數(shù)據(jù)挖掘在計(jì)算機(jī)取證分析中的應(yīng)用研究

湯龍

摘要：在高科技技術(shù)不斷發(fā)展的現(xiàn)代社會(huì)，計(jì)算機(jī)技術(shù)已經(jīng)在人們的生活中普及，它在給人們生活帶來便利的同時(shí)也給犯罪分子創(chuàng)造了作案空間。相對于傳統(tǒng)的計(jì)算機(jī)取證技術(shù)，數(shù)據(jù)挖掘能夠在計(jì)算機(jī)取證分析中發(fā)揮更重要的作用。該文就數(shù)據(jù)挖掘在計(jì)算機(jī)取證分析中的應(yīng)用進(jìn)行探討。

關(guān)鍵詞：數(shù)據(jù)挖掘；計(jì)算機(jī)取證；應(yīng)用

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）17-0016-02

由于互聯(lián)網(wǎng)技術(shù)和計(jì)算機(jī)技術(shù)的普及，人們的生活也因此更加便利。但正是因?yàn)橄冗M(jìn)技術(shù)的發(fā)展，使犯罪分子在作案時(shí)能夠有更大的空間。網(wǎng)絡(luò)在使用過程中具有隱蔽性和開放性，也能提高工作的效率，許多犯罪分子利用信息網(wǎng)絡(luò)的特點(diǎn)進(jìn)行作案，出現(xiàn)了不同類型的犯罪方式。計(jì)算機(jī)系統(tǒng)一方面給人們生活帶來了便利，一方面也給犯罪分子創(chuàng)造了作案條件，針對這種情況必須采取有效措施，而通過計(jì)算機(jī)取證技術(shù)將能夠有效打擊計(jì)算機(jī)犯罪行為。

1 計(jì)算機(jī)取證技術(shù)

1.1 計(jì)算機(jī)取證技術(shù)的介紹

計(jì)算機(jī)取證技術(shù)在法庭上能夠有效的提供犯罪分子的作案證據(jù)，并具有一定的說服力，它主要是通過獲取信息、保存信息、分析以及提取電子證據(jù)來完成的。計(jì)算機(jī)取證技術(shù)能夠通過大量的信息來獲取計(jì)算機(jī)犯罪的相關(guān)數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行智能分析。計(jì)算機(jī)取證技術(shù)能夠快速準(zhǔn)確的獲取到大量的犯罪證據(jù)，然后將所有證據(jù)保存，最后再進(jìn)行提取。查案人員可以通過加算機(jī)取證技術(shù)所提供的證據(jù)，在最快的時(shí)間內(nèi)作出正確的決策。另外計(jì)算機(jī)取證技術(shù)也能夠保證網(wǎng)絡(luò)系統(tǒng)的安全，對入侵者能夠做好記錄并進(jìn)行分析，阻止入侵行為[1]。

1.2 計(jì)算機(jī)取證的步驟

在計(jì)算機(jī)取證中對數(shù)據(jù)的采集是非常重要的步驟，它能夠?yàn)楂@取證據(jù)提供有效的依據(jù)。由于證據(jù)必須具有準(zhǔn)確性和完整性，所以在進(jìn)行數(shù)據(jù)采集時(shí)，必須要保證數(shù)據(jù)的完整，不能更改數(shù)據(jù)或者使數(shù)據(jù)遭到破壞，并要使系統(tǒng)不會(huì)受到網(wǎng)絡(luò)流量變化的影響，在采集數(shù)據(jù)時(shí)要保證采集的過程透明，并要對網(wǎng)絡(luò)進(jìn)行檢測，使其不會(huì)被影響。

數(shù)據(jù)的采集具有完整性，在對數(shù)據(jù)進(jìn)行分析時(shí)，通過完整的數(shù)據(jù)很容易查出計(jì)算機(jī)犯罪的相關(guān)數(shù)據(jù)?，F(xiàn)在使用較多的一種系統(tǒng)的主要方法是對所有報(bào)文進(jìn)行保存，這樣就行了一個(gè)非常完整的網(wǎng)絡(luò)流量記錄體系[2]。通過這種方式能夠?qū)?shù)據(jù)和報(bào)文進(jìn)行完整的保存，使數(shù)據(jù)和信息不會(huì)被丟失，并能夠恢復(fù)黑客攻擊的場景。使用這種方式在多個(gè)方面都能達(dá)到很好的效果，但是在儲(chǔ)存方面卻需要占用較大的空間。

在對數(shù)據(jù)進(jìn)行采集和保存之后，需要對數(shù)據(jù)進(jìn)行全面的分析。數(shù)據(jù)分析在計(jì)算機(jī)取證當(dāng)中尤為重要。通過數(shù)據(jù)分析能夠?qū)⑷肭中袨樽R(shí)別數(shù)來，并能夠進(jìn)行恢復(fù)和重建，這將能使入侵所造成的損失減小。在進(jìn)行數(shù)據(jù)分析時(shí)一般采用的方式是分階段進(jìn)行，首先進(jìn)行基礎(chǔ)分析，然后再進(jìn)行深入分析。通過情況下，在取證方面進(jìn)行基礎(chǔ)分析便能夠?qū)栴}解決。另外深入分析比較復(fù)雜，所包含的方面較多，主要有對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行重組、分析數(shù)據(jù)來源、對網(wǎng)絡(luò)事件的現(xiàn)場進(jìn)行還原等。當(dāng)然，在計(jì)算機(jī)取證技術(shù)中存在著誤報(bào)或漏報(bào)的現(xiàn)象，但即時(shí)出現(xiàn)這樣的情況，也能夠通過原始數(shù)據(jù)進(jìn)行分析和驗(yàn)證。

計(jì)算機(jī)取證記錄能夠?qū)⑹录倪^程進(jìn)行貫穿，使其能夠更加清晰并具有連續(xù)性。在記錄過程中，對于網(wǎng)絡(luò)取證的相關(guān)情況以及數(shù)據(jù)進(jìn)行準(zhǔn)確的分析，對丟失報(bào)文和信息方面做好記錄，記錄內(nèi)容包括報(bào)文和信息丟失的時(shí)間和丟失的原因。并對操作員在進(jìn)行取證操作時(shí)的所有行為進(jìn)行記錄。計(jì)算機(jī)取證系統(tǒng)通過對數(shù)據(jù)進(jìn)行采集和保存，然后對保存的數(shù)據(jù)進(jìn)行分析，最后再將分析出的相關(guān)證據(jù)提供給法庭作為犯罪分子的作案證據(jù)。

由于計(jì)算機(jī)犯罪的形式比較特殊，所以在進(jìn)行計(jì)算機(jī)取證時(shí)也會(huì)出現(xiàn)一些新問題。在進(jìn)項(xiàng)數(shù)據(jù)時(shí)容易出現(xiàn)原始數(shù)據(jù)被更改的現(xiàn)象，而且一些相關(guān)法律對計(jì)算機(jī)取證的過程還并不了解。另外在計(jì)算機(jī)中所存在的信息量非常多，許多數(shù)據(jù)都比較深入，這使得許多數(shù)字都缺少直觀性，比如數(shù)字化數(shù)據(jù)、隱藏?cái)?shù)據(jù)等。信息技術(shù)的發(fā)展非常迅速，在發(fā)展過程中將會(huì)導(dǎo)致信息技術(shù)的不斷變化，而大量證據(jù)數(shù)據(jù)將會(huì)出現(xiàn)無法記錄的情況，這是計(jì)算機(jī)取證技術(shù)中的重要難題。由于計(jì)算機(jī)取證中的許多數(shù)據(jù)更新迅速，所以計(jì)算機(jī)取證技術(shù)需要更加專業(yè)[3]。在進(jìn)行取證時(shí)，必須確保取證的有效性，所獲取的證據(jù)的方法要具有可適應(yīng)性以及可擴(kuò)展性。所以關(guān)于計(jì)算機(jī)取證技術(shù)還需要不斷的創(chuàng)新和發(fā)展。

2 數(shù)據(jù)挖掘技術(shù)

2.1 數(shù)據(jù)挖掘技術(shù)的介紹

計(jì)算機(jī)取證主要是通過在大量數(shù)據(jù)中對有關(guān)證據(jù)數(shù)據(jù)進(jìn)行收集和保存，然后經(jīng)過分析之后所獲得犯罪行為證據(jù)的過程。而實(shí)際上計(jì)算機(jī)取證技術(shù)并不只是對計(jì)算機(jī)數(shù)據(jù)和報(bào)文進(jìn)行分析，而是通過有效手段對犯罪證據(jù)進(jìn)行挖掘，作為打擊犯罪行為的重要依據(jù)。在傳統(tǒng)取證方法中，對證據(jù)的獲取具有局限性，不夠完整和準(zhǔn)確，所花費(fèi)的時(shí)間也較長，通過數(shù)據(jù)挖掘技術(shù)能夠使計(jì)算機(jī)取證更加完整和準(zhǔn)確。數(shù)據(jù)挖掘能夠在大量的不完整且模糊的信息和數(shù)據(jù)中，對隱藏的具有潛在作用的信息和數(shù)據(jù)進(jìn)行分析并將其提取出來，所提取的數(shù)據(jù)能夠分為不同的結(jié)構(gòu)，包括半結(jié)構(gòu)化和異構(gòu)性數(shù)據(jù)。發(fā)現(xiàn)知識(shí)的方法包括數(shù)學(xué)的、非數(shù)學(xué)的、歸納的、演繹的等。在發(fā)現(xiàn)知識(shí)之后數(shù)據(jù)可以進(jìn)行自身維護(hù)[4]。在數(shù)據(jù)挖掘技術(shù)中包含了對數(shù)理統(tǒng)計(jì)技術(shù)的運(yùn)用，也對知識(shí)工程等進(jìn)行了總結(jié)，因此形成數(shù)據(jù)挖掘技術(shù)獨(dú)有的理論體系。數(shù)據(jù)挖掘技術(shù)所設(shè)計(jì)到的技術(shù)有機(jī)器學(xué)習(xí)、數(shù)據(jù)庫、粗糙集、數(shù)理統(tǒng)計(jì)等。數(shù)據(jù)挖掘技術(shù)的功能很多，主要有關(guān)聯(lián)、預(yù)測、演變等，根據(jù)實(shí)際情況的要求可以使不同的功能發(fā)揮其作用。

2.2 數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證領(lǐng)域中意義

數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證過程中，能夠?qū)﹄[藏的模式進(jìn)行挖掘，所發(fā)現(xiàn)的模式通常為描述型和預(yù)測型兩種模式。其中描述型模式主要是將數(shù)據(jù)的事實(shí)情況進(jìn)行規(guī)范的描述，將數(shù)據(jù)的主要特性表現(xiàn)出來。預(yù)測型模式是通過時(shí)間來進(jìn)行預(yù)測的，通過對歷史和當(dāng)前的時(shí)間內(nèi)的值進(jìn)行分析來預(yù)測未來的值。在計(jì)算機(jī)取證中，對原始數(shù)據(jù)進(jìn)行分析，將正常行為數(shù)據(jù)和異常行為數(shù)據(jù)進(jìn)行區(qū)分是非常關(guān)鍵的。這就需要對數(shù)據(jù)挖掘的不同算法進(jìn)行研究，數(shù)據(jù)瓦局的算法主要有關(guān)聯(lián)分析算法、分類分析算法、序列分析算法等。其中通過網(wǎng)絡(luò)連接的記錄情況，可以將關(guān)聯(lián)分析算法在屬性關(guān)系中進(jìn)行使用，序列分析算法可以在時(shí)序關(guān)系中使用。通過關(guān)聯(lián)分析算法和序列分析算法能夠?qū)⒄Ｐ袨槟Ｊ絽^(qū)分出來，可以在出現(xiàn)異常行為時(shí)通過這兩種方法進(jìn)行檢測。分類分析算法能夠?qū)?shù)據(jù)中的正常行為數(shù)據(jù)和異常行為數(shù)據(jù)的規(guī)則進(jìn)行辨別[5]。數(shù)據(jù)挖掘的分析過程對提取特征及規(guī)則方面具有非常好的效果，能夠?qū)?shù)據(jù)中的大量隱藏模式提取出來，使其成為決策的有效依據(jù)。通過數(shù)據(jù)挖掘技術(shù)能夠在各類數(shù)據(jù)中提取到有效的信息，為打擊犯罪行為提供可靠的證據(jù)，使辦案人員在追查和打擊犯罪行為時(shí)更加容易。

3 數(shù)據(jù)挖掘在計(jì)算機(jī)取證分析中的應(yīng)用

在計(jì)算機(jī)取證中最關(guān)鍵的環(huán)節(jié)就是數(shù)據(jù)分析，數(shù)據(jù)分析是根據(jù)犯罪行為的具體過程來對數(shù)據(jù)進(jìn)行分析，選擇出相關(guān)的數(shù)據(jù)。當(dāng)原始數(shù)據(jù)被犯罪分子更改或者刪除之后，通過數(shù)據(jù)挖掘計(jì)算能夠?qū)⑵溥M(jìn)行記錄。計(jì)算機(jī)取證取藥從大量的數(shù)據(jù)中將犯罪行為數(shù)據(jù)分析并提取出來，計(jì)算機(jī)取證的過程具有智能性。在進(jìn)行計(jì)算機(jī)取證時(shí)對技術(shù)方面具有很高的要求，而且要保證所取證的數(shù)據(jù)完整和準(zhǔn)確，并要數(shù)以取證的有效性和可擴(kuò)展性，這樣才能夠使數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證中發(fā)揮更大的作用。數(shù)據(jù)挖掘技術(shù)通常在大量模糊的數(shù)據(jù)中進(jìn)行使用，能夠?qū)⒋罅坎煌耆臄?shù)據(jù)進(jìn)行挖掘，發(fā)現(xiàn)出有價(jià)值的數(shù)據(jù)和信息。數(shù)據(jù)挖掘的主要方法有關(guān)聯(lián)分析、分類分析以及序列分析等。

3.1關(guān)聯(lián)分析

關(guān)聯(lián)分析的主要是通過關(guān)聯(lián)規(guī)則來對大量數(shù)據(jù)進(jìn)行挖掘。在計(jì)算機(jī)取證過程中，使用關(guān)聯(lián)規(guī)則來對犯罪行為的有關(guān)數(shù)據(jù)和特征進(jìn)行提取，所提取到的特征很可能是已經(jīng)通過預(yù)處理的，對于不同形式的犯罪特征進(jìn)行挖掘，并根據(jù)這些特征之間的聯(lián)系進(jìn)行分析，對審計(jì)數(shù)據(jù)進(jìn)行整理，并連同整理后的網(wǎng)絡(luò)數(shù)據(jù)一起存入到數(shù)據(jù)表中，將數(shù)據(jù)記錄整理到行中，將系統(tǒng)特征整理到列中，對所有提取的數(shù)據(jù)進(jìn)行分析，根據(jù)具體行為和關(guān)聯(lián)規(guī)則來對當(dāng)前用戶進(jìn)行分析，判斷其是否存在犯罪特征，也很有可能會(huì)成為犯罪行為的重要依據(jù)。要對數(shù)據(jù)進(jìn)行加密然后傳導(dǎo)證據(jù)庫中，還要將入侵行為的數(shù)據(jù)傳到入侵系統(tǒng)中進(jìn)行檢測，這樣能夠通過關(guān)聯(lián)規(guī)則對大量的數(shù)據(jù)進(jìn)行分析，使數(shù)據(jù)分析的速度得到很大提高，使計(jì)算機(jī)取證具有實(shí)時(shí)性[6]。在關(guān)聯(lián)分析算法中，可以將關(guān)聯(lián)規(guī)則表示為A→B規(guī)則，A、B所代表的是同一記錄的屬性集，那么可以將關(guān)聯(lián)規(guī)則表示為：

A→B[S%，C%]，其中，S%——規(guī)則的支持度，C%——規(guī)則的可信度。

3.2 分類分析

分類分析主要是對需要分析的示例數(shù)據(jù)庫進(jìn)行分析，并對其中的相關(guān)數(shù)據(jù)進(jìn)行判斷，通過分析將不同類型數(shù)據(jù)的特征描述出來，然后建立相應(yīng)的分析模型，對分類的規(guī)則進(jìn)行挖掘，并將數(shù)據(jù)庫中的所有記錄傳送至分類規(guī)則中。對數(shù)據(jù)進(jìn)行分類的目的主要是對提取數(shù)據(jù)的不同特征，并使其匪類為不同的模型，這種模型能夠?qū)?shù)據(jù)源中的數(shù)據(jù)傳送到其它類別當(dāng)中。在計(jì)算機(jī)取證中，當(dāng)采集到的數(shù)據(jù)和信息符合要求之后，在對所采集的數(shù)據(jù)進(jìn)行分析時(shí)，要通過使用分類的有關(guān)規(guī)則來對信息或者用戶進(jìn)行辨識(shí)，判斷其是否具有非法行為。將用戶的入侵過程和其它非法行為進(jìn)行記錄，然后將其作為犯罪的重要證據(jù)。通過對樣品數(shù)據(jù)進(jìn)行分類可以提高數(shù)據(jù)分析器的技術(shù)，這樣能使其能夠?qū)Ω鶕?jù)不同特征對正常類型的數(shù)據(jù)進(jìn)行預(yù)測，從而來對未知的數(shù)據(jù)進(jìn)行分析，預(yù)測是否存在犯罪證據(jù)。使用較多的分類算法主要有ID3和Ripper等[7]。

3.3 序列分析

序列分析的主要作用是能夠發(fā)現(xiàn)不同類型數(shù)據(jù)之間存在的相關(guān)性。在序列分析算法中，可以將序列規(guī)則表示為：

A，B→D[S%，C%][W]，其中，W——時(shí)間段，S%——規(guī)則的支持度，C%——規(guī)則的可信度。如果A和B發(fā)生之后，決定D發(fā)生的因素是C，這種模式可能出現(xiàn)的決定因素是S。

4 結(jié)束語

計(jì)算機(jī)技術(shù)已經(jīng)在人們的生活中普及，計(jì)算機(jī)系統(tǒng)在給人們生活帶來便利的同時(shí)，也給犯罪分子創(chuàng)造了作案空間，使用計(jì)算機(jī)取證技術(shù)將能夠有效打擊計(jì)算機(jī)犯罪行為。計(jì)算機(jī)取證技術(shù)在法庭上能夠提供犯罪分子的相關(guān)作案證據(jù)，并具有一定的說服力，但是在取證過程中仍然有一些新問題出現(xiàn)。將數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證中應(yīng)用，能夠使計(jì)算機(jī)取證更加具有實(shí)時(shí)性，并能夠使辦案人員在追查和打擊犯罪行為時(shí)更加容易。

參考文獻(xiàn)：

[1] 劉源泉.基于數(shù)據(jù)挖掘的計(jì)算機(jī)取證分析系統(tǒng)設(shè)計(jì)[J].大眾科技，2010，39（11）：18-19.

[2] 魏利梅.基于數(shù)據(jù)挖掘的計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)[J].山西警官高等?？茖W(xué)校學(xué)報(bào)，2010，17（4）：66-68.

[3] 賈保先，周海臣.基于Ontology的數(shù)據(jù)挖掘在計(jì)算機(jī)動(dòng)態(tài)取證中的應(yīng)用[J].聊城大學(xué)學(xué)報(bào)：自然科學(xué)版，2011，24（2）：92-95.

[4] 穆瑞輝.計(jì)算機(jī)取證分析系統(tǒng)中數(shù)據(jù)挖掘技術(shù)的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012，26（24）：108-109.

[5] 賈實(shí)真.試論基于數(shù)據(jù)挖掘的計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)[J].電腦與電信，2010，45（10）：56-57.

[6] 苑金海，苑金海，劉弘，等.基于本體的數(shù)據(jù)挖掘在電子商務(wù)安全中的應(yīng)用研究[J].科技信息，2010，36（35）：83.

[7] 齊戰(zhàn)勝，高峰，騰達(dá)，等.數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證中的應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2011，25（9）：163-166，177.