物联网取证

13.2.1数码设备取证

数字取证以数字形式处理证据。数字证据，有时也被称为电子证据，很容易改变。每次访问数字设备(PC、智能手机、物联网设备)上的文件都会改变文件的最后访问时间，从而以可能构成证据的方式改变文件。这是一个既不是恶意的也不是实质性的改变的例子，但可以被认为是篡改证据。更大的问题是故意恶意更改的可能性。为确保数码证据在法庭上的完整性及可用性，当局现正采用电子证据及处理程序[208］．

第一步是创建一个法医上正确的证据副本。法医副本与原始数字记录完全相同。这必须由为此目的开发的工具来完成，这些工具经过评估和测试，以确认它们的操作符合需求规范[305］．在复制位之前和之后，这些工具会创建原始数据和复制数据的加密散列，以在复制过程中确认数据的完整性。这些工具还保存所有步骤的日志，以确保上述证据链的存在。对副本进行进一步的证据分析，以确保原始证据不被更改，并在需要进行新的分析时可用。

从任何保存个人数据的设备获取的数字证据，都存在数据隐私的道德问题。数字设备是我们日常生活的一部分。从智能手机、个人电脑等个人设备，到云计算和物联网设备，所有这些设备都处理和存储大量关于个人用户私人生活的数据。这些数据中的大多数与触发从数字设备中收集证据的任何特定案件无关。然而，法医调查人员经常需要检查各种文件，以确定哪些文件与调查有关，哪些文件与调查无关。数字设备检查是对隐私的重大侵犯。因此，有必要明确界定调查人员应该寻找什么样的数据和证据，尽可能地保护用户隐私。关于物联网的这个问题将在稍后进一步解决。

事实上，数字证据可以以各种格式出现在许多不同的设备上，这是一个额外的挑战。这些设备可以是电脑、智能手机、数码相机、GPS设备或任何其他以数字形式存储数据的设备(似乎它最终将包括一切)。每一种设备都可能以不同的方式在不同的媒体上存储数据。幸运的是，有一些事实上的标准化通常会让它更容易一些。设备上的数字记录是由使用不同数据格式的不同软件创建的。要阅读和理解特定的数据格式，需要专门的知识和工具。因此，从特殊设备中收集证据通常由该领域的专家进行。

13.2.2其他数字取证

还有其他来源的数字法医数据。从这些地方收集数据存在一些类似于物联网取证的问题。在回顾它们时，我们可以确定物联网证据收集的不同之处。

在前一小节中提到的所有问题都涉及存在于设备存储器中的数字证据。该存储器通常是非易失性的。像RAM一样，易失性工作存储器可以包含法医感兴趣的数据。创建这样的内存的证据副本必须在不关闭设备的情况下完成，这被称为现场取证。这个过程通常会改变内存内容，必须彻底记录。

网络取证也存在类似的问题。有些证据可以从网络设备上收集，如路由器、防火墙等，但大多数证据只存在于飞行中。这些数据只能在通过处理它的设备时被捕获。有存储网络数据的设备和过程。然而，捕获并保存所有网络数据是不切实际的，因为它的体积，但是还有其他问题，如所需嗅探设备的数量和位置[174］．这里的隐私问题要大得多，因为网络数据可能包括许多与正在讨论的法律案件无关的信息。10］．因此，一个狭窄的调查焦点是至关重要的。

数字取证的最新发展是对云取证的需求。从本质上讲，它应该与设备和网络取证没有太大区别，但它确实如此。云构建在一个虚拟基础设施上，该基础设施在特定云服务提供商的许多用户之间共享。这给取证带来了挑战，因为很难定位、识别和分离与调查相关的数据或虚拟资源。此外，没有简单的方法来访问创建取证副本所需的云基础设施。数据处理是去中心化的，数据采集离不开云服务提供商的合作。数据去中心化可能意味着部分数据存储在不同的管辖区，不同的权限可以适用[483］．

13.2.3物联网取证的需求

物联网取证包括:设备、现场、网络和云。“东西”可能是具有熟悉的文件系统和文件格式的永久存储设备。这些“东西”可以被视为任何其他数字设备。不幸的是，“东西”可能会使用私有文件系统和格式。它们甚至可能没有保存用户数据的永久内存和有限的电源供应，严重限制了持续时间，甚至阻止了实时取证。“东西”可能只有有限的内存，并立即传输所有数据。这些数据可以以开放标准或专有的封闭格式进行传输。网络数据可以加密。物联网数据通常在位于未知位置的云中处理，该位置可能位于地球的另一边。所有这些都使得物联网取证与传统数字取证不同，更具挑战性。

物联网生态系统，尤其是法医生态系统，分为三个领域:(物联网)设备取证、网络取证和云取证[592］．虽然这三个方面都很重要，但本章的重点是(IoT)设备取证。这与本书关于普适计算系统的重点是一致的。另外两个领域则更为成熟。这里简要地介绍了它们，了解物联网系统取证所需的程度。

首批关于物联网取证的论文之一[455]列出了与传统数字取证的一系列不同之处。最近的一篇论文[131，在IEEE安全与隐私专题的数字取证中，扩展了这个列表。所发现的差异是下两部分将讨论的物联网取证中特定问题和机会的来源。

13.3.1一般问题

物联网取证缺乏方法论和框架。即使在数字取证中，也没有一个被普遍接受的方法，但有一些被从业者和研究人员认可和使用。物联网取证仍处于初级阶段，依赖标准数字取证的方法和框架，这些方法和框架可能还不够充分。

物联网取证缺乏合适的工具。需要新的软件和硬件。对可用的取证工具及其对物联网的适用性进行了良好的概述，见[559］．经过深入分析，作者得出结论，现有的传统计算机取证工具不足以在物联网系统中进行网络犯罪调查。

由于物联网无处不在，可能很难确定一个案件可能属于哪个司法管辖区，因为通常会有多个案件涉及。物联网系统可以在不同的司法管辖区以及不同的云位置和供应商拥有设备。这与覆盖全球的互联网并没有太大的不同。物联网只是将问题从数字世界扩展到物理世界。

13.3.2证据鉴定、收集与保存

有了物联网取证，首先要做的是识别可用的证据来源。调查人员必须确定哪些设备记录了相关数据。需要回答的问题是物联网如何与周围环境互动。调查人员就可以知道使用哪些可能的可用资源。此外，必须获得关于数据保存在何处以及以何种格式保存的信息。在收集证据之前，应检查数据收集的约束条件(物理的、专有的标准、法律的)。

侦测物联网系统的存在[258]，而识别能够在调查中提供证据的物联网设备也具有挑战性[264］．此外，该设备可能包含不同用户的数据，而不仅仅是与调查相关的一个(s)。识别特定用户的数据并不是一项容易的任务。

各种各样的设备使得证据收集很难有一个标准化的方法。设备的有限功能、各种接口和存储格式使数据提取变得困难。在不更改设备或数据的情况下提取数据可能会很困难，这是取证中的一个问题，甚至可能被认为是篡改证据。机载数据存储通常无法通过传统的数字取证方法访问[576］．创建给定物联网设备的法医图像的方法有限[152］．很难甚至不可能从该装置中以法医合理的方式收集剩余证据[188，405］．数据加密会使收集证据变得困难或不可能。累积数据集可能存在于多个位置[576］．

物联网的犯罪现场包括实物和环境。要完整地保存它是非常困难的。物联网元素可能会自动交互。这就不可能确定犯罪现场的边界，也不可能将其与周围环境分开。152］．

物联网设备是否需要作为证据存在一个实际问题。将其从物联网环境中移除，其功能明显丧失。

13.3.3证据分析与相关性

数字取证人员在面对物联网系统时面临的第一个问题是如何分析来自物理世界的证据。资讯科技知识可能不够，需要相关学科的专业知识[374］．

调查这一阶段的主要问题是物联网系统可能产生的数据量。对于一个调查人员来说，这个数量可能是难以承受的。455和使用的工具[559］．物联网中可能的证据来源的数量远远高于标准的数字取证。每个源可能产生大量的数据，例如，如果它是一个传感器，在小时间间隔内测量一些物理属性。

由于证据来自大量的异质来源，因此更难以相互关联。设定时间线在取证中很重要。由于各种时钟可能不同步的设备，这可能是非常具有挑战性的。152］．所有这些都是重建感兴趣事件的一个问题。更多的证据应该意味着更好的重建，但需要大量的努力，这可能不值得[131］．

隐私问题在这一阶段最为突出。汇总和分析使证据碎片能够被放在一起，并确定某人的身份和行为。如果是被调查人的身份，这是一件好事，但很难事先知道。从物联网系统收集的数据可能包含大量与调查无关的个人资料[440］．最好在收集时将数据过滤掉，但由于该阶段的时间和资源限制，这通常是不可能的。即使是与调查有关的个人数据，也可能包含不重要的个人信息。这一问题也存在于标准的数字取证中，但在物联网中，数据是在传感器可触及范围内连续和不加区分地收集的，通常当个人参与时，这种情况会在他们不知情的情况下发生。

13.3.4演讲

在涉及物联网的案件中呈现法医发现可能是具有挑战性的。这是一个新的法医学领域。法院正在学习接受虚拟证据，而物联网带来的这种物理/虚拟结合可能会令人困惑。

在这一阶段以及在其他阶段还有一个问题，即法院是否会接受所使用的方法和工具，因为它们尚未标准化。

有几个问题对法医从业者比研究人员更相关，但应该提到。需要承担多少法庭知识和对物联网操作的理解?物联网设备是否应该被带到法庭，并在提供证据之前就其工作原理提供解释?IT或物联网专家应该提供证据吗?［374］．

13.6.1新的模型和框架

这一群体的论文数量最多。这是可以理解的，因为模型和框架需要定义和提供一些方向和标准化的研究人员和专业人员。遗憾的是，所提出的模型和框架没有一个被广泛接受，大多数建议仍然是理论性的。以下是论文的简要概述。

除了定义挑战和物联网差异，如章节中提到的。13.2.3, (455提出了一些应对挑战的方法。作者提出了一种基于区域的物联网相关调查方法。他们称之为123区。区域大致对应物联网取证的三个领域:设备、网络和云。Zone 1是一个包含所有设备和软件的内部网络。区域二覆盖网络边界的硬件和软件，从外部网络提供通信服务。它可以包括防火墙和IDS。区域3是正在调查的网络之外的一切，包括云和ISP等。区域允许并行工作，或者专注于最紧急的工作。作者还提出了物联网取证方法的准备阶段。 Future papers confirm the need for the phase where data collection devices are installed in advance. The paper proposes another important concept, Next Best Thing (NBT). It can be expected that in IoT some sources of evidence will not be available or reliable. The NBT model suggests that forensically interesting data can be acquired from devices that are either directly connected or somehow related to the object of forensic interest, as authors call it.

另一种物联网数字法医调查模型提出于[470］．该模型将物联网划分为多个区域，类似于[455］．它包括基本设备标识的概念，由区域表示的定位器。概念上的想法是正确的，但本文没有提出如何实现该模型。

另一个框架在[318］．该框架的创建是为了符合ISO/IEC 27043:2015，事件调查原则和过程的国际标准。作者希望他们的标准化方法和框架的创建将使工具开发成为可能。他们的框架由不同的过程组成:主动过程、物联网取证和反应过程。主动过程类似于其他模型和框架中的准备阶段。物联网取证与[592］．反应过程包括初始化、获取和调查，在基于物联网的环境中，事件被识别后发生。

Harbawi和Varol [258提出了完善物联网取证证据获取模型的理论框架。它们解决了物联网中数字证据的主要来源的识别问题。提出了一种最后场景(LoS)算法，该算法包含感兴趣物识别的七个步骤。它扩展了[455]和[470］．在定义了利害关系后，提出了一种改进的数字取证程序，包括七个步骤。作者还提出了一个管理和集群物联网数字取证案件的在线管理平台，但本文没有进一步阐述平台的通用规范。

Zia等[602提出在数字取证模型中加入应用专用取证。他们认为，为了确保在特定物联网应用的背景下收集证据，重要的是要有针对特定应用的取证。这个特定于应用程序的组件将数据提供给其模型的数字取证组件。为物联网应用提供相关数据。这样就能集中提取与调查相关的文物。作者选择了三个最受欢迎的物联网应用:智能家居、可穿戴设备和智能城市。他们在一个完整的物联网系统中定义了每一个法医感兴趣的项目:设备、网络和云。通过这种方法，物联网取证过程应该专注于重要数据，但仍然是整体的。

物联网取证中的隐私保护是研究的重点[440］．它提出了一种隐私感知物联网取证模型(PRoFIT)，该模型考虑了ISO/IEC 29100:2011隐私框架建立的隐私要求。与其他模式类似，这种模式依赖于一个准备阶段。在此阶段，可能会根据隐私政策和取证限制，安装一段软件来协助用户并就设备中包含的信息向用户提供建议。数据收集是基于用户的知情同意。其逻辑是，足够多的物联网用户将提供这一同意，并安装软件。在这种情况下，在调查的时候，很多数据将是现成的。可能总是需要法院下令收集数据，但不需要准备步骤。该模型通过调查过程的其余部分呈现隐私保护方面的内容。它包括在调查中需要与先前没有同意的人共享用户数据时，征求用户的同意。

这两位作者将他们关于PRoFIT [440]与数码证人[442，以推进物联网取证，同时在[441］．数字证人，顾名思义，是一种能够协同管理电子证据的设备。为了激发公民合作的意愿，并让他们的设备成为数字证人，他们需要确保自己的个人信息在这些设备上得到保护。本文展示了如何实现一个符合利润要求的数字证人。作者在两种情况下评估并确认了他们的方法:社交恶意软件和仓库注册。

13.6.2使用存储库的准备步骤

大多数提出的模型和框架都定义了物联网取证准备阶段的需求。这一阶段已被建议用于其他类型的数字取证。在物联网中，由于缺乏日志记录和本地数据保存，一种预先准备的潜在证据的本地数据存储库似乎是最有必要的。以下文章就如何实现这一点提供了一些想法。

工作在[456]，源自与[455，提出了一个概念，在本地物联网网络和家庭防火墙(Internet/Cloud)之间引入一个设备，提供安全和取证服务。这是一种终端用户管理的解决方案，不同寻常，有其优缺点。设备提供标准的安全服务，如IDS/IPS、网络监控、日志记录和阈值设置。一旦发生导致越过设置的阈值的事情，就会激活取证服务。它们包括数据压缩、解析和区分、存储、时间线创建、警报、准备和结果展示。这是一个有趣的想法，但依赖于可能想要隐藏某些事件的最终用户。作者还提到了在对网络数据使用加密、压缩和隐写术时，所有监控网络流量的系统都会遇到的问题。此外，位于网络流量路径上的设备可能成为瓶颈。

FAIoT论文[592]正式定义了物联网取证，并列出了其面临的挑战。提出了一种用于物联网基础设施(FAIoT)的取证感知模型。该模型旨在帮助研究人员关注物联网取证问题领域的特定研究子问题。FAIoT由三部分组成:安全证据保存模块、安全来源模块以及通过API访问证据。作者提出了一个集中式可信证据库，作为一种可用于所有物联网设备的新服务。由于存储库应该处理非常大的数据集，作者建议使用Hadoop分布式文件系统(HDFS)。为保存有关证据的查阅历史，以确保妥善的保管链，可识别出处的文件系统[433]。FAIoT可以帮助物联网取证调查，但在目前阶段，它还只是一个概念设计，而不是一个实际可用的系统。

还有一篇论文提出了一个准备阶段以获取证据，该论文是[405］．该公司认为，收集物联网设备状态可以使调查人员创建已发生事件的清晰图像。作者提出了一种集中式控制器，可以连接到设备、控制器(集线器)和云来获取物联网状态。该控制器只能读取状态，不能更改状态。它在安全存储中使用散列记录带有时间戳的状态，以确保完整性。作者提供了一个使用开源物联网设备控制器OpenHAB的控制器的概念实现证明。它连接一个设备(IP摄像头)、一个控制器(Insteon Hub)和一个设备的云账户(Nest恒温器)。通过对日志状态的分析，可以重建物理世界中的事件场景。

Wang等[572提出一个系统，以确保数据来源。它确保有可能建立一个数据来自哪里，以及它产生的过程和方法。它能够对系统活动进行全面的解释，包括恶意行为。有了数据来源，物联网系统中的活动序列可以通过因果关系连接起来。它取代了独立的日志记录和对单个设备的分析。作者通过三星SmartThings平台ProvThing的集中审计系统实现了这一想法。他们表明，通过优化，可以以最小的开销实现实时系统审计。

13.6.3实际系统

论文《亚马逊Alexa生态系统的数字取证方法》[145]讨论了在对许多家庭中存在的物联网系统进行法医分析时的实际问题。它提出了云本地取证与配套设备取证的结合，这被称为客户端取证。由于Alexa是一个基于云的助手，它的大部分数据都在云端。作者使用非官方的Alexa api访问其云数据。使用Alexa云代理分析网络流量，使作者能够建立以JSON格式返回的数据。这揭示了云取证检索数据的问题，这些数据的原始形式可能不可用，只能通过调用预定义的查询函数来获得，而且这些函数可能没有文档记录。通过这种方式，作者能够获得一些alexa原生的人工制品。Alexa通常是通过移动应用程序或网页来管理的。作者应用移动应用程序和web浏览器的取证来从客户端检索额外的工件。为了实现数据收集、可视化和评估过程的自动化，作者创建了CIFT (Cloud-based IoT Forensic Toolkit)。 The paper emphasizes the need for a holistic approach to data collection and analysis. The DFRWS Challenge, presented previously, had a practical scenario with more popular home IoT devices, including Alexa Echo, a smart speaker that is part of the Alexa Echo system.

在[494研究人员调查了在物联网攻击中可以收集到哪些数据，以及可以从这些数据中重建哪些数据。他们使用了来自“sense .se”和三星的集线器和传感器，都用于家庭环境。在20天的操作周期后，对收集的数据进行分析。作者解释了他们在使用这个小系统时所面临的挑战。该论文展示了如何使用少量简单的传感器来识别、解释、保存和分析不同的攻击场景，并以一种易于理解的方式呈现。它清楚地展示了物联网取证的力量和机会。