數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證系統(tǒng)中應(yīng)用

導(dǎo)語(yǔ)：數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證系統(tǒng)中應(yīng)用一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:計(jì)算機(jī)取證技術(shù)的主要作用是提供不法分子的違法犯罪證據(jù)，對(duì)可靠性要求較高，它是進(jìn)行信息提取、存儲(chǔ)、分析再得出電子證據(jù)的有效手段。與計(jì)算機(jī)相關(guān)的犯罪信息數(shù)據(jù)都可以使用計(jì)算機(jī)取證技術(shù)對(duì)大量的數(shù)據(jù)進(jìn)行智能分析。然而隨著科技的發(fā)展，傳統(tǒng)的計(jì)算機(jī)取證技術(shù)在當(dāng)前發(fā)展迅猛的網(wǎng)絡(luò)科技面前已經(jīng)顯得力不從心，因此，數(shù)據(jù)挖掘作為一個(gè)具有創(chuàng)新性和實(shí)用性的技術(shù)可以用作處理巨大規(guī)模的數(shù)據(jù)。數(shù)據(jù)挖掘技術(shù)在速度、精確度以及準(zhǔn)確性上都具有無(wú)可比擬的優(yōu)勢(shì)。本文就數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)取證分析系統(tǒng)中的應(yīng)用展開(kāi)研究。

關(guān)鍵詞:數(shù)據(jù)挖掘技術(shù);計(jì)算機(jī)取證分析系統(tǒng);應(yīng)用

0前言

互聯(lián)網(wǎng)行業(yè)的快速發(fā)展，給我們的生活帶來(lái)了極大的便利，但計(jì)算機(jī)網(wǎng)絡(luò)犯罪也隨之增加，為個(gè)人、集體乃至于國(guó)家?guī)?lái)?yè)p失。因此，網(wǎng)絡(luò)安全相關(guān)的問(wèn)題現(xiàn)在越來(lái)越受到人們的重視，為打擊計(jì)算機(jī)網(wǎng)絡(luò)犯罪的計(jì)算機(jī)取證系統(tǒng)也由傳統(tǒng)的技術(shù)走向了更為先進(jìn)的數(shù)據(jù)挖掘技術(shù)，使網(wǎng)絡(luò)安全更上了一個(gè)臺(tái)階。在進(jìn)行計(jì)算機(jī)取證時(shí)，首先在海量的數(shù)據(jù)中收集出與犯罪相關(guān)的證據(jù)數(shù)據(jù)，再以此為基礎(chǔ)，分析出犯罪行為證據(jù)，這個(gè)過(guò)程就是計(jì)算機(jī)取證的過(guò)程。實(shí)際上，計(jì)算機(jī)取證不僅僅只是對(duì)數(shù)據(jù)進(jìn)行分析，它還可以深入挖掘犯罪分子的證據(jù)。在傳統(tǒng)的處理數(shù)據(jù)方法中，面對(duì)龐大的數(shù)據(jù)，效率低下，時(shí)間周期過(guò)長(zhǎng)，而利用數(shù)據(jù)挖掘技術(shù)來(lái)處理這些數(shù)據(jù)，能夠保證所得到的信息更加完整、準(zhǔn)確，并且速度會(huì)快很多。數(shù)據(jù)挖掘能在規(guī)模龐大、信息不連續(xù)的數(shù)據(jù)中，將可能的以及有用的信息提取出來(lái)，這些提取的數(shù)據(jù)依據(jù)結(jié)構(gòu)的不同分為半結(jié)構(gòu)化數(shù)據(jù)和異構(gòu)性數(shù)據(jù)。計(jì)算機(jī)取證時(shí)，利用數(shù)據(jù)挖掘技術(shù)進(jìn)行隱藏模式的挖掘，通常來(lái)說(shuō)，共有兩種模式:

(1)描述型;

(2)預(yù)測(cè)型。數(shù)據(jù)挖掘技術(shù)可以利用所得的數(shù)據(jù)總結(jié)出相關(guān)的規(guī)律，能夠把數(shù)據(jù)中的大量有用的東西挖掘出來(lái)，為決策者提供數(shù)據(jù)基礎(chǔ)。利用這一點(diǎn)，在各類網(wǎng)絡(luò)計(jì)算機(jī)犯罪中，就可以使用數(shù)據(jù)挖掘技術(shù)來(lái)得到有效的犯罪分子的違法信息，為國(guó)家的網(wǎng)絡(luò)安全部門、辦案人員提供有效信息，減小辦案的難度。

1計(jì)算機(jī)取證分析技術(shù)

1.1存在問(wèn)題

計(jì)算機(jī)犯罪與傳統(tǒng)的犯罪不同，它具有特殊性和電子證據(jù)的特點(diǎn)，它在數(shù)據(jù)量上非常龐大，并且格式繁多復(fù)雜。當(dāng)前，我國(guó)所使用的傳統(tǒng)取證的方式有兩種:

(1)模式配比:快速獲取一些標(biāo)志性的攻擊行為。在入侵檢測(cè)時(shí)，它依據(jù)用戶所建立起的模型進(jìn)行行為模式的匹配，來(lái)監(jiān)督計(jì)算機(jī)入侵的發(fā)生。這種方式雖然在一定程度上能發(fā)現(xiàn)系統(tǒng)被入侵的情況，但是，在實(shí)際的操作中，很容易出現(xiàn)誤報(bào)或者無(wú)法發(fā)現(xiàn)入侵的情況。這種方式一般情況下適用于系統(tǒng)入侵檢測(cè)，在對(duì)計(jì)算機(jī)取證領(lǐng)域，還沒(méi)有多大的作用;

(2)關(guān)鍵字查找:這種方式適用于數(shù)據(jù)源單一的情況，如果在數(shù)據(jù)規(guī)模龐大，種類繁多，那么如何找出在不同的數(shù)據(jù)源之間的聯(lián)系是解決這個(gè)問(wèn)題的關(guān)鍵。

1.2計(jì)算機(jī)取證步驟

證據(jù)在法律上要求是完整的、準(zhǔn)確的，因此，在進(jìn)行數(shù)據(jù)收集時(shí)，要避免數(shù)據(jù)受到破壞，保護(hù)數(shù)據(jù)的完整性。另外要注意網(wǎng)絡(luò)對(duì)數(shù)據(jù)采集的影響，不要在網(wǎng)絡(luò)波動(dòng)較大的時(shí)間段收集數(shù)據(jù)。采集的過(guò)程要透明、可見(jiàn)，保證數(shù)據(jù)的正確性。收集網(wǎng)絡(luò)信息數(shù)據(jù)時(shí)，要保證它的完整性，完整的數(shù)據(jù)有利于計(jì)算機(jī)犯罪信息的分析，幫助快速定位。目前來(lái)說(shuō)，使用較多的方式就是存儲(chǔ)所有網(wǎng)絡(luò)報(bào)文，記錄一個(gè)完整的體系。這種方式把數(shù)據(jù)完整地存儲(chǔ)了起來(lái)，數(shù)據(jù)信息都不會(huì)丟失，在受到網(wǎng)絡(luò)攻擊后，也能利這存儲(chǔ)的數(shù)據(jù)進(jìn)行情景再現(xiàn)，找出攻擊的源頭，但是，這種做法占用極大的存儲(chǔ)空間和網(wǎng)絡(luò)帶寬。

完成了網(wǎng)絡(luò)數(shù)據(jù)的收集后，對(duì)所收集到的信息進(jìn)行處理。面對(duì)龐大的網(wǎng)絡(luò)數(shù)據(jù)信息，數(shù)據(jù)分析的工作顯得非常重要。對(duì)收集的信息進(jìn)行分析，將網(wǎng)絡(luò)入侵分析出來(lái)，對(duì)系統(tǒng)進(jìn)行快速的恢復(fù)和重建，減小受到的損失。在進(jìn)行數(shù)據(jù)分析時(shí)，一般是分階段進(jìn)行的:第一階段就是基礎(chǔ)分析;第二階段是將所得的數(shù)據(jù)進(jìn)行深入的分析。在第二階段，分析時(shí)由于數(shù)據(jù)來(lái)源、事件原因等等原因?qū)е律钊敕治鰰r(shí)，情況會(huì)常地復(fù)雜，做好充分的架構(gòu)以應(yīng)對(duì)這一階段的工作。在進(jìn)行計(jì)算機(jī)取證時(shí)，可能會(huì)出現(xiàn)誤報(bào)和遺漏的情況，即使出現(xiàn)了這種現(xiàn)象，也可以通過(guò)原始的數(shù)據(jù)分析出來(lái)具本的情況。計(jì)算機(jī)在進(jìn)行取證時(shí)，記錄會(huì)伴隨著事件的整個(gè)生命周期，以獲得事件的連續(xù)記錄。在記錄的時(shí)候，做好網(wǎng)絡(luò)取證的情況分析以及所帶數(shù)據(jù)準(zhǔn)確性的分析，在信息丟失時(shí)，將原因，時(shí)間記錄下來(lái)，保存到數(shù)據(jù)庫(kù)中。另外，對(duì)操作員對(duì)系統(tǒng)的操作，也要進(jìn)行記錄，以保證所得數(shù)據(jù)的客觀性。對(duì)所收集到的信息進(jìn)行保存，再對(duì)這些信息進(jìn)行篩選分析，將所得結(jié)果當(dāng)作證據(jù)，提供給公安機(jī)關(guān)或者法庭。

2計(jì)算機(jī)取證分析系統(tǒng)中數(shù)據(jù)挖掘技術(shù)的應(yīng)用

2.1系統(tǒng)結(jié)構(gòu)

包括數(shù)據(jù)采集模塊、入侵檢測(cè)模塊、數(shù)據(jù)分析模塊、證據(jù)鑒定模塊和證據(jù)保全模塊五大模塊。

(1)數(shù)據(jù)采集模塊:負(fù)責(zé)收集網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù)，將網(wǎng)絡(luò)攻擊和入侵信息記錄起來(lái)，并保存其它的可用信息;

(2)入侵檢測(cè)模塊:負(fù)責(zé)系統(tǒng)防護(hù)，對(duì)系統(tǒng)的所有活動(dòng)進(jìn)行監(jiān)測(cè)，一旦發(fā)現(xiàn)了有非法入侵時(shí)，就進(jìn)行告警。入侵檢測(cè)在傳統(tǒng)的檢測(cè)基礎(chǔ)之上以正常的檢測(cè)模塊和異常檢測(cè)模塊相結(jié)合的方式組合成新的入侵防御體系，在出現(xiàn)了異常之后，會(huì)對(duì)數(shù)據(jù)分析模塊發(fā)送入侵信息;

(3)數(shù)據(jù)分析模塊:以數(shù)據(jù)挖掘?yàn)榛A(chǔ)，對(duì)收集到的數(shù)據(jù)信息進(jìn)行處理，結(jié)果將會(huì)生成與案件相關(guān)的電子證據(jù)，以發(fā)現(xiàn)入侵的來(lái)源且進(jìn)行防御攻擊來(lái)保護(hù)數(shù)據(jù)和系統(tǒng)的安全;

(4)證據(jù)鑒定模塊:對(duì)計(jì)算機(jī)的設(shè)備進(jìn)行鑒定，如存儲(chǔ)設(shè)備、軟件設(shè)備以及其它的硬件設(shè)備等等，以發(fā)現(xiàn)犯罪的實(shí)證與電子證據(jù)之間的互相關(guān)系，以提供更加強(qiáng)有力的證據(jù);

(5)證據(jù)保全模塊:即經(jīng)過(guò)數(shù)據(jù)挖掘出的證據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)中，保護(hù)證據(jù)的安全性。

2.2數(shù)據(jù)挖掘方法

動(dòng)態(tài)取證是對(duì)事前進(jìn)行數(shù)據(jù)收集，即在違法人員對(duì)數(shù)據(jù)的損毀之前將數(shù)據(jù)收集起來(lái)，這樣即使數(shù)據(jù)遭受到了修改、刪除等破壞行為，原數(shù)據(jù)以及破壞數(shù)據(jù)的人都將記錄下來(lái)，定位違法人員的全程違法行為，這信息被記錄的信息包括:IP、時(shí)間、操作事件等。針對(duì)這種動(dòng)態(tài)的取證系統(tǒng)，數(shù)據(jù)挖掘技術(shù)可以有效地解決掉取證時(shí)需要的真實(shí)有效、功能可擴(kuò)展以及適應(yīng)性要求高的問(wèn)題。因此，在本系統(tǒng)中，具體應(yīng)用到的數(shù)據(jù)挖掘辦法主要如下:

(1)關(guān)聯(lián)分析:即利用關(guān)聯(lián)規(guī)則來(lái)進(jìn)行數(shù)據(jù)的挖掘，主要有兩個(gè)方式:①找出頻繁項(xiàng)集大于預(yù)定義數(shù)的頻繁項(xiàng);②由上一步的頻繁項(xiàng)集進(jìn)行比對(duì)，找出滿足最小的支持度與最小置信度的數(shù)據(jù)。在面對(duì)龐大的數(shù)據(jù)時(shí)，利用這一分析法，大大減小了數(shù)據(jù)分析花費(fèi)的時(shí)間，還為動(dòng)態(tài)取證的實(shí)效性提供了保證;

(2)聯(lián)系分析:該方法將用戶和程序之間的行為關(guān)聯(lián)在了一起，分析在操作計(jì)算時(shí)的事件序列，分析出作案的技術(shù)、工具以及時(shí)間等各種表象特征之間的關(guān)系。利用這種在聯(lián)系關(guān)系，建立起安全防御的異常模型，并對(duì)它進(jìn)行實(shí)時(shí)的更新，以保證數(shù)據(jù)的實(shí)效性和準(zhǔn)確性;

(3)分類分析:對(duì)已經(jīng)存儲(chǔ)入數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行建模分析，對(duì)不同種類的數(shù)據(jù)，分門別類進(jìn)研究，制定出分類的規(guī)則。在動(dòng)態(tài)取證的系統(tǒng)數(shù)據(jù)分析階段，以分類的規(guī)則判斷數(shù)據(jù)是否合法，以及用戶和操作是否合法，對(duì)違規(guī)的操作進(jìn)行記錄，保存非法操作的信息。這樣就能對(duì)未知的一些數(shù)據(jù)進(jìn)行以類別判斷是否違規(guī)，提升數(shù)據(jù)分析的智能性。

3結(jié)語(yǔ)

將數(shù)據(jù)挖掘技術(shù)引入計(jì)算機(jī)取證系統(tǒng)中去，大大提高了取證系統(tǒng)的運(yùn)行效率，幫助取證系統(tǒng)能夠快速有效地進(jìn)行取證操作，實(shí)現(xiàn)了動(dòng)態(tài)取證以及智能取證的功能。但是，由于當(dāng)前數(shù)據(jù)挖掘技術(shù)還不夠完善，網(wǎng)絡(luò)犯罪的行為和技術(shù)也在不斷地變化發(fā)展，因而，在計(jì)算機(jī)取證上，仍面臨著較大的挑戰(zhàn)。所以，使用更加智能化的數(shù)據(jù)挖掘技術(shù)來(lái)挖取網(wǎng)絡(luò)犯罪信息，是今后計(jì)算機(jī)取證系統(tǒng)的發(fā)展方向。

參考文獻(xiàn)

［1］孟強(qiáng)，李海晨．Web數(shù)據(jù)挖掘技術(shù)及應(yīng)用研究［J］．電腦與信息技術(shù)，2017，(1):59－62．

［2］張蕊，齊曉霞．?dāng)?shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究［J］．西安文理學(xué)院學(xué)報(bào)(自然科學(xué)版)，2017，(2):29－33．

［3］謝怡文．試分析數(shù)據(jù)挖掘技術(shù)在Web預(yù)取中的應(yīng)用［J］．電腦編程技巧與維護(hù)，2017，(7):66－67+74．

［4］曹敏．計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)研究［J］．無(wú)線互聯(lián)科技，2017，(6):42－43．

［5］黃燦．基于Windows平臺(tái)的計(jì)算機(jī)取證系統(tǒng)研究與實(shí)現(xiàn)［D］．電子科技大學(xué)，2014．

［6］姜雪晴．基于數(shù)據(jù)挖掘的電子證據(jù)分析模型研究［D］．南京郵電大學(xué)，2014．

［7］高川凱．淺析計(jì)算機(jī)取證技術(shù)［J］．信息系統(tǒng)工程，2017，(2):19．

作者:王懋 單位:陜西財(cái)經(jīng)職業(yè)技術(shù)學(xué)院