李岑 陳麗平

【摘要】計算機技術(shù)的發(fā)展在為人們的日常生活帶來極大便利的同時，也帶來了一定的惡劣影響。計算機犯罪不僅對社會的發(fā)展和穩(wěn)定產(chǎn)生了嚴重的影響，同時還對個人及企業(yè)的相關(guān)權(quán)益和隱私進行侵犯。近年來，計算機取證系統(tǒng)受到了越來越多人的重視。本文對計算機取證系統(tǒng)和數(shù)據(jù)挖掘技術(shù)在計算機取證系統(tǒng)中的應(yīng)用展開研究。

【關(guān)鍵詞】計算機取證系統(tǒng) 數(shù)據(jù)挖掘技術(shù) 研究 應(yīng)用

前言：近年來，運用計算機進行的犯罪行為越來越多，這些犯罪行為對社會造成了惡劣的影響，因此，需要運用計算機進行快速有效地取證。面對如此海量的數(shù)據(jù)，傳統(tǒng)的文件屬性分析和關(guān)鍵字查找等技術(shù)都很難發(fā)揮作用，因此，需要將數(shù)據(jù)挖掘技術(shù)應(yīng)用到計算機取證系統(tǒng)中。

1計算機取證系統(tǒng)

1.1計算機取證的定義

計算機取證，即針對計算機犯罪行為，結(jié)合相關(guān)法律知識，運用專業(yè)的技術(shù)對計算機犯罪行為進行識別、保存并將證據(jù)提交的過程。計算機取證的目的是獲得與計算機犯罪行為有關(guān)的具有一定有效性和客觀性的電子證據(jù)，將其提供給辦案人員幫助辦案人員作出正確的判斷[1]。

1.2計算機取證系統(tǒng)的取證流程

計算機取證系統(tǒng)包含五個模塊，這五個模塊分別是數(shù)據(jù)采集、數(shù)據(jù)分析、入侵檢測、證據(jù)鑒定以及證據(jù)保護。

1.2.1調(diào)查取證前的準備

在正式進行調(diào)查取證之前，應(yīng)該將計算機取證時會用到的相關(guān)設(shè)備和工具準備好，并且保證已經(jīng)得到了執(zhí)行計算機證據(jù)調(diào)查和分析的法律授權(quán)。技術(shù)人員應(yīng)該結(jié)合具體的計算機犯罪行為，制定出有針對性的、合理的、科學(xué)的計算機取證計劃。對于容易導(dǎo)致數(shù)據(jù)發(fā)生變化的操作，技術(shù)人員應(yīng)該將自己實施的操作和可能引發(fā)的變化詳細記錄下來。除此之外，技術(shù)人員要保證自己使用的取證軟件得到了大部分計算機取證專家的認可。

1.2.2調(diào)查取證過程

技術(shù)人員在調(diào)查取證的過程中，識別到與計算機犯罪行為有關(guān)的設(shè)備時，要采取有效的措施對該設(shè)備進行保護，在恰當?shù)臅r機對設(shè)備進行取證。除此之外，技術(shù)人員要保證獲取的證據(jù)具有較高的真實性和客觀性。從本質(zhì)上講，計算機取證的過程就是獲取信息的過程，因此要對目標計算機中的所有文件，包括已被刪除的文件進行全面地搜索[2]。

1.2.3計算機證據(jù)分析過程

計算機取證的前提保障是證據(jù)的收集過程，計算機取證的關(guān)鍵則是證據(jù)的分析過程。計算機分析過程包含對計算機類型的分析、計算機操作系統(tǒng)類型的分析以及所處網(wǎng)絡(luò)環(huán)境的判斷等。

1.2.4對計算機證據(jù)進行保護

計算機證據(jù)的保護主要是保證證據(jù)從提取到呈現(xiàn)在法庭上的過程中沒有發(fā)生變化，或者將變化程度降到最低水平。從本質(zhì)上講，計算機證據(jù)保護的目的是保證證據(jù)具有較高的連續(xù)性。

1.2.5根據(jù)計算機證據(jù)制作相關(guān)鑒定報告

計算機證據(jù)的鑒定報告應(yīng)該包含證據(jù)提取過程、證據(jù)分析以及證據(jù)的綜合評判等內(nèi)容。技術(shù)人員要保證制作出來的鑒定報告的內(nèi)容是客觀、可信的。

1.2.6呈現(xiàn)計算機證據(jù)

與傳統(tǒng)的證據(jù)不同，計算機證據(jù)是抽象的電子證據(jù)，很難在法庭上被呈現(xiàn)出來。因此，相關(guān)技術(shù)人員在進行計算機取證時，應(yīng)該將取證過程完整地記錄下來，并運用屏幕拷貝技術(shù)等有效方式將計算機證據(jù)呈現(xiàn)出來[3]。

2數(shù)據(jù)挖掘技術(shù)在計算機取證系統(tǒng)中的應(yīng)用

2.1數(shù)據(jù)挖掘技術(shù)的定義

數(shù)據(jù)挖掘是指從大量數(shù)據(jù)中有效提取出有用信息的過程。數(shù)據(jù)挖掘技術(shù)是對數(shù)據(jù)可視化、人工智能等不同領(lǐng)域技術(shù)的完美融合。數(shù)據(jù)挖掘是由數(shù)據(jù)清理、數(shù)據(jù)集成、數(shù)據(jù)選擇、數(shù)據(jù)變換、數(shù)據(jù)挖掘這五個步驟組成的[4]。

2.2數(shù)據(jù)挖掘技術(shù)在計算機取證系統(tǒng)中的應(yīng)用

計算機動態(tài)取證是在事前獲得實時證據(jù)，當犯罪嫌疑人對數(shù)據(jù)進行改動時，這些違法操作都會被記錄下來，技術(shù)人員可以根據(jù)所得的數(shù)據(jù)還原犯罪嫌疑人計算機犯罪的整個實施過程。就計算機動態(tài)取證系統(tǒng)而言，數(shù)據(jù)挖掘技術(shù)可以很好地解決取證在實時、有效性等方面的要求。在計算機動態(tài)取證系統(tǒng)中運用的數(shù)據(jù)挖掘技術(shù)主要包括以下三種：

2.2.1聯(lián)系分析

聯(lián)系分析法可以幫助技術(shù)人員對程序執(zhí)行和用戶行為之間的關(guān)系進行有效地分析。聯(lián)系分析法可以從一定程度上提高數(shù)據(jù)分析的準確性和有效性。

2.2.2關(guān)聯(lián)分析

關(guān)聯(lián)分析法是通過對關(guān)聯(lián)規(guī)則的應(yīng)用實現(xiàn)數(shù)據(jù)挖掘。運用關(guān)聯(lián)分析法對海量數(shù)據(jù)進行分析，在有效地實現(xiàn)了計算機動態(tài)取證的實時性的同時，提高了數(shù)據(jù)分析速度。

2.2.3分類分析

分類分析法是在對數(shù)據(jù)進行充分分析的基礎(chǔ)上，對數(shù)據(jù)作出精確的描述或者挖掘出數(shù)據(jù)中隱藏的分類規(guī)則。分類分析法可以在數(shù)據(jù)分析階段判斷出該用戶或者程序是否合法，找出數(shù)據(jù)中的犯罪行為，并對其使用的入侵工具和入侵過程進行精確記錄。分類分析法可以對未知數(shù)據(jù)是否屬于犯罪證據(jù)進行有效預(yù)測，大大提高了計算機取證系統(tǒng)數(shù)據(jù)分析過程的智能性。

結(jié)論：在計算機取證系統(tǒng)中應(yīng)用數(shù)據(jù)挖掘技術(shù)，有效地提高了計算機取證系統(tǒng)的數(shù)據(jù)分析能力。除此之外，數(shù)據(jù)挖掘技術(shù)很好地解決了動態(tài)取證中的實時性、有效性等問題。隨著計算機技術(shù)的發(fā)展，利用計算機犯罪的相關(guān)技術(shù)也會逐漸提高，因此，需要對數(shù)據(jù)挖掘技術(shù)進行更深入的研究，早日研究出具有更高準確率的數(shù)據(jù)挖掘技術(shù)。

【參考文獻】

[1]黃小珊. 計算機取證系統(tǒng)的研究與數(shù)據(jù)挖掘技術(shù)在其中的應(yīng)用[D].電子科技大學(xué)，2008.

[2]金可仲. 數(shù)據(jù)挖掘在計算機取證分析中的應(yīng)用研究及系統(tǒng)設(shè)計[D].浙江工業(yè)大學(xué)，2004.

[3]穆瑞輝. 計算機取證分析系統(tǒng)中數(shù)據(jù)挖掘技術(shù)的應(yīng)用[J]. 計算機光盤軟件與應(yīng)用，2012，24：108-109.

[4]齊戰(zhàn)勝，高峰，騰達. 數(shù)據(jù)挖掘技術(shù)在計算機取證中的應(yīng)用研究[J]. 信息網(wǎng)絡(luò)安全，2011，09：163-166+177.

作者簡介：李岑（1980.11-），男，漢族，湖南張家界人，講師，碩士研究生，主要研究方向：數(shù)據(jù)挖掘、云計算。