现对犯罪嫌疑人社交关系的重建,突破即时通信数据格式的限制,掌握犯罪嫌疑人交叉通信的综合关系权重,实现恶意转发行为的探测和关键信息转发路径的溯源。 4、提出了一种基于三级映射的HDFS文件高效提取取证方法,能够获取HDFS文件的地址映射信息,精确定位HDFS文件的本地数据块地址,以实现磁盘的选择性映像,提高证据收集效率,并能够恢复已删除文件的数据;提出一种基于MapReduce的HDFS数据窃取随机检测算法,能够高效检测恶意内部人员以合法身份进行的数据窃取。 项目成果已应用于公安部门、检察院、反贪局等单位,取得了重大的政治和社会效益,近三年新增销售收入5000余万元。 项目获得申请发明专利1项（尚未授权）,发表论文30余篇,在数字取证会议上做文件雕刻技术演示、发表数字取证技术主题演讲。