Mineração de dados aplicada à construção de bases de hash em computação forense

Abstract

A grande quantidade de dados a serem processados e analisados por peritos em informática é um desafio crescente enfrentado pela comunidade de Computação Forense. O uso de conjuntos de hashes de arquivos conhecidos para identificar e filtrar arquivos irrelevantes é um procedimento amplamente utilizado, mas não é tão eficaz quanto poderia ser, especialmente em países cujo idioma não seja o inglês. Este trabalho propõe o uso de técnicas de mineração de dados com algoritmos de classificação baseados em árvores de decisão para encontrar novos arquivos irrelevantes para a análise forense a partir de uma amostra de computadores de uma dada região ou país. Os hashes dos arquivos identificados podem ser mesclados com um subconjunto selecionado de hashes que sejam realmente efetivos, escolhido a partir de bases de hashes convencionais. Os experimentos foram conduzidos para avaliar o desempenho de filtragem da solução proposta, usando amostras de evidências extraídas de casos reais. Esses experimentos demonstraram que a abordagem proposta obteve resultados de filtragem entre 15% e 30% melhores do que a base de hash convencional utilizada, mesmo contendo um número reduzido de valores de hash. Este trabalho lança luz sobre uma técnica forense comumente utilizada, mas que tem sido relegada ao uso de bases de dados em constante crescimento composto apenas de hashes de arquivos conhecidos cuja origem seja rigidamente rastreável. A adoção de novas soluções para lidar com bancos de dados de hash em Computação Forense é uma boa oportunidade para introduzir técnicas inteligentes para melhorar a forma como conjuntos de hashes são criados, mantidos e utilizados. _________________________________________________________________________________ ABSTRACT

The large amount of data to be processed and analyzed by forensic experts is a growing challenge faced by the computer forensics community. The use of hashsets of known files to identify and filter irrelevant files is a commonly used technique, but it is not as effective as it could be, especially in non-English speaking countries. This work proposes the use of data mining techniques with decision tree learning algorithms to find new irrelevant files to the forensic analysis from a sample of computers from a given region or country. The resulting files can be merged with an optimized subset of really effectively used hashsets, which are chosen from conventional hash databases. Experiments were conducted to evaluate the filtering performance of the proposed solution, using samples from real evidence. The experimental results demonstrate that our approach obtained between 15% to 30% better filtering results than the conventional hashset database used as benchmark, even with a reduced number of hash values. This work sheds light on a commonly used forensics technique, which has relied on the use of ever-growing databases composed only of hashes from rigidly traceable known files. The adoption of new solutions to deal with hash databases in computer forensics is a good opportunity to introduce intelligent techniques to improve the way hashsets are created, maintained and used.