DFB Metodolojisi
Adli bilişim araçları ve AI ajanlar için soundness odaklı, anti-forensics katmanlı bir benchmark. Bu sayfa yaşayan metodoloji ve eşlik eden araştırma makalesinin çalışan taslağıdır.
1. Boşluk
Mevcut forensic araç testleri (NIST CFTT, CFReDS, DFRWS challenge'ları, vendor CTF'leri) büyük ölçüde statik, recall-odaklı ve AI-öncesidir. Hiçbiri vakaları anti-forensics zorluğuna göre katmanlamaz ve kritik olarak hiçbiri soundness ölçmez: bir aracın yerleştirilmiş sahte delile direnci. Anti-forensics yaygınlaşırken ve otonom AI ajanları sahaya girerken; tekrarlanabilir, adversaryal, soundness-farkında bir benchmark yoktur. DFB bu boşluğu doldurur.
2. Model
Bir challenge; adli artefakt, objektif cevaplı gizli ground-truth soru seti, otomatik puanlayıcı, anti-forensics seviyesi ve sürüm hash'inden oluşur. Ground-truth enstrümante bir VM'de üretilir: senaryoyu tam kayıt altında oynarız, her eylem loglanır, cevap anahtarı otoriter olur. Tüm veri sentetiktir.
3. Anti-forensics katmanlama (AF-0..AF-4)
| Seviye | Düşman |
|---|---|
| AF-0 | Temiz artefakt, gizleme yok. |
| AF-1 | Temel silme ve gizleme (slack, ADS, basit wipe). |
| AF-2 | Timestomp, log temizleme, steganografi, şifreleme. |
| AF-3 | Gizli birim, journal/USN wipe, fileless bellek, yerleştirilmiş sahte iz. |
| AF-4 | Çok-teknik zincirli, anti-tool yapılar, ileri suite'leri yenmek için tasarlanmış aldatma. |
4. Puanlama: soundness imzası
- Recall. Doğru bulguların zorluk ve AF ağırlıklı toplamı.
- Soundness (precision). TP / (TP + FP). Yerleştirilmiş sahte izi gerçek raporlamak ya da gerçekten kurtarılamayanı kurtardım demek ağır cezalıdır.
- Güven kalibrasyonu. Araçlar güven skoru verir; aşırı-güvenli yanlış cevaplar ekstra cezalandırılır.
- AF-Resilience. Bir aracın doğruluğunun çöktüğü anti-forensics seviyesi.
- Mahkeme-grade çıktı. Sadece cevap değil: yapılandırılmış adli rapor (bulgu, kanıt, metodoloji) savunulabilirlik için puanlanır.
Sertifikasyon kademeleri: Bronze, Silver, Gold ve DSET Forensics Certified, kriptografik doğrulanabilir rozet olarak verilir.
5. Deney: ölçüm aparatı
İlk canlı aparat, saf-Python hattımızla üretilen üç tekrarlanabilir challenge'dır: carving ve slack vakası (AF-1), LSB steganografi vakası (AF-2) ve gömülü bir RAM bölgesinde sızan anahtarın keystream konteyneri çözdüğü çapraz-artefakt kripto vakası (AF-3). Her biri, gizli ve sunucu-tarafı ground-truth anahtarıyla indirilebilir bir artefakt sunar. Herhangi bir araç, AI ajan ya da uzman artefaktı indirir, çözer ve cevapları halka açık puanlama API'sine gönderir.