UNA REVISIÓN DEL ESTADO ACTUAL

DE LAS ONTOLOGÍAS EN EL ÁMBITO
DE LA INFORMÁTICA FORENSE


Fernando Tiverio Molina Granja,
Facultad de Ingeniería
Universidad Nacional de
Chimborazo. UNACH
Riobamba, Ecuador
Facultad de Sistemas e Informática
Universidad Nacional Mayor de San
Marcos
Lima - Perú
fmolina@unach.edu.ec
Danny Patricio Velasco Silva,
Facultad de Ingeniería
Universidad Nacional de
Chimborazo. UNACH
Riobamba, Ecuador
Facultad de Sistemas e Informática
Universidad Nacional Mayor de San
Marcos
Lima - Perú
dvelasco@unach.edu.ec
Oscar Danilo Gavilánez Álvarez
Facultad de Administración de
Empresas
Escuela Superior Politécnica de
Chimborazo. ESPOCH
Riobamba, Ecuador
Facultad de Sistemas e Informática
Universidad Nacional Mayor de San
Marcos
Lima - Perú
ogavilanez@espoch.edu.ec


RESUMEN

Este artículo, es una revisión de literatura con
respecto al uso de ontologías en el área de la
informática forense, determinado el actual estado del
arte para su definición, conceptualización y
determinación de futuras investigaciones.

A principios de los años 90, el desarrollo de la
ontología era similar a un arte: los desarrolladores de
ontologías no tenían pautas claras sobre la forma de
construir ontologías, disponían de algunos criterios
de diseño a seguir. El trabajo sobre los principios,
métodos y metodologías, así como el apoyo a las
tecnologías y los lenguajes ha permitido que el
desarrollo de la ontología se convierta en una
disciplina de la ingeniería denominada Ingeniería
Ontológica. Este término se refiere al conjunto de
actividades que conciernen al proceso de desarrollo
de la ontología y el ciclo de vida de la ontología, los
métodos y metodologías para la construcción de
ontologías, y las suites de herramientas y lenguajes
que los apoyan. Gracias al trabajo realizado en el
campo de Ingeniería Ontológica, el desarrollo de
ontologías dentro y entre equipos ha aumentado y
mejorado, así como la posibilidad de reutilización de
ontologías en otros desarrollos y aplicaciones finales.
Actualmente, las ontologías son ampliamente
utilizados en: a)Ingeniería del Conocimiento,
Inteligencia Artificial y Ciencias de la Computación,
b)las solicitudes relacionadas con la gestión del
conocimiento, el procesamiento del lenguaje natural,
el comercio electrónico, la integración inteligente de
la información, recuperación de información, diseño
de base de datos y la integración, la bio-informática,
la educación, y c) la web Semántica, la Red
Semántica, y la iniciativa de datos vinculados.
En este artículo se aborda la Ingeniería Ontológica
desde el punto de vista de su aplicación en forensia
digital.

Palabras-claves: Ontología, Digital Forense, Análisis
Forense, metadatos

INTRODUCCIÓN
Las ontologías juegan un papel importante para
muchas aplicaciones intensivas en conocimiento, ya
que proporcionan modelos formales de conocimiento
del dominio que se pueden explotar en diferentes
maneras. Cuando ontologías se van a construir,
surgen varias preguntas básicas relacionadas con las
metodologías, lenguajes y herramientas que se
utilizarán en sus procesos de desarrollo:¿Qué
métodos y metodologías se pueden utilizar para la
construcción de ontologías? ¿Qué actividades se
realizan en la construcción de ontologías con una
metodología particular? ¿Tiene alguna metodología
de apoyo ontologías construcción cooperativamente?
¿Cuál es el ciclo de vida de una ontología que se
desarrolla con una metodología específica?¿Qué
lenguajes(s) se debe utilizar para implementar una
ontología? ¿Qué expresividad tiene un lenguaje de
ontologías? ¿Cuáles son los mecanismos de
inferencia unidos a un lenguaje de ontologías? ¿Es el
lenguaje elegido apropiado para el intercambio de
información entre diferentes aplicaciones? ¿El
lenguaje de facilitar la integración de la ontología de
una aplicación?¿Qué herramienta da soporte para el
proceso de desarrollo de la ontología? ¿La
herramienta tiene un motor de inferencia? ¿Cómo
pueden las aplicaciones interoperar con servidores de
ontologías y/o utilizar las ontologías que hemos
desarrollado?

ONTOLOGIAS: DEFINICIÓN Y
METODOLOGÍAS

1.- Definición de ontología y sus principales
componentes:
La palabra ontología fue tomada de la filosofía,
donde significa una explicación sistemática del ser.
Hay muchas definiciones, sin embargo, Studer y
otros [1], proporcionan una de las definiciones más
conocidas: "Una ontología es una especificación
formal y explícita de una conceptualización
compartida”. Las ontologías pueden ser modeladas
con diferentes técnicas de modelado de conocimiento
y que pueden ser implementadas en diversos tipos de
idiomas sobre la base de diferentes formalismos de
representación del conocimiento.
Las metodologías de construcción de ontologías más
mencionadas: NeOn [2], METHONTOLOGY
[3],On-To-Knowledge [4], and DILIGENT [5], estas
metodologías incluyen principalmente las directrices
para la construcción de una sola ontología y están
dirigidos principalmente a los investigadores
ontología. A diferencia de los enfoques anteriores,
una nueva metodología, denominada Metodología
neón, sugiere itinerarios y actividades para una gran
variedad de escenarios, en lugar de prescribir un flujo
de trabajo rígido.

2.- LENGUAJES PRINCIPALES DE
ONTOLOGÍAS
Los diferentes lenguajes de ontologías tienen
diferente expresividad y mecanismos de inferencia,
ya que los paradigmas de representación del
conocimiento que subyacen a todas estas lenguas son
diversas. Por lo tanto, una de las principales
decisiones a tomar en el proceso de desarrollo de la
ontología es seleccionar el idioma en la que se
implementará la ontología.
A continuación, presentamos un resumen de las
especificaciones actuales para lenguajes de
ontologías desarrolladas en el ámbito de la Actividad
de Web Semántica del W3C.
● RDF.-Resource Description Framework.
Fue desarrollado para crear metadatos para la
descripción de recursos web y su modelo de datos es
equivalente a las redes semánticas formales, que
consta de tres tipos de objetos: los recursos, las
propiedades y declaraciones.
● RDF Schema. RDF (S) es el término
comúnmente utilizado para referirse a la combinación
de RDF y RDFS. Por lo tanto, RDF (S) combina
redes semánticas con marcos, pero no ofrece todas las
primitivas que se encuentran generalmente en los
sistemas de representación del conocimiento basadas
en fotogramas.
● OWL, es un lenguaje derivado de DAML +
OIL (van Harmelen et al., 2001) y, es para publicar y
compartir ontologías en la Web. OWL se basa en
RDF (S), tiene una estructura en capas y se divide en
tres sublenguajes: OWL Lite, OWL DL y OWL Full.
OWL se basa en Lógicas Descriptivas (Baader et al,
2002.), y su semántica se describe de dos formas
diferentes: como una extensión de la teoría de
modelos RDF (S) y como consecuencia directa de la
semántica de teoría de modelos de OWL.
● OWL 2 es una ampliación y revisión de
OWL que añade nuevas funcionalidades e incluye
tres perfiles diferentes, es decir, sublenguajes que
ofrecen importantes ventajas en escenarios de
aplicaciones específicas.

3.- HERRAMIENTAS DE ONTOLOGÍAS
El entorno de las herramientas que gestionan y
explotan ontologías es amplio y abarca desde la
creación de estas ontologías para su almacenamiento
o visualización.
A continuación, se describen las diferentes
dimensiones en las que las tecnologías semánticas
pueden ser clasificados de acuerdo a sus funciones,
estas dimensiones se basan en el Marco de la Web
Semántica [6]. La descripción de cada dimensión
contiene los nombres de algunas de las herramientas
pertinentes.
● Gestión de Ontología. Esta dimensión
incluye componentes que gestionan la información
relacionada con la ontología.a)Los almacenes de
depósito Ontología y accesos ontologías e instancias
de ontologías (por ejemplo, 3store, AllegroGraph,
Corese, Hawk, Jena, Kowari, OWLIM, Sésamo,
Universal Server Virtuoso, 4store). b)Los almacenes
de depósito alineación y accesos alineaciones (por
ejemplo, Alineación Server, COMA + +). c)El
registro almacena metadatos Ontología y accede a la
información de metadatos ontología (por ejemplo,
Oyster, SchemaWeb). d)Las interfaces de
programación de gestión de ontologías y las
instancias de la ontología (por ejemplo, OWL API,
RDF2Go, SemWeb.NET, Pubby, Elda).
● Consulta y razonamiento. Esta dimensión
incluye componentes que generan y procesan
consultas. a) La Ontología razonador se ocupa del
razonamiento sobre ontologías e instancias de
ontologías (por ejemplo, CEL, Cerebra Engine, FaCT
++, fuzzyDL, HermiT, KAON2, MSPASS, Pellet,
QuOnto, RacerPro, SHER, SoftFacts, TrOWL). b)El
componente de búsqueda semántica se ocupa de la
interfaz de usuario para la edición de consultas y de
su correspondiente procesamiento (por ejemplo,
ARQ, Ginseng, K-Search, NLP-Reduce, Ontogator,
PowerAqua, SemSearch).
● Ingeniería Ontológica. Esta dimensión
incluye componentes que proporcionan
funcionalidades para desarrollar y gestionar
ontologías.por ejemplo, DODDLE, graphl, GrOWL,
ICOM, IsaViz, NeOn Toolkit, Ontotrack, Powl,
Protégé, SemanticWorks, SemTalk, SWOOP,
TopBraid Composer.El navegador de Ontología
permite navegar visualmente una ontología (por
ejemplo, Brownsauce, BrowseRDF, Disco, /facet,
Fenfire, Jambalaya, Longwell, mSpace, OINK,
Ontosphere 3D, Ontoviz, OWLViz, RDF Gravity,
Tabulator, TGVizTab, Welkin). El versioner
Ontología mantiene, almacena y gestiona las
diferentes versiones de una ontología (por ejemplo,
SemVersion).
● Procesamiento de Ontología. El ontology
matcher (por ejemplo, AgreeMaker, AMW, AROMA,
ASMOV, automs, CMS, CODI, COMA, Ef2Match,
Falcon - AO, Gerome, HMatch, Lily, MapOnto,
Mapso, OLA, OntoBuilder, PROMPT, RiMOM, S -
Match, Sambo).o La localización de Ontología (por
ejemplo, LabelTranslator, editor de limón).
● En cuanto a la dimensión de Ingeniería
Ontológica, de especial relevancia son las plataformas
de software que cubren más que uno de los
componentes antes mencionados y que el apoyo de la
mayoría de las actividades en el proceso de desarrollo
de la ontología.

4.- LA ONTOLOGÍA FORENSE
Debido a los constantes cambios en la tecnología
digital, el poder del conocimiento permite la
innovación y ayuda en el establecimiento de normas
adecuadas y procedimientos. Como tal, es necesario
establecer una relación entre la información derivada
del conocimiento para formar nuevos conceptos e
ideas. Una ontología desempeña un papel integral en
la formación de las ideas nacientes en el ámbito
forense.
La ontología es un término tomado de la filosofía
donde el significado se centra principalmente en el
estado de la existencia, Gruber [7]. Según Guarino
[8], las ontologías están dirigidas a responder a las
preguntas relativas a aspectos comunes entre los
diversos objetos. Noy y otros [9], define la ontología
como una descripción formal contenida dentro de un
organismo especializado.
Una clara comprensión de los programas instalados
en cada SSDD (Dispositivo Digital), es necesario con
el fin de preservar adecuadamente, identificar y
extraer información útil Brinson y otros [10].
4.1.- Modelos Ontológicos.
La naturaleza misma de un dispositivo digital puede
requerir un investigador forense para establecer
procedimientos únicos para preservar, identificar y
extraer información útil.
Ciardhuáin [11], propone un modelo que se centra en
el procesamiento de la evidencia digital durante una
investigación. El modelo fue desarrollado como un
marco de referencia para discutir diferentes
escenarios de soporte, herramientas, técnicas,
formación y certificación para los investigadores.
Además, este modelo sirve como una extensión de
trabajos previos derivados de la DFRWS
(Conferencia de Investigación Digital Forense),
modelo de Reith y otros [12].
Los pasos en el proceso se concentran principalmente
en la escena del crimen, la etapa de análisis, y la
presentación de los datos.
Este enfoque se asemeja mucho trabajo realizado por
Harrill y otros [13], en lo que respecta a la
reconstrucción de una escena del crimen digital a
pequeña escala, con el fin de desarrollar un
ontológica para proporcionar las fuerzas del orden
con los conocimientos adecuados en relación con los
dispositivos que se encuentran en el SSDD de
dominio.
Algunos autores tratan de presentar sus ponencias
sobre las bases para la ontología de la ciencia forense
cibernética, la ciencia forense digital y la ontología
de dispositivos digitales de pequeña escala. El
objetivo fue definir los conceptos básicos y crear un
nuevo enfoque para el estudio del campo científico.
Park y otros [14] en la ontología forense cibernética,
la ciberdelincuencia se clasifica en dos clases,
terroristas de ciberseguridad y la ciberdelincuencia en
general.
Estas dos clases se conectan uno con el otro.
Investigación de ciberseguridad requiere de alta
tecnología. Delincuencia cibernética en general está
relacionada con la delincuencia en general por la
evidencia digital. Autores definen los conceptos y las
relaciones entre los tipos de delitos, la colección de
evidencia, el caso del delito y la ley.
La limitación de este modelo es que la ontológica se
basa menos en la evidencia digital y otras fases que
son importantes en el proceso de la investigación de
la tecnología digital y que se relaciona a tratar con la
evidencia digital. La única etapa en el proceso que
trata de pruebas digitales, que los autores mencionan
es la colección, mientras que se ignoraban otras fases
(identificación, búsqueda, transporte,
almacenamiento, exploración, análisis y
presentación).
El documento clasifica SSDDs de acuerdo a ciertos
criterios. El propósito de este trabajo es proporcionar
una guía para colocar los dispositivos digitales de
pequeña escala. Según los autores esta ontología se
puede utilizar como un método para desarrollar
además un conjunto de procedimientos estándar para
SSDD.

5.- ONTOLOGÍA EN LA SEGURIDAD Y
ANÁLISIS FORENSE INFORMÁTICO
Hay poca o ninguna investigación publicada que
especifica ontologías formales de la informática
forense o los delitos informáticos, Schatz y otros
[15], sin embargo se debe utilizar una ontología para
describir las categorizaciones y abstracción de
jerarquías que modelan los conceptos incluidos en los
registros de eventos. Reglas conscientes de
abstracción se utilizan para correlacionar eventos a
mayores abstracciones de eventos de nivel para el
propósito de la ciencia forense.
Bogen y Dampier [16] aplican el modelado de
dominio del caso como un enfoque estructurado para
el análisis de los hechos, se identifican los conceptos
de casos relevantes, y la documentación de esta
información. Su atención se centra en el modelado
como una metodología en base a una herramienta
conceptual que informa, en lugar de un medio de
fijación de la semántica a la evidencia material.
Una serie de aplicaciones de ontologías se han
observado en el campo de la seguridad informática,
especialmente en relación con la detección de
intrusiones. Raskin y otros [17] abogan por la
adopción de la ontología como un poderoso medio
para organizar y unificar la terminología y
nomenclatura del campo de la seguridad de la
información.
El uso de la ontología en el campo de la seguridad de
información aumenta la sistemática, permite la
modularidad y podría hacer nuevos fenómenos
predecibles dentro del dominio de seguridad.
Schumacher [18] se centra en enfoques sistemáticos
para mejorar la seguridad del software, mediante el
uso de patrones de seguridad y la aplicación de los
patrones de diseño de enfoque de la seguridad. Las
ontologías se utilizan como un medio para modelar
tanto los conceptos de seguridad a que se refieren por
los patrones, así como los propios patrones.
"Target Centric Ontología para la Detección de
Intrusos" es un modelo que describe el ataque
informático y fue producido por Undercoffer y otros
[19], su ontología se basa en las siguientes clases
básicas: Host, componentes del sistema, ataques,
entrada, medios. Se utiliza esta ontología como
modelo para una regla basada en IDS distribuida. La
ontología "Entidad Diagrama de relaciones de red
(ERNE)" Goldman y otros [20] se define como un
componente de un prototipo de fusión de alerta IDS,
Scyllarus, la cual se define en la primera descripción
del ambiente Clásico, Borgida y otros [21]. Sólo la
ontología, que contiene conceptos enfocados en torno
a la red y el host que se publicaron.

5.1.- Identificación de la evidencia y los metadatos
En RDF, temas, predicados y objetos se nombran
mediante un URI, se utiliza una categoría especial de
URI llamado Uniform Resource Name (URN)
Moates [22] para identificar repositorios de pruebas
digitales e instancias de metadatos, un URN está
destinado a servir como un identificador de recurso
independiente de la ubicación persistente. El
identificador LSID en base a la norma Seneger [23]
propone un esquema de URN específica para
evidencia digital. El esquema se denomina
Identificador de evidencia digital (deid) y se basa en
la organización del usuario de la herramienta, emplea
algoritmos de resumen de mensaje como un
identificador único global.

5.2.- Tecnología: hardware
Según Brinson y otros [10] la sección de hardware
debe ser dividido en cinco partes diferentes:
dispositivos digitales de gran escala a pequeña escala,
SSDD, computadoras, dispositivos de
almacenamiento y dispositivos oscuros.
La categoría de los dispositivos de almacenamiento
es para el hardware que se utiliza específicamente
para el almacenamiento y nada más. La categoría de
dispositivos oscuros identifica el hardware que tiene
algunas de las mismas capacidades que un ordenador,
sin embargo, que no es el propósito principal del
dispositivo.
A los efectos de esta ontología, SSDD se desglosa en
los teléfonos celulares, PDA y el software SSDD.
Los PDAs y teléfonos celulares son temas muy
prevalentes dentro del análisis forense cibernético
debido a los avances en la tecnología. NIST ha
creado una guía para el análisis forense de PDA para
tratar de cerrar la brecha entre el fenómeno de la
tecnología reciente con la informática forense clásica,
Jansen y Ayers [24].
El Software SSDD es comparable a un sistema
operativo en un equipo, la sección de la computadora
en el modelo se divide en cuatro categorías:
ordenadores de sobremesa, portátiles, servidores, y
tabletas.
5.3.- Tecnología: Software
La sección de software contiene tres categorías:
Herramientas de análisis, sistemas operativos y
sistemas de archivos. Con el fin de ser capaz de
analizar los medios de comunicación para una
investigación, uno debe estar familiarizado con las
diferentes herramientas de análisis, Rogers [25].
Según Wheeler [26], la categoría de sistema
operativo también fue disuelta por código abierto y
propietario. Un sistema operativo de código abierto
ofrece a los usuarios la libertad de ejecutar el
programa para cualquier propósito, estudiar,
modificar el programa y redistribuir copias del
programa, ya sea original o modificado, Microsoft
fue el proveedor del sistema operativo más prevalente
que se utiliza para los servidores web y representó
casi el 50%.
Según Brinson y otros [10] dos ejemplos de
herramientas de esta naturaleza son EnCase y File
Tool Kit (FTK), dos herramientas de código abierto
son Hound y Sleuthkit, es valioso saber cuáles son las
herramientas de código abierto ya que estas
herramientas libres podrían ser suficientes para
completar una investigación y puede ahorrar a las
organizaciones mucho dinero si entienden las
funciones de estas herramientas y son capaces de
utilizarlas.
Actualmente, los dos sistemas de archivos para
Windows son NTFS y FAT. Ambos serían buenas
zonas para la especialización y certificación. NTFS
es un sistema de archivos completamente diferente de
FAT, por lo que podría ser una ventaja estar
familiarizado con ambos según Rogers [25].

6.- HERRAMIENTAS DE ANÁLISIS DIGITAL
FORENSE
Según Schatz [27] las preocupaciones de los oficiales
de la corte y los jurados resumen las minucias de la
tecnología digital en general, y son altamente
dependientes del testimonio de testigos expertos en
reducción de la brecha en la comprensión. Los peritos
e investigadores forenses digitales a su vez dependen
de herramientas forenses digitales en interpretación
de la evidencia digital. Los primeros practicantes de
la informática forense utilizan herramientas genéricas
de sistemas operativos, si bien existe un segmento de
mercado comercial floreciente hoy en cuanto a las
herramientas que producen para el mercado de la
informática forense, la investigación digital
comúnmente requiere el uso de múltiples tipos de
herramientas.

6.1.- Herramientas de adquisición
Esta clase de herramientas sirven para hacer una
copia exacta de una escena digital de delito, que se
conoce comúnmente como una imagen. El principio
fundamental de preservar la integridad de la escena
del crimen, por ejemplo, un disco duro, es rutinaria
mediante el uso de bloqueadores de escritura de
hardware o sistemas operativos modificados para
evitar la escritura en los medios de la escena del
crimen. Un hash criptográfico de los medios de la
escena del crimen, tomada en el momento de la
adquisición, forma la base de la cadena de custodia y
mantenimiento de la integridad mediante la
vinculación de la evidencia física de la que se deriva
la escena del crimen digital. En algunas
jurisdicciones, es una práctica de rutina para imprimir
una copia de este el hash para usar como una nota
contemporánea para establecer este vínculo.

6.2.- Examen y análisis de las herramientas
En los primeros días de la ciencia forense, la función
primordial del análisis forense digital, hace uso de
herramientas para interpretar los datos brutos en
información, han surgido herramientas integradas que
proporcionan las diversas técnicas para buscar,
navegar, filtrar y examinar la información.
EnCase y FTK son herramientas de análisis de los
medios de almacenamiento que proporcionan
principalmente funciones de interpretación
estructurales a lo largo de un conjunto común de
tipos de evidencia. Similar funcionalidad se
proporciona en las herramientas de código abierto,
Forenses Toolkit9 (TCT) y La Sleuth Kit (TSK), que
se basan en la anterior.

CONCLUSIONES

Es necesario definir metodologías específicas para la
realidad forense, y a partir de ella generar
herramientas y lenguajes que permitan al
investigador forense lograr una mayor eficiencia y
una mejor seguridad de las evidencias y su
procesamiento.

La preservación digital en ámbitos forenses en una
tema aún no abordado, o escasamente tratado por lo
que resulta necesario definir un modelo de
preservación digital forense aplicable a instituciones
de investigación criminal en entornos reales que
requieran almacenar y acceder a contenidos a largo
plazo.

Hay una falta sobre el estudio científico en el uso de
la ontología en el campo forense digital. Ya que el
conocimiento de los aspectos técnicos no es
suficiente, es necesario conocer la ley, aspectos
legales e implicaciones del proceso de presentación
de la evidencia digital en los tribunales.

El campo de la ciencia forense ha establecido
políticas recomendadas, procedimientos y
herramientas con el fin de examinar a gran escala
dispositivos digitales, también conocido como el
sistema de computadora personal.

Es necesario el uso de ontologías para la descripción
de categorizaciones y abstracción de jerarquías que
modelan los conceptos incluidos en los registros de
eventos, en este sentido la investigación digital
requiere el uso de múltiples tipos de herramientas.

REFERENCIAS

[1]Studer, R., Benjamins, V. R., Fensel, D. (1998)
“Knowledge Engineering: Principles and Methods”.
Data & Knowledge Engineering (25). Pages: 161-
197.

[2]Suárez-Figueroa, M.C. (2010) “NeOn
Methodology for Building Ontology Networks:
Specification, Scheduling and Reuse”. PhD Thesis,
Spain. Universidad Politécnica de Madrid. June 2010.
http://oa.upm.es/3879/

[3]Gómez-Pérez, A., Fernández-López, M., Corcho,
O. (2003) “Ontological Engineering”. Springer
Verlag. Advanced Information and Knowledge
Processing series. ISBN 1-85233-551-3. November
2003.

[4]Staab, S., Schnurr, H.P., Studer, R., Sure, Y.
(2001) “Knowledge Processes and Ontologies”. IEEE
Intelligent Systems 16(1):26–34.

[5]Pinto, H. S., Tempich, C., Staab, S. (2004)
“DILIGENT: Towards a fine-grained methodology
for DIstributed, Loosely-controlled and evolvInG
Engineering of oNTologies”. In Ramón López de
Mantaras and LorenzaSaitta, Proceedings of the 16th
European Conference on Artificial Intelligence
(ECAI 2004), August 22nd - 27th, pp. 393--397. IOS
Press, Valencia, Spain, August 2004. ISBN: 1-58603-
452-9. ISSN: 0922-6389.

[6]García-Castro, R., Muñoz-García, O., Gómez-
Pérez, A., Nixon, L. (2009) “Towards a component-
based framework for developing Semantic Web
applications”. 3rd Asian Semantic Web Conference
(ASWC 2008). 2-5 February, 2009. Bangkok,
Thailand.

[7]Gruber. T. “What is an Ontology?,” 2004.
[Online]. Available: http: //www-
ksl.stanford.edu/kst/what-is-an-ontology.html.
[Accessed January 31, 2014].

[8]Guarino, N. (1995). Formal ontology, conceptual
analysis and knowledge representation. International
Journal of Human-Computer Studies, 43(5), 625-640.

[9]Noy, N. F., & McGuinness, D. L. (2001).
Ontology development 101: A guide to creating your
first ontology.

[10]Brinson, A., Robinson, A., & Rogers, M. (2006).
A cyber forensics ontology: Creating a new approach
to studying cyber forensics. digital investigation, 3,
37-43.

[11]Ciardhuáin, S. Ó. (2004). An extended model of
cybercrime investigations.International Journal of
Digital Evidence, 3(1), 1-22.

[12]Reith, M., Carr, C., & Gunsch, G. (2002). An
examination of digital forensic models. International
Journal of Digital Evidence, 1(3), 1-12.

[13]Harrill, D. C., & Mislan, R. P. (2007). A small
scale digital device forensics ontology. Small Scale
Digital Device Forensics Journal, 1(1), 242.

[14]Park, H; Cho, S.H; Kwon,H.C. Forensic in
Telecommunication, Information and Multimedia, e-
Forensic [Conference]. - Adelaine,
Australia: SpringerLink, 2009. - DOI:10.1007/978-
3-642-02312-5.


[15]B Schatz, G Mohay, A Clark, (2004)
“Generalising Event Forensics Across Multiple
Domains” presented at the 2004 Australian Computer
Network and Information Forensics Conference
(ACNIFC).

[16]Bogen, A.C., Dampier, D.A., (2005), „Preparing
for Large-Scale Investigations with Case Domain
Modeling‟, In 2005 Digital Forensics Research
Workshop (DFRWS), New Orleans, LA, 17–19
August 2005.

[17]Raskin, V., Hempelmann, C. F., Triezenberg, K.
E. and Nirenburg, S. (2001) 'Ontology in information
security: a useful theoretical foundation and
methodological tool', In Workshop on New Security
Paradigms, Cloudcroft, New Mexico.

[18]Schumacher, M. (2003) 'Security Engineering
with Patterns', Lecture Notes in Computer Science,
vol. 2754.

[19]Undercoffer, J. L., Joshi, A., Finin, T., and
Pinkston, J., „A Target Centric Ontology for Intrusion
Detection: Using DAML+OIL to Classify Intrusive
Behaviors‟ Knowledge Engineering Review, January
2004.

[20]Goldman, R., Heimerdinger, W., Harp, S., Geib,
C., Thomas, V. and Carter, R. (2001) 'Information
Modeling for Intrusion Report Aggregation', In
DARPA Information Survivability Conference and
Exposition II, IEEE, Anaheim, CA

[21]Borgida, A., Brachman, R. J., McGuinness, D. L.
and Resnick, L. A. (1989) 'CLASSIC: A Structural
Data Model for Objects', In ACM SIGMOD
International Conference on Management of Data,
Portland, Oregon, pp. 58-67.

[22]Moates, R., (1997), URN Syntax,
http://www.ietf.org/rfc/rfc2141.txt, Accessed 4
February 2014.

[23]Seneger, M., (2004), Life Sciences Identifiers
LSID Response,
http://www.omg.org/cgibin/doc?lifesci/2003-12-02 ,
Accessed 4 February 2014.

[24]Jansen W, Ayers R. Guidelines on PDA forensics
[NIST 800-72]. Gaithersburg, MD: National Institute
of Standards and Technology; 2004.

[25]Rogers M. File systems. Media analysis.
Presented at a CPT 499F lecture at Purdue
University; 2006.

[26]Wheeler D. Why open source software/free
software? Look at the numbers! Available from:
http://www.dwheeler.com/oss_fs_why.html
Accessed, 7 February 2014

[27]Schatz, B. L. (2007). Digital evidence:
representation and assurance.