Timeframe-based contiguous file carving in video surveillance systems

Abstract

I straffesaker er ofte overvåkingsfilm en viktig del av bevisbildet. Det er viktig å få innhentet opptakene så tidlig som mulig på grunn av krav om sletting og lagringsplass på overvåkingssystemene. På grunn av personvernregler blir ofte opptak slettet etter en uke, og da kan bevis forsvinne om det ikke er innhentet innen det. I løpet av en etterforsking kan det også dukke opp nye bevis som gjør nye områder eller tidsrom aktuelt for innhenting av overvåkingsmateriale, og da kan gjenoppretting av slettede opptak være avgjørende.

Gjenoppretting av slettede data fra uallokerte områder på en harddisk er kjent som 'carving'. Det finnes flere metoder for å gjenopprette data, og en av de mer grunnleggende er å søke etter kjente start- og slutt-signaturer i en fil. For denne er det viktig at filtypen har en definert start og slutt. En annen utprøvd metode er bilde-basert gjenoppretting. Denne leter etter de miste bestanddelene i en videofil, enkeltbilder, og gjenoppretter videoen ved å sette samme alle enkeltbildene. I tillegg kan denne metoden håndtere filer som er delvis overskrevet, samt filer som er lagret på spredte plasser på harddisken. Men, disse generiske metodene kan ha problemer med å gjenopprette overvåkingsmateriale på grunn av at dette ofte lagres i proprietære filformater.

For all videodata som lagres er det svært viktig å lagre tidspunkt sammen med videoen, slik at det er mulig å tidfeste en hendelse. Og mens overvåkingssystemer kjører lagrer de en konstant strøm med ny videodata, og sletter gammel data fortløpende, enten på grunn av personvernhensyn eller for å unngå at lagringsplassen går fullt.

Vi presenterer metoder som gjenoppretter overvåkingsmateriale fra flere overvåkingssystemer, inkludert Milestone, Mirasys, Avigilon og Detec, der gjenopprettingen fokuserer på et gitt tidsrom. Ved å finne gjentakende mønster omkring tidsstempler i videodataene, lages et søkemønster med mulighet for å definere et aktuelt tidsrom for å søke etter videodata. I de data som ligger omkring tidsstemplene har vi funnet nok informasjon om størrelser og avstander til å gjenopprette de tilhørende videodata. I våre resultater virker metodene til å være lovende med svært høye verdier for presisjon og gjenkallelse.

I tillegg har vi utviklet en metode og et verktøy for å analysere og gjenkjenne mønster i videodata, disse mønstrene kan bestå av tidsstempel, signaturer, størrelse- og avstandsinformasjon. I vår analyse av videodata fra de forskjellige overvåkingssystemene ble denne metoden brukt til å lage gjenopprettingsmetodene for slettet overvåkingsfilm. Vi håper at denne analysemetoden og verktøyet kan danne grunnlaget for å gjenkjenne mønster i andre lignende systemer.

Surveillance video is often a crucial piece of evidence in criminal investigations. It is time critical to collect the video data before it is made unavailable due to privacy policies or hard drive storage capacities. The video data is often deleted within a week or so, and if it's not collected by then, the evidence might be lost. Additional evidence may surface during the investigation in certain criminal cases, and retrieving deleted surveillance videos is often crucial.

The recovery of deleted data, data from unallocated areas of the hard drives, is commonly known as carving. There are several methods of carving data; searching for a header-footer signature is one of the most basic methods and is suitable for files with a recognizable signature to determine the start and end of the file. Another reliable method is frame-based carving, which involves searching for the smallest parts of a video (frames) and reconstructing the video. This method can effectively handle fragmented and partly overwritten files. However, when it comes to retrieving surveillance video, it may not always be successful due to the unique file formats used by surveillance systems.

The surveillance systems store timestamps along with the video data to help determine when an incident occurred. And while the systems are running, they are constantly storing new video data, and either by privacy policies or to prevent reaching storage capacity, the system deletes older video data.

We propose carving methods for several surveillance systems, including \linebreak Milestone, Mirasys, Avigilon, and Detec, that recover video data within a timeframe of interest. By identifying patterns surrounding timestamps in the video data, our methods search for those patterns with a regular expression. The regular expression matches a range of timestamps to include a time frame of interest. In the data surrounding the timestamps, we find information to carve out the corresponding frame data. Our results indicate that the methods have very high precision and recall values for retrieving old video data not yet overwritten.

We also present a method and a tool to discover patterns of timestamps, signatures, offsets, and size information within the video data. We use this method in our video data analysis and present these patterns as part of developing the carving algorithms. We hope this method and tool may lay the foundation for recognizing patterns in other systems.