摘  要： 針對計算機證據(jù)格式繁雜不利于形成證據(jù)鏈的問題，提出了計算機證據(jù)元數(shù)據(jù)表示方法。該方法將計算機證據(jù)的描述層次劃分為數(shù)據(jù)表示層、證據(jù)表示層、事件表示層和案件表示層，并在這些層次上分別采用證據(jù)元數(shù)據(jù)來描述計算機證據(jù)。通過對計算機異常事件證據(jù)元數(shù)據(jù)的設計，實現(xiàn)對計算機證據(jù)的內在屬性和關系進行統(tǒng)一的表達，能夠方便地組織、分析、融合和提交計算機證據(jù)。
關鍵詞： 計算機安全；電子犯罪對策；計算機取證；證據(jù)；元數(shù)據(jù)

　　目前，計算機犯罪活動日趨猖獗，因此有效地組織計算機犯罪證據(jù)信息，形成計算機證據(jù)鏈是一項非常重要的工作。計算機證據(jù)來源眾多，格式繁雜[1-2]。一次入侵事件的證據(jù)可能留存于網(wǎng)絡、網(wǎng)絡設備以及計算機系統(tǒng)中，這些記錄了入侵者的入侵手段、入侵時間和入侵結果的證據(jù)相互間存在著緊密的聯(lián)系，為了能夠對這些格式不盡相同卻具有相關性的證據(jù)進行有效地組織、分析、融合和提交，迫切需要對它們進行統(tǒng)一的表示。元數(shù)據(jù)(Metadata)是描述數(shù)據(jù)的數(shù)據(jù)[3]，是對信息對象編碼式的結構化描述，它主要用來描述數(shù)據(jù)的內容、質量、所有者、提供方式、覆蓋范圍以及管理方式等，是數(shù)據(jù)與數(shù)據(jù)用戶之間的橋梁。
　　本文擬用元數(shù)據(jù)對計算機證據(jù)進行描述，以便計算機證據(jù)元數(shù)據(jù)能夠統(tǒng)一地表達計算機證據(jù)的內在屬性及其相互間的關系，為形成計算機證據(jù)鏈奠定良好的基礎。
1 計算機證據(jù)元數(shù)據(jù)
1.1 計算機證據(jù)
　　計算機證據(jù)也稱電子證據(jù)，是指在計算機系統(tǒng)和網(wǎng)絡設備運行過程中產生的能夠表征某種事件事實的數(shù)據(jù)集合。
　　計算機證據(jù)源分為計算機系統(tǒng)證據(jù)源和計算機網(wǎng)絡證據(jù)源。計算機系統(tǒng)證據(jù)源包括：系統(tǒng)日志文件、數(shù)據(jù)文件、內存映像文件、臨時文件、空閑磁盤空間等；計算機網(wǎng)絡證據(jù)源包括：網(wǎng)絡數(shù)據(jù)包、殺毒軟件日志文件、防火墻日志文件、入侵檢測系統(tǒng)日志文件、各種服務器日志文件等。
1.2 計算機證據(jù)元數(shù)據(jù)
　　  目前，元數(shù)據(jù)還沒有統(tǒng)一的定義，一些學者將元數(shù)據(jù)簡單定義為：關于數(shù)據(jù)的數(shù)據(jù)[4]，而該定義無法清晰地反映元數(shù)據(jù)的內涵。于是，不同領域的學者從不同角度對該定義進行了擴展和深化[3]。當前，在計算機取證領域中，對計算機證據(jù)元數(shù)據(jù)的定義還未見報道。
　　  通過分析和總結元數(shù)據(jù)在其他領域中的定義，本文將計算機證據(jù)元數(shù)據(jù)定義為：一種構建在計算機證據(jù)基礎上具有統(tǒng)一格式的結構化數(shù)據(jù)，它是計算機證據(jù)的結構化描述。其目的是描述計算機證據(jù)的基本特征、基本屬性和相互關系，以便那些格式不同的相關證據(jù)能夠進行有效地組織、分析、融合和提交。
1.3 計算機證據(jù)元數(shù)據(jù)特點
　  　作為對計算機證據(jù)結構化描述的一種方式，計算機證據(jù)元數(shù)據(jù)的基本特點為：
　　  (1)描述性：計算機證據(jù)元數(shù)據(jù)按照規(guī)則描述對象，并以此組織和管理證據(jù)資源。
　　  (2)動態(tài)性：計算機證據(jù)元數(shù)據(jù)會隨著描述對象的變化而變化。
　　  (3)多樣性：從不同角度對描述對象的特征進行劃分并產生多種計算機證據(jù)元數(shù)據(jù)表示形式。
  　　(4)復雜性：計算機證據(jù)元數(shù)據(jù)可以嵌套，既是元數(shù)據(jù)的集合，也是可選擇性的元數(shù)據(jù)。
　　  (5)多層性：計算機證據(jù)元數(shù)據(jù)的描述對象可以是多層次的。
　　  (6)支撐性：計算機證據(jù)元數(shù)據(jù)能夠有效地維護描述對象的原始性和完整性，能夠與描述對象共存。
2 計算機證據(jù)元數(shù)據(jù)表示
2.1 計算機證據(jù)元數(shù)據(jù)表示原則
　　  本文依據(jù)以下原則對計算機證據(jù)元數(shù)據(jù)進行描述。
　  　(1)模塊化：根據(jù)內容將計算機證據(jù)劃分為不同模塊，各個模塊分別采用不同類型的計算機證據(jù)元數(shù)據(jù)表示，以滿足不同的應用需求。
　  　(2)一致性：計算機證據(jù)元數(shù)據(jù)的描述應盡量與元數(shù)據(jù)的國際標準、國家標準或行業(yè)標準保持一致。
　　  (3)可擴展：通過復用、嵌接、延伸、細化、修改等方式，構建新的計算機證據(jù)元數(shù)據(jù)；預留計算機證據(jù)元數(shù)據(jù)的元素空間以適應未來的需求。
　　  (4)穩(wěn)定性：將基本的、共同的和必需的內容歸納為1個核心元素集，核心元素集具有相對的穩(wěn)定性，能夠滿足基本的應用需求。
  　　(5)互操作：計算機證據(jù)元數(shù)據(jù)應支持異構系統(tǒng)間的互操作，它可在不同系統(tǒng)間實現(xiàn)傳輸、交換或轉換。
　　  (6)遞歸性：計算機證據(jù)元數(shù)據(jù)能被逐層地描述、定義、確認和驗證。在每個層次上，計算機證據(jù)元數(shù)據(jù)均具有獨立元素。
  　　(7)開放性：一旦出現(xiàn)新的計算機證據(jù)源，即可設計出相應的計算機證據(jù)元數(shù)據(jù)。
2.2 計算機證據(jù)元數(shù)據(jù)的表示層次
　　  根據(jù)計算機取證分析遞進構造證據(jù)鏈的特點以及計算機證據(jù)元數(shù)據(jù)的特點和表示原則，將描述層次劃分為數(shù)據(jù)表示層、證據(jù)表示層、事件表示層和案件表示層，并在這些層次上分別采用計算機證據(jù)元數(shù)據(jù)對描述對象進行描述，它們的相互關系如圖1所示。

　　數(shù)據(jù)表示層的任務是描述原始的取證數(shù)據(jù)。如，對于系統(tǒng)日志文件、防火墻日志文件、數(shù)據(jù)文件等具有嚴謹記錄格式的原始取證數(shù)據(jù)，可借鑒其本身的描述格式來構建相應的計算機證據(jù)元數(shù)據(jù)；對于網(wǎng)絡數(shù)據(jù)包，可參照TCP/IP協(xié)議樹和網(wǎng)絡數(shù)據(jù)特征屬性來構建相應的計算機證據(jù)元數(shù)據(jù)。
　　  證據(jù)表示層的任務是描述取證分析后的數(shù)據(jù)。經(jīng)取證分析方法得到的證據(jù)通常與取證數(shù)據(jù)具有相同的格式，因此在證據(jù)表示層可采用與數(shù)據(jù)表示層相同或相似的計算機證據(jù)元數(shù)據(jù)描述。
　  　事件表示層的任務是描述計算機異常事件的所有證據(jù)，即在事件表示層，對計算機異常事件的所有證據(jù)進行統(tǒng)一的規(guī)范化描述和表示，是對證據(jù)的進一步分析、關聯(lián)和融合的過程，是形成計算機證據(jù)鏈的核心和關鍵步驟。
　　  案件表示層的任務是描述計算機案件(一系列計算機異常事件)的所有證據(jù)，是提交證據(jù)、形成調查報告的基礎。
2.3 事件表示層的描述
　　 通常，一個事件由事件主體、事件目標、事件時間、事件地點以及事件操作來描述。異常事件元數(shù)據(jù)根據(jù)計算機證據(jù)元數(shù)據(jù)表示原則，并參考通用入侵檢測對象GIDO(Generalized Intrusion Detection Objects)中的事件描述類[5]、事件對象描述、交換格式IODEF(Incident Object Description and Exchange Format)中的若干事件類[6]來設計，該描述如表1所示。

　　表中省略了部分同類的、繁冗的數(shù)據(jù)項子項和子元素，將描述事件地點的數(shù)據(jù)項分布到各個相應的數(shù)據(jù)項子項或子元素中，并用位置節(jié)點標示，增加了復合事件描述，復合事件是單一事件的集合運算(并、與、異或等運算)，它復用了單個事件的一般性描述，保持了元數(shù)據(jù)描述結構上的完整性。
　　元數(shù)據(jù)是一種基本信息組織方法，是信息的標準化表示，它能夠為信息系統(tǒng)各個層次的內容提供規(guī)范的定義、描述、交換和解析，能夠為分布的、復雜的信息系統(tǒng)提供互操作和整合平臺，可以為計算機智能識別、處理、集成各種信息提供工具。
　　采用計算機證據(jù)元數(shù)據(jù)對計算機證據(jù)進行統(tǒng)一描述有利于計算機證據(jù)的組織、分析、融合和提交，有利于計算機證據(jù)鏈的形成。
參考文獻
[1] 殷聯(lián)甫.計算機取證技術[M].北京：科學出版社，2008.
[2] 寧勇.電子證據(jù)的基本問題與取證初探[D].北京：清華大學，2004.
[3] 許永濤.基于E-R-P建模體系的政務信息資源元數(shù)據(jù)模型與應用研究[D].大連：大連理工大學，2008.
[4] HILLMANN D.Usingg Dublin Core[EB/OL]. (2001-04-12)[2008-12-20].http：//www.dublincore.org/documents.
[5] A common intrusion specification language[EB/OL]. (1999-6-11)[2008-8-12]. http：//gost.isi.edu/cidf/drafts/ language.txt.
[6] RFC5070： The incident object description exchange format[EB/OL].(2007-12-1)[2009-3-11].http：//www.rfc-editor.org/rfc/ rfc5070.txt.