數據挖掘技術在計算機取證系統中應用

時間:2022-11-06 05:03:26

導語:數據挖掘技術在計算機取證系統中應用一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

數據挖掘技術在計算機取證系統中應用

摘要:計算機取證技術的主要作用是提供不法分子的違法犯罪證據,對可靠性要求較高,它是進行信息提取、存儲、分析再得出電子證據的有效手段。與計算機相關的犯罪信息數據都可以使用計算機取證技術對大量的數據進行智能分析。然而隨著科技的發展,傳統的計算機取證技術在當前發展迅猛的網絡科技面前已經顯得力不從心,因此,數據挖掘作為一個具有創新性和實用性的技術可以用作處理巨大規模的數據。數據挖掘技術在速度、精確度以及準確性上都具有無可比擬的優勢。本文就數據挖掘技術在計算機取證分析系統中的應用展開研究。

關鍵詞:數據挖掘技術;計算機取證分析系統;應用

0前言

互聯網行業的快速發展,給我們的生活帶來了極大的便利,但計算機網絡犯罪也隨之增加,為個人、集體乃至于國家帶來損失。因此,網絡安全相關的問題現在越來越受到人們的重視,為打擊計算機網絡犯罪的計算機取證系統也由傳統的技術走向了更為先進的數據挖掘技術,使網絡安全更上了一個臺階。在進行計算機取證時,首先在海量的數據中收集出與犯罪相關的證據數據,再以此為基礎,分析出犯罪行為證據,這個過程就是計算機取證的過程。實際上,計算機取證不僅僅只是對數據進行分析,它還可以深入挖掘犯罪分子的證據。在傳統的處理數據方法中,面對龐大的數據,效率低下,時間周期過長,而利用數據挖掘技術來處理這些數據,能夠保證所得到的信息更加完整、準確,并且速度會快很多。數據挖掘能在規模龐大、信息不連續的數據中,將可能的以及有用的信息提取出來,這些提取的數據依據結構的不同分為半結構化數據和異構性數據。計算機取證時,利用數據挖掘技術進行隱藏模式的挖掘,通常來說,共有兩種模式:

(1)描述型;

(2)預測型。數據挖掘技術可以利用所得的數據總結出相關的規律,能夠把數據中的大量有用的東西挖掘出來,為決策者提供數據基礎。利用這一點,在各類網絡計算機犯罪中,就可以使用數據挖掘技術來得到有效的犯罪分子的違法信息,為國家的網絡安全部門、辦案人員提供有效信息,減小辦案的難度。

1計算機取證分析技術

1.1存在問題

計算機犯罪與傳統的犯罪不同,它具有特殊性和電子證據的特點,它在數據量上非常龐大,并且格式繁多復雜。當前,我國所使用的傳統取證的方式有兩種:

(1)模式配比:快速獲取一些標志性的攻擊行為。在入侵檢測時,它依據用戶所建立起的模型進行行為模式的匹配,來監督計算機入侵的發生。這種方式雖然在一定程度上能發現系統被入侵的情況,但是,在實際的操作中,很容易出現誤報或者無法發現入侵的情況。這種方式一般情況下適用于系統入侵檢測,在對計算機取證領域,還沒有多大的作用;

(2)關鍵字查找:這種方式適用于數據源單一的情況,如果在數據規模龐大,種類繁多,那么如何找出在不同的數據源之間的聯系是解決這個問題的關鍵。

1.2計算機取證步驟

證據在法律上要求是完整的、準確的,因此,在進行數據收集時,要避免數據受到破壞,保護數據的完整性。另外要注意網絡對數據采集的影響,不要在網絡波動較大的時間段收集數據。采集的過程要透明、可見,保證數據的正確性。收集網絡信息數據時,要保證它的完整性,完整的數據有利于計算機犯罪信息的分析,幫助快速定位。目前來說,使用較多的方式就是存儲所有網絡報文,記錄一個完整的體系。這種方式把數據完整地存儲了起來,數據信息都不會丟失,在受到網絡攻擊后,也能利這存儲的數據進行情景再現,找出攻擊的源頭,但是,這種做法占用極大的存儲空間和網絡帶寬。

完成了網絡數據的收集后,對所收集到的信息進行處理。面對龐大的網絡數據信息,數據分析的工作顯得非常重要。對收集的信息進行分析,將網絡入侵分析出來,對系統進行快速的恢復和重建,減小受到的損失。在進行數據分析時,一般是分階段進行的:第一階段就是基礎分析;第二階段是將所得的數據進行深入的分析。在第二階段,分析時由于數據來源、事件原因等等原因導致深入分析時,情況會常地復雜,做好充分的架構以應對這一階段的工作。在進行計算機取證時,可能會出現誤報和遺漏的情況,即使出現了這種現象,也可以通過原始的數據分析出來具本的情況。計算機在進行取證時,記錄會伴隨著事件的整個生命周期,以獲得事件的連續記錄。在記錄的時候,做好網絡取證的情況分析以及所帶數據準確性的分析,在信息丟失時,將原因,時間記錄下來,保存到數據庫中。另外,對操作員對系統的操作,也要進行記錄,以保證所得數據的客觀性。對所收集到的信息進行保存,再對這些信息進行篩選分析,將所得結果當作證據,提供給公安機關或者法庭。

2計算機取證分析系統中數據挖掘技術的應用

2.1系統結構

包括數據采集模塊、入侵檢測模塊、數據分析模塊、證據鑒定模塊和證據保全模塊五大模塊。

(1)數據采集模塊:負責收集網絡運行的數據,將網絡攻擊和入侵信息記錄起來,并保存其它的可用信息;

(2)入侵檢測模塊:負責系統防護,對系統的所有活動進行監測,一旦發現了有非法入侵時,就進行告警。入侵檢測在傳統的檢測基礎之上以正常的檢測模塊和異常檢測模塊相結合的方式組合成新的入侵防御體系,在出現了異常之后,會對數據分析模塊發送入侵信息;

(3)數據分析模塊:以數據挖掘為基礎,對收集到的數據信息進行處理,結果將會生成與案件相關的電子證據,以發現入侵的來源且進行防御攻擊來保護數據和系統的安全;

(4)證據鑒定模塊:對計算機的設備進行鑒定,如存儲設備、軟件設備以及其它的硬件設備等等,以發現犯罪的實證與電子證據之間的互相關系,以提供更加強有力的證據;

(5)證據保全模塊:即經過數據挖掘出的證據存儲到數據庫中,保護證據的安全性。

2.2數據挖掘方法

動態取證是對事前進行數據收集,即在違法人員對數據的損毀之前將數據收集起來,這樣即使數據遭受到了修改、刪除等破壞行為,原數據以及破壞數據的人都將記錄下來,定位違法人員的全程違法行為,這信息被記錄的信息包括:IP、時間、操作事件等。針對這種動態的取證系統,數據挖掘技術可以有效地解決掉取證時需要的真實有效、功能可擴展以及適應性要求高的問題。因此,在本系統中,具體應用到的數據挖掘辦法主要如下:

(1)關聯分析:即利用關聯規則來進行數據的挖掘,主要有兩個方式:①找出頻繁項集大于預定義數的頻繁項;②由上一步的頻繁項集進行比對,找出滿足最小的支持度與最小置信度的數據。在面對龐大的數據時,利用這一分析法,大大減小了數據分析花費的時間,還為動態取證的實效性提供了保證;

(2)聯系分析:該方法將用戶和程序之間的行為關聯在了一起,分析在操作計算時的事件序列,分析出作案的技術、工具以及時間等各種表象特征之間的關系。利用這種在聯系關系,建立起安全防御的異常模型,并對它進行實時的更新,以保證數據的實效性和準確性;

(3)分類分析:對已經存儲入數據庫中的數據進行建模分析,對不同種類的數據,分門別類進研究,制定出分類的規則。在動態取證的系統數據分析階段,以分類的規則判斷數據是否合法,以及用戶和操作是否合法,對違規的操作進行記錄,保存非法操作的信息。這樣就能對未知的一些數據進行以類別判斷是否違規,提升數據分析的智能性。

3結語

將數據挖掘技術引入計算機取證系統中去,大大提高了取證系統的運行效率,幫助取證系統能夠快速有效地進行取證操作,實現了動態取證以及智能取證的功能。但是,由于當前數據挖掘技術還不夠完善,網絡犯罪的行為和技術也在不斷地變化發展,因而,在計算機取證上,仍面臨著較大的挑戰。所以,使用更加智能化的數據挖掘技術來挖取網絡犯罪信息,是今后計算機取證系統的發展方向。

參考文獻

[1]孟強,李海晨.Web數據挖掘技術及應用研究[J].電腦與信息技術,2017,(1):59-62.

[2]張蕊,齊曉霞.數據挖掘技術在網絡安全中的應用研究[J].西安文理學院學報(自然科學版),2017,(2):29-33.

[3]謝怡文.試分析數據挖掘技術在Web預取中的應用[J].電腦編程技巧與維護,2017,(7):66-67+74.

[4]曹敏.計算機取證技術及其發展趨勢研究[J].無線互聯科技,2017,(6):42-43.

[5]黃燦.基于Windows平臺的計算機取證系統研究與實現[D].電子科技大學,2014.

[6]姜雪晴.基于數據挖掘的電子證據分析模型研究[D].南京郵電大學,2014.

[7]高川凱.淺析計算機取證技術[J].信息系統工程,2017,(2):19.

作者:王懋 單位:陜西財經職業技術學院