摘  要： 針對計算機證據格式繁雜不利于形成證據鏈的問題，提出了計算機證據元數據表示方法。該方法將計算機證據的描述層次劃分為數據表示層、證據表示層、事件表示層和案件表示層，并在這些層次上分別采用證據元數據來描述計算機證據。通過對計算機異常事件證據元數據的設計，實現對計算機證據的內在屬性和關系進行統一的表達，能夠方便地組織、分析、融合和提交計算機證據。
關鍵詞： 計算機安全；電子犯罪對策；計算機取證；證據；元數據

　　目前，計算機犯罪活動日趨猖獗，因此有效地組織計算機犯罪證據信息，形成計算機證據鏈是一項非常重要的工作。計算機證據來源眾多，格式繁雜[1-2]。一次入侵事件的證據可能留存于網絡、網絡設備以及計算機系統中，這些記錄了入侵者的入侵手段、入侵時間和入侵結果的證據相互間存在著緊密的聯系，為了能夠對這些格式不盡相同卻具有相關性的證據進行有效地組織、分析、融合和提交，迫切需要對它們進行統一的表示。元數據(Metadata)是描述數據的數據[3]，是對信息對象編碼式的結構化描述，它主要用來描述數據的內容、質量、所有者、提供方式、覆蓋范圍以及管理方式等，是數據與數據用戶之間的橋梁。
　　本文擬用元數據對計算機證據進行描述，以便計算機證據元數據能夠統一地表達計算機證據的內在屬性及其相互間的關系，為形成計算機證據鏈奠定良好的基礎。
1 計算機證據元數據
1.1 計算機證據
　　計算機證據也稱電子證據，是指在計算機系統和網絡設備運行過程中產生的能夠表征某種事件事實的數據集合。
　　計算機證據源分為計算機系統證據源和計算機網絡證據源。計算機系統證據源包括：系統日志文件、數據文件、內存映像文件、臨時文件、空閑磁盤空間等；計算機網絡證據源包括：網絡數據包、殺毒軟件日志文件、防火墻日志文件、入侵檢測系統日志文件、各種服務器日志文件等。
1.2 計算機證據元數據
　　  目前，元數據還沒有統一的定義，一些學者將元數據簡單定義為：關于數據的數據[4]，而該定義無法清晰地反映元數據的內涵。于是，不同領域的學者從不同角度對該定義進行了擴展和深化[3]。當前，在計算機取證領域中，對計算機證據元數據的定義還未見報道。
　　  通過分析和總結元數據在其他領域中的定義，本文將計算機證據元數據定義為：一種構建在計算機證據基礎上具有統一格式的結構化數據，它是計算機證據的結構化描述。其目的是描述計算機證據的基本特征、基本屬性和相互關系，以便那些格式不同的相關證據能夠進行有效地組織、分析、融合和提交。
1.3 計算機證據元數據特點
　  　作為對計算機證據結構化描述的一種方式，計算機證據元數據的基本特點為：
　　  (1)描述性：計算機證據元數據按照規則描述對象，并以此組織和管理證據資源。
　　  (2)動態性：計算機證據元數據會隨著描述對象的變化而變化。
　　  (3)多樣性：從不同角度對描述對象的特征進行劃分并產生多種計算機證據元數據表示形式。
  　　(4)復雜性：計算機證據元數據可以嵌套，既是元數據的集合，也是可選擇性的元數據。
　　  (5)多層性：計算機證據元數據的描述對象可以是多層次的。
　　  (6)支撐性：計算機證據元數據能夠有效地維護描述對象的原始性和完整性，能夠與描述對象共存。
2 計算機證據元數據表示
2.1 計算機證據元數據表示原則
　　  本文依據以下原則對計算機證據元數據進行描述。
　  　(1)模塊化：根據內容將計算機證據劃分為不同模塊，各個模塊分別采用不同類型的計算機證據元數據表示，以滿足不同的應用需求。
　  　(2)一致性：計算機證據元數據的描述應盡量與元數據的國際標準、國家標準或行業標準保持一致。
　　  (3)可擴展：通過復用、嵌接、延伸、細化、修改等方式，構建新的計算機證據元數據；預留計算機證據元數據的元素空間以適應未來的需求。
　　  (4)穩定性：將基本的、共同的和必需的內容歸納為1個核心元素集，核心元素集具有相對的穩定性，能夠滿足基本的應用需求。
  　　(5)互操作：計算機證據元數據應支持異構系統間的互操作，它可在不同系統間實現傳輸、交換或轉換。
　　  (6)遞歸性：計算機證據元數據能被逐層地描述、定義、確認和驗證。在每個層次上，計算機證據元數據均具有獨立元素。
  　　(7)開放性：一旦出現新的計算機證據源，即可設計出相應的計算機證據元數據。
2.2 計算機證據元數據的表示層次
　　  根據計算機取證分析遞進構造證據鏈的特點以及計算機證據元數據的特點和表示原則，將描述層次劃分為數據表示層、證據表示層、事件表示層和案件表示層，并在這些層次上分別采用計算機證據元數據對描述對象進行描述，它們的相互關系如圖1所示。

　　數據表示層的任務是描述原始的取證數據。如，對于系統日志文件、防火墻日志文件、數據文件等具有嚴謹記錄格式的原始取證數據，可借鑒其本身的描述格式來構建相應的計算機證據元數據；對于網絡數據包，可參照TCP/IP協議樹和網絡數據特征屬性來構建相應的計算機證據元數據。
　　  證據表示層的任務是描述取證分析后的數據。經取證分析方法得到的證據通常與取證數據具有相同的格式，因此在證據表示層可采用與數據表示層相同或相似的計算機證據元數據描述。
　  　事件表示層的任務是描述計算機異常事件的所有證據，即在事件表示層，對計算機異常事件的所有證據進行統一的規范化描述和表示，是對證據的進一步分析、關聯和融合的過程，是形成計算機證據鏈的核心和關鍵步驟。
　　  案件表示層的任務是描述計算機案件(一系列計算機異常事件)的所有證據，是提交證據、形成調查報告的基礎。
2.3 事件表示層的描述
　　 通常，一個事件由事件主體、事件目標、事件時間、事件地點以及事件操作來描述。異常事件元數據根據計算機證據元數據表示原則，并參考通用入侵檢測對象GIDO(Generalized Intrusion Detection Objects)中的事件描述類[5]、事件對象描述、交換格式IODEF(Incident Object Description and Exchange Format)中的若干事件類[6]來設計，該描述如表1所示。

　　表中省略了部分同類的、繁冗的數據項子項和子元素，將描述事件地點的數據項分布到各個相應的數據項子項或子元素中，并用位置節點標示，增加了復合事件描述，復合事件是單一事件的集合運算(并、與、異或等運算)，它復用了單個事件的一般性描述，保持了元數據描述結構上的完整性。
　　元數據是一種基本信息組織方法，是信息的標準化表示，它能夠為信息系統各個層次的內容提供規范的定義、描述、交換和解析，能夠為分布的、復雜的信息系統提供互操作和整合平臺，可以為計算機智能識別、處理、集成各種信息提供工具。
　　采用計算機證據元數據對計算機證據進行統一描述有利于計算機證據的組織、分析、融合和提交，有利于計算機證據鏈的形成。
參考文獻
[1] 殷聯甫.計算機取證技術[M].北京：科學出版社，2008.
[2] 寧勇.電子證據的基本問題與取證初探[D].北京：清華大學，2004.
[3] 許永濤.基于E-R-P建模體系的政務信息資源元數據模型與應用研究[D].大連：大連理工大學，2008.
[4] HILLMANN D.Usingg Dublin Core[EB/OL]. (2001-04-12)[2008-12-20].http：//www.dublincore.org/documents.
[5] A common intrusion specification language[EB/OL]. (1999-6-11)[2008-8-12]. http：//gost.isi.edu/cidf/drafts/ language.txt.
[6] RFC5070： The incident object description exchange format[EB/OL].(2007-12-1)[2009-3-11].http：//www.rfc-editor.org/rfc/ rfc5070.txt.