Stochastic_forensics
確率的フォレンジックは、現代のコンピューターの確率的性質から生じる創発的特性を分析することにより、アーティファクトのないデジタルアクティビティをフォレンジックに再構築する方法です。 デジタルアーティファクトに依存する従来のコンピュータフォレンジックとは異なり、確率的フォレンジックはアーティファクトを必要としないため、他の方法では見えないアクティビティを再現できます。その主な用途は、インサイダーデータの盗難の調査です。
コンテンツ
1 歴史
1.1 統計力学の起源
2 インサイダーデータの盗難の調査に使用
3 批判
4 参考文献
5 外部リンク
歴史
確率論的フォレンジックは、インサイダーデータの盗難を検出して調査するために、コンピューター科学者のジョナサングリアによって2010年に発明されました。インサイダーデータの盗難は、アーティファクト(ファイル属性やWindowsレジストリの変更など)を作成しないため、従来の方法を使用して調査するのが難しいことで有名です。 その結果、業界は新しい調査手法を要求しました。
その発明以来、確率論的フォレンジックは、インサイダーデータの盗難の実際の調査に使用され、学術研究の対象となり 、ツールとトレーニングに対する業界の需要に応えてきました。
統計力学の起源
確率論的科学捜査は、物理学で使用される統計力学の方法に触発されています。 古典力学は、システム内のすべての粒子の正確な位置と運動量を計算します。これは、少数のオブジェクトで構成される太陽系などのシステムに適しています。ただし、ガスのように分子数が非常に多いものの研究には使用できません。ただし、統計力学は個々の粒子の特性を追跡しようとはせず、統計的に現れる特性のみを追跡しようとします。したがって、個々の粒子の正確な位置を知る必要なしに、複雑なシステムを分析できます。
個々の分子がどのように動いたり揺れたりするかを予測することはできません。しかし、そのランダム性を受け入れて数学的に記述することにより、統計の法則を使用して、ガスの全体的な動作を正確に予測できます。物理学は1800年代後半にそのようなパラダイムシフトを経験しました…デジタルフォレンジックもそのようなパラダイムシフトを必要としているのでしょうか?—
Jonathan Grier、確率論的フォレンジックによるデータ盗難の調査、デジタルフォレンジックマガジン、2012年5月
同様に、現代のコンピュータシステムは 8 10 12
{2 ^ {8 ^ {10 ^ {12}}}}
状態は、完全に分析するには複雑すぎます。したがって、確率的フォレンジックは、コンピューターを確率的プロセスと見なします。これは、予測不可能ではありますが、明確に定義された確率的特性を備えています。これらのプロパティを統計的に分析することにより、確率力学は、アクティビティがアーティファクトを作成しなかった場合でも、発生したアクティビティを再構築できます。
インサイダーデータの盗難の調査に使用
確率論的フォレンジックの主なアプリケーションは、インサイダー データの盗難を検出して調査することです。インサイダーデータの盗難は、データへのアクセスを技術的に許可され、仕事の一環として定期的に使用する人によって行われることがよくアーティファクトを作成したり、ファイル属性やWindowsレジストリを変更したりすることはありません。したがって、その性質上、攻撃の痕跡を残す外部コンピューター攻撃とは異なり、内部データの盗難は事実上目に見えません。
ただし、ファイルシステムのメタデータの統計的分布は、このような大規模なコピーの影響を受けます。この分布を分析することにより、確率的フォレンジックはそのようなデータの盗難を特定して調査することができます。一般的なファイルシステムでは、ファイルアクセスの裾が重い分布になっています。一括コピーはこのパターンを乱し、その結果検出可能です。
これを利用して、確率論的メカニズムを使用して、他の手法が失敗したインサイダーデータの盗難を調査することに成功しました。 通常、確率論的フォレンジックがデータの盗難を特定した後、従来のフォレンジック手法を使用したフォローアップが必要です。
批判
確率論的フォレンジックは、データ盗難の証拠と兆候を提供するだけであり、具体的な証拠ではないと批判されてきました。実際、開業医は「アリストテレスではなく、シャーロックのように考える」必要がデータの盗難以外の特定の許可された活動は、統計的分布に同様の混乱を引き起こす可能性が
さらに、多くのオペレーティングシステムはデフォルトでアクセスタイムスタンプを追跡しないため、確率的フォレンジックは直接適用できません。これらのオペレーティングシステムとデータベースに確率的フォレンジックを適用する研究が進行中です。
さらに、現在の状態では、確率論的フォレンジックでは、訓練を受けたフォレンジックアナリストが適用および評価する必要がガイダンスソフトウェアなどにより、確率的フォレンジックを自動化するツールの開発が求められています。
参考文献
^ Grier、Jonathan(2011)。「確率的フォレンジックを使用したデータ盗難の検出」。ジャーナルオブデジタルインベスティゲーション。8(補足)、S71-S77。
^ j Schwartz、Mathew J.(2011年12月13日)。「デジタルフォレンジックがインサイダーの盗難を検出する方法」。インフォメーションウィーク。
^ Chickowski、Ericka(2012年6月26日)。「新しいフォレンジック手法はインサイダー泥棒を捕まえる可能性があります」。ダークリーディング。
^ 「内部脅威スポットライト」。。SCマガジン ^ カーベイ、ハーラン。「Windowsフォレンジック分析DVDツールキット」。第2版 Syngress Publishing; 2009年。
^ グリア、ジョナサン。「確率的フォレンジックによるデータ盗難の調査」。「デジタルフォレンジックマガジン」。
^ 西出徹、宮崎聡、櫻井健一(2012)。「悪意のあるインサイダーによるオフラインE-cashシステムのセキュリティ分析」。Journal of Wireless Mobile Networks、ユビキタスコンピューティング、および信頼できるアプリケーション、3(1/2)、55-71。
^ 国防総省サイバー犯罪センター、 2012DC3アジェンダ。
^ ブラックハットブリーフィング、米国2012年。確率論的フォレンジックによるインサイダーデータの盗難のキャッチ。
外部リンク
「確率的フォレンジックを使用したデータ盗難の検出」、Journal of DigitalInvestigation
「デジタルフォレンジックがインサイダーの盗難を検出する方法」、Information Week
「新しいフォレンジック手法がインサイダー泥棒を捕まえる可能性がある」、ダークリーディング”