Стохастическая криминалистика — это метод криминалистической реконструкции цифровой деятельности без артефактов путем анализа возникающих свойств , возникающих в результате стохастической природы современных компьютеров. [1] [2] [3] В отличие от традиционной компьютерной криминалистики , которая опирается на цифровые артефакты , стохастическая криминалистика не требует артефактов и, следовательно, может воссоздать деятельность, которая в противном случае была бы невидимой. [3] Его основное применение — расследование хищений инсайдерских данных . [1] [2] [4]
Стохастическая криминалистика была изобретена в 2010 году учёным-компьютерщиком Джонатаном Гриером для обнаружения и расследования кражи инсайдерских данных . [2] Кража инсайдерских данных, как известно, трудно расследовать традиционными методами, поскольку она не создает никаких артефактов (таких как изменения атрибутов файлов или реестра Windows ). [3] [5] Следовательно, промышленность потребовала нового метода расследования. [6]
С момента своего изобретения стохастическая криминалистика использовалась в реальных расследованиях кражи инсайдерских данных, [6] была предметом академических исследований, [1] [7] и удовлетворяла отраслевой спрос на инструменты и обучение. [2] [8] [9]
Стохастическая криминалистика основана на методе статистической механики, используемом в физике . [2] [6] Классическая ньютоновская механика вычисляет точное положение и импульс каждой частицы в системе. Это хорошо работает для систем, таких как Солнечная система , которые состоят из небольшого количества объектов. Однако его нельзя использовать для изучения таких вещей, как газ , который имеет невероятно большое количество молекул . Статистическая механика, однако, не пытается отслеживать свойства отдельных частиц, а только те свойства, которые возникают статистически. Следовательно, он может анализировать сложные системы без необходимости знать точное положение их отдельных частиц.
Мы не можем предсказать, как будет двигаться и трястись отдельная молекула; но, приняв эту случайность и описав ее математически, мы можем использовать законы статистики, чтобы точно предсказать общее поведение газа. Физика претерпела такой сдвиг парадигмы в конце 1800-х годов... Может ли цифровая криминалистика также нуждаться в таком сдвиге парадигмы?
— Джонатан Гриер, «Расследование кражи данных с помощью стохастической криминалистики», журнал Digital Forensics , май 2012 г.
Точно так же современные компьютерные системы, которые могут иметь более состояний, слишком сложны, чтобы их можно было полностью проанализировать. Таким образом, стохастическая криминалистика рассматривает компьютеры как случайный процесс , который хотя и непредсказуем, но имеет четко определенные вероятностные свойства. Статистически анализируя эти свойства , стохастическая механика может реконструировать имевшую место деятельность, даже если она не создала никаких артефактов. [2] [3] [6]
Основным применением стохастической криминалистики является обнаружение и расследование хищений инсайдерских данных . Кража инсайдерских данных часто совершается лицом, имеющим технические полномочия на доступ к данным и регулярно использующим их в рамках своей работы. Он не создает артефакты и не изменяет атрибуты файлов или реестр Windows . [5] Следовательно, в отличие от внешних компьютерных атак , которые по своей природе оставляют следы атаки, хищение инсайдерских данных практически незаметно. [3]
Однако такое крупномасштабное копирование влияет на статистическое распределение метаданных файловых систем . Анализируя это распределение, стохастическая криминалистика способна выявить и изучить такую кражу данных. Типичные файловые системы имеют тяжелое распределение доступа к файлам. Массовое копирование нарушает эту закономерность и, следовательно, его можно обнаружить. [1] [2]
Опираясь на это, стохастическая механика использовалась для успешного расследования кражи инсайдерских данных там, где другие методы не дали результата. [1] [2] [3] [6] Как правило, после того, как стохастическая криминалистическая экспертиза выявила кражу данных, требуются последующие действия с использованием традиционных криминалистических методов. [6]
Стохастическая судебная экспертиза подвергалась критике за то, что она предоставляет только доказательства и признаки кражи данных, а не конкретные доказательства. Действительно, от практика требуется «думать как Шерлок, а не как Аристотель». Определенная санкционированная деятельность, помимо кражи данных, может вызвать аналогичные нарушения в статистических распределениях. [1] [6]
Более того, многие операционные системы по умолчанию не отслеживают временные метки доступа , что делает стохастическую экспертизу неприменимой напрямую. В настоящее время проводятся исследования по применению стохастической криминалистики к этим операционным системам, а также к базам данных . [2]
Кроме того, в своем нынешнем состоянии стохастическая судебная экспертиза требует, чтобы ее применял и оценивал обученный судебный аналитик. Компания Guidance Software и другие призывали к разработке инструментов для автоматизации стохастической криминалистики . [2]
