文件雕刻理论与碎片文件雕刻技术研究

作为数字取证领域中证据获取的重要手段，文件雕刻成为数字取证领域新的研究热点。针对数字取证领域中证据获取技术的发展和应用需求，本项目研究文件雕刻的基本理论和关键技术。从介质存储理论和文件构成原理分析入手，分析文件雕刻中碎片类型的难检测性、构成文件个体碎片集合的难确定性，利用集合论划分思想，研究碎片集合的划分模型，同时利用概率论条件概率理论，研究生成的碎片子集中元素的有序性，构建碎片连接条件概率模型。在此基础上，运用信息论中熵理论和自然语言处理技术、统计分析方法，针对多种文件类型的文件碎片和文件类型的碎片子集提出可靠的特征提取方法。依据该模型和碎片数据特征，利用支持向量机算法，研究文件碎片多级分类技术，并针对结构化类型和非结构化类型碎片特征，研究相应的碎片连接技术。本项目研究数字证据获取问题，为文件雕刻的应用建立必要的理论、方法和技术基础，对于自主开发数字取证分析平台、维护国家安全有重要意义。

本研究利用集合论划分思想、存储介质中碎片的分布特征、信息论熵理论等方法，研究文件雕刻的基本理论和关键技术。（1）从介质存储理论和文件构成原理分析入手，分析文件雕刻中碎片类型的难检测性、构成文件个体碎片集合的难确定性，利用集合论划分思想，设计了文件碎片多级分类雕刻模型；（2）以图像碎片为例，利用图像的相似性原理，通过提取图像碎片的边缘像素进行比较，设计了碎片连接算法，算法结果表明，该算法的雕刻结果优于Nasir等学者提出的图像碎片文件雕刻算法；（3）通过研究E-mail文件类型、HTML文件类型的二进制特征，以及E-mail文件类型内部通信结构特征，对E-mail碎片文件进行了形式化描述，设计了E-mail碎片文件取证模型，并对关键算法进行了设计和实现；（4）利用信息熵理论，设计了基于熵值特征的碎片特征提取算法，该算法能够有效区分文件碎片的类型；（5）利用自然语言的特征，设计了基于ASCII码的非结构化文件类型特征提取算法，该算法能够有效提取非结构化碎片的边缘文本信息，然后通过评价两个不同碎片之间的文本字符串的连接关系，确定碎片之间的连接度。