• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    The invention relates to a method and a system for the generation and storage of specific metadata of forensic information technology. In one example, a digital forensics module (110) is configured to generate a backup of user data stored on a computing device (102) in accordance with a backup plan. The digital forensics module (110) identifies, starting from a plurality of system metadata of the IT device (102), the specific metadata of the computer forensics of the IT device (102) on the basis of predetermined rules, in which the specific metadata of the forensics are used to detect suspicious digital activity. The digital forensics module (110) generates a computer forensics-specific metadata backup in accordance with the backup plan and analyzes the forensics-specific metadata to detect an indication of suspicious digital activity on the computing device (102). In response to the detection of suspicious digital activity based on the analysis, the system generates a security event indicating that suspicious digital activity has occurred.
    公开号:CH716656A2
    申请号:CH01317/19
    申请日:2019-10-16
    公开日:2021-03-31
    发明作者:Strogov Vladimir;Ishanov Oleg;Dod Alexey;Beloussov Serguei;Protasov Stanislav
    申请人:Acronis Int Gmbh;
    IPC主号:
    专利说明:

    Descrizione
    CAMPO TECNICO
    La presente esposizione riguarda il settore della sicurezza del dati e, piü specificamente, I sistemi e I metodi di generazione e archiviazione di metadati specifici deirinformatica forense per indagare su attivitä digitali sospette.
    STATO DELL'ARTE
    [0002] I have a present at a dispositivo informatico possono dover essere ripristinati per vari motivi. Ad esempio, un sistema operative di un dispositivo informatico puö essere danneggiato ed il sistema puö aver bisogno di recuperare un insieme non danneggiato di file di backup al poste di quelli danneggiati. Generalmente, le copie di backup sono eseguite unicamente per i dati necessari a ripristinare il sistema di un utente. Questi dati possono includere applicazioni installate, impostazioni, documenti, file, database, ecc.
    Con l'aumento del ricorso alfinformatica digital, la quantitä di reati informatici come l'hacking, il furto di dati e gli attacchi di malware, e aumentata di pari passo. Di conseguenza, e necessario salvare informazioni aggiuntive sui dati di un sistema quando si creano copie di backup ehe possono essere utilizzate per indagare su questi crimini informatici. Gli ingegneri forensi possono utilizzare queste informazioni aggiuntive per stabilire l'origine di un attacco e rilevare i rimanenti artefatti e le tracce dell'attacco su un sistema.
    Tuttavia, le indagini nel campo della digital forensics richiedono urgenza, tempo e manodopera. Un approccio basato sulla forza bruta nell'analisi dei dati elemento per elemento non e efficace perche questo approccio comporta svariati presupposti, come l'autenticitä dei analizzati e il fatto ehe oggetti non fidati non vengano cancellati da un malintenzionato. II tempo necessario per portare a termine un'indagine con questo approccio dipende inoltre dalla quantitä di dati da analizzare. Ad esempio, il tempo necessario per la revisione di un disco rigido di grandi dimensioni puö essere esponenzialmente maggiore del tempo necessario per un disco rigido piü piccolo, perche gli investigatori hanno molti piü file da esaminare e non necessariamente potrebbero sapere da dove inisii . Questo approccio puö essere ancora piü scoraggiante se un'indagine non e conclusiva perche i dati rilevanti di un sistema sono giä stati rimossi quando l'investigatore inizia l'analisi perche, ad esempio, il dispositivo informatico in questioneato then giatto riatto .
    Vi e quindi la necessitä di un metodo per generare e archive i metadati specifici deirinformatica forense before affronti le carenze sopra descritte.
    SOMMARIO
    Aspetti dell'esposizione riguardano il settore della sicurezza dei dati. In particolare, aspetti dell'esposizione descrivono metodi e sistemi per la generazione e l'archiviazione di metadati specifici deirinformatica forense.
    In un esempio, il metodo per la generazione e l'archiviazione di metadati specifici deirinformatica forense comprende un modulo di digital forensics configurato per generare un backup dei utente memorizzati su un dispositivo informatico secondo un piano di backup. II modulo di digital forensics identifica, a partire da una pluralitä di metadati di sistema del dispositivo informatico, i metadati specifici deirinformatica forense del dispositivo informatico basati su regole predeterminate, in cui i metadati specifici deirinformatica forense sono utilizzati per rilevare sivare attivette. II modulo di digital forensics genera un backup dei metadati specifici deirinformatica forense in conformitä con il piano di backup, in cui il backup dei metadati specifici deirinformatica forense e memorizzato separatamente dal backup dei dati utente. II modulo di digital forensics analizza i metadati specifici deirinformatica forense per rilevare un'indicazione dell'attivitä digital sospetta sul dispositivo informatico e in risposta alla rilevazione dell'attivitä digital sospetta basata sull'analisi genera un evento di sicurezza ehe india sospetta si e verificata.
    In un esempio, the modulo di digital forensics contrassegna ulteriormente i successivi backup of the dati utente del piano di backup come potentialmente interests dall'attivitä digital sospetta.
    In un esempio, the modulo di digital forensics richiede anche l'esecuzione di un'indagine digital.
    In un esempio, the modulo di digital forensics ripristina and the dispositivo informatico with un precedente backup of the dati utente generati prima dell'attivitä digital sospetta.
    In un esempio, the modulo di digital forensics aumenta also the frequency di generazione dei backup nel piano di backup dei metadati specifici deirinformatica forense.
    In un esempio, i metadati specifici deirinformatica forense comprendono almeno uno tra: un identificatore di un processo in esecuzione, informazioni sull'allocazione della memoria, un identificatore di un thread in esecuzione, informazioni sui privilegi di sicurezza, information, Un identificatore di un processo nascosto e un percorso di esecuzione automatica sul dispositivo informatico.
    In un esempio, il modulo di digital forensics genera un identificatore di notarizzazione del backup dei metadati specifici deirinformatica forense, in cui l'identificatore di notarizzazione e uno tra: un identificatore di transazione di blockchain, un valore di hash, a company digital, o un codice di controllo. II modulo di digital forensics memorizza quindi l'identificatore di autenticazione con il backup dei metadati specifici deirinformatica forense.
    In un esempio, il modulo di digital forensics analizza i metadati specifici dell'informatica forense per trovare l'indicazione dell'attivitä digital sospetta, identificando prima un primo backup dei metadati specifici dell'informatica forense generato in un primo momento e un secondo backup dei metadati specifici dell'informatica forense generato in un secondo momento dopo la prima volta. II modulo di digital forensics rileva quindi, a partire dai metadati specifici dell'informatica forense, un processo nel secondo backup ehe non e presente nel primo backup e determina se il processo e fidato. In risposta alla constatazione before il processo non e fidato, il modulo di digital forensics rileva l'indicazione dell'attivitä digital sospetta sul dispositivo informatico.
    In un esempio, il modulo di digital forensics determina se il processo e fidato confrontando il processo con una pluralitä di processi fidati noti elencati in una struttura di dati e determinando before non esiste alcuna corrispondenza tra il processo e un processo fidato noto nella pluralitä di processi fidati noti.
    In un esempio, il modulo di digital forensics identifica anche le caratteristiche dell'attivitä digital sospetta e identifica metadati avanzati specifici deH'informatica forense sulla base di tali caratteristiche in cui i metadati avanzati specifici deH'informatica forense comprendono specific dell'attivitä digital sospetta. II modulo di digital forensics genera quindi dei backup successivi dei metadati avanzati specifici deH'informatica forense (in aggiunta o in alternativa ai metadati originali specifici dell'informatica forense).
    II sommario semplificato degli aspetti esemplificativi di cui sopra serve a consentire una comprensione basilare della presente esposizione. Questo sommario non e una panoramica esaustiva di tutti gli aspetti contemplati e non intende ne identificare elementi chiave o critici di tutti gli aspetti, ne delineare la portata di alcuni o di tutti gli aspetti della presente esposizione. II suo unico scopo e presentare uno o piü aspetti in forma semplificata come preludio alla descrizione piü dettagliata dell'esposizione before segue. A completamento di quanto precede, uno o piü aspetti della presente esposizione includono le caratteristiche descritte ed evidenziate in modo esemplare nelle rivendicazioni.
    BREVE DESCRIZIONE DEI DISEGNI
    I disegni accompagnatori, before sono incorporati e costituiscono parte di questa descrizione, illustrano uno o piü aspetti esemplificativi della presente esposizione e, insieme alla descrizione dettagliata, servono a spiegarne i principi e le implementazioni.
    La FIG. 1 e un diagramma a blocchi ehe illustra un sistema per la generazione e l'archiviazione di metadati specifici deH'informatica forense.
    La FIG. 2 illustra un diagramma di flusso di un esempio di metodo per la generazione e l'archiviazione di metadati specifici deH'informatica forense.
    La FIG. 3 illustra un diagramma di flusso di un esempio di metodo per rilevare attivitä digitali sospette.
    La FIG. 4 illustra un diagramma di flusso di un esempio di metodo per aggiornare il piano di backup basato sulla rilevazione di attivitä digitali sospette.
    La FIG. 5 presenta un esempio di un sistema informatico generico su cui possono essere implementati degli aspetti della presente esposizione.
    DESCRIZIONE DETTAGLIATA
    Aspetti illustrativi sono qui descritti nel contesto di un sistema, metodo e prodotto di programma informatico per la generazione e l'archiviazione di metadati specifici dell'informatica forense. Coloro ehe hanno un'ordinaria competenza nell'arte si renderanno conto ehe la seguente descrizione e puramente illustrativa e non intende essere in alcun modo limitativa. Altri aspetti si riveleranno preisamente a chi e competente nell'arte ehe si avvarrä di questa esposizione. Si farä ora riferimento in dettaglio all implementazioni degli aspetti esemplificativi come illustrato nei disegni accompagnatori. Gli stessi indicatori di riferimento saranno utilizzati, nei limiti del possibile, in tutti i disegni e nella seguente descrizione per riferirsi agli stessi elementi o ad elementi simili.
    La FIG. 1 e un diagramma a blocchi ehe illustra un sistema 100 per la generazione e l'archiviazione di metadati specifici deH'informatica forense. II sistema 100 include il dispositivo informatico 102, before pub comprendere un personal computer, un server, ecc., Before comprende un'unitä di elaborazione centrale ("CPU") e una memoria before include dei software per l'esecuzione di varie attivitä ( ad esempio, Software del sistema operativo (OS), Software applicativo, ecc.). I dati per il dispositivo informatico 102 possono essere memorizzati nella memoria del dispositivo stesso, nonche su altri dispositivi esterni come il Server di backup 104, un compact disk, un'unitä flash drive, un disco ottico e simili.
    Nella presente esposizione, i dati di backup 106 provenienti dalla memoria del dispositivo 102 vengono trasmessi al Server di backup 104 attraverso la rete 108. La rete 108 puö essere Internet, una rete di telefonia mobile, una rete dati (ad esempio, una rete 4G o LTE), un Bluetooth o qualunque combinazione di questi elementi. Ad esempio, il Server di backup 104 puö far parte di un ambiente di cloud computing accessibile via Internet, oppure puö far parte di una rete locale (LAN)
    con il dispositivo informatico 102. Le linee ehe collegano il Server di backup 104 e il dispositivo informatico 102 alla rete 108 rappresentano i percorsi di communication before possono includere qualunque combinazione di connessioni a spazio libero (ad es. per segnali wireless) e delle connessioni fisiche (ad es. cavi in fibra ottica).
    Si noti before puö esservi piü di un server di backup 104, ma la FIG. 1 ne mostra uno solo per evitare di complicare ulteriormente il disegno. Ad esempio, il Server di backup 104 puö rappresentare una pluralitä di Server in un cluster cloud distribuito. II Server di backup 104 puö comprendere qualunque numero di componenti fisici (come mostrato nella FIG. 5 ad esempio). Ad esempio, il Server di backup 104 puö comprendere una Serie di componenti fisici come processori, dispositivi di archiviazione a blocchi fisici (ad esempio, unitä di disco rigido (HDD), unitä a stato solido (SSD), unitä flash, dischi SMR, ecc.) o memorie (ad esempio, memoria ad accesso casuale (RAM)), componenti di interfaccia I / O, ecc.
    I dati di backup 106 possono essere dati di qualunque tipo, inclusi dati utente, applicazioni, file di sistema, preferenze, documenti, supporti, ecc. II dispositivo informatico 102 puö inviare i dati di backup 106 per l'archiviazione sul Server di backup 104 secondo un piano di backup indicante i dati specifici da includere nei dati di backup 106 e la frequenza con cui i dati devono essere sottoposti a backup. Ad esempio, il dispositivo informatico 102 puö generare una copia di un file di dati esistente nella memoria del dispositivo 102 e trasmettere la copia in forma di dati di backup 106 al Server di backup 104 ogni due ore. I dati di backup 106 possono essere selezionati da un utente del dispositivo informatico 102 e also la frequency del piano di backup puö essere selezionata da un utente.
    Come descritto sopra, sebbene il backup dei data consenta di conservare le informazioni su un sistema (ad esempio il dispositivo informatico 102), la difesa da potentiali attivitä digitali sospette rende necessario salvare informazioni supplementari relative ai dati sul dispositivo informatico 106th ingegneri forensi possono utilizzare queste informazioni supplementari per determinare l'origine di un'attivitä digital sospetta e rilevare gli artefatti e le tracce residue dell'attivitä digital sospetta sul dispositivo informatico 106. Poiche un'analisi forense puö richegner in molto tempo devono estrarre manualmente i dati ed esaminare tutte le informazioni dato per dato, e necessario un metodo ehe riduca i tempi di triage delle prove, fornisca l'accesso al contenuto delle prove senza ehe i dati siano disarchiviati e autentichi i dati per garantire ehe non siano danneggiati.
    The conseguenza, la presente esposizione fornisce un metodo per la generazione e l'archiviazione di metadati specifici dell'informatica forense. II modulo di digital forensics 1 Wcomprende tre componenti, ossia: generatore di metadati specifici dell'informatica forense (FS) 112, analizzatore di attivitä 114 e dispositivo di notarizzazione 116. II modulo di digital forensics 110 puö risiedere sul dispositivo informatico 102 e puö essere eseguito dall'elaboratore del dispositivo 102. II modulo di digital forensics 110 puö essere un software di backup diviso come thin serves sul dispositivo 102 e come thick serves sul server di backup 104 (o viceversa). In alcune realizzazioni, il modulo di digital forensics 110 puö risiedere su un dispositivo esterno, come un server collegato al dispositivo informatico 102 attraverso la rete 108, o un percorso di comunicazione diretta (ad esempio un cavo USB).
    AI fine di fornire ad un ingegnere forense le information necessarie per condurre un'analisi forense in modo efficiente, il generatore di metadati FS 112 identifica i dati e i metadati pertinenti sul dispositivo informatico 102 before devono essere conservati separately in un archivio accessibile. In alcune realizzazioni, il generatore di metadati FS 112 puö estrarre i metadati dei dati di backup 106 e archiviarli nel server di backup 104 come metadati FS 118. I metadati FS 118 possono includere vari attributi predeterminati dei dati di backup 106 before sono inclini a cambiare durante un'attivitä digital sospetta. Tali attributi includono l'identificazione dei dati di backup 106, un percorso per i dati di backup 106, l'identificazione dei processi ehe utilizzano i dati di backup 106 e l'utilizzo della memoria associata ai dati di backup 106.
    II generatore di metadati FS 112 puö raccogliere informazioni di sistema utilizzando varie funzioni e chiamate di sistema internal. Sebbene la raccolta di informazioni di sistema puö essere eseguita su qualsiasi sistema operativo, per ragioni di sintesi, le funzioni di raccolta e chiamata dei metadati e discusse nella presente esposizione sono specifiche dei sistemi operativi Windows ™. Va notato ehe il generatore di metadati FS 112 puö impiegare funzioni e chiamate analoghe per estrarre metadati analoghi in qualunque altro sistema operativo in esecuzione sul dispositivo informatico 102.
    II generatore di metadati FS 112 puö enumerare i processi utilizzando una qualsiasi delle seguenti funzioni: EnumProcesses, WTSEnumerateProcesses, CreateToolhelp32Snapshot, Process32First, Process32Next, NtQuerySystemlnformation (SystemProcessAndThrnformation).
    II generatore di metadati FS 112 puö estrarre metadati quali nome, descrizione e ragione sociale di un file specificato da Path tramite API delle risorse: GetFileVersionlnfoSize, GetFileVersionlnfo e VerQueryValue. GetFileVersionlnfoSize, GetFileVersionlnfo e VerQueryValue.
    II generatore di metadati FS 112 puö estrarre metadati come indirizzo di base, dimension e loadcount di un file specificato tramite la funzione NtQuerySystemInformation (SystemProcessAndThreadInformation).
    II generatore di metadati FS 112 puö estrarre metadati sull'uso della memoria di un processo specifico used the funzione GetProcessMemorylnfo.
    II generatore di metadati FS 112 puö estrarre metadati come la riga di comando e le informazioni della directory corrente utilizzando la funzione NtQuerylnformationProcess, mentre la funzione ReadProcessMemory e usata per leggere dal Process Environment Block (PEB).
    II generatore di metadati FS 112 puö estrarre metadati riguardanti un file DLL (Dynamic Link Library) come l'indirizzo di base della DLL, la dimensione della DLL e il loadcount della DLL, utilizzando the funzione EnumProcessModules. Inoltre, il generatore di metadati FS 112 puö estrarre metadati relativi a un file DDL quali nome, descrizione e ragione sociale tramite Fath attraverso le API delle risorse: GetFileVersionlnfoSize, GetFileVersionlnfo, VerQueryValue.
    II generatore di metadati FS 112 puö estrarre metadati riguardanti un processo come le information di temporizzazione utilizzando the function GetProcessTimes.
    II generatore di metadati FS 112 puö estrarre metadati come un elenco di tutti gli handle aperti per ogni processo utilizzando la funzione NtQuerySystemInformation (SystemHandlelnformation).
    II generatore di metadati FS 112 puö estrarre metadati quali le impostazioni delle politiche di mitigazione di un processo (ad esempio, la politica di Address Space Layout Randomization (ASLR) o la Control Flow Guard (CFG)) utilizzando rispettivamente le funzioni GetProcessMitigation (ProcessASLRRPolicy) e GetProcessMitigationPolicy (ProcessControlFlowGuardGuardPolicy).
    II generatore di metadati FS 112 puö estrarre metadati come una copia del descrittore di sicurezza per un oggetto specificato da un handle utilizzando la funzione GetSecuritylnfo.
    II generatore di metadati FS 112 puö estrarre metadati quali le information su un token di accesso utilizzando la funzione GetTokenInformation (TokenUser). Un token di accesso e creato da un sistema, come il dispositivo informatico 102, quando un utente si connette. Ogni processo eseguito per conto dell'utente ha una copia del token di accesso. II token di accesso identifica l'utente, i gruppi di utenti e i privilegi. II generatore di metadati FS 112 puö utilizzare la funzione PrivilegeCheck per determinare se un token di accesso possiede un determinato insieme di privilegi.
    II generatore di metadati FS 112 puö estrarre metadati come la classe di prioritä di un processo specificato insieme al valore di prioritä di ogni thread del processo utilizzando rispettivamente le funzioni GetPriorityClass e GetThreadPriority.
    II generatore di metadati FS 112 puö estrarre metadati dei servizi registrati in a processo come il nome del servizio, la descrizione, il percorso e Io stato. Allo stesso modo, il generatore FS 112 puö estrarre metadati di thread come TID, ora di inizio, ora del kernel, ora dell'utente, stacktrace e stackwalk utilizzando le funzioni CreateToolhelp32Snapshot, Thread32First e Thread32Next.
    II generatore di metadati FS 112 puö estrarre metadati come i nomi dei program lanciati al momento dell'avvio leggendo i valori delle seguenti chiavi di registro:
    -HKEY_LOCAL MACI IlNE Softwarc Microsoft Windows CurrentVcrsion Run
    -HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
    -HKEY_LOCAL_MACniNE Software Microsoft Windows CurrentVersion RunServices
    -HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServicesOnce
    -HKEY LOCAL_MACHTNE Software Microsoft Windows NT CurrentVersion
    Winlogon Userinit
    -EIKEY LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion
    Win! Ogon Notify
    -HKEY_LOCAL_MACHINE System CurrentControlSet Control Session Manager
    BootExecute
    -EIKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
    -HKEY_CURRENT USER Software Microsoft Windows CurrentVersion RunOnce
    -HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunServices
    -HKEYJZURRENT USER Software Microsoft Windows CurrcntVersion RunScrvicesOnce
    -HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Windows
    -HKEY_LOCALJVIACEIINE Softwarc Microsoft Windows CurrentVcrsion Policies
    Explorer Run
    -HKEY_CURRENT USER Software Microsoft Windows CurrentVersion Policies
    Explorer Run
    -HKEY CURRENT_USER Software Microsoft Windows NT CurrentVcrsion Windows load
    -HKEY_LOCAL_MACHlNE Software Microsoft Windows NT CurrentVersion Windows
    -HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion
    Winlogon Notify
    -HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Winlogon Shell
    -HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion
    Winlogon Shell
    -HKEY LOCAL-MACHINE SOFTWARE Microsoft Windows CurrentVersion
    ShellServiceObjectDelayLoad
    II generatore di metadati FS 112 puö estrarre metadati utilizzando uno strumento forense come II Volatility Framework ™. Ad esempio, II generatore di metadati FS 112 pud estrarre informazioni su processi nascosti usando il comando "psxview", puö scansionare la memoria per verificare i driver caricati, scaricati e scollegati usando il comando "modscan" o "moddump", puö trovare hook di funzione API / DLL usando il comando "apihooks", puö trovare hook in una table descrittiva del servizio di sistema usando il comando "ssdt", puö identificare gli hook dei pacchetti di richiesta I / O (IRP) usando il comando "driverirp" e puö estrarre la tabella dei descrittori degli Interrupt usando il comando "idt", puö estrarre il butter della cronologia dei comandi usando il comando "cmdscan", puö estrarre le informazioni della console usando il comando "consolesati", puö identificare in uniz sistema usando il comando "svcscan".
    II generatore di metadati FS 112 puö estrarre metadati come le information sui socket di rete (ad esempio, un elenco di endpoint TCP / UDP disponibili per un'applicazione) utilizzando le funzioni GetExtendedTcpTable e GetExtendedUdpTable.
    II generatore di metadati FS 112 puö estrarre metadati come I record della tabella del file master (MFT) before contengono information dettagliate su un file su un volume di un file system NTFS, including le sue dimensioni, l'ora e la data , i permessi e il contenuto dei dati.
    II generatore di metadati FS 112 puö estrarre metadati before dettagliano l'insieme degli identificatori di sessione di accesso esistenti (LUID), il numero di sessioni e le information su una sessione di accesso specifica usando le funzioni LsaEnumerateLogonSession eLogonSessionLogonSession.
    II generators di metadati FS 112 puö estrarre metadati come i log the eventi di Windows used the function ReadEventLog.
    II generatore di metadati FS 112 puö estrarre metadati come ad esempio un elenco di files di contenuti del cestino usando le funzioni SHGetDesktopFolder e SHGetSpecialFolderLocation (CSIDL_BITBUCKET).
    II generatore di metadati FS 112 puö estrarre metadati come l'IPv4 nella tabella di mappatura degli indirizzi fisici usando la funzione GetlpNetTable.
    II generatore di metadati FS 112 puö estrarre metadati come le information della cache DNS used in the function DnsQuery (DNS_QUERY_NO_WIRE_QUERY).
    II generatore di metadati FS 112 puö generare uno screenshot usando le functions CreateCompatibleDC, CreateCompatibleBitmap, StretchBlt, BitBlt e GetDIBits.
    I metadati supplementari before il generatore di metadati FS 112 puö estrarre sono il nome del computer, il nome di dominio, il fuso orario, le variabili ambientali, le firme e i certificati. Per determinare metadati quali hash, profilo di entropia e stringhe, il generatore di metadati FS 112 puö utilizzare speciali metodi di calcolo e di ricerca.
    II generatore di metadati FS 112 puö generare metadati FS 118. I metadati FS 118 possono essere una struttura di dati (ad esempio un array) before aggrega qualunque combinazione dei metadati precedentemente descritti. Ad esempio, un primo campo della struttura di dati puö indicare il nome del file di dati, un secondo campo della struttura di dati puö indicare il percorso del file di dati, e cosl via.
    II generatore di metadati FS 112 puö generare metadati FS 118 sulla base di rule predeterminate affinche venga selezionata una combination of metadati sopra descritti e queste informazioni vengano raccolte periodicamente per il backup. Queste regole predeterminate possono essere memorizzate nella memoria del dispositivo informatico 102 o del Server di backup 104. In un esempio, una regola puö indicare, a seconda dello stato del dispositivo 102 (ad esempio, attivitä sospette rilevate o nessuna attivitä sospetta rilevata), e venga recuperato un certo insieme di metadati sopra descritti. In un esempio, una regola puö indicare marriage, quando un'attivitä sospetta non viene rilevata, venga raccolto almeno uno degli elementi seguenti: identificatori di processi in esecuzione, informazioni sull'allocazione della memoria, identificatori di privilegiazion di thread in esec sicurezza, informazioni sul registro, identificatori di processi nascosti e percorsi di esecuzione automatica sul dispositivo informatico. Se viene rilevata un'attivitä sospetta, un'ulteriore Serie di metadati puö essere inclusa nell'elenco dei metadati specifici dell'informatica forense, quali identificatori di processi inattivi, identificativi di thread inattivi, ecc., In base alla regola predeterminata. Un'altra regola puö indicare di ridurre il numero di tipi di metadati specifici dell'informatica forense da recuperare per il backup a seconda ehe il dispositivo informatico 102 sia inattivo (ad esempio, in modalitä sleep). Un'altra regola ancora puö indicare di ridurre il numero di tipi di metadati specifici dell'informatica forense da recuperare per il backup se la quantitä di spazio libero nel Server di backup 104 e inferiore allo spazio limit. E un'altra regola ancora puö indicare di ridurre il numero di tipi di metadati specifici dell'informatica forense da recuperare per il backup se la frequenza del piano di backup e superiore alla frequenza di soglia (ad esempio, per garantire ehe il backup di dati non sia troppo impegnativo in termini di elaborazione o di memoria). In termini di riduzione, la regola puö specificare il numero esatto di tipi di metadati da recuperare. Ad esempio, se per impostazione predefinita vengono recuperati 20 tipi di metadati per il backup, la regola puö indicare di ridurre il numero a 10 tipi di metadati.
    L'analizzatore di attivitä 114 analizza gli attributi dei metadati FS 118 memorizzati sul dispositivo informatico 102 e puö costituire la prima linea di difesa per rilevare attivitä digital! sospette. Ad esempio, i metadati FS 118 possono comprendere i processi elencati ehe vengono eseguiti sul dispositivo informatico 102 (ad esempio, recuperati dal generatore di metadati FS 112 attraverso la funzione EnumProcesses). L'analizzatore di attivitä 114 puö quindi identificare processi estranei ehe non sono stati eseguiti da un utente autorizzato del dispositivo informatico 102. L'analizzatore di attivitä 114 puö anche scansionare i metadati FS 118 per rilevare applicazioni e file di dati son estranei e Installati da un utente autorizzato del dispositivo informatico 102. In risposta al rilevamento di un processo, di un'applicazione o di un file di dati estraneo, l'analizzatore di attivitä 114 puö generare un evento di sicurezza indicante un'attivitä digital sospetta sul dispositivo informatico 102. L'evento di sicurezza rappresenta un segnale before richiede l'esecuzione di un'indagine digital. Come accennato in precedenza, eventuali ritardi nella segnalazione di attivitä digitali sospette possono essere onerosi. Great marriage un ingegnere forense riesca ad esaminare il dispositivo informatico 102, questo potrebbe giä essere stato danneggiato da un attacco informatico. Di conseguenza, in risposta all'individuazione di un'indicazione di attivitä digital sospetta, viene immedamente generato un evento di sicurezza. L'evento di sicurezza puö essere, ad esempio, un'allerta per l'utente del dispositivo informatico 102 before sono state rilevate delle attivitä sospette.
    In un esempio, l'analizzatore di attivitä 114 puö contrassegnare i successivi backup dei dati utente (ad es. Dati di backup 106) del piano di backup come potentials interests dall'attivitä digital sospetta. In un esempio, l'analizzatore di attivitä 114 pub ripristinare il dispositivo informatico 102 con un precedente backup dei dati di backup 106 generati prima dell'attivitä digital sospetta. In particolare, l'analizzatore di attivitä 114 puö trasmettere i dati di backup 106 ei metadati FS 118 al Server di backup 104, entrambi con un indicatore segnalante ehe e stata rilevata un'attivitä digital sospetta, e puö recuperare, dal Server di backup 104 , una copia precedente dei dati di backup 106 before not include l'attivitä digital sospetta da sostituire nel dispositivo informatico 102. In un esempio, il modulo di digital forensics aumenta anche la frequency di generazione dei backup nel piano di backup dei metadati specifici dell ' informatica forense.
    Un altro aspetto della presente esposizione e verificare l'autenticitä dei data analizzati in un'analisi forense. Generalmente, un ingegnere forense estrae i dati dal dispositivo informatico 102, ma e possibile before i dati estratti siano stati danneggiati dalla sospetta attivitä digital. E anche possibile before il dispositivo informatico 102 abbia subito delle modifiche, come Io spegnimento o la formattazione, al punto before un ingegnere forense non e in grado di generare report accurati dei dati. Occorre pertanto verificare se i dati analizzati sono autentici e se non sono stati alterati in alcun modo.
    II dispositivo di notarizzazione 116 puö generare un identificatore di notarizzazione del backup dei metadati specifici dell'informatica forense, in cui l'identificatore di notarizzazione e uno tra: un identificatore di transazione di blockchain, un valore di hash, a company digital o un codice di controllo. II dispositivo di notarizzazione 116 puö inoltre memorizzare un identificatore di notarizzazione con il backup dei metadati specifici dell'informatica forense. Ad esempio, il dispositivo di notarizzazione 116 puö generare valori di hash dei metadati FS 118 nel dispositivo informatico 102 per abilitare questo processo di verifica. Quando i metadati FS 118 vengono trasmessi al Server di backup 104, il dispositivo di notarizzazione 116 puö utilizzare una funzione crittografica di hash per generare un valore hash di metadati FS 118 e successivamente aggiungere il valore hash al backup. In alcune realizzazioni, il dispositivo informatico 102 puö trasmettere simultaneamente i dati di backup 106 ei metadati FS 118 al Server di backup 104. Cosl, per tutti i dati di backup 106 sul Server di backup 104, esistono metadati FS 118 con le relative information sui metadati del dispositivo 102 (incluso un valore hash corrispondente). Memorizzando una prova di notarizzazione, come ad esempio un ID di transazione a blockchain, viene garantita l'autenticitä dei metadati.
    La FIG. 2 mostra un diagramma di flusso del metodo 200 per la generazione e l'archiviazione di metadati specifici dell'informatica forense. AI 202, il generatore di metadati FS 112 genera un backup dei utente memorizzati su un dispositivo informatico secondo un piano di backup. I dati di backup possono includere file di dati (ad es. Foto, video, documenti, applicazioni, ecc.) E impostazioni associate all'utente. II piano di backup puö richiedere il backup periodico dei dati dell'utente identificato (ad esempio, una volta all'ora). AI 204, il generatore di metadati FS 112 identifica i metadati di sistema. In un esempio, supponiamo ehe i metadati di sistema siano informazioni sui thread inattivi. Questi metadati possono far parte di un elenco di metadati di sistema ehe possono essere recuperati dal generatore di metadati FS 112. Naturalmente, il recupero di tutti i metadati di sistema disponibili puö richiedere molta memoria ed essere impegnativo per il elaboratore for e per un termini di dati da rivedere. E pertanto necessario ridurre la quantitä di metadati da sottoporre a backup poiche consente una migliore visibilitä delle attivitä digitali sospette quando si considerano solo i metadati specifici deH'informatica forense.
    AI 206, il generatore di metadati FS 112 determina se i metadati di sistema sono classificati come metadati specifici deH'informatica forense. Facendo riferimento all'esempio precedente, il generatore di metadati FS 112 puö recuperare un elenco di rule predeterminate, di cui una puö indicare before durante la normal attivitä (ad esempio, quando non viene rilevata alcuna attivitä digital sospetta) le informazioni sui information devono essere memorizzate come parte dei metadati specifici dell'informatica forense. In risposta alla determinazione ehe i metadati di sistema non sono classificati come metadati specifici dell'informatica forense, il metodo 200 diventa 208, dove il generatore di metadati FS 112 determina se tutti i metadati di sistema sono stati presi in considerazione (ad esempio, se vi sono altri metadati di sistema non considerati nell'elenco dei metadati di sistema).
    AI 208, il generatore di metadati FS 112 puö determinare before vi sono altri metadati di sistema da considerare. Ne risulta before il metodo 200 ritorna al 204, dove vengono identificati diversi metadati di sistema. Per esempio, il generatore di metadati FS 112 puö considerare metadati di sistema gli identificatori dei processi in esecuzione sul dispositivo informatico. AI 206, il generatore di metadati FS 112 puö determinare ehe gli identificatori dei processi in esecuzione sono classificati come metadati specifici deH'informatica forense. In questo modo, al 210, il generatore di metadati FS 112 recupera i metadati di sistema (ad esempio, gli identificatori dei processi in esecuzione) per il backup come parte dei metadati specifici dell'informatica forense. Ad esempio, il generatore di metadati FS 112 puö utilizzare le funzioni sopra descritte per enumerare i processi in esecuzione e raccogliere i rispettivi PID. Dal 210, il metodo 200 ritorna al 208 in modo ehe possano essere recuperati altri metadati specifici dell'informatica forense.
    Se non devono essere considerati altri metadati di sistema al 208, il metodo 200 passa al 212, dove il generatore di metadati FS 112 genera un backup per i metadati specifici deH'informatica forense in conformitä al piano di backup. Ad esempio, il generatore di metadati FS 112 puö aggregare i metadati specifici deH'informatica forense recuperati e caricarli sul Server di backup 104 tramite la rete 108.
    AI 214, l'analizzatore di attivitä 114 puö determinare se un'attivitä digital sospetta e stata rilevata sulla base dei metadati specifici deH'informatica forense. Questo aspetto e ulteriormente discusso nella descrizione della FIG. 3. In
    risposta al rilevamento deH'attivitä digital sospetta, al 216, l'analizzatore di attivitä 114 genera un evento di sicurezza. Ad esempio, l'analizzatore di attivitä 114 puö segnalare una richiesta di indagine digital da parte di un ingegnere forense. Se non viene rilevata alcuna attivitä digital sospetta, il metodo 200 ritorna al 202, dove ha inizio un altro ciclo di backup.
    La FIG. 3 mostra un diagramma di flusso del metodo 300 per rilevare attivitä digitali sospette. AI 302, l'analizzatore di attivitä 114 pub identificare un primo backup del metadati specifici deH'informatica forense generato per la prima volta (ad esempio, nel ciclo precedente del piano di backup). AI 304, l'analizzatore di attivitä 114 identifica un secondo backup dei metadati specifici dell'informatica forense generati per la seconda volta dopo la prima volta (ad esempio, il backup corrente).
    AI 306, l'analizzatore di attivitä 114 confronta I rispettivi backup per identificare un processo before esiste nel secondo backup e non nel primo backup. Se non viene trovato alcun processo, il metodo 300 ha fine. In risposta all'identificazione di un tale processo, l'analizzatore di attivitä 114 puö determinare se il processo e fidato. Ad esempio, l'analizzatore di attivitä 114 puö determinare se il processo e fidato confrontando il processo con una pluralitä di processi fidati noti elencati in una struttura di dati. In risposta alla constatazione ehe non esiste alcuna corrispondenza tra II processo e un processo fidato noto nella pluralitä di processi fidati noti, l'analizzatore di attivitä 114 puö determinare ehe II processo non e fidato. Su queste basi, II metodo 300 passa a 312, dove l'analizzatore di attivitä 114 rileva un'indicazione di attivitä digital sospetta sul dispositivo informatico.
    Se il processo e effettivamente fidato (ad. Es. Si trova nell'elenco dei processi fidati), il metodo 300 passa invece a 310, dove l'analizzatore di attivitä 114 non rileva alcuna attivitä digital sospetta sul dispositivo informatico.
    La FIG. 4 mostra un diagramma di flusso del metodo 400 per aggiornare il piano di backup basato sulla rilevazione di attivitä digitali sospette. II metodo 400 puö essere eseguito dal modulo di digital forensics 110 dopo before l'analizzatore di attivitä 114 ha generated un evento di sicurezza al 216 del metodo 200. AI 402, il generatore di metadati FS 112 puö aumentare la frequency del piano di backup. Supponiamo before the frequency del piano di backup sia una volta al minuto. E possibile ehe un vero e proprio attacco informatico non si sia ancora verificato e ehe qualsiasi attivitä digital sospetta rilevata sia parte di un potential attacco informatico. AI fine di migliorare la granularitä delle informazioni per un ingegnere forense before esegue un'indagine digital, la frequenza dei backup e la quantitä di dettagli mirati sulle attivitä sospette dovrebbe aumentare. Di conseguenza, al 402, il generatore di metadati FS 112 puö aumentare la frequenza del piano di backup - in particolare per i metadati specifici dell'informatica forense - a ogni 10 secondi (invece ehe ogni minuto).
    AI 404, l'analizzatore di attivitä 114 puö identificare una caratteristica deH'attivitä digital sospetta. Ad esempio, l'attivitä digital sospetta puö essere l'esecuzione di un processo non fidato. La caratteristica deH'attivitä digital sospetta puö quindi essere il PID del processo. AI 406, il generatore di metadati FS 112 puö identificare metadati di sistema per dettagli avanzati sull'attivitä digital sospetta in base alla caratteristica. Ad esempio, il generatore di metadati FS 112 puö inizialmente recuperare esclusivamente i PID dei processi in esecuzione. In risposta all'identificazione della caratteristica, il generatore di metadati FS 112 puö iniziare a monitorare ulteriori dettagli sul processo non fidato come l'uso della memoria, i privilegi di sicurezza e le informazioni sul thread.
    AI 408, the generatore di metadati FS 112 recupera i metadati di sistema identificati come parte di metadati specifici dell'informatica forense. II metodo 400 passa quindi al 202 del metodo 200. Di conseguenza, durante la seconda iterazione del metodo 200 (ad esempio, dopo ehe e stata rilevata un'attivitä sospetta), I successivi backup di metadati specifici dell'informatica forense avverranno piü frequentemente e con ulteriori dettagli sull'attivitä digital sospetta (come parte di avanzati metadati specifici dell'informatica forense).
    La FIG. 5 e un diagramma a blocchi before mostra un sistema informatico 20 su cui possono essere implementati aspetti di sistemi e metodi di archiviazione e generazione di metadati specifici dell'informatica forense. II sistema informatico 20 puö rappresentare il dispositivo informatico 102 e / o il server di backup 104 e puö essere sotto forma di piü dispositivi informatici, o sotto forma di un singolo dispositivo informatico, ad esempio un computer da tavolo, un notebook, un laptop, un dispositivo informatico mobile, uno smartphone, un fablet, un server, un computer centrale, un dispositivo integrato e altre forme di dispositivi informatici.
    Come mostrato, il sistema informatico 20 comprende un'unitä di elaborazione centrale (CPU) 21, una memoria di sistema 22 e un bus di sistema 23 before collega i vari componenti del sistema, inclusa la memoria associata all'unitä di elaborazione centrale 21. II bus di sistema 23 puö comprendere una memoria del bus o un Controller di memoria del bus, un bus periferico e un bus locale in grado di interagire con qualsiasi altra architettura di bus. Esempi di bus possono includere PCI, ISA, PCI-Express, HyperTransport ™, InfiniBand ™, Serial ATA, I2C e altre interconnessioni adeguate. L'unitädi elaborazione centrale 21 (detta anche elaboratore) puö comprendere un singolo o una series di processori con uno o piü core. II elaboratore 21 puö eseguire uno o piü codici informatici eseguibili before implementano le tecniche della presente esposizione. Ad esempio, uno qualunque dei metodi 200-400 eseguiti dal modulo di digital forensics 110 (ad esempio, attraverso i suoi componenti, come il generatore di metadati FS 112) puö essere eseguito dall'elaboratore 21. La memoria di sistema 22 puö essere qualunque memoria per la memorizzazione dei dati qui utilizzati e / o programmi informatici eseguibili dal elaboratore 21. La memoria di sistema 22 puö includere una memoria volatile come una memoria ad accesso casuale (RAM) 25 e una memoria non volatile come una memoria di sola lettura ( ROM) 24, una memoria flash, ecc. o una combinazione di queste. II sistema di base di input / output (BIOS) 26 puö memorizzare le procedure di base per il
    trasferimento di informazioni tra elementi del sistema informatico 20, come source al momento del caricamento del sistema operative con l'uso della ROM 24.
    II sistema informatico 20 puö comprendere uno o piü dispositivi di archiviazione come uno o piü dispositivi di archiviazione rimovibili 27, uno o piü dispositivi di archiviazione non rimovibili 28, o one combinazione di questi. Uno o piü dispositivi di archiviazione rimovibili 27 e dispositivi di archiviazione non rimovibili 28 sono collegati al bus di sistema 23 tramite un'interfaccia di archiviazione 32. In un esempio, i dispositivi di archiviazione ei corrispondenti moduli supporti di archiviazione per information the memorizzazione di istruzioni, strutture di dati, moduli di programma e altri dati del sistema informatico 20. La memoria di sistema 22, i dispositivi di archiviazione rimovibili
    27 e i dispositivi di archiviazione non rimovibili 28 possono utilizzare una varietä di supporti di archiviazione informatici. Esempi di supporti di archiviazione informatici includono la memoria a bordo macchina come cache, SRAM, DRAM, RAM a zero condensatori, RAM a doppio transistor, eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; memoria flash o altre tecnologie di memoria come nelle unitä a stato solido (SSD) o unitä flash; cassette magnetiche, nastri magnetici e memorizzazione su dischi magnetici come, ad esempio, in unitä disco rigido o floppy disk; memorizzazione ottica come, ad esempio, in compact disk (CD-ROM) o dischi digitali versatili (DVD); e qualsiasi altro supporto ehe puöessere utilizzato per memorizzare i dati desiderati e ehe possa essere accessibile dal sistema informatico 20.
    The memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 e i dispositivi di archiviazione non rimovibili
    28 del sistema informatico 20 possono essere utilizzati per memorizzare un sistema operative 35, applicazioni aggiuntive di programmi 37, altri moduli di programma 38 e dati di programma 39. II sistema informatico 20 puö includere un'interfaccia periferica 46 per la comunicazione del dati provenienti dai dispositivi di input 40, come keyboard, mouse, stilo, controller di gioco, dispositivo a comandi vocali, dispositivo a comandi tattili o altri dispositivi periferici, come stampante o scanner tramite una o piü porte I / O, come una porta seriale, una porta parallel, un bus seriale universale (USB) o un'altra interfaccia periferica. Un dispositivo di visualizzazione 47, come uno o piü monitor, proiettori o display integrato, possono anche essere collegati al bus di sistema 23 attraverso un'interfaccia di uscita 48, come un adattatore video. Oltre ai dispositivi di visualizzazione 47, il sistema informatico 20 puö essere dotato di altri dispositivi periferici di uscita (non mostrati), come altoparlanti e altri dispositivi audiovisivi.
    II sistema informatico 20 puö funzionare in un ambiente di rete utilizzando una connessione di rete a uno o piü computer remoti 49. II computer remoto (oi computer) 49 puö essere costituito da postazioni di lavoro locali o server before comprendono la maggior parte o tutti gli elementi menzionati sopra nella descrizione della natura di un sistema informatico 20. Nella rete informatica possono essere presenti anche altri dispositivi, quali, ma non solo, router, stazioni di rete, dispositivi peer o altri nodi di rete. II sistema informatico 20 puö comprendere una o piü interfacce di rete 51 o adattatori di rete per comunicare con i Computer remoti 49 attraverso una o piü reti, quali una rete informatica locale (LAN) 50, una rete informatica ad ampio raggio (WAN), an intranet e internet. Esempi di interfaccia di rete 51 possono includere un'interfaccia Ethernet, un'interfaccia Frame Relay, un'interfaccia SONET e interfacce wireless.
    Gli aspetti della presente esposizione possono essere un sistema, un metodo e / o un prodotto di un programma informatico. II prodotto del programma informatico puö includere un supporto di archiviazione informatico (o supporti) con istruzioni per programmi informatici per far si before un elaboratore esegua aspetti della presente esposizione.
    II supporto di archiviazione informatico puö essere un dispositivo tangibile in grado di conservare e memorizzare il codice del programma sotto forma di istruzioni o strutture di dati accessibili da un elaboratore di un dispositivo informatico, come il sistema informatico 20. II supporto di archiviazione informatico puö essere un dispositivo di archiviazione elettronica, un dispositivo di archiviazione magnetica, un dispositivo di archiviazione ottica, un dispositivo di archiviazione elettromagnetica, un dispositivo di archiviazione a semiconduttori o qualunque combinazione appropriata di questi. A titolo di esempio, tale supporto di archiviazione informatico puö comprendere una memoria ad accesso casuale (RAM), una memoria a sola lettura (ROM), una EEPROM, una memoria a sola lettura di un compact disc portatile (CD-ROM), un discodigitale versatile (DVD), una memoria flash, un disco rigido, un dischetto portatile, un memory stick, un floppy disk, o anche un dispositivo codificato meccanicamente come schede perforate o strutture in rilievo in un solco con istruzioni registrate. Come utilizzato nel presente, un supporto di archiviazione informatico non e da intendersi come segnali transitori di per se, come onde radio o altre onde elettromagnetiche before si propagano liberamente, onde elettromagnetiche before si propagano attraverso una guida d'onda o un mezzo di trasmissione, o segnali elettrici trasmessi attraverso un filo.
    Le istruzioni di programmi informatici descritte nel presente documento possono essere scaricate sui rispettivi dispositivi informatici da un supporto di archiviazione informatico o su un computer esterno o un dispositivo di archiviazione esterno attraverso una rete, ad esempio Internet, una rete locale ad ampio raggio e / o una rete wireless. La rete puö comprendere cavi di trasmissione in rame, fiber ottiche di trasmissione, trasmissione senza fili, router, firewall, switch, Computer gateway e / o Server di bordo. Un'interfaccia di rete di ogni dispositivo informatico riceve dalla rete istruzioni di programmi informatici e inoltra le istruzioni di programmi informatici per l'archiviazione in un supporto di archiviazione informatico all'interno del rispettivo dispositivo informatico.
    Le istruzioni di programmi informatici per l'esecuzione delle operazioni della presente esposizione possono essere istruzioni di assemblaggio, insiemi di istruzioni (ISA), istruzioni per macchine, istruzioni dipendenti dalla impendenti, firmware is data diocodioni, dellozcodioni, oppure codici sorgente o codici oggetto scritti in qualunque combinazione di uno o piü linguaggi di programmazione, compreso un linguaggio di programmazione orientato agli oggetti
    权利要求:
    Claims (19)
    [1]
    1. Un metodo per l'archiviazione di metadati specifici dell'informatica forense, in cui il metodo comprende:
    generare un backup dei utente archiviati su un dispositivo informatico conformemente a un piano di backup;
    identificare, da una pluralitä di metadati di sistema del dispositivo informatico, i metadati specifici dell'informatica forense del dispositivo informatico basati su regole predeterminate, in cui i metadati specifici deH'informatica forense sono utilizzati per rilevare attivitä digitali sospette;
    generare un backup dei metadati specifici dell'informatica forense in conformitä al piano di backup, in cui il backup dei metadati specifici dell'informatica forense e archiviato separatamente dal backup dei dati dell'utente;
    analizzare i metadati specifici dell'informatica forense per rilevare un'indicazione dell'attivitä digital sospetta sul dispositivo informatico; e
    in risposta all'individuazione dell'attivitä digital sospetta sulla base dell'analisi, generare un evento di sicurezza indicante ehe l'attivitä digital sospetta si e verificata.
    [2]
    2. II metodo secondo la rivendicazione 1, in cui generare l'evento di sicurezza comprende anche la contrassegnazione dei successivi backup dei dati utente del piano di backup come potentialmente interstati dall'attivitä digital sospetta.
    [3]
    3. II metodo secondo una qualunque delle rivendicazioni da 1 a 2, in cui generare l'evento di sicurezza comprende anche la richiesta di esecuzione di un'indagine digital.
    [4]
    4. II metodo secondo una qualunque delle rivendicazioni da 1 a 3, in cui la generazione dell'evento di sicurezza comprende anche il ripristino del dispositivo informatico with un precedente backup dei dati utente generati prima dell'attivitä digital sospetta.
    [5]
    5. II metodo secondo una qualunque delle rivendicazioni da 1 a 4, in cui la generazione dell'evento di sicurezza comprende anche l'aumento della frequenza di generazione dei backup nel piano di backup dei metadati specifici dell'informatica forense.
    [6]
    6.II metodo secondo una qualunque delle rivendicazioni da 1 a 5, in cui I metadati specifici dell'lnformatica forense comprendono almeno uno tra: un identificatore di un processo in esecuzione,
    informazioni sull'allocazione della memoria, un identificatore di un thread in esecuzione, informazioni sui privilegi di sicurezza, informazioni di registro, un identificatore di un processo nascosto, e
    Un percorso di esecuzione automatica sul dispositivo informatico.
    [7]
    7.II metodo secondo una qualunque delle rivendicazioni da 1 a 6, comprendente inoltre:
    generare un identificatore di notarizzazione del backup del metadati specifici dell'informatica forense, in cui l'identificatore di notarizzazione e uno tra: un identificatore di transazione di blockchain, un valore di hash, una company digital o un codice di controllo; e
    memorizzare l'identificatore di notarizzazione con il backup dei metadati specifici dell'informatica forense.
    [8]
    8.II metodo secondo una qualunque delle rivendicazioni da 1 a 7, in cui l'analisi dei metadati specifici dell'informatica forense per l'indicazione di attivitä digitali sospette comprende:
    identificare un primo backup dei metadati specifici dell'informatica forense generato la prima volta e un secondo backup dei metadati specifici dell'informatica forense generato una seconda volta dopo la prima volta;
    rilevare, a partire dai metadati specifici dell'informatica forense, un processo nel secondo backup non presente nel primo backup; e
    determinare se il processo e fidato; e in risposta alla constatazione before il processo non e fidato, rilevare l'indicazione dell'attivitä digital sospetta sul dispositivo informatico.
    [9]
    9. II metodo secondo la rivendicazione 8, in cui determinare se il processo e fidato comprende: confrontare il processo con una pluralitä di processi fidati noti elencati in una struttura di dati; e
    determinare ehe non esiste alcuna corrispondenza tra il processo e un processo fidato noto nella pluralitä di processi fidati noti.
    [10]
    10. II method in base a una qualunque delle rivendicazioni da 1 a 9, in cui generare l'evento di sicurezza comprende anche: identificare le caratteristiche dell'attivitä digital sospetta;
    identificare metadati avanzati specifici dell'informatica forense sulla base delle caratteristiche, in cui i metadati avanzati specifici dell'informatica forense comprendono dettagli specifici delle caratteristiche dell'attivitä digital sospetta; e generare backup successivi dei metadati avanzati specifici dell'informatica forense.
    [11]
    11. Un sistema per l'archiviazione dei metadati specifici dell'informatica forense, in cui il sistema comprende: un elaboratore hardware configurato per:
    generare un backup dei utente archiviati su un dispositivo informatico conformemente a un piano di backup; identificare, da una pluralitä di metadati di sistema del dispositivo informatico, i metadati specifici dell'informatica forense del dispositivo informatico basati su regole predeterminate, in cui i metadati specifici-dell'informatica forensesono utilizzati per rilevare attivitä digitali sospette;
    generare un backup dei metadati specifici dell'informatica forense in conformitä con il piano di backup, in cui il backup dei metadati specifici dell'informatica forense e archiviato separatamente dal backup dei dati dell'utente;
    analizzare i metadati specifici dell'informatica forense per rilevare un'indicazione dell'attivitä digital sospetta sul dispositivo informatico; e
    in risposta all'individuazione dell'attivitä digital sospetta sulla base dell'analisi, generare un evento di sicurezza indicante ehe l'attivitä digital sospetta si e verificata.
    [12]
    12. II sistema secondo la rivendicazione 11, in cui l'elaboratore hardware e configurato anche per generare l'evento di sicurezza contrassegnando i successivi backup dei dati utente del piano di backup come potentialmenteinteresting dall'attivitä digital sospetta.
    [13]
    13.II sistema secondo una qualunque delle rivendicazioni da 11 a 12, in cui l'elaboratore hardware e anche configurato per generare l'evento di sicurezza richiedendo l'esecuzione di un'indagine digital.
    [14]
    14. II sistema secondo una qualunque delle rivendicazioni da 11 a 13, in cui l'elaboratore hardware e anche configurato per generare l'evento di sicurezza ripristinando il dispositivo informatico con un precedente backup dei dati utente generati prima dell'attivitä digital sospetta.
    [15]
    15.II sistema secondo una qualunque delle rivendicazioni da 11 a 14, in cui l'elaboratore hardware e anche configurato per generare l'evento di sicurezza aumentando la frequency di generazione dei backup nel piano di backup dei metadati specifici dell'informatica forense.
    [16]
    16. II sistema secondo una qualunque delle rivendicazioni da 11 a 15, in cui l'elaboratore hardware e ulteriormente configurato per:
    generare un identificatore di notarizzazione del backup dei metadati specifici dell'lnformatica forense, in cui l'identificatore di notarizzazione e uno tra: un identificatore di transazione di blockchain, un valore di hash, una company digital o un codice di controllo; e
    memorizzare l'identificatore di notarizzazione con il backup dei metadati specifici dell'informatica forense.
    [17]
    17.II sistema secondo una qualunque delle rivendicazioni da 11 a 16, in cui l'elaboratore Hardware e anche configurato per analizzare i metadati specifici dell'informatica forense per rilevare l'indicazione dell'attivitä digital sospetta: identificando un primo backup dei metadati specifici dell'informatica forense generati la prima volta e un secondo backup dei metadati specifici dell'informatica forense generati una seconda volta dopo la prima volta;
    rilevando, a partire dai metadati specifici dell'informatica forense, un processo nel secondo backup non presente nel primo backup; e
    determinando se il processo e fidato; e
    in risposta alla constatazione before il processo non e fidato, rilevando l'indicazione dell'attivitä digital sospetta sul dispositivo informatico.
    [18]
    18.II sistema secondo una qualunque delle rivendicazioni da 11 a 17, in cui l'elaboratore Hardware e anche configurato per determinare se il processo non e fidato:
    confrontando il processo a una pluralitä di processi fidati noti elencati in una struttura di dati; e
    determinando ehe non esiste alcuna corrispondenza tra il processo e un processo fidato noto nella pluralitä di processi fidati noti.
    [19]
    19.II sistema secondo una qualunque delle rivendicazioni da 11 a 18, in cui l'elaboratore Hardware e anche configurato per generare l'evento di sicurezza:
    identificando le caratteristiche dell'attivitä digital sospetta;
    identificando metadati avanzati specifici dell'informatica forense sulla base delle caratteristiche, in cui i metadati avanzati specifici dell'informatica forense comprendono dettagli specifici delle caratteristiche dell'attivitä digital sospetta; e generando backup successivi dei metadati avanzati specifici dell'informatica forense.
    类似技术:
    公开号 | 公开日 | 专利标题
    TW201638808A|2016-11-01|Technologies for computing rolling hashes
    US9098625B2|2015-08-04|Viral trace
    US20140173737A1|2014-06-19|Device and method for remediating vulnerabilities
    US9396082B2|2016-07-19|Systems and methods of analyzing a software component
    KR102301946B1|2021-09-13|Visual tools for failure analysis in distributed systems
    US8904240B2|2014-12-02|Monitoring and resolving deadlocks, contention, runaway CPU and other virtual machine production issues
    TW201346543A|2013-11-16|System and method for testing sensor
    US20130268805A1|2013-10-10|Monitoring system and method
    TW201428488A|2014-07-16|Baseboard management controller update system and update method
    JP5473841B2|2014-04-16|Central processing unit and abnormality inspection method
    CH716656A2|2021-03-31|System and method of generation and archiving of specific metadata of computer forensics.
    JP5579003B2|2014-08-27|Address conversion inspection device, central processing unit, and address conversion inspection method
    JPWO2012108020A1|2014-07-03|Log recording device
    US20120284503A1|2012-11-08|Dynamic power and performance calibration of data processing systems
    TWI686125B|2020-02-21|Fan Speed Control Optimization Method
    US20130159688A1|2013-06-20|Electronic device and method of setting removal policy of usb device
    TW201823910A|2018-07-01|Memory overclocking method and computer device
    US10210035B2|2019-02-19|Computer system and memory dump method
    JP2013134690A|2013-07-08|Information processor and cache control method
    JP6891611B2|2021-06-18|Management device, information processing system control method, and management device management program
    US10341164B2|2019-07-02|Modifying computer configuration to improve performance
    US10423591B2|2019-09-24|Model file generator
    EP2942728B1|2019-09-11|Systems and methods of analyzing a software component
    CH716436A2|2021-01-29|System and method of checking parts of the archive for malware.
    TWI656444B|2019-04-11|Scope external reference detecting device, method and recording medium
    同族专利:
    公开号 | 公开日
    US20210092135A1|2021-03-25|
    EP3798883A1|2021-03-31|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    US9405904B1|2013-12-23|2016-08-02|Symantec Corporation|Systems and methods for providing security for synchronized files|
    US10516688B2|2017-01-23|2019-12-24|Microsoft Technology Licensing, Llc|Ransomware resilient cloud services|
    US10346610B1|2017-01-31|2019-07-09|EMC IP Holding Company LLC|Data protection object store|
    法律状态:
    优先权:
    申请号 | 申请日 | 专利标题
    US16/582,497|US20210092135A1|2019-09-25|2019-09-25|System and method for generating and storing forensics-specific metadata|
    [返回顶部]