Stokastisk kriminalteknik

Stokastisk kriminalteknik är en metod för att forensiskt rekonstruera digital aktivitet som saknar artefakter , genom att analysera framväxande egenskaper som härrör från moderna datorers stokastiska natur. Till skillnad från traditionell datorkriminalteknik , som förlitar sig på digitala artefakter , kräver stokastisk kriminalteknik inte artefakter och kan därför återskapa aktivitet som annars skulle vara osynlig. Dess huvudsakliga tillämpning är utredningen av insiderdatastöld .

Historia

Stokastisk kriminalteknik uppfanns 2010 av datavetaren Jonathan Grier för att upptäcka och undersöka stöld av insiderdata . Insiderdatastöld har varit notoriskt svårt att undersöka med traditionella metoder, eftersom det inte skapar några artefakter (som ändringar av filattributen eller Windows-registret ). Följaktligen krävde industrin en ny utredningsteknik.

Sedan dess uppfinning har stokastisk kriminalteknik använts i verkliga undersökningar av insiderdatastöld, varit föremål för akademisk forskning och mött industrins efterfrågan på verktyg och utbildning.

Ursprung i statistisk mekanik

Stokastisk kriminalteknik är inspirerad av den statistiska mekanikmetod som används inom fysiken . Klassisk newtonsk mekanik beräknar den exakta positionen och rörelsemängden för varje partikel i ett system. Detta fungerar bra för system, som solsystemet , som består av ett litet antal objekt. Det kan dock inte användas för att studera saker som en gas , som har ett svårlöst stort antal molekyler . Statistisk mekanik försöker dock inte spåra egenskaper hos enskilda partiklar, utan bara de egenskaper som framkommer statistiskt. Därför kan den analysera komplexa system utan att behöva veta den exakta positionen för deras individuella partiklar.

Vi kan inte förutsäga hur någon enskild molekyl kommer att röra sig och skaka; men genom att acceptera den slumpen och beskriva den matematiskt kan vi använda statistikens lagar för att exakt förutsäga gasens övergripande beteende. Fysiken genomgick ett sådant paradigmskifte i slutet av 1800-talet... Kan digital forensik också vara i behov av ett sådant paradigmskifte?

— Jonathan Grier, "Undersöka datastöld med stochastic forensics", Digital Forensics Magazine, maj 2012

Likaså är moderna datorsystem, som kan ha över ${\displaystyle 2^{8^{10^{12}}}}$ tillstånd, för komplexa för att kunna analyseras fullständigt. Därför ser stokastisk kriminalteknik datorer som en stokastisk process , som, även om den är oförutsägbar, har väldefinierade probabilistiska egenskaper. Genom att analysera dessa egenskaper statistiskt kan stokastisk mekanik rekonstruera aktivitet som ägde rum, även om aktiviteten inte skapade några artefakter.

Används för att utreda stöld av insiderdata

Chefsapplikationen för stokastisk kriminalteknik upptäcker och utreder stöld av insiderdata . Stöld av insiderdata görs ofta av någon som är tekniskt auktoriserad att komma åt data och som använder den regelbundet som en del av sitt jobb. Det skapar inte artefakter eller ändrar filattributen eller Windows -registret . Till skillnad från externa datorattacker , som till sin natur lämnar spår av attacken, är insiderdatastöld praktiskt taget osynlig.

Den statistiska distributionen av filsystemens metadata påverkas dock av sådan storskalig kopiering. Genom att analysera denna fördelning kan stokastisk kriminalteknik identifiera och undersöka sådan datastöld. Typiska filsystem har en tung tailed distribution av filåtkomst. Masskopiering stör detta mönster och kan följaktligen upptäckas.

Utifrån detta har stokastisk mekanik använts för att framgångsrikt undersöka insiderdatastöld där andra tekniker har misslyckats. Vanligtvis, efter att stokastisk kriminalteknik har identifierat datastölden, krävs uppföljning med traditionella kriminaltekniska tekniker.

Kritik

Stokastisk kriminalteknik har kritiserats för att endast tillhandahålla bevis och indikationer på datastöld, och inte konkreta bevis. Det kräver faktiskt att en utövare "tänker som Sherlock, inte Aristoteles." Vissa auktoriserade aktiviteter förutom datastöld kan orsaka liknande störningar i statistiska distributioner.

Dessutom spårar många operativsystem inte åtkomsttidsstämplar som standard, vilket gör stokastisk kriminalteknik inte direkt tillämplig. Forskning pågår för att tillämpa stokastisk kriminalteknik på dessa operativsystem såväl som databaser .

Dessutom, i sitt nuvarande tillstånd, kräver stokastisk kriminalteknik en utbildad kriminalteknisk analytiker för att ansöka och utvärdera. Det har funnits krav på utveckling av verktyg för att automatisera stokastisk forensik av Guidance Software och andra.

externa länkar

• "Att upptäcka datastöld med stochastic forensics", Journal of Digital Investigation
• "Hur Digital Forensics upptäcker insiderstöld", Information Week
• "Ny kriminalteknisk metod kan fånga insidertjuvar", Dark Reading