Сочинение на тему Анализ и визуализация данных Summer
- Опубликовано: 16.08.2020
- Предмет: Информационная наука, преступление
- Темы: Криминалистика, Цифровая эра
Криминалистические оценки проектов
Целью каждого цифрового криминалистического расследования (DF) является быстрое восстановление последовательности событий и действий пользователя из (часто больших) объемов доступных доказательств. В то время как инструменты, методы и методологическое обеспечение для ранних этапов исследования (приобретение, сохранение, поиск) находятся на стадии становления, этапы анализа и реконструкции отстают. В результате недостаточная поддержка инструмента делает выполнение этих действий в значительной степени зависимым от опыта и интуиции следователя.
Особая проблема, с которой сталкиваются следователи ДФ, – это необходимость исследовать большие объемы восстановленных данных низкого уровня и синтезировать их в информацию высокого уровня и гипотезу поведения правонарушителя.
Авторы стремятся использовать синергизм, существующий между проблемной областью и преимуществами интерактивной 3D компьютерной графики (CG) и визуализации информации, чтобы обеспечить средства исследования, анализа и структурирования больших и сложных объемов данных, связанных с DF. , Полученные знания будут воплощены в прототип инструмент визуализации, известный как Insight.
В качестве первого этапа этой работы был предпринят обзор существующих способов визуализации данных в области безопасности и существующих методов поддержки цифрового криминалистического анализа / реконструкции. В этом документе представлены результаты этого опроса, проанализированы сильные и слабые стороны существующих инструментов и методов и предложены потенциальные возможности для дальнейшего использования методов визуализации в области цифровой криминалистики.
Методы, применяемые на стадии, не определены на методологическом уровне, предполагают, что действия, которые формируют двусмысленный анализ (т. е. приводящий к гипотезам, которые могут быть как принудительными, так и оправдательными), могут быть классифицированы как временной анализ, реляционный анализ и функциональный анализ. .
Временной анализ связан с упорядочением извлеченных доказательств по времени для предоставления описательной последовательности событий. Многие элементы цифровых данных судебной экспертизы естественным образом поддаются этому (например, время MAC файла, журналы событий с временными метками, временные метки электронной почты и т. Д.).
Реляционный анализ пытается показать связи между сущностями в случае, например, наличие телефонного номера в базе данных контактов мобильного телефона показывает связь между владельцем телефона и владельцем телефонного номера.
Функциональный анализ – это акт определения того, какие объекты могли выполнить любое из событий, связанных с делом.
Были предприняты различные попытки формализовать процесс анализа. Типичными являются те, которые основаны на конечных автоматах. Из литературы неясно, насколько широко распространено принятие таких формальных подходов, но Поллит и Уитледж [8] предполагают, что основной акт анализа, т. Е. Реконструкция проверяемого высокоуровневого описания того, кем было сделано, во многих случаях оставлен на усмотрение отдельных аналитиков и следователей.
В настоящее время данные, полученные на ранних этапах цифрового криминалистического расследования, анализируются вручную, что отнимает много времени. Некоторые существующие продукты пытаются сделать процесс расследования более эффективным за счет использования фильтрации и предоставления средств для обзора данных; однако большинство из этих инструментов по-прежнему требуют от следователей проработки большого количества качественной информации.
Некоторые инструменты пытаются решить эту проблему, представляя данные таким образом, чтобы аналитик мог их лучше понять, чем в «сыром» формате. Например, Zeitline [9] позволяет исследователю группировать информацию, полученную с целевого компьютера, такую как временные метки MAC и журналы событий, в иерархическую структуру атомных и сложных событий. Затем эта структура визуально отображается пользователю в виде древовидного интерфейса, с которым он будет знаком по таким инструментам, как Microsoft Explorer. Этот инструмент повышает эффективность, поскольку у следователя есть возможность структурировать найденные данные и сохранять их в хронологическом порядке, в то же время структурируя их в удобном для понимания формате, который можно использовать в качестве доказательства.
Анализ
В этом разделе мы попытаемся сделать некоторые выводы из предыдущего обзора относительно степени, в которой ключевые действия анализа поддерживаются инструментами, и того, как можно улучшить эту ситуацию с помощью методов визуализации данных. < / р>
Временной анализ
Если наше рабочее определение «анализа» будет принято, то ключевыми будут действия по организации и структурированию доказательств низкого уровня в проверяемую гипотезу. Из трех типов анализа (временного, реляционного и функционального) единственная, в которой такая организация получает поддержку инструментов, – это временный анализ: такие инструменты, как Zeitline, fls, CyberForensic TimeLab и Webscavator.
Представляется разумным предположить, что создатели инструментов одобрили временный анализ из-за простоты его основного формализма – то есть сортировки по метке времени. С точки зрения обеспечения структурирования и организации, Zeitline один признает подход «уровней абстракции», позволяя группировать события в события более высокого уровня. Fls и связанные с ними инструменты, хотя и необходимы для получения и преобразования низкоуровневых данных, предоставляют мало возможностей для «анализа».
Представление результатов Zeitline и fls, однако, является табличным и, таким образом, все еще требует значительных усилий со стороны переводчика.
Webscavator и CyberForensic TimeLab делают упор на графическом отображении низкоуровневых данных и, таким образом, представляют собой шаг к более легкому пониманию низкоуровневых данных, но не имеют концепции «группировки» Zeitline.
Таким образом, ни один инструмент не предоставляет средств для низкоуровневых манипуляций, структурирования в высокоуровневые и использования методов визуализации данных для повышения понятности.
Реляционный анализ
Существует множество инструментов, разработанных для анализа социальных сетей (возможно, потому, что компьютерным специалистам нравится играть с теорией графов и алгоритмами компоновки), но немногие из них предназначены для работы именно в контексте цифровой криминалистики. Система VAIE от Meng демонстрирует, что хорошо известные методы визуализации графов визуализации данных могут быть применены к социальным сетям, полученным из криминалистических данных. Однако неясно, как это можно интегрировать в общее расследование.
Реляционный анализ можно использовать в более широком смысле для выявления значимых корреляций между элементами данных низкого уровня. В настоящее время такие инструменты SOM плохо интегрированы с цифровым криминалистическим процессом.
Функциональный анализ
В нашем опросе не было найдено программного обеспечения для визуализации, которое явно поддерживает функциональный анализ. Использование программного обеспечения для отладки при анализе вредоносных программ, безусловно, помогает понять такие проблемы, но не входит в обычное определение визуализации данных. Можно было бы утверждать, что использование древовидных карт (как показано в «Инструменте цифровой криминалистической визуализации») представляет собой функциональный анализ, поскольку помогает понять, как используется система.
Предлагаемое решение
Из-за множества атрибутов данных, содержащихся на устройстве, сложно сопоставить их с 2D-визуализацией. Однако, используя технику трехмерной визуализации, есть «пространство». Именно этот подход мы стремимся использовать в наших исследованиях, чтобы предоставить конечному пользователю как можно больше информации в логическом визуальном формате, чтобы можно было распознать шаблоны, которые могут выделить области интереса, которые могут заслуживать дальнейшего изучения. Принимая этот подход, Осборн и Тернбулл [31] отмечают, что, поскольку в трехмерной диаграмме имеется дополнительное измерение, не только увеличивается сложность, но и существует вероятность непреднамеренного затенения данных; проблема, которую мы попытаемся решить.
Пока ни один инструмент или метод не предоставляет аналитику средства для изменения фокуса их внимания от низкоуровневой детализации к общему случаю обзора, а также не предоставляет средств для организации доказательств в реконструкцию деятельности путем связывания связанных / взаимосвязанных элементы данных уровня.
Вывод:
Видно, что текущее использование инструментов визуализации в компьютерной безопасности показало многообещающие результаты, и конечные пользователи становятся все более продуктивными при использовании инструмента, который предоставляет им визуальное представление данных по сравнению с текстовым представлением. Поскольку большинство существующих инструментов и исследований в основном нацелены на безопасность сети, недостаточно внимания уделяется использованию визуализации в цифровой криминалистике.
Мы намерены разработать инструмент под названием Insight, который предоставит конечному пользователю исследовательскую трехмерную визуализацию, которая представляет содержимое компьютера. При этом мы намереваемся выяснить, значительно ли использование программного обеспечения для трехмерной визуализации в криминалистическом исследовании значительно повышает производительность по сравнению с обычно используемыми текстовыми инструментами. Это будет включать всестороннее изучение юзабилити, чтобы пользователи могли легко и быстро освоить программное обеспечение. Мы также оценим вероятность того, что программное обеспечение будет подвержено какой-либо форме окклюзии данных, и в этом случае мы попытаемся снизить этот риск.
В идеале инструмент сможет использовать выходные форматы из распространенных существующих текстовых инструментов. При этом пользователю не нужно переключаться с инструментов, которые он использовал для сбора данных, и тогда он может свободно анализировать их в среде визуализации. Принуждение пользователей к использованию новой системы сбора данных может быть проблематичным для них и потенциально может помешать освоению инструмента и повышению производительности.
Судебные энтомологи применяют свои знания энтомологии для предоставления информации для уголовных расследований. Преемственность видов также может дать подсказки следователям. Некоторые виды могут питаться свежим трупом,
В 2013 году до 5 лет было произведено нововведение. И становятся более успешными и мощными усовершенствованиями технологических изменений. Я хотел бы поделиться с вами удивительным
В современном обществе информация перегружена. Таким образом, поисковые системы играют решающую роль, когда мы используем их для получения информации. И, как мы все знаем, Baidu