An Ontology for Digital Forensics in IT Security Incidents - OPUS
An Ontology for Digital Forensics in IT Security Incidents - OPUS
An Ontology for Digital Forensics in IT Security Incidents - OPUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
4 CONTENTS<br />
5.1.4 Storage . . . . . . . . . . . . . . . . . . . . . . . . . . 36<br />
5.1.5 SPARQL . . . . . . . . . . . . . . . . . . . . . . . . . 37<br />
5.2 <strong>Ontology</strong> Tools . . . . . . . . . . . . . . . . . . . . . . . . . . 38<br />
5.2.1 Altova Semantic Works . . . . . . . . . . . . . . . . . 38<br />
5.2.2 Protégé . . . . . . . . . . . . . . . . . . . . . . . . . . 39<br />
5.2.3 Gephi . . . . . . . . . . . . . . . . . . . . . . . . . . . 39<br />
5.2.4 RDF Gravity . . . . . . . . . . . . . . . . . . . . . . . 39<br />
5.2.5 Cytoscape . . . . . . . . . . . . . . . . . . . . . . . . . 39<br />
5.2.6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . 39<br />
5.2.7 Raptor RDF and GraphViz . . . . . . . . . . . . . . . 40<br />
5.3 Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40<br />
5.3.1 Neo4J . . . . . . . . . . . . . . . . . . . . . . . . . . . 40<br />
5.3.2 Sesame . . . . . . . . . . . . . . . . . . . . . . . . . . 40<br />
6 Forensic <strong>Ontology</strong> 43<br />
6.1 Forensic Object . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
6.2 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
6.3 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44<br />
6.4 User . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45<br />
6.5 Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45<br />
6.6 Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45<br />
6.7 Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46<br />
6.8 File System . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46<br />
6.9 Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50<br />
6.10 Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51<br />
6.10.1 Hard Disk . . . . . . . . . . . . . . . . . . . . . . . . . 51<br />
6.10.2 Random Access Memory . . . . . . . . . . . . . . . . . 52<br />
6.10.3 Registry . . . . . . . . . . . . . . . . . . . . . . . . . . 53<br />
7 Implementation 55<br />
7.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55<br />
7.2 RDFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55<br />
7.3 RDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56<br />
7.4 Volatility plug<strong>in</strong>: hivedump2 . . . . . . . . . . . . . . . . . . 56<br />
7.5 Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58<br />
7.6 SPARQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58<br />
7.6.1 F<strong>in</strong>d File . . . . . . . . . . . . . . . . . . . . . . . . . 58<br />
7.6.2 Autorun . . . . . . . . . . . . . . . . . . . . . . . . . . 60<br />
7.6.3 Parent Process . . . . . . . . . . . . . . . . . . . . . . 60<br />
7.7 Add<strong>in</strong>g additional data: Log les . . . . . . . . . . . . . . . . 63<br />
7.8 Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64