導語：計算機動態(tài)取證數(shù)據(jù)挖掘研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著計算機技術和網(wǎng)絡技術的快速發(fā)展，計算機犯罪事件的數(shù)量增加，其類型、形式等也層出不窮，傳統(tǒng)的靜態(tài)取證已不能滿足辦案的需要，計算機動態(tài)取證應運而生。筆者分析了數(shù)據(jù)挖掘技術在計算機動態(tài)取證中的應用現(xiàn)狀，并提出了基于數(shù)據(jù)挖掘技術計算機動態(tài)取證系統(tǒng)的構建方法，其目的是為從事計算機動態(tài)取證及研究數(shù)據(jù)挖掘等相關人員提供一定的參考。

關鍵詞：數(shù)據(jù)挖掘；動態(tài)取證；關聯(lián)規(guī)則

計算機動態(tài)取證技術是用來為辦案機關提供實時信息數(shù)據(jù)的關鍵技術，其不僅能夠獲取與犯罪過程相關的數(shù)據(jù)信息，還能對其進行分析，以提高辦案人員的工作效率。然而，隨著實時更新的海量數(shù)據(jù)的劇增，僅靠單一的計算機動態(tài)取證技術已難以滿足取證應用需求。為此，需要研究一種新技術來解決這一問題。而數(shù)據(jù)挖掘的研究和應用正在社會各個領域蓬勃發(fā)展，它能從大量數(shù)據(jù)中采用快速有效的方法獲得有用的知識和信息。因此，將數(shù)據(jù)挖掘技術應用于計算機動態(tài)取證過程中，能夠有效提升動態(tài)取證的準確性、完整性和智能性。

1計算機動態(tài)取證技術簡介

所謂計算機動態(tài)取證技術是通過信息獲取、信息保存、信息分析以及電子證據(jù)提取等相關步驟，來為辦案機關提供犯罪分子的作案證據(jù)。相關研究表明，計算機動態(tài)取證技術能夠從大量的信息數(shù)據(jù)中獲取與犯罪過程有關的信息內容，并對其進行智能化分析。這樣一來，辦案人員就能在最短時間內按照獲取的犯罪信息來確定查案方向，進而為快速破案提供科學技術保證。此外，計算機動態(tài)取證技術還能最大限度地保證犯罪信息的安全，并對入侵者的記錄進行分析，以防止信息被盜。這一入侵控制的檢測系統(tǒng)為網(wǎng)絡入侵監(jiān)測系統(tǒng)NIDS（NetworkIntrusionDetectionSystem），是由計算機網(wǎng)絡管理人員對計算機動態(tài)取證信息運行狀態(tài)進行實時監(jiān)控的重要系統(tǒng)。

2計算機動態(tài)取證技術現(xiàn)狀

計算機犯罪取證與其他犯罪取證不同，其具有一定特殊性。計算機犯罪取證一般分為兩個步驟，首先是從實體存儲設備或計算機系統(tǒng)獲取、收集、保全數(shù)據(jù)，然后就是進行數(shù)據(jù)證據(jù)的恢復、分析、保存和提交等。就目前來說，由于計算機取證數(shù)據(jù)量非常龐大并且實時更新，在計算機動態(tài)取證過程中，主要存在以下主要問題：收集或分析會破壞數(shù)據(jù)證據(jù)的原始狀態(tài)，對于法庭或是立法機關來說不易理解，數(shù)字化數(shù)據(jù)或隱藏性數(shù)據(jù)信息不具直觀性；取證技術應用人員的專業(yè)水平高低不同；信息技術發(fā)展進程過快以及數(shù)字信息轉換具有短暫性。此外，隨著計算機網(wǎng)絡信息技術的帶寬不斷增加，計算機動態(tài)取證信息的數(shù)據(jù)量在不斷增加，這就使得過多的日志或是實際上不重要的日志得到保存。在此情況下，就需要采取更加科學有效安全的方法來保存如此海量的信息數(shù)據(jù)。此外，在計算機動態(tài)取證過程中如何合理高效地智能化地應用分析數(shù)據(jù)也是一個新的問題，因為傳統(tǒng)的分析判斷已不能滿足辦案的需求。這就使得計算機動態(tài)取證技術人員不僅要從海量的數(shù)據(jù)信息中提取犯罪特征的數(shù)據(jù)，還要對不斷更新的特征信息內容進行判斷。因此，在很大程度上阻礙了計算機動態(tài)取證技術應用的智能化發(fā)展。針對這一問題，相關技術人員可將數(shù)據(jù)挖掘技術應用于其中，以解決上述問題給計算機動態(tài)取證工作帶來的困難。

3數(shù)據(jù)挖掘在計算機動態(tài)取證中的應用現(xiàn)狀

數(shù)據(jù)挖掘是從信息處理的角度出發(fā)，通過計算機快速準確地分析數(shù)據(jù)，也就是從數(shù)據(jù)庫以及數(shù)據(jù)倉庫中挖掘與目標對象有關的數(shù)據(jù)信息，以幫助人們基于大量數(shù)據(jù)作出判斷和決策等。該技術應用于計算機動態(tài)取證過程后，其是由數(shù)據(jù)采集、存儲、分析、變換、評估、記錄等內容組成。由此可見，其主要的功能應用體現(xiàn)在挖掘出與取證對象相關的模式數(shù)據(jù)。主要模式類型涉及關聯(lián)分析、孤立點分析、分類分析以及預測分析等。關聯(lián)分析是通過犯罪行為與關聯(lián)規(guī)則進行匹配分析，即挖掘不同行為的關聯(lián)特征，進而分析同一事件在不同計算機動態(tài)證據(jù)之間的聯(lián)系。分類分析，則是先分析出異常數(shù)據(jù)和正常數(shù)據(jù)的樣本，來找出不同信息數(shù)據(jù)之間的分類規(guī)則。具體是通過判定樹、數(shù)學公式來提高測試樣本評估的準確性，此過程，技術人員可以利用形成的準確率模型，對其他數(shù)據(jù)樣本進行分類分析。與此同時，將以上技術方法作用于計算機動態(tài)取證的數(shù)據(jù)分析階段，不但實現(xiàn)了對數(shù)據(jù)信息的特征分類，還能將可能行為作為犯罪證據(jù)或犯罪動機的信息數(shù)據(jù)記錄下來，進而解決僅僅靠計算機動態(tài)取證不能很好滿足的智能化、有效性以及實時性問題需求。為此，相關研究人員應通過構建科學合理的數(shù)據(jù)挖掘動態(tài)取證系統(tǒng)，來實踐計算機動態(tài)取證技術應用的智能性。

4基于數(shù)據(jù)挖掘的計算機動態(tài)取證系統(tǒng)的構建

4.1系統(tǒng)模型的構建?；跀?shù)據(jù)挖掘的計算機動態(tài)取證系統(tǒng)由數(shù)據(jù)挖掘、數(shù)據(jù)獲取、數(shù)據(jù)分析以及證據(jù)鑒定和證據(jù)保全、證據(jù)提交模塊組成。其中，數(shù)據(jù)挖掘模塊的功能是對數(shù)據(jù)倉庫的數(shù)據(jù)進行收集、選擇、轉換，運用關聯(lián)規(guī)則分析、分類，應用聯(lián)系分析技術方法來發(fā)現(xiàn)事件之間在時空上的聯(lián)系，從而獲得用于數(shù)據(jù)分析的特征、模式、規(guī)律及知識。數(shù)據(jù)鑒定模塊是對所收集來的電子證據(jù)通過中央處理器、存儲器、網(wǎng)絡設備、集線器等硬件設備來源和軟件來源進行鑒定，找到數(shù)據(jù)證據(jù)和犯罪行為之間的關系，從而準確定位和確定犯罪。數(shù)據(jù)保全則是將鑒定出來的證據(jù)采用數(shù)據(jù)加密、摘要或簽名技術進行加密并傳送到證據(jù)庫。入侵檢測模塊的主要作用是全面監(jiān)測系統(tǒng)進行的操作活動，即一旦監(jiān)測到非法入侵者進入系統(tǒng)則及時報警。數(shù)據(jù)獲取模塊不僅要從系統(tǒng)文件和日志文件、網(wǎng)絡數(shù)據(jù)等依法安全提取動態(tài)數(shù)據(jù)，還要從網(wǎng)絡入侵監(jiān)測系統(tǒng)接收報警數(shù)據(jù)，同時將數(shù)據(jù)處理成匹配數(shù)據(jù)倉庫存儲格式后再存入數(shù)據(jù)倉庫。從而，相關辦案工作人員就能根據(jù)準確分析犯罪證據(jù)而生成完整的報告，依照相關法律程序提交法庭。4.2關聯(lián)分析的應用。關聯(lián)分析類似于購物籃分析，根據(jù)頻繁項組成關聯(lián)規(guī)則。在動態(tài)取證過程中，可以運用規(guī)則分析犯罪行為之間的關聯(lián)特征，獲取不同犯罪類型的共同特征，或者同一事件的不同行為間的規(guī)則，然后把分析數(shù)據(jù)和記錄數(shù)據(jù)匯總到數(shù)據(jù)表。在分析動態(tài)取證的數(shù)據(jù)時，就可以把用戶行為與關聯(lián)規(guī)則庫中的規(guī)則進行匹配，從而判斷用戶行為是否合法、是否與某一犯罪事件相關等，這時既可以把可能的犯罪證據(jù)提取出來存儲到證據(jù)庫，也可以把將可疑數(shù)據(jù)反饋到NIDS中。這樣不僅能解決數(shù)據(jù)量龐大的問題，而且也快速處理了實時數(shù)據(jù)并保障了數(shù)據(jù)安全。4.3分類技術的應用。分類是一種重要的數(shù)據(jù)分析方式，通過分析已知數(shù)據(jù)對象預測未知數(shù)據(jù)對象，從而讓我們更全面地理解數(shù)據(jù)，在數(shù)據(jù)挖掘技術中被廣泛應用。同理，動態(tài)取證在獲取階段就已收集了用戶大量的正?；虍惓５臄?shù)據(jù)，在數(shù)據(jù)分析階段就可以應用分類技術預測用戶是否非法、合法，將評估出的非法行為記錄下來，作為犯罪證據(jù)或動機分析的依據(jù)，從而提高數(shù)據(jù)分析的智能性。4.4關鍵技術方法。將數(shù)據(jù)挖掘技術應用于計算機動態(tài)取證系統(tǒng)中，構建該系統(tǒng)的關鍵技術方法有以下三方面。（1）針對計算機動態(tài)取證技術的信息數(shù)據(jù)龐大問題，系統(tǒng)構建人員可通過采用數(shù)據(jù)挖掘的特征序號分析技術，從而減少計算機取證技術人員的工作量和提高犯罪證據(jù)數(shù)據(jù)內容的準確率。（2）針對計算機動態(tài)取證技術獲取信息類型的復雜性，系統(tǒng)構建技術人員可通過關聯(lián)規(guī)則分析，以提高犯罪信息判定以及分析的準確性。（3）針對計算機動態(tài)取證信息的網(wǎng)絡環(huán)境的安全性，系統(tǒng)構建技術人員可通過入侵檢測模塊來實現(xiàn)入侵活動的報警，從而解決計算機犯罪信息處在網(wǎng)絡變化性環(huán)境的安全威脅問題。

5結語

綜上所述，隨著計算機技術的發(fā)展和計算機犯罪的多樣性及復雜性，計算機動態(tài)取證技術在不斷研究與完善發(fā)展的過程中面臨新的技術難題和嚴峻的挑戰(zhàn)。因此，數(shù)據(jù)挖掘技術結合計算機網(wǎng)絡、人工智能等可以較好地解決相關技術問題，通過對大量的動態(tài)實時數(shù)據(jù)進行挖掘分析，提取犯罪證據(jù)相關數(shù)據(jù)信息，有助于提高計算機動態(tài)取證的專業(yè)性、智能性和高效性，從而有效打擊計算機網(wǎng)絡入侵等犯罪活動，維護計算機網(wǎng)絡的安全環(huán)境及社會治安，保障人民群眾的人身財產安全，構建和諧社會。

作者:李艷花 單位:云南工程職業(yè)學院

參考文獻

[1]李建偉.基于距離的孤立點挖掘在計算機取證中的應用研究[J].電子技術與軟件工程,2015(9):206-207.

[2]湯龍.數(shù)據(jù)挖掘在計算機取證分析中的應用研究[J].電腦知識與技術,2015(17):16-17.

[3]劉琴.判定樹算法在計算機取證中的應用[J].計算機應用與軟件,2008(7):40-41.

[4]穆瑞輝.計算機取證分析系統(tǒng)中數(shù)據(jù)挖掘技術的應用[J].計算機光盤軟件與應用,2012(24):108-109.

[5]曾倩倩.數(shù)據(jù)挖掘技術在計算機犯罪取證中的應用[J].通訊世界,2016(12):83.

[6]魏利梅.基于數(shù)據(jù)挖掘的計算機動態(tài)取證技術[J].山西警官高等?？茖W校學報,2009(4).

[7]鐘秀玉,凌捷.計算機動態(tài)取證的數(shù)據(jù)分析技術研究[J].計算機應用與軟件,2004(9).