計(jì)算機(jī)動(dòng)態(tài)取證數(shù)據(jù)挖掘研究

導(dǎo)語：計(jì)算機(jī)動(dòng)態(tài)取證數(shù)據(jù)挖掘研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)犯罪事件的數(shù)量增加，其類型、形式等也層出不窮，傳統(tǒng)的靜態(tài)取證已不能滿足辦案的需要，計(jì)算機(jī)動(dòng)態(tài)取證應(yīng)運(yùn)而生。筆者分析了數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)動(dòng)態(tài)取證中的應(yīng)用現(xiàn)狀，并提出了基于數(shù)據(jù)挖掘技術(shù)計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)的構(gòu)建方法，其目的是為從事計(jì)算機(jī)動(dòng)態(tài)取證及研究數(shù)據(jù)挖掘等相關(guān)人員提供一定的參考。

關(guān)鍵詞：數(shù)據(jù)挖掘；動(dòng)態(tài)取證；關(guān)聯(lián)規(guī)則

計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)是用來為辦案機(jī)關(guān)提供實(shí)時(shí)信息數(shù)據(jù)的關(guān)鍵技術(shù)，其不僅能夠獲取與犯罪過程相關(guān)的數(shù)據(jù)信息，還能對其進(jìn)行分析，以提高辦案人員的工作效率。然而，隨著實(shí)時(shí)更新的海量數(shù)據(jù)的劇增，僅靠單一的計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)已難以滿足取證應(yīng)用需求。為此，需要研究一種新技術(shù)來解決這一問題。而數(shù)據(jù)挖掘的研究和應(yīng)用正在社會(huì)各個(gè)領(lǐng)域蓬勃發(fā)展，它能從大量數(shù)據(jù)中采用快速有效的方法獲得有用的知識(shí)和信息。因此，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于計(jì)算機(jī)動(dòng)態(tài)取證過程中，能夠有效提升動(dòng)態(tài)取證的準(zhǔn)確性、完整性和智能性。

1計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)簡介

所謂計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)是通過信息獲取、信息保存、信息分析以及電子證據(jù)提取等相關(guān)步驟，來為辦案機(jī)關(guān)提供犯罪分子的作案證據(jù)。相關(guān)研究表明，計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)能夠從大量的信息數(shù)據(jù)中獲取與犯罪過程有關(guān)的信息內(nèi)容，并對其進(jìn)行智能化分析。這樣一來，辦案人員就能在最短時(shí)間內(nèi)按照獲取的犯罪信息來確定查案方向，進(jìn)而為快速破案提供科學(xué)技術(shù)保證。此外，計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)還能最大限度地保證犯罪信息的安全，并對入侵者的記錄進(jìn)行分析，以防止信息被盜。這一入侵控制的檢測系統(tǒng)為網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)NIDS（NetworkIntrusionDetectionSystem），是由計(jì)算機(jī)網(wǎng)絡(luò)管理人員對計(jì)算機(jī)動(dòng)態(tài)取證信息運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控的重要系統(tǒng)。

2計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)現(xiàn)狀

計(jì)算機(jī)犯罪取證與其他犯罪取證不同，其具有一定特殊性。計(jì)算機(jī)犯罪取證一般分為兩個(gè)步驟，首先是從實(shí)體存儲(chǔ)設(shè)備或計(jì)算機(jī)系統(tǒng)獲取、收集、保全數(shù)據(jù)，然后就是進(jìn)行數(shù)據(jù)證據(jù)的恢復(fù)、分析、保存和提交等。就目前來說，由于計(jì)算機(jī)取證數(shù)據(jù)量非常龐大并且實(shí)時(shí)更新，在計(jì)算機(jī)動(dòng)態(tài)取證過程中，主要存在以下主要問題：收集或分析會(huì)破壞數(shù)據(jù)證據(jù)的原始狀態(tài)，對于法庭或是立法機(jī)關(guān)來說不易理解，數(shù)字化數(shù)據(jù)或隱藏性數(shù)據(jù)信息不具直觀性；取證技術(shù)應(yīng)用人員的專業(yè)水平高低不同；信息技術(shù)發(fā)展進(jìn)程過快以及數(shù)字信息轉(zhuǎn)換具有短暫性。此外，隨著計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的帶寬不斷增加，計(jì)算機(jī)動(dòng)態(tài)取證信息的數(shù)據(jù)量在不斷增加，這就使得過多的日志或是實(shí)際上不重要的日志得到保存。在此情況下，就需要采取更加科學(xué)有效安全的方法來保存如此海量的信息數(shù)據(jù)。此外，在計(jì)算機(jī)動(dòng)態(tài)取證過程中如何合理高效地智能化地應(yīng)用分析數(shù)據(jù)也是一個(gè)新的問題，因?yàn)閭鹘y(tǒng)的分析判斷已不能滿足辦案的需求。這就使得計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)人員不僅要從海量的數(shù)據(jù)信息中提取犯罪特征的數(shù)據(jù)，還要對不斷更新的特征信息內(nèi)容進(jìn)行判斷。因此，在很大程度上阻礙了計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)應(yīng)用的智能化發(fā)展。針對這一問題，相關(guān)技術(shù)人員可將數(shù)據(jù)挖掘技術(shù)應(yīng)用于其中，以解決上述問題給計(jì)算機(jī)動(dòng)態(tài)取證工作帶來的困難。

3數(shù)據(jù)挖掘在計(jì)算機(jī)動(dòng)態(tài)取證中的應(yīng)用現(xiàn)狀

數(shù)據(jù)挖掘是從信息處理的角度出發(fā)，通過計(jì)算機(jī)快速準(zhǔn)確地分析數(shù)據(jù)，也就是從數(shù)據(jù)庫以及數(shù)據(jù)倉庫中挖掘與目標(biāo)對象有關(guān)的數(shù)據(jù)信息，以幫助人們基于大量數(shù)據(jù)作出判斷和決策等。該技術(shù)應(yīng)用于計(jì)算機(jī)動(dòng)態(tài)取證過程后，其是由數(shù)據(jù)采集、存儲(chǔ)、分析、變換、評(píng)估、記錄等內(nèi)容組成。由此可見，其主要的功能應(yīng)用體現(xiàn)在挖掘出與取證對象相關(guān)的模式數(shù)據(jù)。主要模式類型涉及關(guān)聯(lián)分析、孤立點(diǎn)分析、分類分析以及預(yù)測分析等。關(guān)聯(lián)分析是通過犯罪行為與關(guān)聯(lián)規(guī)則進(jìn)行匹配分析，即挖掘不同行為的關(guān)聯(lián)特征，進(jìn)而分析同一事件在不同計(jì)算機(jī)動(dòng)態(tài)證據(jù)之間的聯(lián)系。分類分析，則是先分析出異常數(shù)據(jù)和正常數(shù)據(jù)的樣本，來找出不同信息數(shù)據(jù)之間的分類規(guī)則。具體是通過判定樹、數(shù)學(xué)公式來提高測試樣本評(píng)估的準(zhǔn)確性，此過程，技術(shù)人員可以利用形成的準(zhǔn)確率模型，對其他數(shù)據(jù)樣本進(jìn)行分類分析。與此同時(shí)，將以上技術(shù)方法作用于計(jì)算機(jī)動(dòng)態(tài)取證的數(shù)據(jù)分析階段，不但實(shí)現(xiàn)了對數(shù)據(jù)信息的特征分類，還能將可能行為作為犯罪證據(jù)或犯罪動(dòng)機(jī)的信息數(shù)據(jù)記錄下來，進(jìn)而解決僅僅靠計(jì)算機(jī)動(dòng)態(tài)取證不能很好滿足的智能化、有效性以及實(shí)時(shí)性問題需求。為此，相關(guān)研究人員應(yīng)通過構(gòu)建科學(xué)合理的數(shù)據(jù)挖掘動(dòng)態(tài)取證系統(tǒng)，來實(shí)踐計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)應(yīng)用的智能性。

4基于數(shù)據(jù)挖掘的計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)的構(gòu)建

4.1系統(tǒng)模型的構(gòu)建。基于數(shù)據(jù)挖掘的計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)由數(shù)據(jù)挖掘、數(shù)據(jù)獲取、數(shù)據(jù)分析以及證據(jù)鑒定和證據(jù)保全、證據(jù)提交模塊組成。其中，數(shù)據(jù)挖掘模塊的功能是對數(shù)據(jù)倉庫的數(shù)據(jù)進(jìn)行收集、選擇、轉(zhuǎn)換，運(yùn)用關(guān)聯(lián)規(guī)則分析、分類，應(yīng)用聯(lián)系分析技術(shù)方法來發(fā)現(xiàn)事件之間在時(shí)空上的聯(lián)系，從而獲得用于數(shù)據(jù)分析的特征、模式、規(guī)律及知識(shí)。數(shù)據(jù)鑒定模塊是對所收集來的電子證據(jù)通過中央處理器、存儲(chǔ)器、網(wǎng)絡(luò)設(shè)備、集線器等硬件設(shè)備來源和軟件來源進(jìn)行鑒定，找到數(shù)據(jù)證據(jù)和犯罪行為之間的關(guān)系，從而準(zhǔn)確定位和確定犯罪。數(shù)據(jù)保全則是將鑒定出來的證據(jù)采用數(shù)據(jù)加密、摘要或簽名技術(shù)進(jìn)行加密并傳送到證據(jù)庫。入侵檢測模塊的主要作用是全面監(jiān)測系統(tǒng)進(jìn)行的操作活動(dòng)，即一旦監(jiān)測到非法入侵者進(jìn)入系統(tǒng)則及時(shí)報(bào)警。數(shù)據(jù)獲取模塊不僅要從系統(tǒng)文件和日志文件、網(wǎng)絡(luò)數(shù)據(jù)等依法安全提取動(dòng)態(tài)數(shù)據(jù)，還要從網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)接收報(bào)警數(shù)據(jù)，同時(shí)將數(shù)據(jù)處理成匹配數(shù)據(jù)倉庫存儲(chǔ)格式后再存入數(shù)據(jù)倉庫。從而，相關(guān)辦案工作人員就能根據(jù)準(zhǔn)確分析犯罪證據(jù)而生成完整的報(bào)告，依照相關(guān)法律程序提交法庭。4.2關(guān)聯(lián)分析的應(yīng)用。關(guān)聯(lián)分析類似于購物籃分析，根據(jù)頻繁項(xiàng)組成關(guān)聯(lián)規(guī)則。在動(dòng)態(tài)取證過程中，可以運(yùn)用規(guī)則分析犯罪行為之間的關(guān)聯(lián)特征，獲取不同犯罪類型的共同特征，或者同一事件的不同行為間的規(guī)則，然后把分析數(shù)據(jù)和記錄數(shù)據(jù)匯總到數(shù)據(jù)表。在分析動(dòng)態(tài)取證的數(shù)據(jù)時(shí)，就可以把用戶行為與關(guān)聯(lián)規(guī)則庫中的規(guī)則進(jìn)行匹配，從而判斷用戶行為是否合法、是否與某一犯罪事件相關(guān)等，這時(shí)既可以把可能的犯罪證據(jù)提取出來存儲(chǔ)到證據(jù)庫，也可以把將可疑數(shù)據(jù)反饋到NIDS中。這樣不僅能解決數(shù)據(jù)量龐大的問題，而且也快速處理了實(shí)時(shí)數(shù)據(jù)并保障了數(shù)據(jù)安全。4.3分類技術(shù)的應(yīng)用。分類是一種重要的數(shù)據(jù)分析方式，通過分析已知數(shù)據(jù)對象預(yù)測未知數(shù)據(jù)對象，從而讓我們更全面地理解數(shù)據(jù)，在數(shù)據(jù)挖掘技術(shù)中被廣泛應(yīng)用。同理，動(dòng)態(tài)取證在獲取階段就已收集了用戶大量的正常或異常的數(shù)據(jù)，在數(shù)據(jù)分析階段就可以應(yīng)用分類技術(shù)預(yù)測用戶是否非法、合法，將評(píng)估出的非法行為記錄下來，作為犯罪證據(jù)或動(dòng)機(jī)分析的依據(jù)，從而提高數(shù)據(jù)分析的智能性。4.4關(guān)鍵技術(shù)方法。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)中，構(gòu)建該系統(tǒng)的關(guān)鍵技術(shù)方法有以下三方面。（1）針對計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)的信息數(shù)據(jù)龐大問題，系統(tǒng)構(gòu)建人員可通過采用數(shù)據(jù)挖掘的特征序號(hào)分析技術(shù)，從而減少計(jì)算機(jī)取證技術(shù)人員的工作量和提高犯罪證據(jù)數(shù)據(jù)內(nèi)容的準(zhǔn)確率。（2）針對計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)獲取信息類型的復(fù)雜性，系統(tǒng)構(gòu)建技術(shù)人員可通過關(guān)聯(lián)規(guī)則分析，以提高犯罪信息判定以及分析的準(zhǔn)確性。（3）針對計(jì)算機(jī)動(dòng)態(tài)取證信息的網(wǎng)絡(luò)環(huán)境的安全性，系統(tǒng)構(gòu)建技術(shù)人員可通過入侵檢測模塊來實(shí)現(xiàn)入侵活動(dòng)的報(bào)警，從而解決計(jì)算機(jī)犯罪信息處在網(wǎng)絡(luò)變化性環(huán)境的安全威脅問題。

5結(jié)語

綜上所述，隨著計(jì)算機(jī)技術(shù)的發(fā)展和計(jì)算機(jī)犯罪的多樣性及復(fù)雜性，計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)在不斷研究與完善發(fā)展的過程中面臨新的技術(shù)難題和嚴(yán)峻的挑戰(zhàn)。因此，數(shù)據(jù)挖掘技術(shù)結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)、人工智能等可以較好地解決相關(guān)技術(shù)問題，通過對大量的動(dòng)態(tài)實(shí)時(shí)數(shù)據(jù)進(jìn)行挖掘分析，提取犯罪證據(jù)相關(guān)數(shù)據(jù)信息，有助于提高計(jì)算機(jī)動(dòng)態(tài)取證的專業(yè)性、智能性和高效性，從而有效打擊計(jì)算機(jī)網(wǎng)絡(luò)入侵等犯罪活動(dòng)，維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全環(huán)境及社會(huì)治安，保障人民群眾的人身財(cái)產(chǎn)安全，構(gòu)建和諧社會(huì)。

作者:李艷花 單位:云南工程職業(yè)學(xué)院

參考文獻(xiàn)

[1]李建偉.基于距離的孤立點(diǎn)挖掘在計(jì)算機(jī)取證中的應(yīng)用研究[J].電子技術(shù)與軟件工程,2015(9):206-207.

[2]湯龍.數(shù)據(jù)挖掘在計(jì)算機(jī)取證分析中的應(yīng)用研究[J].電腦知識(shí)與技術(shù),2015(17):16-17.

[3]劉琴.判定樹算法在計(jì)算機(jī)取證中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件,2008(7):40-41.

[4]穆瑞輝.計(jì)算機(jī)取證分析系統(tǒng)中數(shù)據(jù)挖掘技術(shù)的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2012(24):108-109.

[5]曾倩倩.數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)犯罪取證中的應(yīng)用[J].通訊世界,2016(12):83.

[6]魏利梅.基于數(shù)據(jù)挖掘的計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)[J].山西警官高等專科學(xué)校學(xué)報(bào),2009(4).

[7]鐘秀玉,凌捷.計(jì)算機(jī)動(dòng)態(tài)取證的數(shù)據(jù)分析技術(shù)研究[J].計(jì)算機(jī)應(yīng)用與軟件,2004(9).