畢業(yè)設(shè)計(jì)（論文）數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)犯罪取證中的應(yīng)用與實(shí)現(xiàn)—

1、1 緒 論1.1 本課題研究的背景和意義起源于60年代末的互聯(lián)網(wǎng)，經(jīng)過30多年的發(fā)展，用戶己達(dá)4.9億，而且還在迅猛地增長(zhǎng)。我國(guó)從1995年開始發(fā)展互聯(lián)網(wǎng)業(yè)務(wù)，截至2004年1月15日，據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(cnnic)的調(diào)查報(bào)告，我國(guó)上網(wǎng)計(jì)算機(jī)總數(shù)約3089萬(wàn)臺(tái)，上網(wǎng)用戶數(shù)己達(dá)到7950萬(wàn)人。隨著人們對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)的利用和依賴越來(lái)越多，網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的安全維護(hù)變得越來(lái)越重要，也越來(lái)越多的受到來(lái)自世界各地的攻擊。據(jù)法新社1998年8月1日?qǐng)?bào)道:美、英、加、中、法、日六國(guó)在網(wǎng)絡(luò)安全方面受到威脅最大，中國(guó)列第四。美國(guó)每年因信息與網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，企業(yè)電腦安全受

2、到侵犯的比例為50%，美國(guó)國(guó)防部全球計(jì)算機(jī)網(wǎng)絡(luò)平均每天遭受兩次襲擊。美時(shí)代周刊報(bào)道:美國(guó)防部安全專家對(duì)其連接在互聯(lián)網(wǎng)上的12000臺(tái)計(jì)算機(jī)系統(tǒng)進(jìn)行了一次安全測(cè)試，結(jié)果88%入侵成功。1998年我國(guó)公安部破獲黑客案件近百起，其中以經(jīng)濟(jì)為目的的計(jì)算機(jī)犯罪約占70%。據(jù)青島早報(bào)報(bào)道:在公安部指定的全國(guó)信息網(wǎng)絡(luò)安全報(bào)警處置試點(diǎn)城市青島，僅2003年，就查獲和破獲各類網(wǎng)絡(luò)案件百余起，挽回經(jīng)濟(jì)損失上千萬(wàn)元。計(jì)算機(jī)犯罪能使一個(gè)企業(yè)倒閉，個(gè)人隱私泄漏，或是使一個(gè)國(guó)家經(jīng)濟(jì)的癱瘓，這些絕非危言聳聽。人們?cè)诨ヂ?lián)網(wǎng)上獲得的資源和利益越多的同時(shí)，需要為各種計(jì)算機(jī)犯罪所付出的精力和代價(jià)也越來(lái)越多。計(jì)算機(jī)犯罪也給國(guó)家安全和

3、社會(huì)穩(wěn)定造成了巨大的威脅，嚴(yán)重地危害了我國(guó)的政治安全、經(jīng)濟(jì)安全和社會(huì)安定。1.2 計(jì)算機(jī)犯罪如同任何科學(xué)技術(shù)一樣，計(jì)算機(jī)技術(shù)也是一柄雙刃劍，它的廣泛應(yīng)用和迅猛發(fā)展，一方面使社會(huì)生產(chǎn)力獲得極大解放，另一方面又給人類社會(huì)帶來(lái)前所未有的挑戰(zhàn)，其中尤以計(jì)算機(jī)犯罪為甚。所謂計(jì)算機(jī)犯罪，是指使用計(jì)算機(jī)技術(shù)來(lái)進(jìn)行的各種犯罪行為，它既包括針對(duì)計(jì)算機(jī)的犯罪，即把電子數(shù)據(jù)處理設(shè)備作為作案對(duì)象的犯罪，如非法侵入和破壞計(jì)算機(jī)信息系統(tǒng)等，也包括利用計(jì)算機(jī)的犯罪，即以電子數(shù)據(jù)處理設(shè)備作為作案工具的犯罪，如利用計(jì)算機(jī)進(jìn)行非法入侵、盜竊、欺詐、貪污等。前者系因計(jì)算機(jī)而產(chǎn)生的新的犯罪類型，可稱為純粹意義的計(jì)算機(jī)犯罪，又稱狹義的

4、計(jì)算機(jī)犯罪；后者系用計(jì)算機(jī)來(lái)實(shí)施的傳統(tǒng)的犯罪類型，可稱為與計(jì)算機(jī)相關(guān)的犯罪，又稱廣義的計(jì)算機(jī)犯罪。從1966年美國(guó)查處的第一起計(jì)算機(jī)犯罪案件算起，世界范圍內(nèi)發(fā)生的計(jì)算機(jī)犯罪事件以驚人的速度在增長(zhǎng)。有資料表明，目前計(jì)算機(jī)犯罪的年增長(zhǎng)率高達(dá)30%，其中發(fā)達(dá)國(guó)家和一些高技術(shù)地區(qū)的增長(zhǎng)率遠(yuǎn)遠(yuǎn)超過這個(gè)比率，如法國(guó)的比率達(dá)到200%，美國(guó)的硅谷地區(qū)達(dá)400%。 與傳統(tǒng)的犯罪相比，計(jì)算機(jī)犯罪所造成的損失要嚴(yán)重得多，據(jù)美國(guó)的資料統(tǒng)計(jì):平均每起計(jì)算機(jī)犯罪造成的損失高達(dá)45萬(wàn)美元，而傳統(tǒng)的銀行欺詐與侵占案平均損失只有1.9萬(wàn)美元，銀行搶劫案的平均損失不過4900美元，一般搶劫案的平均損失僅370美元。故此，對(duì)計(jì)算

5、機(jī)犯罪及其防治需予以高度重視，“無(wú)庸置疑，計(jì)算機(jī)犯罪是今天一個(gè)值得注意的重大問題。將來(lái)，這個(gè)問題還會(huì)更大、更加值得注意?！蔽覈?guó)首次出現(xiàn)計(jì)算機(jī)犯罪案件是在1986年。進(jìn)入21世紀(jì)，隨著我國(guó)計(jì)算機(jī)應(yīng)用和普及程度的提高，計(jì)算機(jī)犯罪呈迅猛增長(zhǎng)態(tài)勢(shì)，例如，光是2001年，全國(guó)的計(jì)算機(jī)犯罪發(fā)案數(shù)就達(dá)4500余例，比上年增長(zhǎng)70%。據(jù)不完全統(tǒng)計(jì)，目前，我國(guó)己發(fā)現(xiàn)的計(jì)算機(jī)犯罪案件每年至少逾數(shù)千起，作案領(lǐng)域涉及銀行、證券、保險(xiǎn)、內(nèi)外貿(mào)易、工業(yè)企業(yè)以及國(guó)防、科研等各個(gè)部門。有專家預(yù)測(cè)，“在今后5至10年左右，我國(guó)的計(jì)算機(jī)犯罪將會(huì)大量發(fā)生，成為社會(huì)危害性最大、也是最危險(xiǎn)的一種犯罪?！?.2.1 計(jì)算機(jī)犯罪的種類計(jì)算

6、機(jī)犯罪是隨著信息時(shí)代的到來(lái)而產(chǎn)生的一個(gè)刑法范疇，由于社會(huì)制度、刑事立法和法律文化背景的差異，形成帶有國(guó)家或地區(qū)特色的計(jì)算機(jī)犯罪概念，因而產(chǎn)生了不同的劃分根據(jù)和標(biāo)準(zhǔn)，各國(guó)對(duì)計(jì)算機(jī)犯罪的分類結(jié)果也不盡相同。我國(guó)學(xué)者對(duì)計(jì)算機(jī)犯罪的分類，受到一定的國(guó)外影響，最具代表性的是將計(jì)算機(jī)犯罪分為六類： 破壞計(jì)算機(jī)犯罪，是指利用各種手段，通過對(duì)計(jì)算機(jī)系統(tǒng)內(nèi)部的數(shù)據(jù)進(jìn)行破壞，從而導(dǎo)致計(jì)算機(jī)系統(tǒng)被破壞的行為。 非法侵入計(jì)算機(jī)系統(tǒng)犯罪，是指行為人以破解計(jì)算機(jī)安全系統(tǒng)為手段，非法進(jìn)入自己無(wú)權(quán)進(jìn)入的計(jì)算機(jī)系統(tǒng)的行為。 竊用計(jì)算機(jī)犯罪，是指無(wú)權(quán)使用計(jì)算機(jī)系統(tǒng)者擅自使用，或者計(jì)算機(jī)系統(tǒng)的合法用戶在規(guī)定的時(shí)間以外以及超越服務(wù)權(quán)

7、限使用計(jì)算機(jī)系統(tǒng)的行為。 計(jì)算機(jī)財(cái)產(chǎn)犯罪，是指行為人通過對(duì)計(jì)算機(jī)系統(tǒng)所處理的數(shù)據(jù)信息進(jìn)行篡改或破壞的方式來(lái)影響計(jì)算機(jī)系統(tǒng)的工作，從而實(shí)現(xiàn)非法取得和占有財(cái)產(chǎn)的行為。 盜竊計(jì)算機(jī)數(shù)據(jù)犯罪，是指秘密竊取計(jì)算機(jī)系統(tǒng)內(nèi)部數(shù)據(jù)的犯罪。 濫用計(jì)算機(jī)犯罪，是指在計(jì)算機(jī)系統(tǒng)中輸入或傳播非法和虛假信息數(shù)據(jù)，造成嚴(yán)重后果的行為。1.2.2 計(jì)算機(jī)犯罪的特點(diǎn)盡管目前世界各國(guó)對(duì)計(jì)算機(jī)犯罪的定義、分類和量刑有著不同的看法，但計(jì)算機(jī)犯罪的表現(xiàn)卻大致相同。與傳統(tǒng)犯罪類型相比，計(jì)算機(jī)犯罪具有以下幾個(gè)顯著不同的特征： 犯罪人員的智能性。 犯罪手法的隱蔽性。 犯罪手段的多樣性。 犯罪后果的嚴(yán)重性。 犯罪行為的復(fù)雜性。由于計(jì)算機(jī)犯罪

8、的以上特點(diǎn)，給打擊計(jì)算機(jī)犯罪帶來(lái)難度，尤其是在計(jì)算機(jī)取證這個(gè)環(huán)節(jié)，更是相當(dāng)困難。1.3 計(jì)算機(jī)取證1.3.1 計(jì)算機(jī)取證的提出隨著與計(jì)算機(jī)相關(guān)的案件的不斷出現(xiàn)，一種新的證據(jù)形勢(shì)存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備(包括網(wǎng)絡(luò)介質(zhì))中的、在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的、以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物，即計(jì)算機(jī)證據(jù)逐漸成為新的訴訟證據(jù)之一。計(jì)算機(jī)證據(jù)本身及其取證過程具有許多有別于傳統(tǒng)證物及其取證過程的特點(diǎn)，對(duì)司法界和計(jì)算機(jī)安全科學(xué)領(lǐng)域提出了新的挑戰(zhàn)。因此作為計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉學(xué)科計(jì)算機(jī)取證(computer forensics)正逐漸成為人們研究與關(guān)注的焦點(diǎn)。計(jì)算機(jī)取證也稱計(jì)算機(jī)法

9、醫(yī)學(xué)，它是指運(yùn)用計(jì)算機(jī)辨析技術(shù)，對(duì)計(jì)算機(jī)犯罪行為進(jìn)行分析，以確認(rèn)罪犯事實(shí)和獲取計(jì)算機(jī)證據(jù)，并據(jù)此提起訴訟，也就是針對(duì)計(jì)算機(jī)入侵與犯罪，進(jìn)行證據(jù)獲取、保存、分析和出示。計(jì)算機(jī)證據(jù)指在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的、以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。從技術(shù)上講，計(jì)算機(jī)取證是一個(gè)對(duì)受侵害計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和分析破解，從而對(duì)入侵事件進(jìn)行重建的過程。據(jù)美國(guó)媒體報(bào)道，自1992年以來(lái)，向聯(lián)邦檢舉法官提交的各種電腦犯罪案件數(shù)量增長(zhǎng)了三倍，但實(shí)際起訴的案件數(shù)量卻沒有變化。因?yàn)槿∽C棘手，很多案件由于證據(jù)缺乏而放棄起訴。在我國(guó)，許多涉及到計(jì)算機(jī)犯罪的卷宗由于無(wú)法舉證，或者所舉的證據(jù)不具備法律效力，加上國(guó)家在這

10、方面還沒有做出相應(yīng)的法律解釋，這些案子就無(wú)法進(jìn)行審理。但如果能夠采取正確的措施，利用計(jì)算機(jī)辨析方法來(lái)調(diào)查犯罪，找到犯罪分子留下的蛛絲馬跡，并且將其作為法律上有效的證據(jù)，很多損失是可以避免和挽回的，并且對(duì)犯罪分子也可以起到威懾和警示的作用。另?yè)?jù)美國(guó)csi/fbi 2002安全調(diào)查，信息盜竊、金融詐騙、內(nèi)部人士網(wǎng)絡(luò)濫用、病毒等電腦犯罪所造成的損失總計(jì)4.555億美元，同2000年相比上升了58%。計(jì)算機(jī)取證對(duì)于起訴這類犯罪行為至關(guān)重要。因?yàn)樵诠羰录?，如果沒有證據(jù)證明所發(fā)生的情況及所造成破壞的細(xì)節(jié)，在選擇通過法律途徑起訴攻擊者時(shí)就沒有充實(shí)的法律追索權(quán)。在各種各樣的計(jì)算機(jī)犯罪手段與網(wǎng)絡(luò)安全防御技術(shù)

11、對(duì)壘的形勢(shì)下，如果僅僅通過現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)打擊計(jì)算機(jī)犯罪己經(jīng)不能夠適應(yīng)了，因此需要發(fā)揮社會(huì)和法律的力量來(lái)對(duì)付計(jì)算機(jī)和網(wǎng)絡(luò)犯罪，計(jì)算機(jī)取證的出現(xiàn)和應(yīng)用是網(wǎng)絡(luò)安全防御理論走向成熟的標(biāo)志。1.3.2 計(jì)算機(jī)取證的定義關(guān)于計(jì)算機(jī)取證技術(shù)的定義多種多樣，目前還沒有一個(gè)權(quán)威機(jī)構(gòu)給出一個(gè)明確、完整的標(biāo)準(zhǔn)定義。作為計(jì)算機(jī)取證研究領(lǐng)域的一位專家和資深人士，judd robbins給出這樣的定義：計(jì)算機(jī)取證不過是簡(jiǎn)單地將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定和獲取上。而專業(yè)的計(jì)算機(jī)緊急事件響應(yīng)和計(jì)算機(jī)取證咨詢公司new technologies擴(kuò)展了judd robbins的定義：計(jì)算機(jī)取證

12、包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確證、提取和歸檔。sans的一篇綜述文章給出了如下定義：計(jì)算機(jī)取證是使用軟件和工具，按照一些預(yù)先定義的程序全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)計(jì)算機(jī)犯罪的證據(jù)。因此，計(jì)算機(jī)取證可以認(rèn)為是使用計(jì)算機(jī)軟件和工具，對(duì)存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)確認(rèn)、保護(hù)、提取和歸檔，并進(jìn)行研究和分析，從中尋找和提取能夠?yàn)榉ㄍソ邮艿?、足夠可靠和有說(shuō)服力的法律證據(jù)的過程。1.3.3 計(jì)算機(jī)證據(jù)的特點(diǎn) 計(jì)算機(jī)取證主要是圍繞計(jì)算機(jī)證據(jù)來(lái)展開工作的，目的是使儲(chǔ)存在計(jì)算機(jī)及相關(guān)設(shè)備中的反映犯罪者犯罪的信息成為有效的訴訟證據(jù)提供給法庭。計(jì)算機(jī)證據(jù)是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行

13、過程中產(chǎn)生的、以其內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物，又稱電子證據(jù)。伴隨著計(jì)算機(jī)犯罪而出現(xiàn)的電子證據(jù)是對(duì)傳統(tǒng)證據(jù)規(guī)則的一個(gè)挑戰(zhàn)。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是：可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的，即可為法庭所接受的。雖然我國(guó)民事訴訟法規(guī)定的七類證據(jù)中并未明確規(guī)定電子證據(jù)可以作為有效的訴公證據(jù)，但在學(xué)術(shù)界和司法實(shí)踐時(shí)都將電子證據(jù)劃歸為刑事訴訟法第五章第42條規(guī)定的視聽資料類中，把電子證據(jù)作為有效證據(jù)來(lái)處理有關(guān)計(jì)算機(jī)犯罪的案件。依照有關(guān)證據(jù)理論，電子證據(jù)當(dāng)屬于證據(jù)理論中的原始證據(jù)及間接證據(jù)范疇此外，電子證據(jù)還具有與傳統(tǒng)證據(jù)有別的其他特點(diǎn),例如，無(wú)時(shí)無(wú)刻不在改變；不是肉眼直接可見的，必須借助適當(dāng)?shù)墓?/p>

14、具，具體體現(xiàn)在：1.容易被改變或刪除，并且改變后不容易被發(fā)覺傳統(tǒng)證據(jù)如書面文件可以長(zhǎng)久保存，如有改動(dòng)或添加，都會(huì)留有痕跡，通常不難察覺，如有疑問可由專家通過成熟的司法鑒定技術(shù)加以鑒別。而數(shù)字證據(jù)與傳統(tǒng)證據(jù)不同，它們多以磁性介質(zhì)為載體。由于磁性介質(zhì)保存的數(shù)據(jù)內(nèi)容可以被改動(dòng)，并且不易留下痕跡。因此數(shù)字證據(jù)的真實(shí)性和安全性存在疑問，一旦發(fā)生爭(zhēng)議，這種數(shù)字證據(jù)難以在訴訟或仲裁中被采納為合法的證據(jù)。2.多種格式的存儲(chǔ)方式數(shù)字證據(jù)以計(jì)算機(jī)為載體，其實(shí)質(zhì)是以一定格式儲(chǔ)存在硬盤、軟盤或cdrom等儲(chǔ)存介質(zhì)上的二進(jìn)制代碼，它的形成和還原都要借助計(jì)算機(jī)設(shè)備。另外，隨著多媒體技術(shù)的出現(xiàn)，數(shù)字證據(jù)綜合了文本、圖形、圖

15、像、動(dòng)畫、音頻及視頻等多種媒體信息，這種以多媒體形式存在的電子證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。3.易損毀性計(jì)算機(jī)信息最終都是用二進(jìn)制數(shù)字表示的，以數(shù)字信號(hào)的方式存在，而數(shù)字信號(hào)是非連續(xù)性的，因此對(duì)數(shù)字證據(jù)進(jìn)行接收、監(jiān)聽、刪節(jié)、剪接等操作，從直觀上講無(wú)法查清。或者由于操作人員的誤操作或供電系統(tǒng)、通信網(wǎng)絡(luò)的故障等環(huán)境和技術(shù)方面的原因都會(huì)造成數(shù)字證據(jù)的不完整性。4.高科技性計(jì)算機(jī)是現(xiàn)代化的計(jì)算、通信工具和信息處理工具，其證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸，都必須借助于計(jì)算機(jī)軟硬技術(shù)、存儲(chǔ)技術(shù)、網(wǎng)絡(luò)技術(shù)等，離開了高科技含量的技術(shù)設(shè)備，電子證據(jù)無(wú)法保存和傳輸。如果沒有外界的蓄意篡改或差錯(cuò)的影響，電子證據(jù)就能準(zhǔn)確地儲(chǔ)

16、存并反映有關(guān)案件的情況。正是以這種高技術(shù)為依托，使它很少受主觀因素的影響，其精確性決定了電子證據(jù)具有較強(qiáng)的證明力。而電子證據(jù)的收集和審查判斷，往往需要一定的科學(xué)技術(shù)，甚至是尖端的科學(xué)技術(shù)，并且伴隨科技的發(fā)展進(jìn)程會(huì)不斷地更新、變化。5.傳輸過程中通常和其他無(wú)關(guān)信息共享信道電子證據(jù)實(shí)質(zhì)是儲(chǔ)存在計(jì)算機(jī)上、計(jì)算機(jī)系統(tǒng)運(yùn)行所產(chǎn)生的電磁記錄物中的一部分，它的傳輸過程，往往是與其他應(yīng)用程序系統(tǒng)的信息流傳輸過程同時(shí)進(jìn)行的。因此，在必要的時(shí)候，需要將電子證據(jù)與這些無(wú)關(guān)信息分離，并且要保證這個(gè)分離過程是無(wú)損電子證據(jù)本身的。1.3.4 計(jì)算機(jī)取證的研究現(xiàn)狀及發(fā)展方向現(xiàn)在美國(guó)至少有70%的法律部門擁有自己的計(jì)算機(jī)取證

17、實(shí)驗(yàn)室，取證專家在實(shí)驗(yàn)室內(nèi)分析從犯罪現(xiàn)場(chǎng)獲取的計(jì)算機(jī)及其外設(shè)，試圖找出是誰(shuí)在什么時(shí)間、從哪里、怎樣地進(jìn)行了什么非法活動(dòng)。按照取證時(shí)刻潛在證據(jù)的特性，計(jì)算機(jī)取證可分為靜態(tài)取證和動(dòng)態(tài)取證。靜態(tài)取證指潛在的證據(jù)存儲(chǔ)在未運(yùn)行的計(jì)算機(jī)系統(tǒng)、未使用的手機(jī)、個(gè)人數(shù)字助理（pda）等設(shè)備的存儲(chǔ)器或獨(dú)立的磁盤、光盤等媒介上；動(dòng)態(tài)取證指潛在的證據(jù)存在于網(wǎng)絡(luò)數(shù)據(jù)流和運(yùn)行中的計(jì)算機(jī)系統(tǒng)中的證據(jù)。由于網(wǎng)絡(luò)數(shù)據(jù)流和計(jì)算機(jī)系統(tǒng)里的證據(jù)特性上的差異，人們常使用基于主機(jī)的取證和基于網(wǎng)絡(luò)的取證2種說(shuō)法。對(duì)于靜態(tài)取證，重要的是及時(shí)的現(xiàn)場(chǎng)保護(hù)，通過相關(guān)的文件、日志分析工具對(duì)入侵者在系統(tǒng)上的遺留信息進(jìn)行分析和提取。動(dòng)態(tài)取證是對(duì)計(jì)算機(jī)系

18、統(tǒng)或網(wǎng)絡(luò)現(xiàn)場(chǎng)進(jìn)行監(jiān)視獲取證據(jù)，動(dòng)態(tài)分析入侵者的個(gè)人信息和攻擊手段，或通過陷阱和智能追蹤的方式提取實(shí)時(shí)數(shù)字證據(jù)。計(jì)算機(jī)取證學(xué)是相對(duì)較新的學(xué)科，經(jīng)過這些年的發(fā)展，已經(jīng)在理論和實(shí)踐上取得了不少的成績(jī)，但是現(xiàn)在的取證技術(shù)還存在著較大的局限性，難以適應(yīng)社會(huì)的需求，并且隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，計(jì)算機(jī)取證還必須應(yīng)對(duì)新的挑戰(zhàn)。綜合起來(lái)看，計(jì)算機(jī)取證領(lǐng)域?qū)⑾蛞韵聨讉€(gè)方向發(fā)展。1. 計(jì)算機(jī)取證需求逐步融入系統(tǒng)的研究與設(shè)計(jì)。由于計(jì)算機(jī)證據(jù)的特性，以及網(wǎng)絡(luò)攻擊者(權(quán)利濫用者可能采取的反取證措施，預(yù)先采取準(zhǔn)備性取證措施顯得越來(lái)越重要。未來(lái)的系統(tǒng)在研究和設(shè)計(jì)之初：如網(wǎng)絡(luò)體系結(jié)構(gòu)$就應(yīng)該把計(jì)算機(jī)取證當(dāng)作安全的一個(gè)環(huán)

19、節(jié)，在設(shè)計(jì)安全管理設(shè)施與策略時(shí)就將計(jì)算機(jī)取證當(dāng)作安全部署的一個(gè)要求事先做好，在一定的開發(fā)成本下實(shí)現(xiàn)證據(jù)量的最大化，使取證變得容易。2. 取證工具自動(dòng)化與集成化。計(jì)算機(jī)的存儲(chǔ)能力以超過莫爾定律的速度增長(zhǎng)，幾年以前個(gè)人計(jì)算機(jī)的硬盤往往是幾百m字節(jié)，現(xiàn)在個(gè)人計(jì)算機(jī)的硬盤多數(shù)是幾十g字節(jié)，上百g字節(jié)，更別說(shuō)大型服務(wù)器系統(tǒng)。這使我們需要功能更強(qiáng)、自動(dòng)化程度更高的取證工具的幫助。取證工具將不斷利用新的信息處理技術(shù)（如海量數(shù)據(jù)處理，數(shù)據(jù)挖掘等人工智能技術(shù)）以增強(qiáng)應(yīng)對(duì)大數(shù)據(jù)量的能力?，F(xiàn)在，很多工作都依賴于人工實(shí)現(xiàn)，這樣大大降低了取證的速度和取證結(jié)果的可靠性，無(wú)法滿足實(shí)際需要。為了方便取證人員使用，使得應(yīng)用場(chǎng)合

20、盡量多一些，需要對(duì)產(chǎn)品進(jìn)行適度的集成。3. 計(jì)算機(jī)取證領(lǐng)域繼續(xù)擴(kuò)大，取證工具出現(xiàn)專門化趨勢(shì)。除臺(tái)式機(jī)外，大量的移動(dòng)設(shè)備（如便攜式計(jì)算機(jī)、掌上電腦、手機(jī))都可能成為犯罪的目標(biāo)或工具，而犯罪的證據(jù)也會(huì)以各種不同的形式分布在計(jì)算機(jī)、便攜式設(shè)備、路由器、交換機(jī)等不同設(shè)備上。我們認(rèn)為具有一定數(shù)據(jù)存儲(chǔ)能力和通信能力的設(shè)備（例如未來(lái)的信息家電）都會(huì)逐漸納入計(jì)算機(jī)取證人員的視野。要找到合適的證據(jù)就需要針對(duì)不同的場(chǎng)合設(shè)計(jì)專門化產(chǎn)品（包括硬件和信息格式），做出相應(yīng)的取證工具。另外，計(jì)算機(jī)取證科學(xué)是一門綜合性的學(xué)科，涉及到磁盤分析、加密、圖形和音頻文件的研究、日志信息發(fā)掘、數(shù)據(jù)庫(kù)技術(shù)、媒介的物理性質(zhì)等許多方面的知識(shí)

21、。4. 標(biāo)準(zhǔn)化工作將逐步展開，法律法規(guī)將逐步完善。標(biāo)準(zhǔn)化工作對(duì)于每個(gè)行業(yè)都具有重要意義，在取證工具評(píng)價(jià)標(biāo)準(zhǔn)與取證過程標(biāo)準(zhǔn)方面也是如此。與計(jì)算機(jī)取證相關(guān)的法律法規(guī)將逐步出臺(tái)和完善，為計(jì)算機(jī)取證和計(jì)算機(jī)（電子）證據(jù)的使用提供法律上更明確的依據(jù)。5. 沒有機(jī)構(gòu)對(duì)計(jì)算機(jī)取證機(jī)構(gòu)和工作人員的資質(zhì)進(jìn)行認(rèn)證，使得取證結(jié)果的權(quán)威性受到質(zhì)疑。 為了能讓計(jì)算機(jī)取證工作向著更好的方向發(fā)展，制定從事計(jì)算機(jī)取證(計(jì)算機(jī)證據(jù)鑒定的機(jī)構(gòu)和從業(yè)人員的資質(zhì)審核辦法也是十分必要的。計(jì)算機(jī)取證的教育、培訓(xùn)、認(rèn)證的研究與實(shí)施將得到重視，并且會(huì)創(chuàng)造一個(gè)比較大的市場(chǎng)。同時(shí)這些活動(dòng)需要得到規(guī)范。從研究的角度看，計(jì)算機(jī)取證需求在新研究與設(shè)計(jì)

22、的系統(tǒng)中的表示與實(shí)現(xiàn)的一般性理論與方法具有重要意義。計(jì)算機(jī)證據(jù)自動(dòng)發(fā)現(xiàn)與潛在證據(jù)的智能發(fā)現(xiàn)方法的研究，對(duì)取證準(zhǔn)備與取證工具自動(dòng)化具有支撐作用。計(jì)算機(jī)取證結(jié)論的自動(dòng)推理與證明領(lǐng)域值得特別重視。1.3.5 計(jì)算機(jī)取證研究存在的不足 由于計(jì)算機(jī)證據(jù)和傳統(tǒng)證據(jù)之間有很大的不同，造成了計(jì)算機(jī)取證的特殊性和復(fù)雜性，因而對(duì)計(jì)算機(jī)取證的工具也有比較特殊的要求。目前在打擊計(jì)算機(jī)犯罪的關(guān)鍵技術(shù)研究和應(yīng)用主要集中在對(duì)犯罪現(xiàn)場(chǎng)的計(jì)算機(jī)證據(jù)進(jìn)行復(fù)制和備份方面，己經(jīng)出現(xiàn)的取證工具大部分也只是磁盤鏡像、文件和密碼恢復(fù)、網(wǎng)絡(luò)流量分析和日志分析等工具，這些工具基本上只適合使用于某一個(gè)系統(tǒng)。取證研究領(lǐng)域存在的不足包括：缺乏能夠應(yīng)

23、用于多個(gè)操作系統(tǒng)、多個(gè)應(yīng)用軟件的業(yè)務(wù)平臺(tái)來(lái)綜合的提煉數(shù)據(jù)。缺乏超大網(wǎng)絡(luò)數(shù)據(jù)量的網(wǎng)絡(luò)偵控綜合業(yè)務(wù)分析平臺(tái)，無(wú)法處理諸如分布式拒絕服務(wù)攻擊的網(wǎng)絡(luò)犯罪案件。缺乏根據(jù)某一線索，如罪犯的ip地址、用戶名等自動(dòng)搜索與他有關(guān)的記錄并進(jìn)行統(tǒng)計(jì)分析的工具。缺乏有效的工具和手段根據(jù)證據(jù)鏈的逆向過程還原犯罪的原始狀態(tài)。1.3.6 計(jì)算機(jī)取證分析技術(shù)的特殊性和難點(diǎn)所在因?yàn)橛?jì)算機(jī)取證本身的特殊性和電子證據(jù)的特點(diǎn)，計(jì)算機(jī)取證分析技術(shù)有其自身的特殊之處和難點(diǎn)所在。1.電子證據(jù)與傳統(tǒng)證據(jù)的區(qū)別我國(guó)刑事訴訟法第五章第42條明確規(guī)定：“ 證明案件真實(shí)情況的一切事實(shí)，都是證據(jù)”。同時(shí)規(guī)定證據(jù)有七種形式，即物證、書證、證人證言、被害

24、人陳述、犯罪嫌疑人、被告人供述和辯解、鑒定結(jié)論、勘驗(yàn)、檢查筆錄、視聽資料。我國(guó)民事訴訟法第六章第63條規(guī)定，證據(jù)有書證、物證、視聽資料、證人證言、當(dāng)事人的陳述、鑒定結(jié)論、勘驗(yàn)筆錄等七種形式。我國(guó)行政訴訟法第五章第31條規(guī)定證據(jù)有七種形式，即書證、物證、視聽資料、證人證言、當(dāng)事人的陳述、鑒定結(jié)論、勘驗(yàn)筆錄及現(xiàn)場(chǎng)筆錄。由此可見，我國(guó)的三部訴訟法基本上對(duì)證據(jù)的形式有著同樣的規(guī)定。鑒于電子證據(jù)使用特定的二進(jìn)制編碼，存儲(chǔ)以及信息呈現(xiàn)形式多樣化，導(dǎo)致傳統(tǒng)的證據(jù)收集手段很難保證其真實(shí)性、完整性、可靠性。電子證據(jù)的存儲(chǔ)地點(diǎn)亦不易察覺，它可能存在于某臺(tái)計(jì)算機(jī)或外圍存儲(chǔ)設(shè)備之中，也可能在網(wǎng)絡(luò)上的某一臺(tái)或數(shù)臺(tái)服務(wù)器

25、中，數(shù)據(jù)可以被隱藏或加密，這就造成了電子證據(jù)提取方面的困難；即便發(fā)現(xiàn)電子證據(jù)，也不能貿(mào)然對(duì)數(shù)據(jù)進(jìn)行復(fù)制和導(dǎo)出，電子證據(jù)的來(lái)源是否可靠往往成為大費(fèi)腦筋的事。硬件損壞、誤操作乃至病毒和黑客的襲擾甚至?xí)斐呻娮幼C據(jù)的毀損滅失，傳統(tǒng)的證據(jù)收集手段無(wú)法應(yīng)對(duì)這樣的情勢(shì)。另外，計(jì)算機(jī)犯罪大部分是通過網(wǎng)絡(luò)，犯罪分子甚至可以不需要到案發(fā)現(xiàn)場(chǎng)。由于網(wǎng)絡(luò)的無(wú)國(guó)界性，不同國(guó)家在法律、道德和意識(shí)形態(tài)上是有差異的，可能會(huì)造成案件無(wú)法繼續(xù)偵察的結(jié)果。根據(jù)上述特點(diǎn)，計(jì)算機(jī)取證的原則之一就是盡早地搜集整理證據(jù)，能夠得到第一手的信息。盡可能地爭(zhēng)取做到取證的過程公正和公開。取證的基本方法包括以下幾點(diǎn)： 在不對(duì)原有證物進(jìn)行任何改動(dòng)或

26、損壞的前提下獲取證據(jù)。 證明你所獲取的證據(jù)和原有的數(shù)據(jù)是相同的。 在不改動(dòng)數(shù)據(jù)的前提下對(duì)其進(jìn)行分析。 必須確保“證據(jù)監(jiān)督鏈(chain of custody)”的完整性，也稱為證據(jù)保全。即在證據(jù)被正式提交給法庭時(shí)，必須能夠說(shuō)明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化。 證據(jù)監(jiān)督鏈的目的不僅是要保護(hù)證物的完整性，更重要的是：它的存在使得在法庭上出示的證據(jù)能經(jīng)得起法官和辯護(hù)人員的質(zhì)詢。2.電子證據(jù)來(lái)源繁雜、格式不一計(jì)算機(jī)犯罪的手段復(fù)雜多變，遺留的作案痕跡也各不相同，稍有經(jīng)驗(yàn)的人都懂得大量刪除系統(tǒng)日志和相關(guān)文件，因此取證工作不僅需要得到常見的日志文件、審計(jì)記錄等數(shù)據(jù)，也要從隱蔽之處如未

27、分配的磁盤空間、空間、臨時(shí)文件、交換文件中獲得和重建數(shù)據(jù)。電子證據(jù)的主要來(lái)源有系統(tǒng)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)。來(lái)自系統(tǒng)方面的電子證據(jù)包括：系統(tǒng)日志，系統(tǒng)的審計(jì)記錄，操作系統(tǒng)和數(shù)據(jù)庫(kù)的臨時(shí)文件或隱藏文件，數(shù)據(jù)庫(kù)的操作記錄，硬盤驅(qū)動(dòng)的交換(swap)分區(qū)、扇區(qū)間隙(slack)和空閑區(qū)，軟件設(shè)置，完成特定功能的腳本文件，web瀏覽器數(shù)據(jù)緩沖，書簽、歷史記錄或會(huì)話日志、arp緩存、內(nèi)核統(tǒng)計(jì)、內(nèi)存數(shù)據(jù)、物理配置、網(wǎng)絡(luò)拓?fù)鋱D以及由應(yīng)用軟件產(chǎn)生的記錄和日志等。來(lái)自網(wǎng)絡(luò)方面的證據(jù)有防火墻日志ids日志.路由器日志ftp, www和郵件服務(wù)日志，email原始數(shù)據(jù)，實(shí)時(shí)聊天記錄，網(wǎng)絡(luò)監(jiān)控流量以及其他網(wǎng)絡(luò)工具所產(chǎn)生的記錄和

28、日志等。另外諸如防火墻日志等，其格式更是百花齊放，大部分開發(fā)商都是根據(jù)自己的需要和特點(diǎn)來(lái)規(guī)定格式，這些客觀原因的存在，為計(jì)算機(jī)取證分析技術(shù)的研究和發(fā)展帶來(lái)一定的難度。1.3.7 計(jì)算機(jī)取證的工具 1.用于電子數(shù)據(jù)證據(jù)獲取的工具：如higher ground software inc. 的軟件hard drive mechanic 可用于從被刪除的、被格式化的和已被重新分區(qū)的硬盤中獲取數(shù)據(jù)。nti公司的getfree可從活動(dòng)的windows swap分區(qū)中恢復(fù)數(shù)據(jù)，該公司的軟件getslack可自動(dòng)搜集系統(tǒng)中的文件碎片并將其寫入一個(gè)統(tǒng)一的文件。2.用于電子數(shù)據(jù)證據(jù)保全的工具：guidance s

29、oftware公司生產(chǎn)的硬件設(shè)備fastbloc可用于windows操作系統(tǒng)下計(jì)算機(jī)媒質(zhì)內(nèi)容的快速鏡像，nti的軟件系統(tǒng)crcmd5可用于在計(jì)算機(jī)犯罪調(diào)查過程中保護(hù)已搜集來(lái)的電子證據(jù)，保證其不被改變，也可以用于將系統(tǒng)從一臺(tái)計(jì)算機(jī)遷移到另一臺(tái)計(jì)算機(jī)時(shí)保障系統(tǒng)的完整性。該公司的軟件seized可用于保證用戶無(wú)法對(duì)正在被調(diào)查的計(jì)算機(jī)或系統(tǒng)進(jìn)行操作。3.用于電子數(shù)據(jù)證據(jù)分析的工具： 這類工具中最著名的是nti公司的軟件系統(tǒng)net threat analyzer。該軟件使用人工智能中的模式識(shí)別技術(shù)，分析slack磁盤空間、未分配磁盤空間、自由空間中所包含的信息，研究交換文件、緩存文件、臨時(shí)文件及網(wǎng)絡(luò)流動(dòng)

30、數(shù)據(jù)，從而發(fā)現(xiàn)系統(tǒng)中曾發(fā)生過的email交流、internet瀏覽及文件上傳下載等活動(dòng)，提取出與生物、化學(xué)、核武器等恐怖襲擊、炸彈制造及性犯罪等相關(guān)的內(nèi)容。該軟件在美國(guó)9.11事件的調(diào)查中起到了很大的作用。4.用于電子數(shù)據(jù)證據(jù)歸檔的工具：如nti公司的軟件nti-doc可用于自動(dòng)記錄電子數(shù)據(jù)產(chǎn)生的時(shí)間、日期及文件屬性。針對(duì)計(jì)算機(jī)取證的全部活動(dòng)而言，美國(guó)的各研究機(jī)構(gòu)與公司所開發(fā)的工具主要覆蓋了電子數(shù)據(jù)證據(jù)的獲取、保全、分析和歸檔的過程，各研究機(jī)構(gòu)與公司也都在進(jìn)一步優(yōu)化現(xiàn)有的各種工具，提高利用工具進(jìn)行電子證據(jù)搜集、保全、鑒定、分析的可靠性和準(zhǔn)確度，進(jìn)一步提高計(jì)算機(jī)取證的自動(dòng)化和智能化。但目前還沒有

31、能夠全面鑒定電子數(shù)據(jù)證據(jù)設(shè)備來(lái)源、地址來(lái)源、軟件來(lái)源的工具。我國(guó)的計(jì)算機(jī)普及與應(yīng)用起步較晚，有關(guān)計(jì)算機(jī)取證的研究與實(shí)踐工作也僅有10年的歷史，相關(guān)的法律法規(guī)仍很不完善，學(xué)界對(duì)計(jì)算機(jī)犯罪的研究也主要集中于計(jì)算機(jī)犯罪的特點(diǎn)、預(yù)防對(duì)策及其給人類帶來(lái)的影響。目前法庭案例中出現(xiàn)的計(jì)算機(jī)證據(jù)都比較簡(jiǎn)單，多是文檔、電子郵件、程序源代碼等不需特殊工具就可以取得的信息。但隨著技術(shù)的進(jìn)步，計(jì)算機(jī)犯罪的水平也在不斷提高，目前的計(jì)算機(jī)取證技術(shù)己不能滿足打擊計(jì)算機(jī)犯罪、保護(hù)網(wǎng)絡(luò)與信息安全的要求，自主開發(fā)適合我國(guó)國(guó)情的、能夠全面檢查計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)取證的工具與軟件已經(jīng)迫在眉睫。2 數(shù)據(jù)挖掘簡(jiǎn)介數(shù)據(jù)挖掘是一種特定應(yīng)

32、用的數(shù)據(jù)分析過程，可以從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏知識(shí)，從而為做出正確判斷提供基礎(chǔ)。因?yàn)榫哂懈叨茸詣?dòng)化的特點(diǎn)，數(shù)據(jù)挖掘技術(shù)已經(jīng)被頻繁應(yīng)用于與計(jì)算機(jī)取證領(lǐng)域相近的入侵檢測(cè)領(lǐng)域的研究中，用于對(duì)海量的安全審計(jì)數(shù)據(jù)進(jìn)行智能化處理，目的是抽象出利于進(jìn)行判斷和比較的特征模型。在計(jì)算機(jī)犯罪和取證分析領(lǐng)域：數(shù)據(jù)挖掘技術(shù)也開始越來(lái)越多地受到研究人員的關(guān)注，因?yàn)閿?shù)據(jù)挖掘具有的特點(diǎn)恰好解決了計(jì)算機(jī)取證分析所面臨的困難。當(dāng)前數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)犯罪及取證分析領(lǐng)域的研究主要分為兩方面，一是對(duì)犯罪行為的分析、預(yù)測(cè)和防范；二是在計(jì)算機(jī)日志取證分析領(lǐng)域的研究，如利用關(guān)聯(lián)規(guī)則挖掘?qū)θ罩具M(jìn)行特征分析、屬性概念分

33、層在取證日志中的應(yīng)用等。2.1 數(shù)據(jù)挖掘概念數(shù)據(jù)挖掘的主要目的是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)集中識(shí)別出有效的、新穎的、潛在有用的，以及最終可理解的模式，即知識(shí)。數(shù)據(jù)挖掘所能發(fā)現(xiàn)的知識(shí)有如下幾種：1. 廣義型知識(shí)根據(jù)數(shù)據(jù)的微觀特性發(fā)現(xiàn)其表征的、帶有普遍性的、較高層次概念的、宏觀的知識(shí)，以反映同類事物的共同性質(zhì)，是對(duì)數(shù)據(jù)的概括、提煉和抽象。2. 分類型知識(shí)反映同類事物之間共同性質(zhì)的特征型知識(shí)和不同事物之間差異性特征知識(shí)，用于反映數(shù)據(jù)的匯聚模式或根據(jù)對(duì)象的屬性區(qū)分其所屬類別。3. 關(guān)聯(lián)型知識(shí)反映一個(gè)事件和其它事件之間依賴或關(guān)聯(lián)的知識(shí)，又稱依賴關(guān)系，這類知識(shí)可用于數(shù)據(jù)庫(kù)中的歸一化，

34、查詢優(yōu)化等。4. 預(yù)測(cè)型知識(shí)通過時(shí)間序列型數(shù)據(jù)，由歷史的和當(dāng)前的數(shù)據(jù)去預(yù)測(cè)未來(lái)的情況，其實(shí)質(zhì)是一種以時(shí)為關(guān)鍵屬性的關(guān)聯(lián)知識(shí)。5. 離型知識(shí)通過分析標(biāo)準(zhǔn)類以外的特例，數(shù)據(jù)聚類以外的離群值，以實(shí)際觀測(cè)值和系統(tǒng)預(yù)測(cè)值之間存在的顯著差別，來(lái)對(duì)差異和極端特例進(jìn)行描述的知識(shí)。所有這些知識(shí)都可以在不同的概念層次上被發(fā)現(xiàn)，隨著概念樹的提升，從微觀到中觀，再到宏觀，以滿足不同用戶、不同層次決策的需要。例如，從一家超市的數(shù)據(jù)倉(cāng)庫(kù)中，可以發(fā)現(xiàn)的一條典型關(guān)聯(lián)規(guī)則可能是“買面包和黃油的顧客十有八九也買牛奶 ”，也可能是“買食品的顧客幾乎都用信用卡”，這種規(guī)則對(duì)于商家開發(fā)和實(shí)施客戶化的銷售計(jì)劃和策略是非常有用的?，F(xiàn)有的數(shù)

35、據(jù)挖掘方法很多，按挖掘的知識(shí)類型分類，可以有以下幾種： 關(guān)聯(lián)規(guī)則分析：以規(guī)則的形式給出隱藏在數(shù)據(jù)間的相互關(guān)系。對(duì)于給定的數(shù)據(jù)項(xiàng)集和數(shù)據(jù)記錄集，根據(jù)用戶指定的置信度和支持度，關(guān)聯(lián)分析可以推出數(shù)據(jù)項(xiàng)之間的相關(guān)性。 序列模式分析：挖掘相對(duì)時(shí)間或其他模式出現(xiàn)頻率高的模式，屬于統(tǒng)計(jì)時(shí)序分析中的趨勢(shì)分析和預(yù)測(cè)范疇。 分類分析：分類分析首先考察分類數(shù)據(jù)的屬性，通過訓(xùn)練數(shù)據(jù)集對(duì)系統(tǒng)進(jìn)行訓(xùn)練，找出描述并區(qū)分?jǐn)?shù)據(jù)類型或概念的模型(函數(shù))，以便將收集到的數(shù)據(jù)歸類到某個(gè)預(yù)定義的類標(biāo)記下，為了構(gòu)造這樣一個(gè)分類模型，需要一個(gè)樣本數(shù)據(jù)庫(kù)作為訓(xùn)練數(shù)據(jù)集，樣本數(shù)據(jù)庫(kù)中的每一個(gè)元組與大型數(shù)據(jù)庫(kù)中的元組包含著同樣的屬性集，并且每一

36、個(gè)元組有一個(gè)己知的類標(biāo)記。分類器的構(gòu)造方法有決策樹方法、統(tǒng)計(jì)方法、神經(jīng)網(wǎng)絡(luò)方法和粗糙集(roughset)方法等。 聚類分析：將具體的或者抽象的對(duì)象按照相似程度分類的過程稱為聚類。聚類的原則是最大化類內(nèi)的相似性，最小化類間的相似性。與分類分析方法不同，聚類分析的輸入是一組未定標(biāo)的記錄，即此時(shí)每個(gè)訓(xùn)練樣本的類標(biāo)記是未知的。其目的是根據(jù)一定的規(guī)則，合理地劃分記錄集合，并用顯式或隱式方法描述不同的類別，所依據(jù)的這些規(guī)則是由聚類分析工具定義的。由于聚類分析可以采用不同的算法，所以對(duì)于相同的記錄集合，可能有不同的劃分。 孤立點(diǎn)分析：孤立點(diǎn)是指數(shù)據(jù)集中與數(shù)據(jù)的一般行為或模型不一致的數(shù)據(jù)對(duì)象。大部分?jǐn)?shù)據(jù)挖掘

37、方法將孤立點(diǎn)作為噪聲去除，但在有些應(yīng)用中，罕見的數(shù)據(jù)可能比正常出現(xiàn)的數(shù)據(jù)更加有趣。例如在入侵行為的檢測(cè)中，孤立點(diǎn)可能預(yù)示著入侵行為的發(fā)生?；谟?jì)算機(jī)的孤立點(diǎn)探測(cè)有三類:統(tǒng)計(jì)學(xué)方法、基于距離的方法和基于偏差的方法。數(shù)據(jù)挖掘是一個(gè)工具，幾乎所有的數(shù)據(jù)挖掘技術(shù)都是數(shù)據(jù)驅(qū)動(dòng)的，而不是用戶驅(qū)動(dòng)的，也就是說(shuō)用戶在使用這些算法時(shí)，只要給出數(shù)據(jù)，不用告訴算法程序怎么做和期待得到什么結(jié)果，一切都是算法自身從給定的數(shù)據(jù)中自己找出來(lái)。本系統(tǒng)主要通過應(yīng)用關(guān)聯(lián)規(guī)則在計(jì)算機(jī)犯罪取證的應(yīng)用，所以下節(jié)將詳細(xì)介紹關(guān)聯(lián)規(guī)則。2.2 關(guān)聯(lián)規(guī)則挖掘關(guān)聯(lián)規(guī)則是當(dāng)前數(shù)據(jù)挖掘的主要模式之一，它用于尋找數(shù)據(jù)集中不同屬性之間的聯(lián)系，找出可信的

38、、有價(jià)值的多個(gè)屬性域之間的依賴關(guān)系。關(guān)聯(lián)規(guī)則挖掘的目標(biāo)是從數(shù)據(jù)源中找出形如“由于某些事情的發(fā)生而引起另外一些事情的發(fā)生”這樣的規(guī)則。在計(jì)算機(jī)取證中，我們挖掘電子證據(jù)數(shù)據(jù)項(xiàng)之間存在的規(guī)則，并在規(guī)則中查找、發(fā)現(xiàn)并分析計(jì)算機(jī)犯罪行為在不同位置、各個(gè)目標(biāo)、行為意圖方面的一些聯(lián)系和規(guī)律，為進(jìn)一步偵察分析和破案提供線索。2.2.1 關(guān)聯(lián)規(guī)則的形式化定義定義2.1：關(guān)聯(lián)規(guī)則：設(shè)i = i1,i2 ,. . , im為文字的集合，ij(1j y (公式3.1)其中xi，y7，并且xy=。為了對(duì)關(guān)聯(lián)規(guī)則的價(jià)值進(jìn)行評(píng)判，我們一般還需要使用兩個(gè)參數(shù)，支持度(support)和可信度(confidence)。定義2.

39、2：關(guān)聯(lián)規(guī)則的支持度：support(ab)=p(a u b) (公式3.2)定義2.3：關(guān)聯(lián)規(guī)則的可信度：confidence(ab) = p(b|a) (公式3.3)定義2.4：最小支持度，記為min_sup，用戶規(guī)定的關(guān)聯(lián)規(guī)則必須滿足最小支持度，即系統(tǒng)所發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則的支持度不小于最小支持度。定義2.5：最小可信度，記為min_conf，用戶規(guī)定的關(guān)聯(lián)規(guī)則必須滿足最小可信度，即系統(tǒng)所發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則的可信度不小于最小可信度。從語(yǔ)義的角度來(lái)看，支持度表示用這條規(guī)則可以推出百分之幾的目標(biāo)，規(guī)則的可信度表示這條規(guī)則的正確程度，即這一原因?qū)τ谶@一結(jié)果的重要程度和可被接受理解的程度。對(duì)關(guān)聯(lián)規(guī)則的挖掘

40、目的是發(fā)現(xiàn)知識(shí)，一般來(lái)說(shuō)，我們僅僅對(duì)支持度和可信度特別顯著的關(guān)聯(lián)規(guī)則感興趣，要求挖掘結(jié)果所產(chǎn)生的規(guī)則的支持度和可信度都不小于給定的閡值，即最小支持度和最小可信度，這樣的關(guān)聯(lián)規(guī)則稱為強(qiáng)關(guān)聯(lián)規(guī)則。關(guān)聯(lián)規(guī)則的挖掘可以分為兩個(gè)步驟：（1）找出所有頻繁項(xiàng)集，這些項(xiàng)集的頻繁度不低于預(yù)定義的最小支持度；（2）由頻繁項(xiàng)集產(chǎn)生強(qiáng)關(guān)聯(lián)規(guī)則，這些規(guī)則必須滿足最小置信度的要求；在第一個(gè)步驟里，發(fā)現(xiàn)頻繁項(xiàng)集的算法是對(duì)數(shù)據(jù)進(jìn)行反復(fù)的搜索。在每次搜索中，都從頻繁項(xiàng)集的種子集開始，用種子集產(chǎn)生新的可能的頻繁項(xiàng)集，稱之為候選集合。在搜索的同時(shí)計(jì)算這些候選集合的支持?jǐn)?shù)(d對(duì)一個(gè)數(shù)據(jù)項(xiàng)集的支持?jǐn)?shù)，即為d中包含這個(gè)數(shù)據(jù)項(xiàng)集的事件個(gè)數(shù)

41、)，搜索一遍后確定哪些候選集合是頻繁的，這些集合成為下一次搜索的種子集。這個(gè)過程不斷重復(fù)，直到?jīng)]有新的頻繁項(xiàng)集產(chǎn)生為止。第二個(gè)步驟相對(duì)簡(jiǎn)單一些。首先我們用項(xiàng)集的支持?jǐn)?shù)(support_count)來(lái)表示可信度：confidence(xy)=p(y |x)= （公式2.4）將數(shù)據(jù)項(xiàng)集中數(shù)據(jù)項(xiàng)的個(gè)數(shù)為k的集合稱為k-數(shù)據(jù)項(xiàng)集。對(duì)每個(gè)頻繁項(xiàng)集k一數(shù)據(jù)項(xiàng)集l，計(jì)算其所有非空子集，對(duì)每個(gè)非空子集a,如果則輸出規(guī)則“a= (l-a),c,s”。2.2.2 經(jīng)典關(guān)聯(lián)規(guī)則挖掘算法介紹 我們用lk表示所有長(zhǎng)度為k(1km)的頻繁數(shù)據(jù)項(xiàng)集，ck表示長(zhǎng)度為k的候選項(xiàng)集，那么就有l(wèi)k ck。agrawal等人于199

42、4年提出的挖掘關(guān)聯(lián)規(guī)則的快速算法，apriori中有一個(gè)對(duì)于壓縮搜索空間非常有用的重要性質(zhì)，稱為apriori性質(zhì)：頻繁項(xiàng)集的所有非空子集也都必須是頻繁的。這是因?yàn)?，如果?shù)據(jù)項(xiàng)集xk不滿足最小支持度min_conf，則xk不是頻繁的，那么即使將項(xiàng)item添加到xk中，其結(jié)果項(xiàng)集xku item也不可能比xk更頻繁地出現(xiàn)。因此xku item也不是頻繁數(shù)據(jù)項(xiàng)集。關(guān)聯(lián)規(guī)則挖掘算法中頻繁項(xiàng)集生成步驟描述如下：l1=頻繁l-數(shù)據(jù)項(xiàng)集; /通過搜索數(shù)據(jù)庫(kù)生成for(k=2;lk-1;k+) do beginck=apriori_gen(lk-1); /產(chǎn)生新的候選集對(duì)每一事務(wù)td do beginct

43、= subset(ck,t); /事件t中包含的候選集對(duì)每一個(gè)元素cct doc.count +;endlk=cck |c.count min_sup;rule_mine(lk);endprocedure apriori_gen(lk-1) /由lk；生成候選集ck對(duì)每一數(shù)據(jù)項(xiàng)集11lk-1 do begin對(duì)每一數(shù)據(jù)項(xiàng)12lk-1 do beginif (11 1=12 1)( 112=122)(11k -2=12k -2)(11k-112k-1) then beginc=111,112,11k-1,12k-1對(duì)每一(k-1)-數(shù)據(jù)項(xiàng)子集sc do begin if (slk-1,) the

44、n delete c;else add c to ck;endendendendreturn ck上述算法中，apriori_gen是候選集生成函數(shù)，其參數(shù)為一組頻繁(k-1)-數(shù)據(jù)項(xiàng)集lk-1，函數(shù)的返回結(jié)果為一組候選的頻繁k-數(shù)據(jù)項(xiàng)集。函數(shù)的執(zhí)行分為兩步：連接和剪枝。1 連接連接是對(duì)兩個(gè)數(shù)據(jù)項(xiàng)集進(jìn)行交運(yùn)算，交運(yùn)算后的集合是兩個(gè)特征集中所有子項(xiàng)的合取范式。對(duì)于lk-1，中的數(shù)據(jù)項(xiàng)集11和12，記號(hào)lij表示li的第j項(xiàng)，數(shù)據(jù)項(xiàng)集中的項(xiàng)都預(yù)先按一定的次序排列。如果11和12的前k-2項(xiàng)相同，即111=12l,112=122, 11k-2=12k-2,11k-112 k-1，則將11和12連接，

45、連接的結(jié)果是111112. 11k-211k-112k-1o2 剪枝ck是lk的超集，因而必須將ck中不屬于lk的數(shù)據(jù)項(xiàng)集去掉。通過掃描數(shù)據(jù)庫(kù)，確定ck中每個(gè)候選集的支持?jǐn)?shù)，就可以確定lk。然而，ck可能很大，這樣掃描引入很大的計(jì)算量。這里可以運(yùn)用apriori性質(zhì)，如果一個(gè)候選k-數(shù)據(jù)項(xiàng)集的所有(k-1)數(shù)據(jù)項(xiàng)子集不全在lk-1中，那么該候選數(shù)據(jù)項(xiàng)集也不可能是頻繁數(shù)據(jù)項(xiàng)集，從而可以將其從ck中刪除。找出所有可能的頻繁數(shù)據(jù)項(xiàng)集后，就可以根據(jù)給定的min_conf生成強(qiáng)規(guī)則了，過程描述如下：procedure rule_ mine(lk)while(lk) do begin對(duì)每一數(shù)據(jù)項(xiàng)集lklk

46、 do begin對(duì)每一子集hmlk do beginconf =1k.sup/hm.sup; /計(jì)算規(guī)則的支持度if (confmin_conf) thenoutput_rule(hm(lk-hm),sup,conf /以(xy, s, c)的形式輸出規(guī)則endendend3 系統(tǒng)分析可行性分析也稱為可行性研究，是在系統(tǒng)調(diào)查的基礎(chǔ)上，針對(duì)新系統(tǒng)的開發(fā)是否具備必要性和可能性，對(duì)新系統(tǒng)的開發(fā)從技術(shù)，經(jīng)濟(jì)，社會(huì)的方面進(jìn)行分析和研究，以免投資失誤，保證新系統(tǒng)的開發(fā)成功?？尚行匝芯康哪康木褪怯米钚〉拇鷥r(jià)在盡可能短的時(shí)間內(nèi)確定問題是否能夠解決。3.1 系統(tǒng)可行性分析3.1.1 可行性分析概念可行性分析也

47、稱為可行性研究，是在系統(tǒng)調(diào)查的基礎(chǔ)上，針對(duì)新系統(tǒng)的開發(fā)是否具備必要性和可能性，對(duì)新系統(tǒng)的開發(fā)從技術(shù)，經(jīng)濟(jì)，社會(huì)的方面進(jìn)行分析和研究，以免投資失誤，保證新系統(tǒng)的開發(fā)成功。可行性研究的目的就是用最小的代價(jià)在盡可能短的時(shí)間內(nèi)確定問題是否能夠解決。3.1.2 系統(tǒng)可行性 1經(jīng)濟(jì)可行性經(jīng)濟(jì)可行性分析是,從經(jīng)濟(jì)的角度分析網(wǎng)站系統(tǒng)的規(guī)劃方案有無(wú)實(shí)現(xiàn)的可能和開發(fā)價(jià)值;分析網(wǎng)站系統(tǒng)所帶來(lái)的是經(jīng)濟(jì)效益是否超過開發(fā)和維護(hù)網(wǎng)站所需要的費(fèi)用.計(jì)算機(jī)技術(shù)發(fā)展異常迅速的根本原因在于計(jì)算機(jī)的應(yīng)用促進(jìn)了社會(huì)經(jīng)濟(jì)的發(fā)展，給社會(huì)帶來(lái)了巨大的經(jīng)濟(jì)效益。因此基于計(jì)算機(jī)系統(tǒng)的成本效益分析是可行性研究的重要內(nèi)容，它用于評(píng)估計(jì)算機(jī)系統(tǒng)的經(jīng)濟(jì)

48、合理性。給出系統(tǒng)開發(fā)的成本論證，并將估算的成本與預(yù)期的利潤(rùn)進(jìn)行對(duì)比。由于項(xiàng)目開發(fā)成本受項(xiàng)目的特性、規(guī)模等許多因素的制約，對(duì)軟件設(shè)計(jì)的反復(fù)優(yōu)化可以獲得用戶更為滿意的質(zhì)量等等，所以系統(tǒng)分析員很難直接估算基于計(jì)算機(jī)系統(tǒng)的成本和利潤(rùn)，得到完全精確的成本效益分析結(jié)果是十分困難的。 本系統(tǒng)方便快捷，節(jié)省人力、物力、財(cái)力等，其支出的費(fèi)用：其中包括設(shè)備購(gòu)置費(fèi)、軟件開發(fā)費(fèi)用、管理和維護(hù)費(fèi)等。因而它的經(jīng)濟(jì)效益必然遠(yuǎn)遠(yuǎn)大于開發(fā)效益。2技術(shù)可行性技術(shù)可行性是可行性研究的關(guān)鍵內(nèi)容技術(shù)可行性，就是根據(jù)現(xiàn)有的技術(shù)條件，分析規(guī)劃所提出的目標(biāo)，要求能否達(dá)到及所選用的技術(shù)方案是否具有一定的先進(jìn)型。從硬件，軟件，能源以及環(huán)境條件，

49、輔助設(shè)備及配件條件等方面。在技術(shù)可行性研究過程中，系統(tǒng)分析員應(yīng)采集系統(tǒng)性能、可靠性、可維護(hù)性和可生產(chǎn)性方面的信息；分析實(shí)現(xiàn)系統(tǒng)功能和性能所需要的各種設(shè)備、技術(shù)、方法和過程；分析項(xiàng)目開發(fā)在技術(shù)方面可能擔(dān)負(fù)的風(fēng)險(xiǎn)，以及技術(shù)問題對(duì)開發(fā)成本的影響，等等。如有可能，應(yīng)充分研究現(xiàn)有類似系統(tǒng)的功能和性能，采用的技術(shù)、工具、設(shè)備和開發(fā)過程中成功和失敗的經(jīng)驗(yàn)、教訓(xùn)、以便為現(xiàn)行系統(tǒng)開發(fā)作參考。必要時(shí)，技術(shù)分析還包括某些研究和設(shè)計(jì)活動(dòng)。根據(jù)技術(shù)分析的結(jié)果，項(xiàng)目管理員必須做出是否進(jìn)行系統(tǒng)開發(fā)的決定。如果系統(tǒng)開發(fā)技術(shù)風(fēng)險(xiǎn)很大；或模型演示表明當(dāng)前采用的技術(shù)和方法不能實(shí)現(xiàn)系統(tǒng)預(yù)期的功能和性能；或系統(tǒng)的實(shí)現(xiàn)不支持各子系統(tǒng)的集

50、成，等等。項(xiàng)目管理員不得不做出“停止”系統(tǒng)開發(fā)的決定。本系統(tǒng)采通過模擬日志數(shù)據(jù)，采取關(guān)聯(lián)規(guī)則的挖掘算法對(duì)數(shù)據(jù)進(jìn)行分析。具體關(guān)聯(lián)規(guī)則算法采用apriori算法3.社會(huì)可行性 在計(jì)算機(jī)犯罪日趨嚴(yán)重的現(xiàn)象下，鑒于國(guó)內(nèi)還沒完整的計(jì)算機(jī)犯罪取證軟件，本系統(tǒng)是對(duì)計(jì)算機(jī)犯罪取證一次嘗試，在計(jì)算機(jī)犯罪取證上著積極的意義。3.2 需求分析3.2.1 系統(tǒng)調(diào)查 1. 進(jìn)入系統(tǒng)主頁(yè)面，無(wú)需登陸。 2. 用戶指定參數(shù)，查看結(jié)果。3.2.2 數(shù)據(jù)流圖 數(shù)據(jù)流圖是組織中信息運(yùn)動(dòng)的抽象。是在調(diào)研的基礎(chǔ)上，從系統(tǒng)的科學(xué)性、管理的合理性、實(shí)際運(yùn)動(dòng)的可行性角度出發(fā)。將信息處理功能和彼此之間的聯(lián)系自頂向下，逐層分解，從邏輯上精確地

51、描述系統(tǒng)應(yīng)具有的數(shù)據(jù)加工功能、數(shù)據(jù)輸入、數(shù)據(jù)輸出、數(shù)據(jù)存儲(chǔ)及數(shù)據(jù)來(lái)源和去向(外部實(shí)體)等項(xiàng)目。數(shù)據(jù)流程圖如圖3-1所示：用戶登錄系統(tǒng)設(shè)置參數(shù)查看結(jié)果數(shù)據(jù)庫(kù)圖3-1 用戶數(shù)據(jù)圖3.2.3 系統(tǒng)開發(fā)需求本系統(tǒng)開發(fā)的軟件環(huán)境為：操作平臺(tái)為windows xp professional，數(shù)據(jù)庫(kù)為microsoft access 2000 開發(fā)工為microsoft visual c+ 6.0。4 系統(tǒng)總體設(shè)計(jì)數(shù)據(jù)挖掘技術(shù)的一般框架模型：1. 數(shù)據(jù)采集收集電子證據(jù)的過程，即收集計(jì)算機(jī)犯罪現(xiàn)場(chǎng)的數(shù)據(jù)信息包括系統(tǒng)日志、審計(jì)數(shù)據(jù)、網(wǎng)絡(luò)日志、網(wǎng)絡(luò)流量、分區(qū)信息等（本系統(tǒng)以模擬日志數(shù)據(jù)為數(shù)據(jù)源）。2. 數(shù)據(jù)的集成

52、與預(yù)處理將收集到的各種不同類型和不同結(jié)構(gòu)的數(shù)據(jù)進(jìn)行集成和預(yù)處理，以便為下一步的數(shù)據(jù)挖掘準(zhǔn)備數(shù)據(jù)源。這其中主要包括以下三個(gè)步驟：數(shù)據(jù)集成、數(shù)據(jù)清理、數(shù)據(jù)歸約。完成這一步后的數(shù)據(jù)將可用于接下來(lái)的數(shù)據(jù)挖掘工作。3. 數(shù)據(jù)挖掘采取合適的數(shù)據(jù)挖掘算法對(duì)預(yù)備好的數(shù)據(jù)源進(jìn)行挖掘工作，從中提取有關(guān)的特征和規(guī)則，找去反映計(jì)算機(jī)犯罪行為和事實(shí)的信息和根據(jù)。4. 犯罪特征的提取對(duì)數(shù)據(jù)挖掘到的結(jié)果進(jìn)行分析，進(jìn)一步提取真正反映計(jì)算機(jī)犯罪的行為特征模式，建立電子證據(jù)法庭出示樣本。5. 知識(shí)庫(kù)的建立對(duì)提取的計(jì)算機(jī)犯罪特征進(jìn)行描述和分類儲(chǔ)存，建立計(jì)算機(jī)犯罪組信息知識(shí)庫(kù)。應(yīng)為計(jì)算機(jī)取證工作的嚴(yán)謹(jǐn)性和法律的公正性，整個(gè)過程必須要

53、有一個(gè)反饋評(píng)估的機(jī)制，使得整個(gè)分析過程能處在一種可監(jiān)督的、可復(fù)原的狀態(tài)下進(jìn)行，必要時(shí)需要專家的評(píng)估和反饋，做到電子證據(jù)的可靠性。4.1 數(shù)據(jù)源獲取4.1.1 計(jì)算機(jī)日志簡(jiǎn)介為了維護(hù)自身系統(tǒng)資源的運(yùn)行狀況，計(jì)算機(jī)系統(tǒng)一般都會(huì)有相應(yīng)的日志文件記錄系統(tǒng)有關(guān)日常事件或者誤操作警報(bào)的日期、事件、原因等信息，這些日志信息對(duì)計(jì)算機(jī)犯罪調(diào)查是非常有用的。所謂日志(log)是指系統(tǒng)所指定對(duì)象的某些操作和其操作結(jié)果按時(shí)間排序的集合。一般來(lái)說(shuō)，日志記錄包括信息頭和日志數(shù)據(jù)段，其中包含了一個(gè)時(shí)間戳、一個(gè)消息或者子系統(tǒng)所特有的其他信息。日志中的記錄可提供以下用途：監(jiān)控系統(tǒng)資源、審計(jì)用戶行為、對(duì)可疑行為進(jìn)行告警、確定入侵

54、行為的范圍、為恢復(fù)系統(tǒng)提供幫助、生成調(diào)查報(bào)告、為打擊計(jì)算機(jī)犯罪提供證據(jù)來(lái)源。4.1.2 計(jì)算機(jī)日志的收集計(jì)算機(jī)取證的數(shù)據(jù)源只要包括兩個(gè)部分：系統(tǒng)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)。來(lái)自系統(tǒng)方面的包括：系統(tǒng)日志、系統(tǒng)的審計(jì)記錄、操作系統(tǒng)和數(shù)據(jù)庫(kù)的臨時(shí)文件或隱藏文件，數(shù)據(jù)庫(kù)的操作記錄，影、硬盤驅(qū)動(dòng)的交換（swap）分區(qū)、扇區(qū)間縫隙(slack)和空閑區(qū)、軟件設(shè)置、完成特定功能的腳本文件、web瀏覽器數(shù)據(jù)緩沖、書簽、歷史記錄或會(huì)話日志、arp緩存、內(nèi)核統(tǒng)計(jì)、內(nèi)存數(shù)據(jù)、物理配置、網(wǎng)絡(luò)拓?fù)鋱D以及由應(yīng)用軟件產(chǎn)生的記錄和日志等。來(lái)自網(wǎng)絡(luò)方面的數(shù)據(jù)包括:網(wǎng)絡(luò)監(jiān)控流量數(shù)據(jù)，以及防火墻日志ids日志，路由器日志，ftp, www 和

55、郵件服務(wù)日志，email原始數(shù)據(jù)，實(shí)時(shí)聊天記錄，和其他網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。在計(jì)算機(jī)取證中，需要結(jié)合日志數(shù)據(jù)和其他的來(lái)源數(shù)據(jù)進(jìn)行綜合分析，比如從緩存數(shù)據(jù)中提取信息，將被刪除的文件從硬盤上恢復(fù)等，相關(guān)信息與技術(shù)在此不做討論。本文以日志數(shù)據(jù)作為主要研究對(duì)象，以下表4-1、表4-2、表4-3、表4-4是主要的日志文件：表4-1 windows日志表日志文件系統(tǒng)默認(rèn)存放位置日志文件功能application.evt%systemroot%system32config記錄用security authority注冊(cè)的應(yīng)用程序產(chǎn)生的信息。security.evt%systenlroot%system

56、32config記錄通過nt/2000可識(shí)別安全提供者和客戶的系統(tǒng)訪問信息。system.evt%systemroot%system32config包含所有系統(tǒng)相關(guān)事件的信息。ftp日志ex*.log%systemroot%usystem32logfilesmsftpsvcl記錄由匿名的，正常用戶或者兩種用戶建立的ftp連接信息。www 日志ex*.log%systentroot%system32logfilesw3svcl記錄客戶訪問www服務(wù)的信息。sup 日志ex*. log%systemroot%system32logfilessmtpsvc 1記錄客戶發(fā)送和接受郵件的信息。表4-2 lunix日志表日志文件默認(rèn)存放位置日志文件功能access-log/var/log/記錄http/web的傳輸信息。utmp/var/run/記錄當(dāng)前登錄的每個(gè)用戶信息。wtmp/var/log/記錄一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間信息。xferlog/va