数据挖掘技术在计算机取证系统中应用

导语：数据挖掘技术在计算机取证系统中应用一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

摘要:计算机取证技术的主要作用是提供不法分子的违法犯罪证据，对可靠性要求较高，它是进行信息提取、存储、分析再得出电子证据的有效手段。与计算机相关的犯罪信息数据都可以使用计算机取证技术对大量的数据进行智能分析。然而随着科技的发展，传统的计算机取证技术在当前发展迅猛的网络科技面前已经显得力不从心，因此，数据挖掘作为一个具有创新性和实用性的技术可以用作处理巨大规模的数据。数据挖掘技术在速度、精确度以及准确性上都具有无可比拟的优势。本文就数据挖掘技术在计算机取证分析系统中的应用展开研究。

关键词:数据挖掘技术;计算机取证分析系统;应用

0前言

互联网行业的快速发展，给我们的生活带来了极大的便利，但计算机网络犯罪也随之增加，为个人、集体乃至于国家带来损失。因此，网络安全相关的问题现在越来越受到人们的重视，为打击计算机网络犯罪的计算机取证系统也由传统的技术走向了更为先进的数据挖掘技术，使网络安全更上了一个台阶。在进行计算机取证时，首先在海量的数据中收集出与犯罪相关的证据数据，再以此为基础，分析出犯罪行为证据，这个过程就是计算机取证的过程。实际上，计算机取证不仅仅只是对数据进行分析，它还可以深入挖掘犯罪分子的证据。在传统的处理数据方法中，面对庞大的数据，效率低下，时间周期过长，而利用数据挖掘技术来处理这些数据，能够保证所得到的信息更加完整、准确，并且速度会快很多。数据挖掘能在规模庞大、信息不连续的数据中，将可能的以及有用的信息提取出来，这些提取的数据依据结构的不同分为半结构化数据和异构性数据。计算机取证时，利用数据挖掘技术进行隐藏模式的挖掘，通常来说，共有两种模式:

(1)描述型;

(2)预测型。数据挖掘技术可以利用所得的数据总结出相关的规律，能够把数据中的大量有用的东西挖掘出来，为决策者提供数据基础。利用这一点，在各类网络计算机犯罪中，就可以使用数据挖掘技术来得到有效的犯罪分子的违法信息，为国家的网络安全部门、办案人员提供有效信息，减小办案的难度。

1计算机取证分析技术

1.1存在问题

计算机犯罪与传统的犯罪不同，它具有特殊性和电子证据的特点，它在数据量上非常庞大，并且格式繁多复杂。当前，我国所使用的传统取证的方式有两种:

(1)模式配比:快速获取一些标志性的攻击行为。在入侵检测时，它依据用户所建立起的模型进行行为模式的匹配，来监督计算机入侵的发生。这种方式虽然在一定程度上能发现系统被入侵的情况，但是，在实际的操作中，很容易出现误报或者无法发现入侵的情况。这种方式一般情况下适用于系统入侵检测，在对计算机取证领域，还没有多大的作用;

(2)关键字查找:这种方式适用于数据源单一的情况，如果在数据规模庞大，种类繁多，那么如何找出在不同的数据源之间的联系是解决这个问题的关键。

1.2计算机取证步骤

证据在法律上要求是完整的、准确的，因此，在进行数据收集时，要避免数据受到破坏，保护数据的完整性。另外要注意网络对数据采集的影响，不要在网络波动较大的时间段收集数据。采集的过程要透明、可见，保证数据的正确性。收集网络信息数据时，要保证它的完整性，完整的数据有利于计算机犯罪信息的分析，帮助快速定位。目前来说，使用较多的方式就是存储所有网络报文，记录一个完整的体系。这种方式把数据完整地存储了起来，数据信息都不会丢失，在受到网络攻击后，也能利这存储的数据进行情景再现，找出攻击的源头，但是，这种做法占用极大的存储空间和网络带宽。

完成了网络数据的收集后，对所收集到的信息进行处理。面对庞大的网络数据信息，数据分析的工作显得非常重要。对收集的信息进行分析，将网络入侵分析出来，对系统进行快速的恢复和重建，减小受到的损失。在进行数据分析时，一般是分阶段进行的:第一阶段就是基础分析;第二阶段是将所得的数据进行深入的分析。在第二阶段，分析时由于数据来源、事件原因等等原因导致深入分析时，情况会常地复杂，做好充分的架构以应对这一阶段的工作。在进行计算机取证时，可能会出现误报和遗漏的情况，即使出现了这种现象，也可以通过原始的数据分析出来具本的情况。计算机在进行取证时，记录会伴随着事件的整个生命周期，以获得事件的连续记录。在记录的时候，做好网络取证的情况分析以及所带数据准确性的分析，在信息丢失时，将原因，时间记录下来，保存到数据库中。另外，对操作员对系统的操作，也要进行记录，以保证所得数据的客观性。对所收集到的信息进行保存，再对这些信息进行筛选分析，将所得结果当作证据，提供给公安机关或者法庭。

2计算机取证分析系统中数据挖掘技术的应用

2.1系统结构

包括数据采集模块、入侵检测模块、数据分析模块、证据鉴定模块和证据保全模块五大模块。

(1)数据采集模块:负责收集网络运行的数据，将网络攻击和入侵信息记录起来，并保存其它的可用信息;

(2)入侵检测模块:负责系统防护，对系统的所有活动进行监测，一旦发现了有非法入侵时，就进行告警。入侵检测在传统的检测基础之上以正常的检测模块和异常检测模块相结合的方式组合成新的入侵防御体系，在出现了异常之后，会对数据分析模块发送入侵信息;

(3)数据分析模块:以数据挖掘为基础，对收集到的数据信息进行处理，结果将会生成与案件相关的电子证据，以发现入侵的来源且进行防御攻击来保护数据和系统的安全;

(4)证据鉴定模块:对计算机的设备进行鉴定，如存储设备、软件设备以及其它的硬件设备等等，以发现犯罪的实证与电子证据之间的互相关系，以提供更加强有力的证据;

(5)证据保全模块:即经过数据挖掘出的证据存储到数据库中，保护证据的安全性。

2.2数据挖掘方法

动态取证是对事前进行数据收集，即在违法人员对数据的损毁之前将数据收集起来，这样即使数据遭受到了修改、删除等破坏行为，原数据以及破坏数据的人都将记录下来，定位违法人员的全程违法行为，这信息被记录的信息包括:IP、时间、操作事件等。针对这种动态的取证系统，数据挖掘技术可以有效地解决掉取证时需要的真实有效、功能可扩展以及适应性要求高的问题。因此，在本系统中，具体应用到的数据挖掘办法主要如下:

(1)关联分析:即利用关联规则来进行数据的挖掘，主要有两个方式:①找出频繁项集大于预定义数的频繁项;②由上一步的频繁项集进行比对，找出满足最小的支持度与最小置信度的数据。在面对庞大的数据时，利用这一分析法，大大减小了数据分析花费的时间，还为动态取证的实效性提供了保证;

(2)联系分析:该方法将用户和程序之间的行为关联在了一起，分析在操作计算时的事件序列，分析出作案的技术、工具以及时间等各种表象特征之间的关系。利用这种在联系关系，建立起安全防御的异常模型，并对它进行实时的更新，以保证数据的实效性和准确性;

(3)分类分析:对已经存储入数据库中的数据进行建模分析，对不同种类的数据，分门别类进研究，制定出分类的规则。在动态取证的系统数据分析阶段，以分类的规则判断数据是否合法，以及用户和操作是否合法，对违规的操作进行记录，保存非法操作的信息。这样就能对未知的一些数据进行以类别判断是否违规，提升数据分析的智能性。

3结语

将数据挖掘技术引入计算机取证系统中去，大大提高了取证系统的运行效率，帮助取证系统能够快速有效地进行取证操作，实现了动态取证以及智能取证的功能。但是，由于当前数据挖掘技术还不够完善，网络犯罪的行为和技术也在不断地变化发展，因而，在计算机取证上，仍面临着较大的挑战。所以，使用更加智能化的数据挖掘技术来挖取网络犯罪信息，是今后计算机取证系统的发展方向。

参考文献

［1］孟强，李海晨．Web数据挖掘技术及应用研究［J］．电脑与信息技术，2017，(1):59－62．

［2］张蕊，齐晓霞．数据挖掘技术在网络安全中的应用研究［J］．西安文理学院学报(自然科学版)，2017，(2):29－33．

［3］谢怡文．试分析数据挖掘技术在Web预取中的应用［J］．电脑编程技巧与维护，2017，(7):66－67+74．

［4］曹敏．计算机取证技术及其发展趋势研究［J］．无线互联科技，2017，(6):42－43．

［5］黄灿．基于Windows平台的计算机取证系统研究与实现［D］．电子科技大学，2014．

［6］姜雪晴．基于数据挖掘的电子证据分析模型研究［D］．南京邮电大学，2014．

［7］高川凯．浅析计算机取证技术［J］．信息系统工程，2017，(2):19．

作者:王懋 单位:陕西财经职业技术学院