一种基于电磁侧信道的设备数字取证装置和取证方法

本发明涉及信息安全，具体涉及一种基于电磁侧信道的设备数字取证装置和取证方法。

背景技术：

1、数字取证是以各类电子设备为调查对象，通过收集和分析设备数据来获取电子证据，从而协助企业、司法机关解决调查案件的一门学科。除电子证据新来源外，新型犯罪事件中的电子设备种类繁多，各类技术手段日新月异，增加了证据提取和分析的难度。在证据提取阶段，易失性数据的存在常导致有效证据的丢失，设备物理损坏和全盘加密技术的使用使得证据提取的流程更加繁琐。在证据分析阶段，多样的数据来源和不断发展的反取证技术，如数据伪造、数据隐写、全盘加密等，向取证人员提出了新的技术考验。

2、随着物联网设备的日益普及，在可预见的未来，对智能设备的数字取证调查将不断增加。其中，电磁侧信道的非侵入性使电磁指纹成为协助数字取证的一个可行的选择。通过被动地观察设备的电磁辐射，推断正在执行的内部操作和正在处理的数据，检测物联网设备的内部软件活动，当在犯罪现场识别出正在运行的物联网设备时，通过指纹提取识别出重要的软件活动，协助取证。产生电磁侧信道的根本机理是集成电路中电子器件不同状态下耗能各异所带来的系统侧信道差异。传统电磁侧信道采集方式主要利用近场天线收集移动设备附近的电磁辐射信号，由于电磁辐射信号通常较微弱，常需要对信号先进行放大和处理，整个侧信道收集和分析过程需要花费较大精力和成本，尤其该方法评估准确性受天线性能、测试距离、以及判断阈值制定等多重因素影响，加之人工判别的方式效率低下，导致误判、漏判率较高。

3、综上所述，为提供一种新型的数字取证方法，突破信息域数字取证的壁垒，解决当前移动设备数字取证方法耗时耗力、效率低下、误报漏报率高的问题，本发明将提出一种基于电磁侧信道的设备数字取证装置和取证方法，即通过采集和分析设备充电时的传导电磁信号变化，相较于电磁辐射侧信道信号，该侧信道信号不受测试距离干扰，且由于传导电磁信号不易被环境噪声干扰，因此无需设置高性能天线装置和用于信号增强的放大设备；采用高效的机器学习算法，无需人工监督，大大减小成本的同时，提高评估的准确性和高效性。

技术实现思路

1、本发明的目的在于提供一种基于电磁侧信道的设备数字取证装置和取证方法，旨在克服现有设备数字取证技术实施繁琐、数据易失、设备加密、耗时耗能、效率低下的问题。

2、本发明为解决上述问题采用以下技术方案：

3、第一个方面，本发明提出了一种基于电磁侧信道的设备数字取证装置，包括：

4、侧信道生成模块，其用于产生电磁侧信道信号，由待测设备、电源(标准电源)、充电套装(充电线和电源适配器)构成；所述的电源通过充电套装为待测设备供电，所述待测设备具有人机交互功能，用于执行不同的交互操作；

5、侧信道采集模块，其用于移动设备在执行相关应用操作时的传导电磁信号变化信息，由采样电阻和数据采集卡构成，采样电阻的两端分别与待测设备充电接口和电源的地线相连，数据采集卡的模拟输入端与采样电阻两端连接；

6、侧信道分析模块，其用于处理采集卡收集到的电磁侧信道数据，建模电磁侧信道数据与待测设备不同交互操作之间的相关性；

7、数字取证模块，其用于根据电磁侧信道数据与待测设备不同交互操作之间的相关性，提取待测设备的相关操作信息，即分析当前犯罪分子的非法操作。

8、进一步的，所述的待测设备具有标准的充电接口，用于生成和传导电磁侧信道信息。

9、进一步的，所述的电磁侧信道数据为采样电阻两端的电压波形。

10、进一步的，所述的采样电阻大小为10ω，数据采集卡的采样率为250ksa/s，具有通信功能。

11、进一步地，所述的针对移动设备的操作包括但不限于数据级操作(如输入开机密码、键入不同的文本内容等)和应用级操作(如打开不同的应用程序、按不同的操作键、滑动屏幕等)。

12、进一步地，所述的数据侧信道分析模块通过串口连接器将数据采集卡与计算机连接，用于获取并存储采集的采样电阻两端的电压波形，并进行处理和分析。

13、进一步地，用于侧信道分析的计算机配置gpu等高速处理模块。

14、进一步地，所述的数字取证模块工作原理为对比电磁侧信道和操作之间的相关性系数，将所述系数与预设参考值进行做差比较，若差值大于或等于预设阈值，则说明用户(不法分子)正在对设备开展某项操作，可以进一步根据差值大小，输出风险等级。

15、第二个方面，本发明提出了一种上述的基于电磁侧信道的设备数字取证方法，包括以下步骤：

16、步骤1，为待测设备上电，并对待测设备开展多种交互操作，待测设备产生的电磁侧信道信号通过采样电阻传输给数据采集卡，保存采集到的电磁侧信道数据；

17、步骤2，对电磁侧信道数据进行预处理；

18、步骤3，基于不同操作下的时序特征对预处理后的电磁侧信道数据进行等样本长度分割，将电磁侧信道样本对应的交互操作标签表示为布尔向量；

19、步骤4，构建基于一维卷积神经网络的数字取证模型，利用电磁侧信道样本训练取证模型，建模电磁侧信道数据与待测设备不同交互操作之间的相关性；

20、步骤5，由训练好的取证模型对智能设备开展数字取证操作。

21、进一步的，所述的预处理包括降采样、滤波和归一化操作。

22、进一步的，所述的步骤5具体为：

23、采集目标设备的侧信道数据并降采样、滤波和分割，将分割后的电磁侧信道样本输入到训练好的取证模型中，得到电磁侧信道样本与不同操作间的相关性向量yi＝(yi1,yi2,...,yij,...yil)，1其中，yij表示第i个电磁侧信道样本与第j种操作类型的相关性；

24、从相关性向量中提取最大相关值，若某操作类型的最大相关值大于阈值，则表示不法分子正在对监测设备开展某项操作；否则，不法分子未开展非法操作。

25、本发明提出的一种基于电磁侧信道的设备数字取证装置和取证方法，操作方便，成本低，提出的安全评估方法由电脑自动完成，克服了传统设备数字取证方法存在数据易丢失、权限难获取、效率低下、成本高、易受环境因素干扰的问题。

26、与现有技术相比本发明的有益效果包括：

27、(1)本发明搭建针对设备电磁侧信道的数字取证装置，该装置结构简单，操作便捷，成本低，适用于各种移动设备的电磁侧信道采集和分析，可方便地对智能设备实现远距离的数字取证，相较于传统的数字域的数字取证，本发明在物理域实现数字取证可突破信息加密，访问受限等壁垒，以及有线接入的方式能大大降低外界噪声对电磁侧信道数据收集过程的干扰，大大提高数字取证的准确率。

28、(2)本发明提出基于电磁侧信道的设备数字取证方法，该方法能高效提取智能设备电磁侧信道特征，并分析电磁侧信道信息与设备操作之间的相关性，实现对监测设备的数字取证。相较于以往的在数字域开展数字取证的方法，如通过破解犯罪者的手机获取关键信息或操作，往往会碰到访问受限或者文件加密等问题，本发明将基于物理域的传导电磁信号，构建机器学习模型，提取传导电磁信号和具体设备操作之间的相关性，从而实现远距离数字取证，克服了数字域采样的壁垒，隐蔽性高、成本低，且不易受外界噪声干扰。此外，本发明能够有效提取电磁侧信道特征，将数字采样任务转换为一个分类问题，实现自动采样，进一步提高了数字采样准确性和高效性，减少不必要的人力和物力。