摘要：隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，在計算機(jī)取證分析技術(shù)領(lǐng)域，傳統(tǒng)技術(shù)的局限性越來越突出，那么具有創(chuàng)新性和實用性的數(shù)據(jù)挖掘技術(shù)在其中的應(yīng)用應(yīng)運(yùn)而生，將這一技術(shù)應(yīng)用于計算機(jī)動態(tài)取證的海量數(shù)據(jù)分析，不急增加了動態(tài)取證數(shù)據(jù)分析的速度，同時提供了分型的智能性和準(zhǔn)確性。本文內(nèi)容涉及到傳統(tǒng)計算機(jī)取證分析技術(shù)存在的缺陷、廣義數(shù)據(jù)挖掘方法、數(shù)據(jù)挖掘技術(shù)方法在計算機(jī)動態(tài)取證系統(tǒng)中的應(yīng)用。

關(guān)鍵詞：計算機(jī)取證；數(shù)據(jù)挖掘；關(guān)聯(lián)規(guī)則；應(yīng)用

中圖分類號：TP316.7 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 24-0108-02

1 引言

互聯(lián)網(wǎng)飛速發(fā)展，不斷上升的計算機(jī)網(wǎng)絡(luò)犯罪數(shù)量讓人觸目驚心，為國家、集體和個人造成巨大的經(jīng)濟(jì)損失，所以網(wǎng)絡(luò)安全問題越來越受到人們的重視。計算機(jī)取證分析系統(tǒng)中數(shù)據(jù)挖掘技術(shù)的應(yīng)用應(yīng)運(yùn)而生，標(biāo)志著網(wǎng)絡(luò)安全防御理論逐漸走向成熟。

2 傳統(tǒng)計算機(jī)取證分析技術(shù)存在的缺陷

計算機(jī)犯罪具有特殊性和電子證據(jù)的特點(diǎn)，這些特點(diǎn)使得取證得到的數(shù)據(jù)量很龐大而且數(shù)據(jù)格式繁多、來源復(fù)雜。在我國采用的傳統(tǒng)的技術(shù)計算機(jī)取證分析技術(shù)主要有模式配比和關(guān)鍵字查找著兩種技術(shù)。

（1）模式配比：它能夠獲得具有特征的攻擊行為。在在入侵檢測系統(tǒng)中，能夠很好依據(jù)用戶行為特征建立起正常和異常模型，并且進(jìn)行模式配比最終發(fā)現(xiàn)入侵的發(fā)生。但是，在這個過程中，用戶行為特征與入侵模式容易出現(xiàn)漏報或誤報的情況，不能很好地反映實際情況。這一方法的局限性還在于更多的是用于入侵檢測系統(tǒng)，在計算機(jī)取證分析方面不太適用。

（2）關(guān)鍵字查找：在單一的數(shù)據(jù)源環(huán)境中，這種方法在改進(jìn)算法的支持下能夠滿足需求，而在海量復(fù)雜紛繁的數(shù)據(jù)面前如何找出其中可能存在的關(guān)聯(lián)性就成了一個問題。

3 廣義數(shù)據(jù)挖掘方法

數(shù)據(jù)挖掘就是從大量不完全的而且模糊的、有噪聲的、隨機(jī)的數(shù)據(jù)中獲取隱含在其中的潛在有用的信息和知識的過程。計算機(jī)取證數(shù)據(jù)挖掘技術(shù)可以發(fā)現(xiàn)、分析并出示計算機(jī)犯罪的未知信息。通過對犯罪屬性分類、模式的發(fā)現(xiàn)、規(guī)則的提取實現(xiàn)計算機(jī)犯罪證據(jù)的數(shù)據(jù)挖掘。而廣義數(shù)據(jù)挖掘是把統(tǒng)計數(shù)據(jù)建立在經(jīng)驗和直覺之上的組合數(shù)據(jù)挖掘方法，不是僅依靠不完全的數(shù)據(jù)分析。這樣，就避免了大量的、不完全的、有噪聲的、模糊的和隨機(jī)的數(shù)據(jù)在大多情形下并不具有數(shù)據(jù)分析情況的出現(xiàn)。廣義數(shù)據(jù)挖掘基本結(jié)構(gòu)如圖如下：

4 數(shù)據(jù)挖掘技術(shù)在計算機(jī)動態(tài)取證系統(tǒng)中的應(yīng)用

（1）計算機(jī)動態(tài)取證系統(tǒng)包括“數(shù)據(jù)采集模塊”、“入侵檢測模塊”、“數(shù)據(jù)分析模塊”、“證據(jù)鑒定模塊”、“證據(jù)保全模塊”這五大模塊。機(jī)構(gòu)圖如下：

數(shù)據(jù)采集模塊：盡可能地收集到所有包含著網(wǎng)絡(luò)入侵的痕跡和行為的可利用數(shù)據(jù)。

入侵檢測模塊：對系統(tǒng)活動進(jìn)行全面檢測，一旦有非法入侵者，立即警報。通過誤用檢測和異常檢測的相結(jié)合形成新的入侵檢測基本原則，發(fā)現(xiàn)異常數(shù)據(jù)會向數(shù)據(jù)分析模塊發(fā)出信號。數(shù)據(jù)分析模塊：它通過數(shù)據(jù)挖掘技術(shù)對數(shù)據(jù)倉庫中的數(shù)據(jù)進(jìn)行分析，提取出與案件相關(guān)的并且反應(yīng)客觀事實的電子證據(jù)，通過分析發(fā)現(xiàn)入侵來源并產(chǎn)生防御攻擊的方法來指導(dǎo)入侵檢測系統(tǒng)。證據(jù)鑒定模塊：通過鑒定包括存儲設(shè)備、集成器、網(wǎng)絡(luò)設(shè)備等軟件設(shè)備和硬件設(shè)備來源來發(fā)現(xiàn)犯罪事實和電子證據(jù)值得關(guān)系，從而更有效的地位犯罪。證據(jù)保全模塊：其作用是把取出的證據(jù)安全的輸入到證據(jù)庫中。通過上述分析我們了解了各個模塊的具體作用，另外，數(shù)據(jù)保全模塊使用數(shù)據(jù)加密、數(shù)字摘要或簽名技術(shù)將數(shù)據(jù)分析和鑒定出來的證據(jù)、加密傳送到證據(jù)庫，最后依據(jù)法律程序?qū)⒎缸镒C據(jù)生成完整的報告提交給法庭。

（2）數(shù)據(jù)挖掘技術(shù)方法在動態(tài)取證系統(tǒng)中的應(yīng)用

動態(tài)取證是事前獲取實時數(shù)據(jù)，那么，如果出現(xiàn)犯罪嫌疑人更改或者刪除原始數(shù)據(jù)，原始數(shù)據(jù)、篡改數(shù)據(jù)和操作都會被記錄下來，這樣可以根據(jù)數(shù)據(jù)確定犯罪的實施全過程，例如入侵使用的IP地址、入侵時間、增加和修改的文件等等。針對動態(tài)取證系統(tǒng) ，數(shù)據(jù)挖掘技術(shù)可以解決取證的有效性、實時要求、可擴(kuò)展性和可適應(yīng)性要求方面的技術(shù)難題。那么在這一系統(tǒng)中，主要應(yīng)用到的數(shù)據(jù)挖掘方法如下：關(guān)聯(lián)分析：應(yīng)用關(guān)聯(lián)規(guī)則進(jìn)行數(shù)據(jù)挖掘。它包括兩個過程，首先找出所有頻繁性至少和預(yù)定義的最小支持計數(shù)一樣的頻繁項集；其次，由頻繁項產(chǎn)生關(guān)聯(lián)必須滿足最小支持度和最小置信度。在海量的數(shù)據(jù)分析中應(yīng)用這一方法，不僅對數(shù)據(jù)的分析速度有提高，而且解決了動態(tài)取證的實時性問題。聯(lián)系分析：這種算法能夠分析用戶的行為和程序的執(zhí)行之間的序列關(guān)系，如作案技術(shù)、時間和工具等方面的特征聯(lián)系，通過發(fā)現(xiàn)各個時間在時間上的先后聯(lián)系及關(guān)系來建立用戶異常模型，并且將這一模型加入到知識庫中，保證網(wǎng)絡(luò)數(shù)據(jù)的實時更新。這種方法提高數(shù)據(jù)分析的有效性和準(zhǔn)確性。分類分析：對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行分析并作準(zhǔn)確的描述或者建立分析模型或者挖掘出分類規(guī)則。在動態(tài)取證系統(tǒng)的數(shù)據(jù)分析階段，通過分類規(guī)則判斷程序或用戶是否合法，找出非法的行為，記錄下入侵過程和入侵工具。這個方法可以預(yù)測一些未知的數(shù)據(jù)是否是犯罪證據(jù)，數(shù)據(jù)分析的智能性得到很大的提高。

5 結(jié)束語

數(shù)據(jù)挖掘技術(shù)在計算機(jī)取證系統(tǒng)中的應(yīng)用，提高了數(shù)據(jù)的分析能，并且有助于實時，有效，準(zhǔn)確地解決動態(tài)取證的智能化問題。由于數(shù)據(jù)挖掘技術(shù)還不夠完善，并且網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機(jī)犯罪的技術(shù)手段也不斷提高以及反取證技術(shù)的出現(xiàn)，計算機(jī)取證技術(shù)仍然面臨著嚴(yán)峻的挑戰(zhàn)。那么，在今后只有通過開發(fā)融入更多的理論知識和新技術(shù)、準(zhǔn)確率更高、更具智能化的數(shù)據(jù)挖掘技術(shù)，才能更有效的打擊網(wǎng)絡(luò)犯罪。另外，單靠網(wǎng)絡(luò)安全技術(shù)打擊計算機(jī)犯罪只是一方面，必須同時發(fā)揮社會和法律的強(qiáng)大威力。

參考文獻(xiàn)：

[1] W a rren G. Krusel，l Jay G. H er iser. Com puter fo rensics：inc iden t response essentia ls. Lst Ed ition， ISBN：0201707195 Pea rson Education， Inc， USA.

[2] Somm er P. Compu ter fo rensics： An introduction. In：Proceed ings of the Com psec?92） the 9 thW or ld Conferenceon Com puter Security Aud it and Contro.l London： E lsev-ier Advanced Techno logy， 1992. 89 - 96. http： / /www. v irtua lcity. co. uk /vca fo rens. htm.