forense estocásticos - Stochastic forensics

Forense estocásticos é um método para forense reconstruir atividade digitais faltando artefatos , analisando propriedades emergentes resultantes da estocástica natureza dos computadores modernos. Ao contrário tradicionais de computação forense , que depende de artefatos digitais , forense estocásticos não requer artefatos e pode, portanto, recriar actividade que de outra forma seria invisível. Sua aplicação principal é a investigação de insider roubo de dados .

Conteúdo

1 História
- 1.1 Origens em mecânica estatística
2 Use em investigar o roubo de dados insider
3 Criticism
4 Referências
5 Ligações externas

História

Forense estocásticos foi inventado em 2010 pelo cientista da computação Jonathan Grier para detectar e investigar insider roubo de dados . Roubo de dados Insider tem sido notoriamente difícil de investigar usando métodos tradicionais, uma vez que não cria quaisquer artefatos (tais como alterações nos atributos de arquivo ou Registro do Windows ). Consequentemente, a indústria exigiu uma nova técnica de investigação.

Desde sua invenção, forense estocásticos tem sido utilizado em investigação mundo real de roubo de dados privilegiadas, sido objeto de pesquisa acadêmica, e se reuniu com demanda da indústria por ferramentas e treinamento.

Origens em mecânica estatística

Forense estocásticos é inspirado pelo mecânica estatística método utilizado no física . Mecânica newtoniana clássica calcula a posição exata eo impulso de cada partícula em um sistema. Isso funciona bem para sistemas, como o sistema solar , que consistem em um pequeno número de objetos. No entanto, ele não pode ser usado para estudar as coisas como um gás , que têm intratável grande número de moléculas . Mecânica estatística, no entanto, não tenta controlar as propriedades de partículas individuais, mas apenas as propriedades que emergem estatisticamente. Assim, ele pode analisar sistemas complexos sem precisar saber a posição exata de suas partículas individuais.

Não podemos prever como qualquer molécula indivíduo vai movimentar e agitar; mas aceitando que a aleatoriedade e descrevendo-o matematicamente, podemos usar as leis da estatística de prever com precisão o comportamento global do gás. Física passou por uma mudança de paradigma no final de 1800 ... Poderia forense digital estar na necessidade de uma tal mudança de paradigma também?

- Jonathan Grier, Investigando roubo de dados Com Stochastic Forensics, Digital Forensics Magazine, maio 2012

Da mesma forma, modernos sistemas de computador dia, que podem ter mais de estados, são complexas demais para ser completamente analisado. Portanto, forense estocástica de visualizações computadores como um processo estocástico , que, embora imprevisível, tem bem definido probabilística propriedades. Ao analisar essas propriedades estatisticamente , mecânica estocástica pode reconstruir atividade que teve lugar, mesmo se a atividade não criar qualquer tipo de artefato. ${\ Displaystyle 2 ^ {^ {8 10 ^ {12}}}}$

Use em investigar o roubo de dados insider

Forense estocásticos aplicação principal é detectar e investigar insider roubo de dados . Roubo de dados Insider muitas vezes é feito por alguém que é tecnicamente autorizado a acessar os dados, e que usa-lo regularmente, como parte de seu trabalho. Ele não cria artefatos ou alterar os atributos de arquivo ou do Registro do Windows . Consequentemente, ao contrário externos ataques informáticos , o que, por sua natureza, deixam vestígios do ataque, roubo de dados insider é praticamente invisível.

No entanto, a distribuição estatística de sistemas de arquivos ' metadados é afetado por essa cópia em larga escala. Ao analisar esta distribuição, forense estocásticos é capaz de identificar e examinar tais roubo de dados. Sistemas de arquivos típicos têm um atados pesado distribuição de acesso a arquivos. Copiar em grandes quantidades perturba este padrão, e é, consequentemente, detectáveis.

Com base nesta, mecânica estocásticos tem sido usado para investigar com sucesso roubo de dados insider onde outras técnicas falharam. Tipicamente, após forense estocásticos identificou o roubo de dados, seguir-se utilizando técnicas forenses tradicionais é necessária.

Crítica

forense estocásticos tem sido criticada como apenas fornecer provas e indícios de roubo de dados, e prova não concreto. Na verdade, ele requer um praticante de "pensar como Sherlock, não Aristóteles." Certas atividades autorizadas, além de roubo de dados pode causar distúrbios semelhantes em distribuições estatísticas.

Além disso, muitos sistemas operacionais não rastrear acesso timestamps por padrão, tornando forense estocásticos não directamente aplicável. A investigação está em andamento na aplicação forense estocásticos para esses sistemas operacionais, bem como bancos de dados .

Além disso, em seu estado atual, forense estocásticos requer um analista forense treinados para aplicar e avaliar. Houve apelos para o desenvolvimento de ferramentas para automatizar forense estocásticos por Guidance Software e outros.

Referências

links externos

"Detectando dados Theft Usando estocásticos Forensics" , Journal of Investigation Digital
"Como Digital Forensics Detecta Insider Theft" , Information Week
"Ladrões New Forensics método pode Nab insiders" , Leitura escuro

Languages

In other projects