導語：計算機動態取證數據挖掘研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著計算機技術和網絡技術的快速發展，計算機犯罪事件的數量增加，其類型、形式等也層出不窮，傳統的靜態取證已不能滿足辦案的需要，計算機動態取證應運而生。筆者分析了數據挖掘技術在計算機動態取證中的應用現狀，并提出了基于數據挖掘技術計算機動態取證系統的構建方法，其目的是為從事計算機動態取證及研究數據挖掘等相關人員提供一定的參考。

關鍵詞：數據挖掘；動態取證；關聯規則

計算機動態取證技術是用來為辦案機關提供實時信息數據的關鍵技術，其不僅能夠獲取與犯罪過程相關的數據信息，還能對其進行分析，以提高辦案人員的工作效率。然而，隨著實時更新的海量數據的劇增，僅靠單一的計算機動態取證技術已難以滿足取證應用需求。為此，需要研究一種新技術來解決這一問題。而數據挖掘的研究和應用正在社會各個領域蓬勃發展，它能從大量數據中采用快速有效的方法獲得有用的知識和信息。因此，將數據挖掘技術應用于計算機動態取證過程中，能夠有效提升動態取證的準確性、完整性和智能性。

1計算機動態取證技術簡介

所謂計算機動態取證技術是通過信息獲取、信息保存、信息分析以及電子證據提取等相關步驟，來為辦案機關提供犯罪分子的作案證據。相關研究表明，計算機動態取證技術能夠從大量的信息數據中獲取與犯罪過程有關的信息內容，并對其進行智能化分析。這樣一來，辦案人員就能在最短時間內按照獲取的犯罪信息來確定查案方向，進而為快速破案提供科學技術保證。此外，計算機動態取證技術還能最大限度地保證犯罪信息的安全，并對入侵者的記錄進行分析，以防止信息被盜。這一入侵控制的檢測系統為網絡入侵監測系統NIDS（NetworkIntrusionDetectionSystem），是由計算機網絡管理人員對計算機動態取證信息運行狀態進行實時監控的重要系統。

2計算機動態取證技術現狀

計算機犯罪取證與其他犯罪取證不同，其具有一定特殊性。計算機犯罪取證一般分為兩個步驟，首先是從實體存儲設備或計算機系統獲取、收集、保全數據，然后就是進行數據證據的恢復、分析、保存和提交等。就目前來說，由于計算機取證數據量非常龐大并且實時更新，在計算機動態取證過程中，主要存在以下主要問題：收集或分析會破壞數據證據的原始狀態，對于法庭或是立法機關來說不易理解，數字化數據或隱藏性數據信息不具直觀性；取證技術應用人員的專業水平高低不同；信息技術發展進程過快以及數字信息轉換具有短暫性。此外，隨著計算機網絡信息技術的帶寬不斷增加，計算機動態取證信息的數據量在不斷增加，這就使得過多的日志或是實際上不重要的日志得到保存。在此情況下，就需要采取更加科學有效安全的方法來保存如此海量的信息數據。此外，在計算機動態取證過程中如何合理高效地智能化地應用分析數據也是一個新的問題，因為傳統的分析判斷已不能滿足辦案的需求。這就使得計算機動態取證技術人員不僅要從海量的數據信息中提取犯罪特征的數據，還要對不斷更新的特征信息內容進行判斷。因此，在很大程度上阻礙了計算機動態取證技術應用的智能化發展。針對這一問題，相關技術人員可將數據挖掘技術應用于其中，以解決上述問題給計算機動態取證工作帶來的困難。

3數據挖掘在計算機動態取證中的應用現狀

數據挖掘是從信息處理的角度出發，通過計算機快速準確地分析數據，也就是從數據庫以及數據倉庫中挖掘與目標對象有關的數據信息，以幫助人們基于大量數據作出判斷和決策等。該技術應用于計算機動態取證過程后，其是由數據采集、存儲、分析、變換、評估、記錄等內容組成。由此可見，其主要的功能應用體現在挖掘出與取證對象相關的模式數據。主要模式類型涉及關聯分析、孤立點分析、分類分析以及預測分析等。關聯分析是通過犯罪行為與關聯規則進行匹配分析，即挖掘不同行為的關聯特征，進而分析同一事件在不同計算機動態證據之間的聯系。分類分析，則是先分析出異常數據和正常數據的樣本，來找出不同信息數據之間的分類規則。具體是通過判定樹、數學公式來提高測試樣本評估的準確性，此過程，技術人員可以利用形成的準確率模型，對其他數據樣本進行分類分析。與此同時，將以上技術方法作用于計算機動態取證的數據分析階段，不但實現了對數據信息的特征分類，還能將可能行為作為犯罪證據或犯罪動機的信息數據記錄下來，進而解決僅僅靠計算機動態取證不能很好滿足的智能化、有效性以及實時性問題需求。為此，相關研究人員應通過構建科學合理的數據挖掘動態取證系統，來實踐計算機動態取證技術應用的智能性。

4基于數據挖掘的計算機動態取證系統的構建

4.1系統模型的構建。基于數據挖掘的計算機動態取證系統由數據挖掘、數據獲取、數據分析以及證據鑒定和證據保全、證據提交模塊組成。其中，數據挖掘模塊的功能是對數據倉庫的數據進行收集、選擇、轉換，運用關聯規則分析、分類，應用聯系分析技術方法來發現事件之間在時空上的聯系，從而獲得用于數據分析的特征、模式、規律及知識。數據鑒定模塊是對所收集來的電子證據通過中央處理器、存儲器、網絡設備、集線器等硬件設備來源和軟件來源進行鑒定，找到數據證據和犯罪行為之間的關系，從而準確定位和確定犯罪。數據保全則是將鑒定出來的證據采用數據加密、摘要或簽名技術進行加密并傳送到證據庫。入侵檢測模塊的主要作用是全面監測系統進行的操作活動，即一旦監測到非法入侵者進入系統則及時報警。數據獲取模塊不僅要從系統文件和日志文件、網絡數據等依法安全提取動態數據，還要從網絡入侵監測系統接收報警數據，同時將數據處理成匹配數據倉庫存儲格式后再存入數據倉庫。從而，相關辦案工作人員就能根據準確分析犯罪證據而生成完整的報告，依照相關法律程序提交法庭。4.2關聯分析的應用。關聯分析類似于購物籃分析，根據頻繁項組成關聯規則。在動態取證過程中，可以運用規則分析犯罪行為之間的關聯特征，獲取不同犯罪類型的共同特征，或者同一事件的不同行為間的規則，然后把分析數據和記錄數據匯總到數據表。在分析動態取證的數據時，就可以把用戶行為與關聯規則庫中的規則進行匹配，從而判斷用戶行為是否合法、是否與某一犯罪事件相關等，這時既可以把可能的犯罪證據提取出來存儲到證據庫，也可以把將可疑數據反饋到NIDS中。這樣不僅能解決數據量龐大的問題，而且也快速處理了實時數據并保障了數據安全。4.3分類技術的應用。分類是一種重要的數據分析方式，通過分析已知數據對象預測未知數據對象，從而讓我們更全面地理解數據，在數據挖掘技術中被廣泛應用。同理，動態取證在獲取階段就已收集了用戶大量的正常或異常的數據，在數據分析階段就可以應用分類技術預測用戶是否非法、合法，將評估出的非法行為記錄下來，作為犯罪證據或動機分析的依據，從而提高數據分析的智能性。4.4關鍵技術方法。將數據挖掘技術應用于計算機動態取證系統中，構建該系統的關鍵技術方法有以下三方面。（1）針對計算機動態取證技術的信息數據龐大問題，系統構建人員可通過采用數據挖掘的特征序號分析技術，從而減少計算機取證技術人員的工作量和提高犯罪證據數據內容的準確率。（2）針對計算機動態取證技術獲取信息類型的復雜性，系統構建技術人員可通過關聯規則分析，以提高犯罪信息判定以及分析的準確性。（3）針對計算機動態取證信息的網絡環境的安全性，系統構建技術人員可通過入侵檢測模塊來實現入侵活動的報警，從而解決計算機犯罪信息處在網絡變化性環境的安全威脅問題。

5結語

綜上所述，隨著計算機技術的發展和計算機犯罪的多樣性及復雜性，計算機動態取證技術在不斷研究與完善發展的過程中面臨新的技術難題和嚴峻的挑戰。因此，數據挖掘技術結合計算機網絡、人工智能等可以較好地解決相關技術問題，通過對大量的動態實時數據進行挖掘分析，提取犯罪證據相關數據信息，有助于提高計算機動態取證的專業性、智能性和高效性，從而有效打擊計算機網絡入侵等犯罪活動，維護計算機網絡的安全環境及社會治安，保障人民群眾的人身財產安全，構建和諧社會。

作者:李艷花 單位:云南工程職業學院

參考文獻

[1]李建偉.基于距離的孤立點挖掘在計算機取證中的應用研究[J].電子技術與軟件工程,2015(9):206-207.

[2]湯龍.數據挖掘在計算機取證分析中的應用研究[J].電腦知識與技術,2015(17):16-17.

[3]劉琴.判定樹算法在計算機取證中的應用[J].計算機應用與軟件,2008(7):40-41.

[4]穆瑞輝.計算機取證分析系統中數據挖掘技術的應用[J].計算機光盤軟件與應用,2012(24):108-109.

[5]曾倩倩.數據挖掘技術在計算機犯罪取證中的應用[J].通訊世界,2016(12):83.

[6]魏利梅.基于數據挖掘的計算機動態取證技術[J].山西警官高等專科學校學報,2009(4).

[7]鐘秀玉,凌捷.計算機動態取證的數據分析技術研究[J].計算機應用與軟件,2004(9).