汤龙

摘要：在高科技技术不断发展的现代社会，计算机技术已经在人们的生活中普及，它在给人们生活带来便利的同时也给犯罪分子创造了作案空间。相对于传统的计算机取证技术，数据挖掘能够在计算机取证分析中发挥更重要的作用。该文就数据挖掘在计算机取证分析中的应用进行探讨。

关键词：数据挖掘；计算机取证；应用

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）17-0016-02

由于互联网技术和计算机技术的普及，人们的生活也因此更加便利。但正是因为先进技术的发展，使犯罪分子在作案时能够有更大的空间。网络在使用过程中具有隐蔽性和开放性，也能提高工作的效率，许多犯罪分子利用信息网络的特点进行作案，出现了不同类型的犯罪方式。计算机系统一方面给人们生活带来了便利，一方面也给犯罪分子创造了作案条件，针对这种情况必须采取有效措施，而通过计算机取证技术将能够有效打击计算机犯罪行为。

1 计算机取证技术

1.1 计算机取证技术的介绍

计算机取证技术在法庭上能够有效的提供犯罪分子的作案证据，并具有一定的说服力，它主要是通过获取信息、保存信息、分析以及提取电子证据来完成的。计算机取证技术能够通过大量的信息来获取计算机犯罪的相关数据，并对数据进行智能分析。计算机取证技术能够快速准确的获取到大量的犯罪证据，然后将所有证据保存，最后再进行提取。查案人员可以通过加算机取证技术所提供的证据，在最快的时间内作出正确的决策。另外计算机取证技术也能够保证网络系统的安全，对入侵者能够做好记录并进行分析，阻止入侵行为[1]。

1.2 计算机取证的步骤

在计算机取证中对数据的采集是非常重要的步骤，它能够为获取证据提供有效的依据。由于证据必须具有准确性和完整性，所以在进行数据采集时，必须要保证数据的完整，不能更改数据或者使数据遭到破坏，并要使系统不会受到网络流量变化的影响，在采集数据时要保证采集的过程透明，并要对网络进行检测，使其不会被影响。

数据的采集具有完整性，在对数据进行分析时，通过完整的数据很容易查出计算机犯罪的相关数据。现在使用较多的一种系统的主要方法是对所有报文进行保存，这样就行了一个非常完整的网络流量记录体系[2]。通过这种方式能够将数据和报文进行完整的保存，使数据和信息不会被丢失，并能够恢复黑客攻击的场景。使用这种方式在多个方面都能达到很好的效果，但是在储存方面却需要占用较大的空间。

在对数据进行采集和保存之后，需要对数据进行全面的分析。数据分析在计算机取证当中尤为重要。通过数据分析能够将入侵行为识别数来，并能够进行恢复和重建，这将能使入侵所造成的损失减小。在进行数据分析时一般采用的方式是分阶段进行，首先进行基础分析，然后再进行深入分析。通过情况下，在取证方面进行基础分析便能够将问题解决。另外深入分析比较复杂，所包含的方面较多，主要有对网络数据进行重组、分析数据来源、对网络事件的现场进行还原等。当然，在计算机取证技术中存在着误报或漏报的现象，但即时出现这样的情况，也能够通过原始数据进行分析和验证。

计算机取证记录能够将事件的过程进行贯穿，使其能够更加清晰并具有连续性。在记录过程中，对于网络取证的相关情况以及数据进行准确的分析，对丢失报文和信息方面做好记录，记录内容包括报文和信息丢失的时间和丢失的原因。并对操作员在进行取证操作时的所有行为进行记录。计算机取证系统通过对数据进行采集和保存，然后对保存的数据进行分析，最后再将分析出的相关证据提供给法庭作为犯罪分子的作案证据。

由于计算机犯罪的形式比较特殊，所以在进行计算机取证时也会出现一些新问题。在进项数据时容易出现原始数据被更改的现象，而且一些相关法律对计算机取证的过程还并不了解。另外在计算机中所存在的信息量非常多，许多数据都比较深入，这使得许多数字都缺少直观性，比如数字化数据、隐藏数据等。信息技术的发展非常迅速，在发展过程中将会导致信息技术的不断变化，而大量证据数据将会出现无法记录的情况，这是计算机取证技术中的重要难题。由于计算机取证中的许多数据更新迅速，所以计算机取证技术需要更加专业[3]。在进行取证时，必须确保取证的有效性，所获取的证据的方法要具有可适应性以及可扩展性。所以关于计算机取证技术还需要不断的创新和发展。

2 数据挖掘技术

2.1 数据挖掘技术的介绍

计算机取证主要是通过在大量数据中对有关证据数据进行收集和保存，然后经过分析之后所获得犯罪行为证据的过程。而实际上计算机取证技术并不只是对计算机数据和报文进行分析，而是通过有效手段对犯罪证据进行挖掘，作为打击犯罪行为的重要依据。在传统取证方法中，对证据的获取具有局限性，不够完整和准确，所花费的时间也较长，通过数据挖掘技术能够使计算机取证更加完整和准确。数据挖掘能够在大量的不完整且模糊的信息和数据中，对隐藏的具有潜在作用的信息和数据进行分析并将其提取出来，所提取的数据能够分为不同的结构，包括半结构化和异构性数据。发现知识的方法包括数学的、非数学的、归纳的、演绎的等。在发现知识之后数据可以进行自身维护[4]。在数据挖掘技术中包含了对数理统计技术的运用，也对知识工程等进行了总结，因此形成数据挖掘技术独有的理论体系。数据挖掘技术所设计到的技术有机器学习、数据库、粗糙集、数理统计等。数据挖掘技术的功能很多，主要有关联、预测、演变等，根据实际情况的要求可以使不同的功能发挥其作用。

2.2 数据挖掘技术在计算机取证领域中意义

数据挖掘技术在计算机取证过程中，能够对隐藏的模式进行挖掘，所发现的模式通常为描述型和预测型两种模式。其中描述型模式主要是将数据的事实情况进行规范的描述，将数据的主要特性表现出来。预测型模式是通过时间来进行预测的，通过对历史和当前的时间内的值进行分析来预测未来的值。在计算机取证中，对原始数据进行分析，将正常行为数据和异常行为数据进行区分是非常关键的。这就需要对数据挖掘的不同算法进行研究，数据瓦局的算法主要有关联分析算法、分类分析算法、序列分析算法等。其中通过网络连接的记录情况，可以将关联分析算法在属性关系中进行使用，序列分析算法可以在时序关系中使用。通过关联分析算法和序列分析算法能够将正常行为模式区分出来，可以在出现异常行为时通过这两种方法进行检测。分类分析算法能够对数据中的正常行为数据和异常行为数据的规则进行辨别[5]。数据挖掘的分析过程对提取特征及规则方面具有非常好的效果，能够将数据中的大量隐藏模式提取出来，使其成为决策的有效依据。通过数据挖掘技术能够在各类数据中提取到有效的信息，为打击犯罪行为提供可靠的证据，使办案人员在追查和打击犯罪行为时更加容易。

3 数据挖掘在计算机取证分析中的应用

在计算机取证中最关键的环节就是数据分析，数据分析是根据犯罪行为的具体过程来对数据进行分析，选择出相关的数据。当原始数据被犯罪分子更改或者删除之后，通过数据挖掘计算能够将其进行记录。计算机取证取药从大量的数据中将犯罪行为数据分析并提取出来，计算机取证的过程具有智能性。在进行计算机取证时对技术方面具有很高的要求，而且要保证所取证的数据完整和准确，并要数以取证的有效性和可扩展性，这样才能够使数据挖掘技术在计算机取证中发挥更大的作用。数据挖掘技术通常在大量模糊的数据中进行使用，能够将大量不完全的数据进行挖掘，发现出有价值的数据和信息。数据挖掘的主要方法有关联分析、分类分析以及序列分析等。

3.1关联分析

关联分析的主要是通过关联规则来对大量数据进行挖掘。在计算机取证过程中，使用关联规则来对犯罪行为的有关数据和特征进行提取，所提取到的特征很可能是已经通过预处理的，对于不同形式的犯罪特征进行挖掘，并根据这些特征之间的联系进行分析，对审计数据进行整理，并连同整理后的网络数据一起存入到数据表中，将数据记录整理到行中，将系统特征整理到列中，对所有提取的数据进行分析，根据具体行为和关联规则来对当前用户进行分析，判断其是否存在犯罪特征，也很有可能会成为犯罪行为的重要依据。要对数据进行加密然后传导证据库中，还要将入侵行为的数据传到入侵系统中进行检测，这样能够通过关联规则对大量的数据进行分析，使数据分析的速度得到很大提高，使计算机取证具有实时性[6]。在关联分析算法中，可以将关联规则表示为A→B规则，A、B所代表的是同一记录的属性集，那么可以将关联规则表示为：

A→B[S%，C%]，其中，S%——规则的支持度，C%——规则的可信度。

3.2 分类分析

分类分析主要是对需要分析的示例数据库进行分析，并对其中的相关数据进行判断，通过分析将不同类型数据的特征描述出来，然后建立相应的分析模型，对分类的规则进行挖掘，并将数据库中的所有记录传送至分类规则中。对数据进行分类的目的主要是对提取数据的不同特征，并使其匪类为不同的模型，这种模型能够将数据源中的数据传送到其它类别当中。在计算机取证中，当采集到的数据和信息符合要求之后，在对所采集的数据进行分析时，要通过使用分类的有关规则来对信息或者用户进行辨识，判断其是否具有非法行为。将用户的入侵过程和其它非法行为进行记录，然后将其作为犯罪的重要证据。通过对样品数据进行分类可以提高数据分析器的技术，这样能使其能够对根据不同特征对正常类型的数据进行预测，从而来对未知的数据进行分析，预测是否存在犯罪证据。使用较多的分类算法主要有ID3和Ripper等[7]。

3.3 序列分析

序列分析的主要作用是能够发现不同类型数据之间存在的相关性。在序列分析算法中，可以将序列规则表示为：

A，B→D[S%，C%][W]，其中，W——时间段，S%——规则的支持度，C%——规则的可信度。如果A和B发生之后，决定D发生的因素是C，这种模式可能出现的决定因素是S。

4 结束语

计算机技术已经在人们的生活中普及，计算机系统在给人们生活带来便利的同时，也给犯罪分子创造了作案空间，使用计算机取证技术将能够有效打击计算机犯罪行为。计算机取证技术在法庭上能够提供犯罪分子的相关作案证据，并具有一定的说服力，但是在取证过程中仍然有一些新问题出现。将数据挖掘技术在计算机取证中应用，能够使计算机取证更加具有实时性，并能够使办案人员在追查和打击犯罪行为时更加容易。

参考文献：

[1] 刘源泉.基于数据挖掘的计算机取证分析系统设计[J].大众科技，2010，39（11）：18-19.

[2] 魏利梅.基于数据挖掘的计算机动态取证技术[J].山西警官高等专科学校学报，2010，17（4）：66-68.

[3] 贾保先，周海臣.基于Ontology的数据挖掘在计算机动态取证中的应用[J].聊城大学学报：自然科学版，2011，24（2）：92-95.

[4] 穆瑞辉.计算机取证分析系统中数据挖掘技术的应用[J].计算机光盘软件与应用，2012，26（24）：108-109.

[5] 贾实真.试论基于数据挖掘的计算机动态取证技术[J].电脑与电信，2010，45（10）：56-57.

[6] 苑金海，苑金海，刘弘，等.基于本体的数据挖掘在电子商务安全中的应用研究[J].科技信息，2010，36（35）：83.

[7] 齐战胜，高峰，腾达，等.数据挖掘技术在计算机取证中的应用研究[J].信息网络安全，2011，25（9）：163-166，177.