2 传统计算机取证分析技术存在的缺陷
计算机犯罪具有特殊性和电子证据的特点,这些特点使得取证得到的数据量很庞大而且数据格式繁多、来源复杂。在我国采用的传统的技术计算机取证分析技术主要有模式配比和关键字查找着两种技术。
(1 )模式配比:它能够获得具有特征的攻击行为。在在入侵检测系统中,能够很好依据用户行为特征建立起正常和异常模型,并且进行模式配比最终发现入侵的发生。但是,在这个过程中,用户行为特征与入侵模式容易出现漏报或误报的情况,不能很好地反映实际情况。这一方法的局限性还在于更多的是用于入侵检测系统,在计算机取证分析方面不太适用。
(2)关键字查找:在单一的数据源环境中,这种方法在改进算法的支持下能够满足需求,而在海量复杂纷繁的数据面前如何找出其中可能存在的关联性就成了一个问题。
3 广义数据挖掘方法
数据挖掘就是从大量不完全的而且模糊的、有噪声的、随机的数据中获取隐含在其中的潜在有用的信息和知识的过程。计算机取证数据挖掘技术可以发现、分析并出示计算机犯罪的未知信息。通过对犯罪属性分类、模式的发现、规则的提取实现计算机犯罪证据的数据挖掘。而广义数据挖掘是把统计数据建立在经验和直觉之上的组合数据挖掘方法,不是仅依靠不完全的数据分析。这样,就避免了大量的、不完全的、有噪声的、模糊的和随机的数据在大多情形下并不具有数据分析情况的出现。.............
4 数据挖掘技术在计算机动态取证系统中的应用
(1)计算机动态取证系统包括“ 数据采集模块”、“ 入侵检测模块” 、“ 数据分析模块”、“ 证据鉴定模块” 、“ 证据保全模块”这五大模块。
数据采集模块:尽可能地收集到所有包含着网络入侵的痕迹和行为的可利用数据。入侵检测模块:对系统活动进行全面检测,一旦有非法入侵者,立即警报。通过误用检测和异常检测的相结合形成新的入侵检测基本原则,发现异常数据会向数据分析模块发出信号。数据分析模块:它通过数据挖掘技术对数据仓库中的数据进行分析,提取出与案件相关的并且反应客观事实的电子证据,通过分析发现入侵来源并产生防御攻击的方法来指导入侵检测系统。证据鉴定模块:通过鉴定包括存储设备、集成器、网络设备等软件设备和硬件设备来源来发现犯罪事实和电子证据值得关系,从而更有效的地位犯罪。证据保全模块:其作用是把取出的证据安全的输入到证据库中。通过上述分析我们了解了各个模块的具体作用,另外,数据保全模块使用数据加密、数字摘要或签名技术将数据分析和鉴定出来的证据、加密传送到证据库,最后依据法律程序将犯罪证据生成完整的报告提交给法庭。
(2)数据挖掘技术方法在动态取证系统中的应用 动态取证是事前获取实时数据,那么,如果出现犯罪嫌疑人更改或者删除原始数据,原始数据、篡改数据和操作都会被记录下来,这样可以根据数据确定犯罪的实施全过程,例如入侵使用的IP 地址、入侵时间、增加和修改的文件等等。针对动态取证系统 ,数据挖掘技术可以解决取证的有效性、实时要求、可扩展性和可适应性要求方面的技术难题。那么在这一系统中,主要应用到的数据挖掘方法如下:关联分析:应用关联规则进行数据挖掘。它包括两个过程,首先找出所有频繁性至少和预定义的最小支持计数一样的频繁项集;其次,由频繁项产生关联必须满足最小支持度和最小置信度。在海量的数据分析中应用这一方法,不仅对数据的分析速度有提高,而且解决了动态取证的实时性问题。联系分析:这种算法能够分析用户的行为和程序的执行之间的序列关系,如作案技术、时间和工具等方面的特征联系,通过发现各个时间在时间上的先后联系及关系来建立用户异常模型,并且将这一模型加入到知识库中,保证网络数据的实时更新。这种方法提高数据分析的有效性和准确性。分类分析:对数据库中的数据进行分析并作准确的描述或者建立分析模型或者挖掘出分类规则。在动态取证系统的数据分析阶段,通过分类规则判断程序或用户是否合法,找出非法的行为,记录下入侵过程和入侵工具。这个方法可以预测一些未知的数据是否是犯罪证据,数据分析的智能性得到很大的提高。
5 结束语
数据挖掘技术在计算机取证系统中的应用,提高了数据的分析能,并且有助于实时,有效,准确地解决动态取证的智能化问题。由于数据挖掘技术还不够完善,并且网络技术的飞速发展,计算机犯罪的技术手段也不断提高以及反取证技术的出现,计算机取证技术仍然面临着严峻的挑战。那么,在今后只有通过开发融入更多的理论知识和新技术、准确率更高、更具智能化的数据挖掘技术,才能更有效的打击网络犯罪。另外,单靠网络安全技术打击计算机犯罪只是一方面,必须同时发挥社会和法律的强大威力。
参考文献:
[1] W a rren G. Krusel,l Jay G. H er iser. Com puter http://www.1daixie.com/dxjsjlw/ fo rensics:inc iden t response essentia ls. Lst Ed ition,ISBN:0201707195 Pea rson Education,Inc,USA.
[2] Somm er P. Compu ter fo rensics: An introduction. In:Proceed ings of the Com psecÄ92) the 9 thW or ld Conferenceon Com puter Security Aud it and Contro.l London: E lsev-ier Advanced Techno logy,1992. 89 - 96.