Domain-specific forensic process models for media forensics : a discussion based on the example application domains of face morph attack detection, DeepFake detection and forensic steganalysis

Abstract

This cumulative habilitation treatise is a moderated collection of previously published scientific work in the domain of media forensics. The newly written chapters 1 to 4 provide a framework to project the content of the individual original papers onto the common perspective of this habilitation project. Media forensics is a young sub-discipline of digital forensics and focuses on the examination of me- dia and multimedia objects in different contexts, ranging from general digital evidence to analyses of specific media types (e.g., video or image) to specific semantic analyses, such as facial identification or speaker recognition. Since this field is so wide, and media forensics in general is still considered by many as rather immature, there is a need to expand domain-specific forensic process models. The intention behind this modelling work is to create and maintain the trustworthy and validated foren- sic procedures required in up-to-date investigations that face various technical challenges in terms of significantly growing amounts of devices and data to be analysed, new file types and data formats, and an ever increasing number of potential data sources. In addition to these technical challenges, the forensic practitioners also face organisational issues that influence the evolution of forensic process models. Such issues include, among other things, new requirements for the reproducibility, auditability and contestability of forensic results that have been obtained using any form of investigation method based on machine learning. In this treatise, twelve previously published papers on media forensics methods are aggregated into a wider perspective on the creation and expansion of domain-specific forensic process models. With face morphing attack detection, DeepFake detection and forensic steganalysis, these papers cover three application domains in media forensics selected as illustrative examples. For these application domains, the previously published work used in this treatise is re-iterated and put into perspective using five requirements that focus on the following considerations: • Describing necessary conditions for using a media forensics method • Standards for the evaluation of new methods • Standardisation of investigation processes • Causes and standards for the re-evaluation of methods • Publication of methods and processes The results presented and discussed on the basis of these requirements provide a common perspec- tive on the conceptual and operational modelling work of the author and his co-authors in the three application domains mentioned above. This modelling work is based on established best practices (in the case of this treatise, the code of practice for IT forensics provided by the German Federal Office for Information Security (BSI) as well as selected European Network of Forensic Science Institutes (ENFSI) Best Practice Manuals) and expands these at various points by adding important aspects, such as a domain-adapted data model for media forensics as well as a proposal for the fine-grained operational modelling of media forensics (sub-)processes. The descriptive summary of the modelling aspects is then followed by a structured set of conclusions and considerations on potential future work. The latter address aspects of future research and development as well as recommendations for improved operations. In order to manage expectations, it must be clearly stated here that this work does not pretend to present a complete overview of the current state of the art in IT forensics, its sub-discipline of media forensics or the selected application domains of face morphing attack detection, DeepFake detection and forensic steganalysis. This treatise does not provide a guideline for the development of media foren- sics methods from academic research into industry-strength forensic tools. Furthermore, an academic publication such as this habilitation treatise cannot propose guidelines or even standard operational procedures for a forensics sub-domain. This is not the author’s intention and would require standards published by the corresponding authority, e.g. the German BSI. What a publication like this treatise might achieve is to provide stakeholders like ENFSI (representing forensic practitioners) or policy makers in executive systems with arguments and recommendations for updating established best practices or policy documents.

Diese kumulative Habilitationsschrift ist eine moderierte Sammlung von bereits veröffentlichten wis- senschaftlichen Arbeiten im Kontext der Medienforensik. Die neu verfassten Kapitel 1 bis 4 bieten einen Rahmen, um die Inhalte der einzelnen Originalarbeiten auf die gemeinsame Perspektive dieses Habili- tationsprojekts zu projizieren. Die Medienforensik ist eine relativ junge Teildisziplin der digitalen Forensik und befasst sich mit der Untersuchung von Medien- und Multimediaobjekten in verschiedenen Zusammenhängen, die von allge- meinen digitalen Beweisen über Analysen spezifischer Medientypen (z. B. Video oder Bild) bis hin zu spezifischen semantischen Analysen wie Gesichtserkennung oder Sprechererkennung reichen. Da dieser Bereich so breit gefächert ist und die Medienforensik als Wissenschaftsdisziplin im Allgemeinen von vielen noch als recht unausgereift angesehen wird, besteht die Notwendigkeit, domänenspezifische forensische Prozessmodelle zu erarbeiten. Die Absicht hinter diesen Modellierungsarbeiten ist es, die vertrauenswürdigen und validierten forensischen Verfahren zu schaffen und zu erhalten, die in fo- rensischen Untersuchungen benötigt werden. Diese müssen sich dabei verschiedenen technischen Her- ausforderungen in Bezug auf die wachsenden Mengen an zu analysierenden Geräten und Daten, neue Dateitypen und Datenformate und eine immer größer werdende Anzahl von potenziellen Datenquellen stellen. Neben diesen technischen Herausforderungen sehen sich Forensiker auch mit organisatorischen Fragen konfrontiert, welche die Entwicklung forensischer Prozessmodelle beeinflussen. Zu diesen Fragen gehören unter anderem neue Anforderungen an die Reproduzierbarkeit, Überprüfbarkeit und Anfechtbar- keit forensischer Ergebnisse, die mit einer auf maschinellem Lernen basierenden Untersuchungsmethode erzielt wurden. In dieser kumulativen Habilitationsschrift werden zwölf bereits veröffentlichte wissenschaftliche Arbeiten zusammengeführt, um darauf aufbauend eine umfassendere Sichtweise auf die Erstellung bzw. Erwei- terung von domänenspezifischen forensischen Prozessmodellen zu ermöglichen. Die wissenschaftlichen Arbeiten behandeln mit der Erkennung von Face-Morphing-Angriffen, der DeepFake-Erkennung und der forensischen Steganalyse drei ausgewählte Anwendungsbereiche der Medienforensik, die hier der Veranschaulichung dienen sollen. Für diese Anwendungsbereiche werden ausgewählte Inhalte der verwendeten Arbeiten auszugsweise zusammengefasst und anhand der folgenden fünf Anforderungen neu in Zusammenhang gesetzt: • Beschreibung notwendiger Bedingungen für die Anwendung einer medienforensischen Methode • Standards für die Bewertung neuer Methoden • Standardisierung von Untersuchungsprozessen • Auslöser und Standards für die Neubewertung von Methoden • Veröffentlichung von Methoden und Verfahren Die auf Grundlage dieser Anforderungen zusammengefassten und diskutierten Ergebnisse bieten ei- ne gemeinsame Perspektive auf die konzeptionellen und operativen Modellierungsarbeiten des Autors und seiner Mitautoren in den drei oben genannten Anwendungsbereichen. Diese Modellierungsarbeiten basieren auf etablierten Best Practices (im Falle dieser kumulativen Habilitationsschrift der ‘Leitfaden IT-Forensik’ des Bundesamtes f¨ur Sicherheit in der Informationstechnik (BSI) sowie ausgewählte Best Practice Manuals des European Network of Forensic Science Institutes (ENFSI)) und erweitern diese an verschiedenen Stellen um wichtige Aspekte wie ein domänenangepasstes Datenmodell für die Me- dienforensik sowie einen Vorschlag zur feingranularen operativen Modellierung von medienforensischen (Teil-)Prozessen. Auf die Zusammenfassung der Modellierungsaspekte folgt in der vorliegenden Arbeit eine strukturierte Reihe von Schlussfolgerungen sowie Überlegungen zu möglichen künftigen Arbeiten. Letztere umfassen potenzielle Aspekte für die künftige Forschung und Entwicklung sowie Empfehlungen für eine verbes- serte Umsetzung im Rahmen der Entwicklung und der Ausführung von forensischen Prozessen. Um die Erwartungen an die Inhalte dieser Arbeit zu steuern, muss an dieser Stelle erwähnt werden, dass diese nicht den Anspruch erhebt, einen vollständigen Überblick über den aktuellen Stand der Technik in der IT-Forensik, in der Teildisziplin der Medienforensik oder in den ausgewählten Anwendungsbereichen der Erkennung von Face-Morphing-Angriffen, der DeepFake-Erkennung und der forensischen Steganalyse zu geben. Diese Habilitationsschrift bietet keinen Leitfaden für die komplette (Software-)Entwicklung der Ergebnisse akademischer Forschung zu medienforensischen Methoden hin zu industrietauglichen forensischen Werkzeugen. Auch kann eine akademische Publikation wie diese Habilitationsschrift kei- ne Leitlinien oder gar verbindliche Standards für einen forensischen Teilbereich vorschlagen. Dies ist nicht die Absicht des Autors und würde normative Verfahren erfordern, die von einer entsprechenden Behörde, wie z. B. dem deutschen BSI, durchgeführt werden müssten. Eine Publikation wie diese Ha- bilitationsschrift könnte höchstens Gremien wie dem ENFSI oder Entscheidungsträgern Argumente und Empfehlungen für die Aktualisierung von Best Practices oder Vorgaben liefern.