電子證據(jù)自動(dòng)化推理方法的設(shè)計(jì)與實(shí)現(xiàn)

趙志巖

(中國(guó)人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院，北京　100038)

?

電子證據(jù)自動(dòng)化推理方法的設(shè)計(jì)與實(shí)現(xiàn)

趙志巖

(中國(guó)人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院，北京100038)

摘要電子證據(jù)的分析技術(shù)是打擊網(wǎng)絡(luò)犯罪的有效途徑，然而取證軟件對(duì)電子證據(jù)的推理分析自動(dòng)化和智能化水平較低，導(dǎo)致網(wǎng)絡(luò)犯罪偵查過(guò)程的效率很難提高。目前，存儲(chǔ)設(shè)備的容量越來(lái)越大，案件中涉及的電子證據(jù)常為海量數(shù)據(jù)，靠人工推理和分析耗時(shí)、耗力。通過(guò)構(gòu)建知識(shí)庫(kù)，輸入分析規(guī)則，可以形式化專(zhuān)家經(jīng)驗(yàn)和系統(tǒng)規(guī)律等，進(jìn)而應(yīng)用規(guī)則對(duì)電子證據(jù)進(jìn)行自動(dòng)化推理分析，能有效地完成犯罪類(lèi)型的推理或犯罪案件的重構(gòu)。

關(guān)鍵詞電子證據(jù); 自動(dòng)化; 推理

0引言

電子證據(jù)分析技術(shù)早已應(yīng)用到對(duì)網(wǎng)絡(luò)犯罪的打擊防控上，并且取得了較好的成效。目前，取證軟件和硬件能夠很好地實(shí)現(xiàn)對(duì)電子證據(jù)的分析，這些工具的功能主要集中在電子證據(jù)的瀏覽和過(guò)濾上，如使用關(guān)鍵詞、文件類(lèi)型、哈希值的匹配條件，找出可能與案情相關(guān)的電子證據(jù)[1]。

但是，與案件相關(guān)的過(guò)濾條件的設(shè)置仍然需要人工輸入，而且這些電子證據(jù)究竟反映了什么樣的犯罪類(lèi)型和犯罪事件，如何利用電子證據(jù)進(jìn)行案件推理和重構(gòu)等分析工作還是由人工完成，無(wú)法實(shí)現(xiàn)自動(dòng)化與智能化分析。

因此，案件的偵破很大程度上依賴(lài)于偵查人員的分析水平，另外，靠人工完成后期分析導(dǎo)致偵查工作的時(shí)效性很差，給后續(xù)的偵查工作帶來(lái)了很大的困難。

電子證據(jù)自動(dòng)化推理分析就是指根據(jù)案件中機(jī)器設(shè)備上的電子證據(jù)，通過(guò)軟件工具等手段自動(dòng)分析推理案情，得出案件類(lèi)型，以及可能發(fā)生過(guò)的事件，提高偵查的準(zhǔn)確性和效率，遺憾的是，目前國(guó)內(nèi)外還沒(méi)有成熟的工具能夠做到電子證據(jù)的自動(dòng)化推理分析。

1電子證據(jù)推理分析思路

電子證據(jù)領(lǐng)域?qū)ψC據(jù)的推理分析主要用于對(duì)案件的推理和重構(gòu)，即基于可獲得的證據(jù)和事實(shí)，通過(guò)一定的方法和手段，推導(dǎo)出可能發(fā)生的事件。

依據(jù)推理的方向，我們可以把電子證據(jù)推理分析的思路分為兩種，一種是從前往后推導(dǎo)，也就是從證據(jù)到結(jié)論的推理方式，即根據(jù)發(fā)現(xiàn)的證據(jù)狀態(tài)直接推斷可能發(fā)生的多個(gè)事件，再根據(jù)不同事件產(chǎn)生的痕跡繼續(xù)推理，排除不可能的事件，經(jīng)過(guò)多次推理之后最終得到最初的可能事件，這種思路主要根據(jù)機(jī)器運(yùn)行的客觀(guān)規(guī)律，得到事件與證據(jù)的關(guān)聯(lián)關(guān)系[2]。第二種是從后往前推導(dǎo)，即假設(shè)測(cè)試，先提出案件假設(shè)并對(duì)假設(shè)形式化，然后利用發(fā)現(xiàn)的證據(jù)推理和評(píng)估假設(shè)事件的接受度和拒絕度，這種思路主要根據(jù)案件實(shí)施的客觀(guān)規(guī)律，得到事件與證據(jù)的關(guān)聯(lián)關(guān)系[3]。

這兩種方法在理論上并不是完全獨(dú)立的，經(jīng)常被結(jié)合在一起使用，以提高推理分析的效率和準(zhǔn)確率。根據(jù)這兩種思路，國(guó)內(nèi)外提出了一些典型的電子證據(jù)推理分析模型。

1.1有限自動(dòng)機(jī)推理模型

該模型基于從后往前的推導(dǎo)思路，對(duì)案情的推理過(guò)程使用有限自動(dòng)機(jī)理論，根據(jù)機(jī)器的運(yùn)行規(guī)律進(jìn)行建模，然后通過(guò)結(jié)果向前追溯原因，尋找案件真相，這種方法只適用于狀態(tài)相對(duì)較少的事件，否則有限狀態(tài)過(guò)于龐大，不利于下一步的推理實(shí)現(xiàn)。

實(shí)施步驟是這樣的，首先對(duì)案件進(jìn)行形式化建模，結(jié)點(diǎn)表示可能的系統(tǒng)電子證據(jù)狀態(tài)，結(jié)點(diǎn)之間的有向弧表示狀態(tài)之間的轉(zhuǎn)換過(guò)程，比如，存儲(chǔ)器中一個(gè)二進(jìn)制位的狀態(tài)轉(zhuǎn)換如圖1所示。

圖1　一個(gè)存儲(chǔ)單位的狀態(tài)轉(zhuǎn)換

當(dāng)存儲(chǔ)單元中為0時(shí)，寫(xiě)入1操作，使?fàn)顟B(tài)0轉(zhuǎn)換成狀態(tài)1，寫(xiě)入0操作，狀態(tài)0不變，狀態(tài)為1時(shí)，同樣遵循這一規(guī)律，根據(jù)這樣的狀態(tài)關(guān)系規(guī)律，把要調(diào)查的目標(biāo)證據(jù)及相關(guān)案情用有限狀態(tài)機(jī)模型進(jìn)行形式化，然后對(duì)已發(fā)現(xiàn)目標(biāo)的最終狀態(tài)向前回溯，找到所有可能的場(chǎng)景，再根據(jù)實(shí)際情況舍棄與現(xiàn)實(shí)不符的狀態(tài)，最后推斷出最有可能的案件事實(shí)。仍以上例中存儲(chǔ)單元狀態(tài)轉(zhuǎn)換為例，部分推理過(guò)程如下圖2所示。

圖2　有限狀態(tài)機(jī)推理過(guò)程

有限狀態(tài)機(jī)推理模型是一種自動(dòng)化事件重構(gòu)推理模型，能夠依據(jù)形式化的狀態(tài)機(jī)計(jì)算出已知證據(jù)狀態(tài)的所有可能假設(shè)，包括潛在的未被明確化的假設(shè)，因此，該模型的準(zhǔn)確率較高。但是，對(duì)于事件比較復(fù)雜的情況，可能會(huì)導(dǎo)致最后的狀態(tài)機(jī)過(guò)于龐大，甚至不能完全地描述系統(tǒng)所有的狀態(tài)，導(dǎo)致降低案件重構(gòu)的有效性[4]。

歷史模型[5]是有限狀態(tài)機(jī)推理模型的應(yīng)用，是對(duì)計(jì)算機(jī)的歷史狀態(tài)進(jìn)行建模，狀態(tài)定義為計(jì)算機(jī)每一個(gè)原始存儲(chǔ)位置的離散值，事件定義為計(jì)算機(jī)指令導(dǎo)致的底層存儲(chǔ)單元的狀態(tài)轉(zhuǎn)換，同時(shí)提出復(fù)雜狀態(tài)和復(fù)雜事件的概念，以解決狀態(tài)爆炸的問(wèn)題。

1.2貝葉斯網(wǎng)絡(luò)推理模型

該模型基于從前往后的推導(dǎo)思路，即首先提出案件的假設(shè)，基于經(jīng)驗(yàn)提出支持該假設(shè)的電子證據(jù)，形成有向無(wú)環(huán)圖的形式化結(jié)構(gòu)，然后尋找相關(guān)證據(jù)，根據(jù)相關(guān)證據(jù)的真實(shí)存在場(chǎng)景，計(jì)算假設(shè)成立的最終概率，推理出案件最可能的結(jié)論。

貝葉斯網(wǎng)絡(luò)推理模型包含形式化和推理兩個(gè)部分，形式化部分將電子證據(jù)的變量、事件、屬性等表示成結(jié)點(diǎn)，結(jié)點(diǎn)之間用有向弧表示證據(jù)之間的條件依賴(lài)關(guān)系，如圖3所示。

圖3　貝葉斯推理模型的形式化

其中，用H表示案件假設(shè)，H1、H2表示子假設(shè)，E1～E5表示電子證據(jù)及其相關(guān)屬性，有向弧a、b、c、d、e、f表示子節(jié)點(diǎn)存在則父節(jié)點(diǎn)一定成立的可能性。即a為子假設(shè)H1存在則H存在的可能性，e、f表示E3存在則H1、H2分別存在的可能性。如果E1、E2同時(shí)存在，則H1存在的可能性為c+d。

貝葉斯網(wǎng)絡(luò)推理模型的優(yōu)點(diǎn)是證據(jù)與假設(shè)之間的因果關(guān)系明確，推理計(jì)算以數(shù)學(xué)公式為基礎(chǔ)，算法實(shí)現(xiàn)簡(jiǎn)單，結(jié)論依據(jù)充分。但是由于支持假設(shè)的證據(jù)是基于經(jīng)驗(yàn)提出的，包括先驗(yàn)概率的設(shè)置都是事先根據(jù)經(jīng)驗(yàn)給定的值，因此，結(jié)論的推導(dǎo)過(guò)程主觀(guān)性較強(qiáng)，相對(duì)來(lái)說(shuō)，沒(méi)有有限自動(dòng)機(jī)的推理模型準(zhǔn)確率高。

文獻(xiàn)[6]對(duì)貝葉斯網(wǎng)絡(luò)推理模型做了部分改進(jìn)，增加了模型中不一致證據(jù)的形式化。即除了尋找支持假設(shè)的證據(jù)外，還需要尋找反對(duì)假設(shè)的證據(jù)，如果證據(jù)與假設(shè)不一致，會(huì)削弱假設(shè)成立的可能性，同樣，如果證據(jù)之間不一致，也會(huì)削弱假設(shè)成立的可能性。

文獻(xiàn)[7]也對(duì)貝葉斯網(wǎng)絡(luò)推理模型做了改進(jìn)，主要是針對(duì)效率方面的改進(jìn)。形式化模型不變，但增加了每個(gè)證據(jù)的代價(jià)值，在搜索支持假設(shè)的證據(jù)時(shí)，從代價(jià)最小的證據(jù)開(kāi)始，當(dāng)搜索證據(jù)的權(quán)值達(dá)到一個(gè)閾值時(shí)，則表示假設(shè)已經(jīng)成立。通過(guò)這種改進(jìn)，能夠極大地節(jié)省推理的時(shí)間，提高模型的效率。

本文提出的自動(dòng)化分析方法主要采用貝葉斯推理模型算法，同時(shí)結(jié)合了有限狀態(tài)自動(dòng)機(jī)的優(yōu)點(diǎn)，采用專(zhuān)家經(jīng)驗(yàn)及系統(tǒng)規(guī)律形成規(guī)則，同時(shí)總結(jié)大量實(shí)際案例獲取規(guī)則，然后通過(guò)對(duì)規(guī)則的匹配，實(shí)現(xiàn)案情推理分析的自動(dòng)化。

2自動(dòng)化推理方法的設(shè)計(jì)

在人工智能領(lǐng)域，專(zhuān)家系統(tǒng)是實(shí)現(xiàn)自動(dòng)化推理的有效手段，對(duì)于電子證據(jù)的自動(dòng)化推理過(guò)程也是如此。專(zhuān)家系統(tǒng)的有效性主要取決于知識(shí)庫(kù)中規(guī)則的建立，因此，我們采用多種方法，從多種來(lái)源獲取和建立規(guī)則，保證規(guī)則的全面性和準(zhǔn)確性。

2.1知識(shí)庫(kù)規(guī)則的來(lái)源

在案件偵查過(guò)程中，專(zhuān)家的經(jīng)驗(yàn)知識(shí)是十分寶貴的偵查手段，尤其是對(duì)相關(guān)業(yè)務(wù)的總結(jié)知識(shí)和經(jīng)驗(yàn)，如果能夠存儲(chǔ)和傳播辦案經(jīng)驗(yàn)，以此作為工作指南，對(duì)犯罪案件的偵破常常會(huì)起到?jīng)Q定性作用，因此，專(zhuān)家經(jīng)驗(yàn)是推理知識(shí)庫(kù)規(guī)則的重要來(lái)源之一。

根據(jù)大量同類(lèi)案件的總結(jié)，我們發(fā)現(xiàn)案件的實(shí)施具有一定的規(guī)律性，如詐騙類(lèi)案件一般要先通過(guò)郵件、聊天工具、論壇、社交圈等尋找受害者，以一定的方式實(shí)施詐騙，再通過(guò)網(wǎng)絡(luò)交易獲得錢(qián)款或虛擬錢(qián)幣等，因此，整個(gè)實(shí)施過(guò)程留下電子證據(jù)具有一定的規(guī)律性，總結(jié)這些規(guī)律性就能對(duì)該類(lèi)案件進(jìn)行推理，這是推理知識(shí)庫(kù)規(guī)則的另一個(gè)重要來(lái)源。

另外，對(duì)于電子證據(jù)這一特殊的證據(jù)類(lèi)型來(lái)說(shuō)，它的形成、發(fā)展和銷(xiāo)毀也具有其特定的規(guī)律，這是由軟件和硬件的本質(zhì)決定的，這些規(guī)律會(huì)形成電子證據(jù)的一些固有特征，如訪(fǎng)問(wèn)網(wǎng)站會(huì)在主機(jī)瀏覽器的文件夾中存儲(chǔ)臨時(shí)文件和一些cookie文件，郵件的收發(fā)會(huì)在郵件頭中存儲(chǔ)收發(fā)人、時(shí)間、經(jīng)過(guò)路徑等信息，這些軟件和硬件導(dǎo)致的規(guī)律性是我們推理知識(shí)庫(kù)規(guī)則的第三個(gè)重要來(lái)源。

得到這些規(guī)則，我們就可以對(duì)以后發(fā)生的案件進(jìn)行自動(dòng)分析，即輸入發(fā)現(xiàn)的證據(jù)事實(shí)，根據(jù)知識(shí)庫(kù)中的規(guī)則，得到可能結(jié)論，從而完成對(duì)電子證據(jù)的自動(dòng)分析。自動(dòng)化推理的流程如圖4所示。

圖4　自動(dòng)化推理流程

該方法的實(shí)現(xiàn)過(guò)程中有兩個(gè)問(wèn)題需要解決，一是電子證據(jù)和規(guī)則的形式化表示方式，二是推理算法的實(shí)現(xiàn)。

2.2電子證據(jù)和規(guī)則的形式化

CLIPS是一種開(kāi)源的專(zhuān)家系統(tǒng)編寫(xiě)工具，可用于各領(lǐng)域?qū)＜蚁到y(tǒng)的開(kāi)發(fā)[8]，其功能強(qiáng)大且容易掌握，因此我們采用CLIPS語(yǔ)言對(duì)電子證據(jù)自動(dòng)化推理分析方法進(jìn)行實(shí)現(xiàn)。

考慮到知識(shí)庫(kù)專(zhuān)家系統(tǒng)使用產(chǎn)生式表示規(guī)則，為了減少實(shí)現(xiàn)方法的復(fù)雜性，我們決定不更改規(guī)則的表示方式，因此，推理知識(shí)庫(kù)中的規(guī)則仍然用IF，THEN的產(chǎn)生式表示。

電子證據(jù)有圖、集合、屬性表示等不同的形式化方法，但是為了更好地匹配知識(shí)庫(kù)的規(guī)則，采用命題的方式更為方便。而且，根據(jù)電子證據(jù)的存在性，用字母來(lái)表示能夠簡(jiǎn)化規(guī)則的表達(dá)，更容易進(jìn)行后期的推理分析。

因此，電子證據(jù)和規(guī)則的形式化表示如下：

設(shè)E為電子證據(jù)集合，Ei∈E(i=1,…,n)為某案件中發(fā)現(xiàn)的電子證據(jù)，Ri表示規(guī)則，Wx表示權(quán)值(Wx≥0)，Hy表示子假設(shè)，H為最終假設(shè)，那么規(guī)則可以表示為：

Ri：(Wx，En)→Hy或Ri：(Wx，Hy)→H

其中，Ei可表示為命題，即具有唯一真值的陳述句。如我們可以用E1：機(jī)器中存在木馬程序的源代碼；E2：機(jī)器中有瀏覽黑客論壇的上網(wǎng)記錄來(lái)表示犯罪案件中發(fā)現(xiàn)的電子證據(jù)。Wx=1時(shí)表示該電子證據(jù)或子假設(shè)與結(jié)論之間是強(qiáng)對(duì)應(yīng)關(guān)系，箭頭前面的(Wx，En)和(Wx，Hy)稱(chēng)為規(guī)則的前件，Hy和H稱(chēng)為規(guī)則的后件，規(guī)則的含義為前件存在時(shí)能夠以Wx的可能性推出后件。

2.3知識(shí)庫(kù)構(gòu)建與推理

電子證據(jù)自動(dòng)化推理知識(shí)庫(kù)的構(gòu)建就是使用CLIPS語(yǔ)言輸入規(guī)則的過(guò)程。規(guī)則的獲得是知識(shí)庫(kù)高效、準(zhǔn)確的關(guān)鍵。

規(guī)則采用條件產(chǎn)生式方法表達(dá)，并存入知識(shí)庫(kù)中。對(duì)網(wǎng)絡(luò)犯罪案件中獲得的電子證據(jù)進(jìn)行推理分析的過(guò)程，就是輸入證據(jù)事實(shí)，然后使用知識(shí)庫(kù)進(jìn)行規(guī)則匹配，最后得出分析結(jié)論的過(guò)程。

2.3.1輸入規(guī)則

CLIPS規(guī)則與C程序語(yǔ)言中的IFTHEN表述非常相似。IFTHEN規(guī)則可以和自然語(yǔ)言混合表示，如下所示：

IFconditions1istrue

THENexecutetheactions

將規(guī)則從自然語(yǔ)言轉(zhuǎn)成CLIPS語(yǔ)言非常簡(jiǎn)單，可以在CLIPS中直接輸入規(guī)則，另外，也可以用一個(gè)文本文件存儲(chǔ)規(guī)則，然后加載到CLIPS中來(lái)。

采用CLIPS語(yǔ)法將上面的偽代碼寫(xiě)成一個(gè)規(guī)則，規(guī)則名緊跟在關(guān)鍵字defrule后面。我們通常將規(guī)則分成幾段書(shū)寫(xiě)，以便于程序的理解和編輯。

CLIPS>(assert(condition1istrue))

CLIPS>(defruleRule-name(condition1istrue)

?(assert(executetheactions)))

在以上代碼中，規(guī)則名Rule-name可以由用戶(hù)自己命名，規(guī)則的前件為condition1istrue，后件為executetheactions，前件和后件應(yīng)盡量具體化。CLIPS中，同時(shí)只能有一個(gè)規(guī)則名存在，規(guī)則名不能重復(fù)使用。

2.3.2輸入電子證據(jù)與案件假設(shè)

電子證據(jù)和案件假設(shè)在規(guī)則中是作為前件和后件出現(xiàn)的，因此根據(jù)規(guī)則的輸入方法我們也可以推出電子證據(jù)和假設(shè)的輸入方法，這在CLIPS語(yǔ)言中被稱(chēng)為是事實(shí)的輸入。

如果想在證據(jù)事實(shí)表中輸入新對(duì)象，可以使用assert命令。如下

CLIPS>(assert(Ei))或者CLIPS>(assert(Hi))

這里，assert命令以括號(hào)中的內(nèi)容作為其參數(shù)。輸入該命令后，點(diǎn)擊回車(chē)鍵可以看到如下響應(yīng)：

表示CLIPS已經(jīng)存儲(chǔ)了Ei或Hi的事實(shí)，并將其標(biāo)識(shí)為1。

2.3.3基于規(guī)則的推理

CLIPS語(yǔ)言除了提供數(shù)據(jù)庫(kù)用于存儲(chǔ)證據(jù)、假設(shè)和規(guī)則之外，還包含一個(gè)推理機(jī)，能夠根據(jù)輸入的證據(jù)事實(shí)執(zhí)行規(guī)則，主要功能是對(duì)規(guī)則的激活與觸發(fā)。

推理機(jī)決定了哪一條或哪幾條規(guī)則應(yīng)該被執(zhí)行，一個(gè)用CLIPS編寫(xiě)的專(zhuān)家系統(tǒng)程序就是一個(gè)以數(shù)據(jù)驅(qū)動(dòng)的程序，程序里的證據(jù)事實(shí)，通過(guò)推理機(jī)的激活而執(zhí)行。

定義了規(guī)則并準(zhǔn)備好事實(shí)表之后，就可以進(jìn)行推理了，推理過(guò)程如下：

(1)查看所有規(guī)則，檢查輸入的證據(jù)事實(shí)是否匹配某一規(guī)則前件，如果有，則該條規(guī)則被激活。

(2)所有被激活的規(guī)則都會(huì)被納入日程表agenda中，日程表是一個(gè)按優(yōu)先級(jí)存放激活規(guī)則的棧結(jié)構(gòu)。

(3)執(zhí)行規(guī)則的后件，如果后件是添加事實(shí)，則新添加的事實(shí)仍然會(huì)繼續(xù)激活規(guī)則。

(4)可以撤銷(xiāo)事實(shí)，然后再重新添加新的事實(shí)，讓規(guī)則重復(fù)觸發(fā)。

用于規(guī)則的前件可以是復(fù)雜的與、或結(jié)構(gòu)，也可以帶有權(quán)值，這里不再一一贅述。

下面展示一個(gè)規(guī)則的激活和觸發(fā)：

CLIPS>(defruleR1(E1)

?(assert(H1))) ;規(guī)則R1，事實(shí)E1能夠推導(dǎo)出H1

CLIPS>(defruleR2(H1)

?(printout”H”));規(guī)則R2，H1能夠推導(dǎo)出H

CLIPS>(assert(E1)) ;輸入證據(jù)事實(shí)E1

CLIPS>(run) ;運(yùn)行推理機(jī)

H;推理結(jié)果

3應(yīng)用場(chǎng)景實(shí)現(xiàn)

下面用一個(gè)真實(shí)的案例說(shuō)明電子證據(jù)自動(dòng)化推理分析方法的實(shí)現(xiàn)過(guò)程，案例類(lèi)別是網(wǎng)絡(luò)侵權(quán)，大致背景是某嫌疑人使用BT軟件傳播盜版文件，扣押嫌疑人硬盤(pán)后，對(duì)硬盤(pán)上的證據(jù)文件進(jìn)行自動(dòng)化推理，得出盜版和傳播的具體事實(shí)和過(guò)程。

首先，依據(jù)此類(lèi)案件的前期總結(jié)和專(zhuān)家經(jīng)驗(yàn)的獲取以及通過(guò)網(wǎng)絡(luò)偵查實(shí)驗(yàn)得到的系統(tǒng)規(guī)律，我們可以得到下面表示電子證據(jù)和假設(shè)之間關(guān)聯(lián)關(guān)系的貝葉斯網(wǎng)絡(luò)推理圖，如圖5所示。

圖5　網(wǎng)絡(luò)侵權(quán)案件的貝葉斯網(wǎng)絡(luò)圖

其中，證據(jù)事實(shí)和假設(shè)的含義如表1所示。

然后根據(jù)貝葉斯網(wǎng)絡(luò)推理，我們可以得到知識(shí)庫(kù)的規(guī)則，隨著參考案例數(shù)量的增多，總結(jié)的規(guī)則也可能增多，因此知識(shí)庫(kù)的規(guī)則是可擴(kuò)展的，在后期運(yùn)行推理的過(guò)程中可隨時(shí)添加。

該案件的規(guī)則數(shù)量較多，因此僅以子假設(shè)H1的推理規(guī)則為例，得到的規(guī)則可表示如下：

CLIPS>(defruleR1(E1) (E2) (E3))

?(assert(H1))

其中E1、E2、E3是并列存在的關(guān)系，另外，證據(jù)到假設(shè)的推理可以加上權(quán)值，即有多少可能性推出結(jié)論，根據(jù)重要程度可以給證據(jù)加上權(quán)值，權(quán)值的范圍從-1 000～1 000，默認(rèn)情況下權(quán)值為0。

表1　網(wǎng)絡(luò)侵權(quán)案件的證據(jù)事實(shí)和假設(shè)的含義

使用CLIPS的語(yǔ)法規(guī)則，將網(wǎng)絡(luò)圖中包含的所有規(guī)則輸入到電子證據(jù)自動(dòng)化推理知識(shí)庫(kù)中以后，該推理機(jī)就可以用于相同案例的自動(dòng)化分析了。

輸入新案件中發(fā)現(xiàn)的證據(jù)事實(shí)，同樣使用上面介紹的CLIPS事實(shí)輸入方法，然后激活知識(shí)庫(kù)中的規(guī)則進(jìn)行推理分析，最后就能夠很方便地得到相應(yīng)的推理結(jié)論。

4結(jié)語(yǔ)

基于知識(shí)庫(kù)的電子證據(jù)自動(dòng)化推理方法，借鑒專(zhuān)家系統(tǒng)的構(gòu)建方法，使用CLIPS語(yǔ)言編寫(xiě)知識(shí)庫(kù)，采用貝葉斯網(wǎng)絡(luò)推理思路，結(jié)合有限狀態(tài)機(jī)推理思路和系統(tǒng)規(guī)律，設(shè)計(jì)知識(shí)庫(kù)的推理規(guī)則，同時(shí)輔助大量實(shí)際案例的總結(jié)和分析，得出全面、準(zhǔn)確的規(guī)則，可以有效地指導(dǎo)案件偵查，能夠有效解決電子證據(jù)推理分析必須依賴(lài)人工完成的問(wèn)題，補(bǔ)充了現(xiàn)有取證軟件的智能化、自動(dòng)化不足的缺陷。

但是，基于知識(shí)庫(kù)的電子證據(jù)自動(dòng)化推理方法依賴(lài)于知識(shí)庫(kù)的建立，也就是說(shuō)，知識(shí)庫(kù)中的規(guī)則決定了該方法的有效性，因此如何采用更多的來(lái)源和技術(shù)提供知識(shí)庫(kù)的推理規(guī)則，并提高規(guī)則的全面性和準(zhǔn)確性是自動(dòng)化推理的根本。另外，當(dāng)規(guī)則數(shù)量龐大時(shí)，也要考慮知識(shí)庫(kù)推理的性能和效率。

總的來(lái)說(shuō)，基于知識(shí)庫(kù)的電子證據(jù)自動(dòng)化推理方法可以單獨(dú)使用，能指導(dǎo)實(shí)際案例的偵破過(guò)程，加快案件的偵破速度，也可以嵌入其他取證分析軟件中，成為其中的一個(gè)模塊，改善軟件的現(xiàn)有功能，使非專(zhuān)業(yè)人員能夠更容易使用軟件，實(shí)現(xiàn)案件的自動(dòng)分析。

參考文獻(xiàn)

[1]孫波, 孫玉芳, 張相鋒,等.電子數(shù)據(jù)取證研究概述[J].計(jì)算機(jī)科學(xué), 2005, 32(2):13-19.

[2]GLADYSHEV P, PATEL A.Abstract finite state machine approach to digital event reconstruction[J].Digital Investigation the International Journal of Digital Forensics & Incident Response, 2004, 1(2):130-149.

[3]KWAN M, CHOW K P, LAW F, et al.Reasoning about evidence using bayesian network[M]∥Advances in Digital Forensics Ⅳ.Springer US, 2008: 275-289.

[4]REKHIS S, KRICHENE J, BOUDRIGA N.Cognitive-maps based investigation of digital security incidents[C]∥Third International Workshop on Systematic Approaches to Digital Forensic Engineering,2008.

[5]CARRIER B D, SPAFFORD E H.Categories of digital investigation analysis techniques based on the computer history model[J].Digital Investigation, 2006,3:121-130.

[6]COHEN F.Analysis of redundant traces for consistency: with examples from electronic messaging and graphical images[C]∥2009 33rd Annual IEEE International Software and Applications Conference.IEEE, 2009: 386-391.

[7]OVERILL R E, KWAN Y K, CHOU K P, et al.A cost-effective digital forensics investigation model[J].Proceeding of 5th Annual LFIP WG, 2009, 11:193-202.

[8]王宇宙, 趙宗濤.CLIPS中文應(yīng)用開(kāi)發(fā)環(huán)境設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用, 2003, 23(2):85-87.

(責(zé)任編輯于瑞華)

中圖分類(lèi)號(hào)D915.13

作者簡(jiǎn)介趙志巖(1980—)，吉林長(zhǎng)春人，在讀博士，講師。 研究方向?yàn)榫W(wǎng)絡(luò)犯罪偵查與電子證據(jù)分析。