摘  要： 針對(duì)計(jì)算機(jī)證據(jù)格式繁雜不利于形成證據(jù)鏈的問(wèn)題，提出了計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示方法。該方法將計(jì)算機(jī)證據(jù)的描述層次劃分為數(shù)據(jù)表示層、證據(jù)表示層、事件表示層和案件表示層，并在這些層次上分別采用證據(jù)元數(shù)據(jù)來(lái)描述計(jì)算機(jī)證據(jù)。通過(guò)對(duì)計(jì)算機(jī)異常事件證據(jù)元數(shù)據(jù)的設(shè)計(jì)，實(shí)現(xiàn)對(duì)計(jì)算機(jī)證據(jù)的內(nèi)在屬性和關(guān)系進(jìn)行統(tǒng)一的表達(dá)，能夠方便地組織、分析、融合和提交計(jì)算機(jī)證據(jù)。
關(guān)鍵詞： 計(jì)算機(jī)安全；電子犯罪對(duì)策；計(jì)算機(jī)取證；證據(jù)；元數(shù)據(jù)

　　目前，計(jì)算機(jī)犯罪活動(dòng)日趨猖獗，因此有效地組織計(jì)算機(jī)犯罪證據(jù)信息，形成計(jì)算機(jī)證據(jù)鏈?zhǔn)且豁?xiàng)非常重要的工作。計(jì)算機(jī)證據(jù)來(lái)源眾多，格式繁雜[1-2]。一次入侵事件的證據(jù)可能留存于網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備以及計(jì)算機(jī)系統(tǒng)中，這些記錄了入侵者的入侵手段、入侵時(shí)間和入侵結(jié)果的證據(jù)相互間存在著緊密的聯(lián)系，為了能夠?qū)@些格式不盡相同卻具有相關(guān)性的證據(jù)進(jìn)行有效地組織、分析、融合和提交，迫切需要對(duì)它們進(jìn)行統(tǒng)一的表示。元數(shù)據(jù)(Metadata)是描述數(shù)據(jù)的數(shù)據(jù)[3]，是對(duì)信息對(duì)象編碼式的結(jié)構(gòu)化描述，它主要用來(lái)描述數(shù)據(jù)的內(nèi)容、質(zhì)量、所有者、提供方式、覆蓋范圍以及管理方式等，是數(shù)據(jù)與數(shù)據(jù)用戶之間的橋梁。
　　本文擬用元數(shù)據(jù)對(duì)計(jì)算機(jī)證據(jù)進(jìn)行描述，以便計(jì)算機(jī)證據(jù)元數(shù)據(jù)能夠統(tǒng)一地表達(dá)計(jì)算機(jī)證據(jù)的內(nèi)在屬性及其相互間的關(guān)系，為形成計(jì)算機(jī)證據(jù)鏈奠定良好的基礎(chǔ)。
1 計(jì)算機(jī)證據(jù)元數(shù)據(jù)
1.1 計(jì)算機(jī)證據(jù)
　　計(jì)算機(jī)證據(jù)也稱電子證據(jù)，是指在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備運(yùn)行過(guò)程中產(chǎn)生的能夠表征某種事件事實(shí)的數(shù)據(jù)集合。
　　計(jì)算機(jī)證據(jù)源分為計(jì)算機(jī)系統(tǒng)證據(jù)源和計(jì)算機(jī)網(wǎng)絡(luò)證據(jù)源。計(jì)算機(jī)系統(tǒng)證據(jù)源包括：系統(tǒng)日志文件、數(shù)據(jù)文件、內(nèi)存映像文件、臨時(shí)文件、空閑磁盤空間等；計(jì)算機(jī)網(wǎng)絡(luò)證據(jù)源包括：網(wǎng)絡(luò)數(shù)據(jù)包、殺毒軟件日志文件、防火墻日志文件、入侵檢測(cè)系統(tǒng)日志文件、各種服務(wù)器日志文件等。
1.2 計(jì)算機(jī)證據(jù)元數(shù)據(jù)
　　  目前，元數(shù)據(jù)還沒(méi)有統(tǒng)一的定義，一些學(xué)者將元數(shù)據(jù)簡(jiǎn)單定義為：關(guān)于數(shù)據(jù)的數(shù)據(jù)[4]，而該定義無(wú)法清晰地反映元數(shù)據(jù)的內(nèi)涵。于是，不同領(lǐng)域的學(xué)者從不同角度對(duì)該定義進(jìn)行了擴(kuò)展和深化[3]。當(dāng)前，在計(jì)算機(jī)取證領(lǐng)域中，對(duì)計(jì)算機(jī)證據(jù)元數(shù)據(jù)的定義還未見(jiàn)報(bào)道。
　　  通過(guò)分析和總結(jié)元數(shù)據(jù)在其他領(lǐng)域中的定義，本文將計(jì)算機(jī)證據(jù)元數(shù)據(jù)定義為：一種構(gòu)建在計(jì)算機(jī)證據(jù)基礎(chǔ)上具有統(tǒng)一格式的結(jié)構(gòu)化數(shù)據(jù)，它是計(jì)算機(jī)證據(jù)的結(jié)構(gòu)化描述。其目的是描述計(jì)算機(jī)證據(jù)的基本特征、基本屬性和相互關(guān)系，以便那些格式不同的相關(guān)證據(jù)能夠進(jìn)行有效地組織、分析、融合和提交。
1.3 計(jì)算機(jī)證據(jù)元數(shù)據(jù)特點(diǎn)
　  　作為對(duì)計(jì)算機(jī)證據(jù)結(jié)構(gòu)化描述的一種方式，計(jì)算機(jī)證據(jù)元數(shù)據(jù)的基本特點(diǎn)為：
　　  (1)描述性：計(jì)算機(jī)證據(jù)元數(shù)據(jù)按照規(guī)則描述對(duì)象，并以此組織和管理證據(jù)資源。
　　  (2)動(dòng)態(tài)性：計(jì)算機(jī)證據(jù)元數(shù)據(jù)會(huì)隨著描述對(duì)象的變化而變化。
　　  (3)多樣性：從不同角度對(duì)描述對(duì)象的特征進(jìn)行劃分并產(chǎn)生多種計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示形式。
  　　(4)復(fù)雜性：計(jì)算機(jī)證據(jù)元數(shù)據(jù)可以嵌套，既是元數(shù)據(jù)的集合，也是可選擇性的元數(shù)據(jù)。
　　  (5)多層性：計(jì)算機(jī)證據(jù)元數(shù)據(jù)的描述對(duì)象可以是多層次的。
　　  (6)支撐性：計(jì)算機(jī)證據(jù)元數(shù)據(jù)能夠有效地維護(hù)描述對(duì)象的原始性和完整性，能夠與描述對(duì)象共存。
2 計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示
2.1 計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示原則
　　  本文依據(jù)以下原則對(duì)計(jì)算機(jī)證據(jù)元數(shù)據(jù)進(jìn)行描述。
　  　(1)模塊化：根據(jù)內(nèi)容將計(jì)算機(jī)證據(jù)劃分為不同模塊，各個(gè)模塊分別采用不同類型的計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示，以滿足不同的應(yīng)用需求。
　  　(2)一致性：計(jì)算機(jī)證據(jù)元數(shù)據(jù)的描述應(yīng)盡量與元數(shù)據(jù)的國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)保持一致。
　　  (3)可擴(kuò)展：通過(guò)復(fù)用、嵌接、延伸、細(xì)化、修改等方式，構(gòu)建新的計(jì)算機(jī)證據(jù)元數(shù)據(jù)；預(yù)留計(jì)算機(jī)證據(jù)元數(shù)據(jù)的元素空間以適應(yīng)未來(lái)的需求。
　　  (4)穩(wěn)定性：將基本的、共同的和必需的內(nèi)容歸納為1個(gè)核心元素集，核心元素集具有相對(duì)的穩(wěn)定性，能夠滿足基本的應(yīng)用需求。
  　　(5)互操作：計(jì)算機(jī)證據(jù)元數(shù)據(jù)應(yīng)支持異構(gòu)系統(tǒng)間的互操作，它可在不同系統(tǒng)間實(shí)現(xiàn)傳輸、交換或轉(zhuǎn)換。
　　  (6)遞歸性：計(jì)算機(jī)證據(jù)元數(shù)據(jù)能被逐層地描述、定義、確認(rèn)和驗(yàn)證。在每個(gè)層次上，計(jì)算機(jī)證據(jù)元數(shù)據(jù)均具有獨(dú)立元素。
  　　(7)開(kāi)放性：一旦出現(xiàn)新的計(jì)算機(jī)證據(jù)源，即可設(shè)計(jì)出相應(yīng)的計(jì)算機(jī)證據(jù)元數(shù)據(jù)。
2.2 計(jì)算機(jī)證據(jù)元數(shù)據(jù)的表示層次
　　  根據(jù)計(jì)算機(jī)取證分析遞進(jìn)構(gòu)造證據(jù)鏈的特點(diǎn)以及計(jì)算機(jī)證據(jù)元數(shù)據(jù)的特點(diǎn)和表示原則，將描述層次劃分為數(shù)據(jù)表示層、證據(jù)表示層、事件表示層和案件表示層，并在這些層次上分別采用計(jì)算機(jī)證據(jù)元數(shù)據(jù)對(duì)描述對(duì)象進(jìn)行描述，它們的相互關(guān)系如圖1所示。

　　數(shù)據(jù)表示層的任務(wù)是描述原始的取證數(shù)據(jù)。如，對(duì)于系統(tǒng)日志文件、防火墻日志文件、數(shù)據(jù)文件等具有嚴(yán)謹(jǐn)記錄格式的原始取證數(shù)據(jù)，可借鑒其本身的描述格式來(lái)構(gòu)建相應(yīng)的計(jì)算機(jī)證據(jù)元數(shù)據(jù)；對(duì)于網(wǎng)絡(luò)數(shù)據(jù)包，可參照TCP/IP協(xié)議樹和網(wǎng)絡(luò)數(shù)據(jù)特征屬性來(lái)構(gòu)建相應(yīng)的計(jì)算機(jī)證據(jù)元數(shù)據(jù)。
　　  證據(jù)表示層的任務(wù)是描述取證分析后的數(shù)據(jù)。經(jīng)取證分析方法得到的證據(jù)通常與取證數(shù)據(jù)具有相同的格式，因此在證據(jù)表示層可采用與數(shù)據(jù)表示層相同或相似的計(jì)算機(jī)證據(jù)元數(shù)據(jù)描述。
　  　事件表示層的任務(wù)是描述計(jì)算機(jī)異常事件的所有證據(jù)，即在事件表示層，對(duì)計(jì)算機(jī)異常事件的所有證據(jù)進(jìn)行統(tǒng)一的規(guī)范化描述和表示，是對(duì)證據(jù)的進(jìn)一步分析、關(guān)聯(lián)和融合的過(guò)程，是形成計(jì)算機(jī)證據(jù)鏈的核心和關(guān)鍵步驟。
　　  案件表示層的任務(wù)是描述計(jì)算機(jī)案件(一系列計(jì)算機(jī)異常事件)的所有證據(jù)，是提交證據(jù)、形成調(diào)查報(bào)告的基礎(chǔ)。
2.3 事件表示層的描述
　　 通常，一個(gè)事件由事件主體、事件目標(biāo)、事件時(shí)間、事件地點(diǎn)以及事件操作來(lái)描述。異常事件元數(shù)據(jù)根據(jù)計(jì)算機(jī)證據(jù)元數(shù)據(jù)表示原則，并參考通用入侵檢測(cè)對(duì)象GIDO(Generalized Intrusion Detection Objects)中的事件描述類[5]、事件對(duì)象描述、交換格式IODEF(Incident Object Description and Exchange Format)中的若干事件類[6]來(lái)設(shè)計(jì)，該描述如表1所示。

　　表中省略了部分同類的、繁冗的數(shù)據(jù)項(xiàng)子項(xiàng)和子元素，將描述事件地點(diǎn)的數(shù)據(jù)項(xiàng)分布到各個(gè)相應(yīng)的數(shù)據(jù)項(xiàng)子項(xiàng)或子元素中，并用位置節(jié)點(diǎn)標(biāo)示，增加了復(fù)合事件描述，復(fù)合事件是單一事件的集合運(yùn)算(并、與、異或等運(yùn)算)，它復(fù)用了單個(gè)事件的一般性描述，保持了元數(shù)據(jù)描述結(jié)構(gòu)上的完整性。
　　元數(shù)據(jù)是一種基本信息組織方法，是信息的標(biāo)準(zhǔn)化表示，它能夠?yàn)樾畔⑾到y(tǒng)各個(gè)層次的內(nèi)容提供規(guī)范的定義、描述、交換和解析，能夠?yàn)榉植嫉摹?fù)雜的信息系統(tǒng)提供互操作和整合平臺(tái)，可以為計(jì)算機(jī)智能識(shí)別、處理、集成各種信息提供工具。
　　采用計(jì)算機(jī)證據(jù)元數(shù)據(jù)對(duì)計(jì)算機(jī)證據(jù)進(jìn)行統(tǒng)一描述有利于計(jì)算機(jī)證據(jù)的組織、分析、融合和提交，有利于計(jì)算機(jī)證據(jù)鏈的形成。
參考文獻(xiàn)
[1] 殷聯(lián)甫.計(jì)算機(jī)取證技術(shù)[M].北京：科學(xué)出版社，2008.
[2] 寧勇.電子證據(jù)的基本問(wèn)題與取證初探[D].北京：清華大學(xué)，2004.
[3] 許永濤.基于E-R-P建模體系的政務(wù)信息資源元數(shù)據(jù)模型與應(yīng)用研究[D].大連：大連理工大學(xué)，2008.
[4] HILLMANN D.Usingg Dublin Core[EB/OL]. (2001-04-12)[2008-12-20].http：//www.dublincore.org/documents.
[5] A common intrusion specification language[EB/OL]. (1999-6-11)[2008-8-12]. http：//gost.isi.edu/cidf/drafts/ language.txt.
[6] RFC5070： The incident object description exchange format[EB/OL].(2007-12-1)[2009-3-11].http：//www.rfc-editor.org/rfc/ rfc5070.txt.