计算机动态取证数据挖掘研究

摘要：随着计算机技术和网络技术的快速发展，计算机犯罪事件的数量增加，其类型、形式等也层出不穷，传统的静态取证已不能满足办案的需要，计算机动态取证应运而生。笔者分析了数据挖掘技术在计算机动态取证中的应用现状，并提出了基于数据挖掘技术计算机动态取证系统的构建方法，其目的是为从事计算机动态取证及研究数据挖掘等相关人员提供一定的参考。

关键词：数据挖掘；动态取证；关联规则

计算机动态取证技术是用来为办案机关提供实时信息数据的关键技术，其不仅能够获取与犯罪过程相关的数据信息，还能对其进行分析，以提高办案人员的工作效率。然而，随着实时更新的海量数据的剧增，仅靠单一的计算机动态取证技术已难以满足取证应用需求。为此，需要研究一种新技术来解决这一问题。而数据挖掘的研究和应用正在社会各个领域蓬勃发展，它能从大量数据中采用快速有效的方法获得有用的知识和信息。因此，将数据挖掘技术应用于计算机动态取证过程中，能够有效提升动态取证的准确性、完整性和智能性。

1计算机动态取证技术简介

所谓计算机动态取证技术是通过信息获取、信息保存、信息分析以及电子证据提取等相关步骤，来为办案机关提供犯罪分子的作案证据。相关研究表明，计算机动态取证技术能够从大量的信息数据中获取与犯罪过程有关的信息内容，并对其进行智能化分析。这样一来，办案人员就能在最短时间内按照获取的犯罪信息来确定查案方向，进而为快速破案提供科学技术保证。此外，计算机动态取证技术还能最大限度地保证犯罪信息的安全，并对入侵者的记录进行分析，以防止信息被盗。这一入侵控制的检测系统为网络入侵监测系统NIDS（NetworkIntrusionDetectionSystem），是由计算机网络管理人员对计算机动态取证信息运行状态进行实时监控的重要系统。

2计算机动态取证技术现状

计算机犯罪取证与其他犯罪取证不同，其具有一定特殊性。计算机犯罪取证一般分为两个步骤，首先是从实体存储设备或计算机系统获取、收集、保全数据，然后就是进行数据证据的恢复、分析、保存和提交等。就目前来说，由于计算机取证数据量非常庞大并且实时更新，在计算机动态取证过程中，主要存在以下主要问题：收集或分析会破坏数据证据的原始状态，对于法庭或是立法机关来说不易理解，数字化数据或隐藏性数据信息不具直观性；取证技术应用人员的专业水平高低不同；信息技术发展进程过快以及数字信息转换具有短暂性。此外，随着计算机网络信息技术的带宽不断增加，计算机动态取证信息的数据量在不断增加，这就使得过多的日志或是实际上不重要的日志得到保存。在此情况下，就需要采取更加科学有效安全的方法来保存如此海量的信息数据。此外，在计算机动态取证过程中如何合理高效地智能化地应用分析数据也是一个新的问题，因为传统的分析判断已不能满足办案的需求。这就使得计算机动态取证技术人员不仅要从海量的数据信息中提取犯罪特征的数据，还要对不断更新的特征信息内容进行判断。因此，在很大程度上阻碍了计算机动态取证技术应用的智能化发展。针对这一问题，相关技术人员可将数据挖掘技术应用于其中，以解决上述问题给计算机动态取证工作带来的困难。

3数据挖掘在计算机动态取证中的应用现状

数据挖掘是从信息处理的角度出发，通过计算机快速准确地分析数据，也就是从数据库以及数据仓库中挖掘与目标对象有关的数据信息，以帮助人们基于大量数据作出判断和决策等。该技术应用于计算机动态取证过程后，其是由数据采集、存储、分析、变换、评估、记录等内容组成。由此可见，其主要的功能应用体现在挖掘出与取证对象相关的模式数据。主要模式类型涉及关联分析、孤立点分析、分类分析以及预测分析等。关联分析是通过犯罪行为与关联规则进行匹配分析，即挖掘不同行为的关联特征，进而分析同一事件在不同计算机动态证据之间的联系。分类分析，则是先分析出异常数据和正常数据的样本，来找出不同信息数据之间的分类规则。具体是通过判定树、数学公式来提高测试样本评估的准确性，此过程，技术人员可以利用形成的准确率模型，对其他数据样本进行分类分析。与此同时，将以上技术方法作用于计算机动态取证的数据分析阶段，不但实现了对数据信息的特征分类，还能将可能行为作为犯罪证据或犯罪动机的信息数据记录下来，进而解决仅仅靠计算机动态取证不能很好满足的智能化、有效性以及实时性问题需求。为此，相关研究人员应通过构建科学合理的数据挖掘动态取证系统，来实践计算机动态取证技术应用的智能性。

4基于数据挖掘的计算机动态取证系统的构建

4.1系统模型的构建。基于数据挖掘的计算机动态取证系统由数据挖掘、数据获取、数据分析以及证据鉴定和证据保全、证据提交模块组成。其中，数据挖掘模块的功能是对数据仓库的数据进行收集、选择、转换，运用关联规则分析、分类，应用联系分析技术方法来发现事件之间在时空上的联系，从而获得用于数据分析的特征、模式、规律及知识。数据鉴定模块是对所收集来的电子证据通过中央处理器、存储器、网络设备、集线器等硬件设备来源和软件来源进行鉴定，找到数据证据和犯罪行为之间的关系，从而准确定位和确定犯罪。数据保全则是将鉴定出来的证据采用数据加密、摘要或签名技术进行加密并传送到证据库。入侵检测模块的主要作用是全面监测系统进行的操作活动，即一旦监测到非法入侵者进入系统则及时报警。数据获取模块不仅要从系统文件和日志文件、网络数据等依法安全提取动态数据，还要从网络入侵监测系统接收报警数据，同时将数据处理成匹配数据仓库存储格式后再存入数据仓库。从而，相关办案工作人员就能根据准确分析犯罪证据而生成完整的报告，依照相关法律程序提交法庭。4.2关联分析的应用。关联分析类似于购物篮分析，根据频繁项组成关联规则。在动态取证过程中，可以运用规则分析犯罪行为之间的关联特征，获取不同犯罪类型的共同特征，或者同一事件的不同行为间的规则，然后把分析数据和记录数据汇总到数据表。在分析动态取证的数据时，就可以把用户行为与关联规则库中的规则进行匹配，从而判断用户行为是否合法、是否与某一犯罪事件相关等，这时既可以把可能的犯罪证据提取出来存储到证据库，也可以把将可疑数据反馈到NIDS中。这样不仅能解决数据量庞大的问题，而且也快速处理了实时数据并保障了数据安全。4.3分类技术的应用。分类是一种重要的数据分析方式，通过分析已知数据对象预测未知数据对象，从而让我们更全面地理解数据，在数据挖掘技术中被广泛应用。同理，动态取证在获取阶段就已收集了用户大量的正常或异常的数据，在数据分析阶段就可以应用分类技术预测用户是否非法、合法，将评估出的非法行为记录下来，作为犯罪证据或动机分析的依据，从而提高数据分析的智能性。4.4关键技术方法。将数据挖掘技术应用于计算机动态取证系统中，构建该系统的关键技术方法有以下三方面。（1）针对计算机动态取证技术的信息数据庞大问题，系统构建人员可通过采用数据挖掘的特征序号分析技术，从而减少计算机取证技术人员的工作量和提高犯罪证据数据内容的准确率。（2）针对计算机动态取证技术获取信息类型的复杂性，系统构建技术人员可通过关联规则分析，以提高犯罪信息判定以及分析的准确性。（3）针对计算机动态取证信息的网络环境的安全性，系统构建技术人员可通过入侵检测模块来实现入侵活动的报警，从而解决计算机犯罪信息处在网络变化性环境的安全威胁问题。

5结语

综上所述，随着计算机技术的发展和计算机犯罪的多样性及复杂性，计算机动态取证技术在不断研究与完善发展的过程中面临新的技术难题和严峻的挑战。因此，数据挖掘技术结合计算机网络、人工智能等可以较好地解决相关技术问题，通过对大量的动态实时数据进行挖掘分析，提取犯罪证据相关数据信息，有助于提高计算机动态取证的专业性、智能性和高效性，从而有效打击计算机网络入侵等犯罪活动，维护计算机网络的安全环境及社会治安，保障人民群众的人身财产安全，构建和谐社会。

作者:李艳花 单位:云南工程职业学院

参考文献

[1]李建伟.基于距离的孤立点挖掘在计算机取证中的应用研究[J].电子技术与软件工程,2015(9):206-207.

[2]汤龙.数据挖掘在计算机取证分析中的应用研究[J].电脑知识与技术,2015(17):16-17.

[3]刘琴.判定树算法在计算机取证中的应用[J].计算机应用与软件,2008(7):40-41.

[4]穆瑞辉.计算机取证分析系统中数据挖掘技术的应用[J].计算机光盘软件与应用,2012(24):108-109.

[5]曾倩倩.数据挖掘技术在计算机犯罪取证中的应用[J].通讯世界,2016(12):83.

[6]魏利梅.基于数据挖掘的计算机动态取证技术[J].山西警官高等专科学校学报,2009(4).

[7]钟秀玉,凌捷.计算机动态取证的数据分析技术研究[J].计算机应用与软件,2004(9).