導(dǎo)語：數(shù)據(jù)挖掘技術(shù)在計算機(jī)取證系統(tǒng)中應(yīng)用一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:計算機(jī)取證技術(shù)的主要作用是提供不法分子的違法犯罪證據(jù)，對可靠性要求較高，它是進(jìn)行信息提取、存儲、分析再得出電子證據(jù)的有效手段。與計算機(jī)相關(guān)的犯罪信息數(shù)據(jù)都可以使用計算機(jī)取證技術(shù)對大量的數(shù)據(jù)進(jìn)行智能分析。然而隨著科技的發(fā)展，傳統(tǒng)的計算機(jī)取證技術(shù)在當(dāng)前發(fā)展迅猛的網(wǎng)絡(luò)科技面前已經(jīng)顯得力不從心，因此，數(shù)據(jù)挖掘作為一個具有創(chuàng)新性和實用性的技術(shù)可以用作處理巨大規(guī)模的數(shù)據(jù)。數(shù)據(jù)挖掘技術(shù)在速度、精確度以及準(zhǔn)確性上都具有無可比擬的優(yōu)勢。本文就數(shù)據(jù)挖掘技術(shù)在計算機(jī)取證分析系統(tǒng)中的應(yīng)用展開研究。

關(guān)鍵詞:數(shù)據(jù)挖掘技術(shù);計算機(jī)取證分析系統(tǒng);應(yīng)用

0前言

互聯(lián)網(wǎng)行業(yè)的快速發(fā)展，給我們的生活帶來了極大的便利，但計算機(jī)網(wǎng)絡(luò)犯罪也隨之增加，為個人、集體乃至于國家?guī)頁p失。因此，網(wǎng)絡(luò)安全相關(guān)的問題現(xiàn)在越來越受到人們的重視，為打擊計算機(jī)網(wǎng)絡(luò)犯罪的計算機(jī)取證系統(tǒng)也由傳統(tǒng)的技術(shù)走向了更為先進(jìn)的數(shù)據(jù)挖掘技術(shù)，使網(wǎng)絡(luò)安全更上了一個臺階。在進(jìn)行計算機(jī)取證時，首先在海量的數(shù)據(jù)中收集出與犯罪相關(guān)的證據(jù)數(shù)據(jù)，再以此為基礎(chǔ)，分析出犯罪行為證據(jù)，這個過程就是計算機(jī)取證的過程。實際上，計算機(jī)取證不僅僅只是對數(shù)據(jù)進(jìn)行分析，它還可以深入挖掘犯罪分子的證據(jù)。在傳統(tǒng)的處理數(shù)據(jù)方法中，面對龐大的數(shù)據(jù)，效率低下，時間周期過長，而利用數(shù)據(jù)挖掘技術(shù)來處理這些數(shù)據(jù)，能夠保證所得到的信息更加完整、準(zhǔn)確，并且速度會快很多。數(shù)據(jù)挖掘能在規(guī)模龐大、信息不連續(xù)的數(shù)據(jù)中，將可能的以及有用的信息提取出來，這些提取的數(shù)據(jù)依據(jù)結(jié)構(gòu)的不同分為半結(jié)構(gòu)化數(shù)據(jù)和異構(gòu)性數(shù)據(jù)。計算機(jī)取證時，利用數(shù)據(jù)挖掘技術(shù)進(jìn)行隱藏模式的挖掘，通常來說，共有兩種模式:

(1)描述型;

(2)預(yù)測型。數(shù)據(jù)挖掘技術(shù)可以利用所得的數(shù)據(jù)總結(jié)出相關(guān)的規(guī)律，能夠把數(shù)據(jù)中的大量有用的東西挖掘出來，為決策者提供數(shù)據(jù)基礎(chǔ)。利用這一點，在各類網(wǎng)絡(luò)計算機(jī)犯罪中，就可以使用數(shù)據(jù)挖掘技術(shù)來得到有效的犯罪分子的違法信息，為國家的網(wǎng)絡(luò)安全部門、辦案人員提供有效信息，減小辦案的難度。

1計算機(jī)取證分析技術(shù)

1.1存在問題

計算機(jī)犯罪與傳統(tǒng)的犯罪不同，它具有特殊性和電子證據(jù)的特點，它在數(shù)據(jù)量上非常龐大，并且格式繁多復(fù)雜。當(dāng)前，我國所使用的傳統(tǒng)取證的方式有兩種:

(1)模式配比:快速獲取一些標(biāo)志性的攻擊行為。在入侵檢測時，它依據(jù)用戶所建立起的模型進(jìn)行行為模式的匹配，來監(jiān)督計算機(jī)入侵的發(fā)生。這種方式雖然在一定程度上能發(fā)現(xiàn)系統(tǒng)被入侵的情況，但是，在實際的操作中，很容易出現(xiàn)誤報或者無法發(fā)現(xiàn)入侵的情況。這種方式一般情況下適用于系統(tǒng)入侵檢測，在對計算機(jī)取證領(lǐng)域，還沒有多大的作用;

(2)關(guān)鍵字查找:這種方式適用于數(shù)據(jù)源單一的情況，如果在數(shù)據(jù)規(guī)模龐大，種類繁多，那么如何找出在不同的數(shù)據(jù)源之間的聯(lián)系是解決這個問題的關(guān)鍵。

1.2計算機(jī)取證步驟

證據(jù)在法律上要求是完整的、準(zhǔn)確的，因此，在進(jìn)行數(shù)據(jù)收集時，要避免數(shù)據(jù)受到破壞，保護(hù)數(shù)據(jù)的完整性。另外要注意網(wǎng)絡(luò)對數(shù)據(jù)采集的影響，不要在網(wǎng)絡(luò)波動較大的時間段收集數(shù)據(jù)。采集的過程要透明、可見，保證數(shù)據(jù)的正確性。收集網(wǎng)絡(luò)信息數(shù)據(jù)時，要保證它的完整性，完整的數(shù)據(jù)有利于計算機(jī)犯罪信息的分析，幫助快速定位。目前來說，使用較多的方式就是存儲所有網(wǎng)絡(luò)報文，記錄一個完整的體系。這種方式把數(shù)據(jù)完整地存儲了起來，數(shù)據(jù)信息都不會丟失，在受到網(wǎng)絡(luò)攻擊后，也能利這存儲的數(shù)據(jù)進(jìn)行情景再現(xiàn)，找出攻擊的源頭，但是，這種做法占用極大的存儲空間和網(wǎng)絡(luò)帶寬。

完成了網(wǎng)絡(luò)數(shù)據(jù)的收集后，對所收集到的信息進(jìn)行處理。面對龐大的網(wǎng)絡(luò)數(shù)據(jù)信息，數(shù)據(jù)分析的工作顯得非常重要。對收集的信息進(jìn)行分析，將網(wǎng)絡(luò)入侵分析出來，對系統(tǒng)進(jìn)行快速的恢復(fù)和重建，減小受到的損失。在進(jìn)行數(shù)據(jù)分析時，一般是分階段進(jìn)行的:第一階段就是基礎(chǔ)分析;第二階段是將所得的數(shù)據(jù)進(jìn)行深入的分析。在第二階段，分析時由于數(shù)據(jù)來源、事件原因等等原因?qū)е律钊敕治鰰r，情況會常地復(fù)雜，做好充分的架構(gòu)以應(yīng)對這一階段的工作。在進(jìn)行計算機(jī)取證時，可能會出現(xiàn)誤報和遺漏的情況，即使出現(xiàn)了這種現(xiàn)象，也可以通過原始的數(shù)據(jù)分析出來具本的情況。計算機(jī)在進(jìn)行取證時，記錄會伴隨著事件的整個生命周期，以獲得事件的連續(xù)記錄。在記錄的時候，做好網(wǎng)絡(luò)取證的情況分析以及所帶數(shù)據(jù)準(zhǔn)確性的分析，在信息丟失時，將原因，時間記錄下來，保存到數(shù)據(jù)庫中。另外，對操作員對系統(tǒng)的操作，也要進(jìn)行記錄，以保證所得數(shù)據(jù)的客觀性。對所收集到的信息進(jìn)行保存，再對這些信息進(jìn)行篩選分析，將所得結(jié)果當(dāng)作證據(jù)，提供給公安機(jī)關(guān)或者法庭。

2計算機(jī)取證分析系統(tǒng)中數(shù)據(jù)挖掘技術(shù)的應(yīng)用

2.1系統(tǒng)結(jié)構(gòu)

包括數(shù)據(jù)采集模塊、入侵檢測模塊、數(shù)據(jù)分析模塊、證據(jù)鑒定模塊和證據(jù)保全模塊五大模塊。

(1)數(shù)據(jù)采集模塊:負(fù)責(zé)收集網(wǎng)絡(luò)運行的數(shù)據(jù)，將網(wǎng)絡(luò)攻擊和入侵信息記錄起來，并保存其它的可用信息;

(2)入侵檢測模塊:負(fù)責(zé)系統(tǒng)防護(hù)，對系統(tǒng)的所有活動進(jìn)行監(jiān)測，一旦發(fā)現(xiàn)了有非法入侵時，就進(jìn)行告警。入侵檢測在傳統(tǒng)的檢測基礎(chǔ)之上以正常的檢測模塊和異常檢測模塊相結(jié)合的方式組合成新的入侵防御體系，在出現(xiàn)了異常之后，會對數(shù)據(jù)分析模塊發(fā)送入侵信息;

(3)數(shù)據(jù)分析模塊:以數(shù)據(jù)挖掘為基礎(chǔ)，對收集到的數(shù)據(jù)信息進(jìn)行處理，結(jié)果將會生成與案件相關(guān)的電子證據(jù)，以發(fā)現(xiàn)入侵的來源且進(jìn)行防御攻擊來保護(hù)數(shù)據(jù)和系統(tǒng)的安全;

(4)證據(jù)鑒定模塊:對計算機(jī)的設(shè)備進(jìn)行鑒定，如存儲設(shè)備、軟件設(shè)備以及其它的硬件設(shè)備等等，以發(fā)現(xiàn)犯罪的實證與電子證據(jù)之間的互相關(guān)系，以提供更加強(qiáng)有力的證據(jù);

(5)證據(jù)保全模塊:即經(jīng)過數(shù)據(jù)挖掘出的證據(jù)存儲到數(shù)據(jù)庫中，保護(hù)證據(jù)的安全性。

2.2數(shù)據(jù)挖掘方法

動態(tài)取證是對事前進(jìn)行數(shù)據(jù)收集，即在違法人員對數(shù)據(jù)的損毀之前將數(shù)據(jù)收集起來，這樣即使數(shù)據(jù)遭受到了修改、刪除等破壞行為，原數(shù)據(jù)以及破壞數(shù)據(jù)的人都將記錄下來，定位違法人員的全程違法行為，這信息被記錄的信息包括:IP、時間、操作事件等。針對這種動態(tài)的取證系統(tǒng)，數(shù)據(jù)挖掘技術(shù)可以有效地解決掉取證時需要的真實有效、功能可擴(kuò)展以及適應(yīng)性要求高的問題。因此，在本系統(tǒng)中，具體應(yīng)用到的數(shù)據(jù)挖掘辦法主要如下:

(1)關(guān)聯(lián)分析:即利用關(guān)聯(lián)規(guī)則來進(jìn)行數(shù)據(jù)的挖掘，主要有兩個方式:①找出頻繁項集大于預(yù)定義數(shù)的頻繁項;②由上一步的頻繁項集進(jìn)行比對，找出滿足最小的支持度與最小置信度的數(shù)據(jù)。在面對龐大的數(shù)據(jù)時，利用這一分析法，大大減小了數(shù)據(jù)分析花費的時間，還為動態(tài)取證的實效性提供了保證;

(2)聯(lián)系分析:該方法將用戶和程序之間的行為關(guān)聯(lián)在了一起，分析在操作計算時的事件序列，分析出作案的技術(shù)、工具以及時間等各種表象特征之間的關(guān)系。利用這種在聯(lián)系關(guān)系，建立起安全防御的異常模型，并對它進(jìn)行實時的更新，以保證數(shù)據(jù)的實效性和準(zhǔn)確性;

(3)分類分析:對已經(jīng)存儲入數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行建模分析，對不同種類的數(shù)據(jù)，分門別類進(jìn)研究，制定出分類的規(guī)則。在動態(tài)取證的系統(tǒng)數(shù)據(jù)分析階段，以分類的規(guī)則判斷數(shù)據(jù)是否合法，以及用戶和操作是否合法，對違規(guī)的操作進(jìn)行記錄，保存非法操作的信息。這樣就能對未知的一些數(shù)據(jù)進(jìn)行以類別判斷是否違規(guī)，提升數(shù)據(jù)分析的智能性。

3結(jié)語

將數(shù)據(jù)挖掘技術(shù)引入計算機(jī)取證系統(tǒng)中去，大大提高了取證系統(tǒng)的運行效率，幫助取證系統(tǒng)能夠快速有效地進(jìn)行取證操作，實現(xiàn)了動態(tài)取證以及智能取證的功能。但是，由于當(dāng)前數(shù)據(jù)挖掘技術(shù)還不夠完善，網(wǎng)絡(luò)犯罪的行為和技術(shù)也在不斷地變化發(fā)展，因而，在計算機(jī)取證上，仍面臨著較大的挑戰(zhàn)。所以，使用更加智能化的數(shù)據(jù)挖掘技術(shù)來挖取網(wǎng)絡(luò)犯罪信息，是今后計算機(jī)取證系統(tǒng)的發(fā)展方向。

參考文獻(xiàn)

［1］孟強(qiáng)，李海晨．Web數(shù)據(jù)挖掘技術(shù)及應(yīng)用研究［J］．電腦與信息技術(shù)，2017，(1):59－62．

［2］張蕊，齊曉霞．?dāng)?shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究［J］．西安文理學(xué)院學(xué)報(自然科學(xué)版)，2017，(2):29－33．

［3］謝怡文．試分析數(shù)據(jù)挖掘技術(shù)在Web預(yù)取中的應(yīng)用［J］．電腦編程技巧與維護(hù)，2017，(7):66－67+74．

［4］曹敏．計算機(jī)取證技術(shù)及其發(fā)展趨勢研究［J］．無線互聯(lián)科技，2017，(6):42－43．

［5］黃燦．基于Windows平臺的計算機(jī)取證系統(tǒng)研究與實現(xiàn)［D］．電子科技大學(xué)，2014．

［6］姜雪晴．基于數(shù)據(jù)挖掘的電子證據(jù)分析模型研究［D］．南京郵電大學(xué)，2014．

［7］高川凱．淺析計算機(jī)取證技術(shù)［J］．信息系統(tǒng)工程，2017，(2):19．

作者:王懋 單位:陜西財經(jīng)職業(yè)技術(shù)學(xué)院