（计算机应用技术专业论文）数据挖掘在计算机取证分析中的应用研究及系统设计.pdf

浙江t 业火学硕士研究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统设计 数据挖掘在计算机取证分析中的应用研究及系统设计 摘要 计算机和互联网技术的快速发展和推广，给人们的生活带来了极大的便利， 但是随之而来的负面影响也是人们所始料不及的，以计算机系统为对象或工具、 通过网络进行的新型犯罪活动计算机犯罪日益猖獗。计算机犯罪不仅侵犯了 个人和企业的隐私和权益，也严重危害着社会的稳定和发展，因此防范和打击计 算机犯罪已成为各国司法部门亟待解决的一大难题。在此背景下，作为计算机领 域和法学领域的交叉学科计算机取证的研究受到高度重视。 计算机取证包括对计算机犯罪现场数据的确认、保护、提取、分析，和法庭 上的出示，其中对数据的分析是还原和重建计算机犯罪过程、获得犯罪事实根据 的重要步骤。计算机取证收集的电子证据往往是海量的，而且来源复杂，格式不 一，因此如何对这些量大繁杂的数据进行有效的分析，提取有助于案件侦破工作 的证据，是计算机取证领域面临的关键问题之一。 论文分析阐述了利用数据挖掘方法对海量的电子证据进行分析取证的应用思 路，详细介绍了关联规则挖掘方法、频繁序列模式挖掘方法、孤立点探测方法的 具体应用，并针对基本挖掘算法在计算机取证分析实际应用中可能存在的不足， 提出了相应的算法改进方法，并通过实验分析，证明了改进算法在计算机取证应 用中的有效性。最后，以计算机日志为分析数据源，提出了基于数据挖掘方法的 计算机取证分析系统的原型系统设计和实现方案。 关键字：计算机取证，电子证据，日志，数据挖掘，关联分析，孤立点探测 浙江丁二业大学硕士研究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统设计 a p p l i c a t i o n r e s e a r c ho n c o m p u t e r f o r e n s i c su s i n gd a t a m i n i n g a n d s y s t e md e s i g n a b s t r a c t t o d a y ，t e c h n o l o g i e so fc o m p u t e ra n di n t e m e t a r er e v o l u t i o n i z i n go u r l i f e ，m a k i n g q u i c k e r a d v a n c e m e n ta n dm o r ec o n v e n i e n c e p o s s i b l e h o w e v e r ，t h e y a l s o b r i n g u n e x p e c t e dn e g a t i v ei m p a c t ，s a y ，i n c r e a s i n g l yr a m p a n tc o m p u t e rc r i m e ，w h i c hi sa i m e d a tc o m p u t e ro ra i d e d b yc o m p u t e r v i a i n t e m e t c o m p u t e r c r i m en o t o n l y i n f f a c t sp r i v a c y a n dr i g h t so fi n d i v i d u a la n de n t e r p r i s e ，a l s og r e a t l yu n d e r m i n e ss o c i a ld e v e l o p m e n ta n d s t a b i l i t y i th a sb e c o m e s a nu r g e n tp r o b l e mf o rl a we n f o r c e m e n t a g e n c i e st h r o u g h o u tt h e w o r l d i nt h i sc o n t e x t ，c o m p u t e rf o r e n s i c s ，a sac r o s ss u b j e c to fc o m p u t e ra n dl a w ，i s e m e r g i n g t h e s t e p s o f c o m p u t e r f o r e n s i ci n c l u d e v a l i d a t i n g d a t af r o mc r i m e s c e n e ， p r e s e r v i n g a sm u c ho fd a t ai ni t s o r i g i n a lf o r m ，t h e na n a l y z i n gd i 百t a l e v i d e n c ea n d b r i n g i n gf o r t ht h er e s u l t so fa n a l y s i si nc o u l t r o o m a n a l y z i n gd i g i t a le v i d e n c ei st h e m o s t i m p o r t a n ts t e pt or e b u i l dp r o c e s sa n do b t a i nt r a i l so fc o m p u t e rc r i m e u s u a l l y , t h e a m o u n to fo r i g i n a le v i d e n c ed a t a ，w h i c hi sc o l l e c t e df r o ms om a n ys o u r c e sa n di n d i f f e r e n tf i l ef o r m a t s ，i sm a s s i v e s o ，ak e y p r o b l e m i nt h ef i e l do f c o m p u t e rf o r e n s i c s ， w h i c hn e e d st ob es o l v e d ，i sh o wt oa n a l y z et h ee v i d e n c ei ne f f e c t i v em e t h o d sa n d o b t a i nt h eu s e f u li n f o r m a t i o nt oa i dt h e i n v e s t i g a t i o n t h i sp a p e rd i s c u s st h ep r o c e d u r ea n ds t e p so fa n a l y z i n gm a s s i v ed i g i t a le v i d e n c e u s i n gd a t am i n i n gt e c h n i q u e s ，a n di n t r o d u c es o m em e t h o d so fd a t am i n i n g ，s u c ha s r e l a t i v er u l em i n i n g ，p a t t e r no ff r e q u e n ts e q u e n c em i n i n ga n do u t l i e rd e t e c t i o n b u t t h e s em e t h o d sc a n n o tb e u s e dt o a n a l y z ed i g i t a l e v i d e n c e d i r e c t l y s o ，r e l a t i v e i m p r o v e m e n t so f b a s i ca l g o r i t h m sa n dm e t h o d so fp a t t e ma n a l y s i sa r ep u tf o r w a r di n t h i s p a p e r , a n de x p e r i m e n ti sp e r f o r m e dt op r o v et h ef e a s i b i l i t y a c c o r d i n g t ot h e s e d i s c u s s i o n s ，as c h e m et od e s i g na n di m p l e m e n tp r o t o t y p eo fc o m p u t e rl o gf o r e n s i c s y s t e m b a s e do nd a t a m i n i n gt e c h n i q u e s i sp u tf o r w a r d k e yw o r d s ：c o m p u t e rf o r e n s i c s ，d i g i t a le v i d e n c e ，l o g ，d a t am i n i n g ，c o r r e l a t i o na n a l y s i s ， o u t l i e rd e t e c t i o n 1 1 浙江工业大学硕士研究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统设计 1 1 背景资料 第一章绪论 起源于6 0 年代末的互联网，经过3 0 多年的发展，用户已达4 9 亿，而且还在 迅猛地增长。据专家预测，到2 0 0 5 年，世界各地的互联网用户将猛增到近1 0 亿 人。我国从1 9 9 5 年开始发展互联网业务，截至2 0 0 4 年1 月1 5 日，据中国互联网 络信息中，g , ( c n n i c ) 的调查报告，我国上网计算机总数约3 0 8 9 万台，上网用户数 已达到7 9 5 0 万人【1 1 。 随着人们对接入网络的计算机系统的利用和依赖越来越多，网络和计算机系统 的安全维护变得越来越重要，也越来越多的受到来自世界各地的攻击。据法新社 1 9 9 8 年8 月1 日报道：美、英、加、中、法、日六国在网络安全方面受到威胁最 大，中国列第四。美国每年因信息与网络安全问题所造成的经济损失高达7 5 亿美 元，企业电脑安全受到侵犯的比例为5 0 ，美国国防部全球计算机网络平均每天 遭受两次袭击。美时代周刊报道：美国防部安全专家对其连接在互联网上的 1 2 0 0 0 台计算机系统进行了一次安全测试，结果8 8 入侵成功，9 6 的尝试破坏行 为未被发现。1 9 9 8 年我国公安部破获黑客案件近百起，其中以经济为目的的计算 机犯罪约占7 0 。据青岛早报报道：在公安部指定的全国信息网络安全报警 处置试点城市青岛，仅2 0 0 3 年，就查获和破获各类网络案件百余起，挽回经济损 失上千万元。 计算机犯罪能使一个企业倒闭，个人隐私泄漏，或是使一个国家经济的瘫痪， 这些绝非危言耸听。人们在互联网上获得的资源和利益越多的同时，需要为各种 计算机犯罪所付出的精力和代价也越来越多。计算机犯罪也给国家安全和社会稳 定造成了巨大的威胁，严重地危害了我国的政治安全、经济安全和社会安定【2 j 。 1 。2 计算机犯罪 如同任何科学技术一样，计算机技术也是一柄两刃剑，它的广泛应用和迅猛 发展，一方面使社会生产力获得极大解放，另一方面又给人类社会带来前所未有 的挑战，其中尤以计算机犯罪为甚。 所谓计算机犯罪，是指使用计算机技术来进行的各种犯罪行为，它既包括针 对计算机的犯罪，即把电子数据处理设备作为作案对象的犯罪，如非法侵入和破 坏计算机信息系统等，也包括利用计算机的犯罪，即以电子数据处理设备作为作 案工具的犯罪，如利用计算机进行非法入侵、盗窃、欺诈、贪污等。前者系因计 浙江工业火学硕上研究生毕业论文数据挖掘在计算机取证分析中的应用研究及系统设计 算机而产生的新的犯罪类型，可称为纯粹意义的计算机犯罪。又称狭义的计算机 犯罪；后者系用计算机来实施的传统的犯罪类型，可称为与计算机相关的犯罪， 又称广义的计算机犯罪口】。 从1 9 6 6 年美国查处的第一起计算机犯罪案件算起，世界范围内发生的计算机 犯罪事件以惊人的速度在增长。有资料表明 4 1 ，目前计算机犯罪的年增长率高达 3 0 ，其中发达国家和些高技术地区的增长率远远超过这个比率，如法国的比率 达到2 0 0 ，美国的硅谷地区达4 0 0 。与传统的犯罪相比，计算机犯罪所造成的 损失要严重得多，据美国的资料统计：平均每起计算机犯罪造成的损失高达4 5 万 美元，而传统的银行欺诈与侵占案平均损失只有l ，9 万美元，银行抢劫案的平均损 失不过4 9 0 0 美元，一般抢劫案的平均损失仅3 7 0 美元【5 1 。故此，对计算机犯罪及 其防治需予以高度重视，“无庸置疑，计算机犯罪是今天一个值得注意的重大问题。 将来，这个问题还会更大、更加值得注意。”1 6 j 我国首次出现计算枧犯罪案件是在1 9 8 6 年。进入2 l 世纪，随着我国计算机应 用和普及程度的提高，计算机犯罪呈迅猛增长态势，例如，光是2 0 0 1 年，全国的 计算机犯罪发案数就达4 5 0 0 余例，比上年增长7 0 。据不完全统计，目前，我国 已发现的计算机犯罪案件每年至少逾数千起，作案领域涉及银行、证券、保险、 内外贸易、工业企业以及国防、科研等各个部门。有专家预测，“在今后5 至1 0 年左右，我国的计算机犯罪将会大量发生，成为社会危害性最大、也是最危险的 一种犯罪。”【4 1 f 7 】【8 】【9 】 1 2 1 计算机犯罪的种类 计算机犯罪是随着信息时代的到来而产生的一个刑法范畴，由于社会制度、 刑事立法和法律文化背景的差异，形成带有国家或地区特色的计算机犯罪概念， 因而产生了不同的划分根据和标准，各国对计算机犯罪的分类结果也不尽相同。 我国学者对计算机犯罪的分类，受到一定的国外影响，最具代表性的是将计 算机犯罪分为以下六类【l 叫： 1 ) 破坏计算机犯罪。是指利用各种手段，通过对计算机系统内部的数据进行 破坏，从而导致计算机系统被破坏的行为。 2 ) 非法侵入计算机系统犯罪。是指行为人以破解计算机安全系统为手段，非 法进入自己无权进入的计算机系统的行为。 3 ) 窃用计算机犯罪。是指无权使用计算机系统者擅自使用，或者计算机系统 的合法用户在规定的时间以外以及超越服务权限使用计算机系统的行为。 4 1 计算机财产犯罪。是指行为人通过对计算机系统所处理的数据信息进行篡 改或破坏的方式来影响计算机系统的工作，从而实现非法取得和占有财产 的行为。 浙江r 业人学硕i ： | o f 究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统设计 5 ) 盗窃计算机数据犯罪。是指秘密窃取计算机系统内部数据的犯罪。 6 ) 滥用计算机犯罪。是指在计算机系统中输入或传播非法和虚假信息数据， 造成严重后果的行为。 1 2 2 计算机犯罪的特点 尽管目前世界各国对计算机犯罪的定义、分类和量刑有着不同的看法，但计 算机犯罪的表现却大致相同。与传统犯罪类型相比，计算机犯罪具有以下几个显 著不同的特征【1 1 1 【1 2 】： 1 、犯罪人员的智能性 大多数计算机犯罪人员都具有相当高的专业技术和熟练的操作技能，作案前 通过周密的预谋和精心的策划，通过i n t e m e t 直接或间接地向计算机输入非法指令， 篡改、伪造他人的银行账户、存折和信息用卡等，实施贪污、盗窃、诈骗、破坏 等行为甚至还非法侵入国家军政机关或企事业单位的网络系统，窃取政治、经 济和军事机密等。据美国官方人士称，1 9 9 5 年曾有多达2 5 万人次企图闯入五角大 楼计算机系统，其中的6 5 获得成功。这些“电脑黑客”大多都是计算机高手， 不仅成功率极高，而且不易被发现。 2 、犯罪手法的隐蔽性 信息本身是看不见、摸不着的东西，大多数计算机犯罪是通过程序和数据等 无形的操作来实现，作案的直接对象通常也是那些无形的电子数据和信息。正是 由于计算机犯罪作案不受时间、地点的限制，犯罪行为实施后对机器硬件之类的 信息载体可以不造成任何损坏，甚至不留下任何痕迹，所以犯罪行为不易被发现、 识别和侦破，犯罪成功率极高。同时，由于计算机犯罪的证据主要存在于软件之 中，这也使得犯罪分子很容易转移或毁灭罪证，尤其是利用远程计算机通信网络 实施的犯罪，罪犯往往难以追寻，即使查出某些蛛丝马迹，犯罪分子也早已逃之 天天，从而增加了破案难度。据统计，在号称“网络王国”的美国，计算机犯罪 的破案率还不到l o ，其中定罪的不到3 。 3 、犯罪手段的多样性 网络的迅速发展，尤其是信息技术的普及与推广，也为各种计算机犯罪分子 提供了多样化的高技术作案手段，诸如偷窃机密、调拨资金、金融投机、剽窃软 件、偷漏税款、盗码并机、发布虚假信息、私自解密入侵网络资源等计算机犯罪 活动花样繁多、层出不穷。例如个人计算机利用电话线就可以接入全球性计算机 网络中的大型主机等等，而且这些犯罪活动操作起来极为方便，美国纽约多尔顿 中学的一名1 3 岁的中学生通过电话线进入了北美的计算机通信网络，成功地打进 了2 0 多家企业的计算机系统，并将异常数据塞入计算机正常运行的程序之中，使 这些企业蒙受了巨大的损失。 浙江工业大学硕士研究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统设计 4 、犯罪后果的严重性 与传统手段的犯罪相比，计算机犯罪所产生的影响和后果要严重得多，尤其 在信息技术日益发达的今天，犯罪分子有时只需在键盘上轻轻敲几下，就有可能 窃取巨额的款项。如1 9 9 6 年英格兰警方就破获了一起企图利用电子信息技术从英 国银行盗走1 亿英磅的盗窃集团。此外，计算机犯罪对知识产权、个人隐私和国 家安全也带来了巨大的威胁，尤其是涉及国家机密或战略决策的计算机系统，一 旦遭到侵犯或破坏，就可能给国家主权与安全带来灾难性的后果，如美国康奈尔 大学的一名研究生曾通过全美最大的计算机网络系统，把自己设计的病毒程序输 入五角大楼远景规划网络。导致美国军事基地和国家航天航空局的6 0 0 0 多台电脑 全部瘫痪，造成直接经济损失近1 亿美元。 5 、犯罪行为的复杂性 在i n t e m e t 环境下，全球已结成了一个庞大的信息网络，其使用之多、发展之 快、内容之广泛都是空前的。但同时它也存在许多的不足和漏洞，例如在面对计 算机犯罪，与传统的法律体系相比，其定罪和量刑更为复杂。由于信息网络在管 理上是一个无主人的网，容易存在法律空白，这实际上就为一些人利用信息进行 犯罪提供了可乘之机。另外，计算机往往只认口令不认人，因此，要在法律上确 定谁是真正的责任行为人十分困难。因为行为人往往具有多种身份，可能是网络 提供者，可能是业务提供者，也可能是信息提供者，还可能兼而有之，这无疑在 很大程度上加重了破案的难度。 由于计算机犯罪的以上特点，给打击计算机犯罪带来难度，尤其是在计算机取 证这个环节，更是相当困难。 1 3 计算机取证概况 1 3 1 计算机取证的提出 随着与计算机相关的案件的不断出现。一种新的证据形势存在于计算机及 相关外围设备( 包括网络介质) 中的、在计算机或计算机系统运行过程中产生的、以 其记录的内容来证明案件事实的电磁记录物，即计算机证据逐渐成为新的诉讼证 据之一。计算机证据本身及其取证过程具有许多有别于传统证物及其取证过程的 特点，对司法界和计算机安全科学领域提出了新的挑战。因此作为计算机领域和 法学领域的- - l q 交叉学科；计算机取i s 正( c o m p u t e r f o r e n s i c s ) t - f 渐成为人们研究与 关注的焦点。 计算机取证【i 也称计算机法医学，它是指运用计算机辨析技术，对计算机 犯罪行为进行分析，以确认罪犯事实和获取计算机证据，并据此提起诉讼，也就 是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在 浙江工业人学坝i j 研究生毕业论文数据挖掘在计算机取证分析中的应用研究及系统设计 计算机系统运行过程中产生的、以其记录的内容来证明案件事实的电磁记录物。 从技术上讲，计算机取证是一个对受侵害计算机系统进行扫描和分析破解，从而 对入侵事件进行重建的过程， 据美国媒体报道，自1 9 9 2 年以来，向联邦检举法官提交的各种电脑犯罪案件 数量增长了三倍，但实际起诉的案件数量却没有变化。因为取证棘手，很多案件 由于证据缺乏而放弃起诉。在我国，许多涉及到计算机犯罪的卷宗由于无法举证。 或者所举的证据不具备法律效力，加上国家在这方面还没有做出相应的法律解释， 这些案子就无法进行审理。但如果能够采取正确的措施，利用计算机辨析方法来 调查犯罪，找到犯罪分子留下的蛛丝马迹，并且将其作为法律上有效的证据，很 多损失是可以避免和挽回的，并且对犯罪分子也可以起到威慑和警示的作用。 另据美国c s i f b l 2 0 0 2 安全调查，信息盗窃、金融诈骗、内部人士网络滥用、 病毒等电脑犯罪所造成的损失总计4 5 5 5 亿美元，同2 0 0 0 年相比上升了5 8 。计 算机取证对于起诉这类犯罪行为至关重要。因为在攻击事件中，如果没有证据证 明所发生的情况及所造成破坏的细节，在选择通过法律途径起诉攻击者时。就没 有充实的法律追索权。 在各种各样的计算机犯罪手段与网络安全防御技术对垒的形势下，如果仅仅通 过现有的网络安全技术打击计算机犯罪已经不能够适应了，因此需要发挥社会和 法律的力量来对付计算机和网络犯罪，计算机取证的出现和应用是网络安全防御 理论走向成熟的标志。 1 3 。2 计算机取证的定义 关于计算机取证技术的定义多种多样，目前还没有一个权威机构给出一个明 确、完整的标准定义。 作为计算机取证研究领域的一位专家和资深人士，j u d dr o b b i n s 给出这样的定 义 ”1 ：计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法 律效力的证据的确定和获取上。 而专业的计算机紧急事件响应和计算机取证咨询公司n e wt e c h n o l o g i e s 扩展 了j u d dr o b b i n s 的定义【 】：计算机取证包括了对以磁介质编码信息方式存储的计 算机证据的保护、确证、提取和归档。 s a n s 的一篇综述文章给出了如下定义8 ：计算机取证是使用软件和工具，按 照一些预先定义的程序全面地检查计算机系统，以提取和保护计算机犯罪的证据。 因此，计算机取证可以认为是使用计算机软件和工具，对存在于计算机和相 关外设中的电子证据确认、保护、提取和归档，并进行研究和分析，从中寻找和 提取能够为法庭接受的、足够可靠和有说服力的法律证据的过程。 浙江t 业大学硕士研究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统设计 1 3 3 计算机取证的目的 计算机取证的目的是为了根据取证所得的分析结果找出入侵者，并解释入侵 过程，即将入侵者的破坏行为这一事实诉之法庭，通过法律武器保护用户的合法 权益。 1 3 4 计算机证据的特点 计算机取证主要是围绕计算机证据来展开工作的，目的是使储存在计算机及 相关设备中的反映犯罪者犯罪的信息成为有效的诉讼证据提供给法庭。 计算机证据是指在计算机或计算机系统运行过程中产生的、以其内容来证明 案件事实的电磁记录物，又称电子证据。 伴随着计算机犯罪而出现的电子证据是对传统证据规则的一个挑战。与传统 证据一样，电子证据必须是：可信的、准确的、完整的、符合法律法规的，即可 为法庭所接受的。虽然我国民事诉讼法规定的七类证据中并未明确规定电子 证据可以作为有效的诉公证据，但在学术界和司法实践时都将电子证据划归为耐 事诉讼法第五章第4 2 条规定的视听资料类中，把电子证据作为有效证据来处理 有关计算机犯罪的案件。依照有关证据理论，电子证据当属于证据理论中的原始 证据及间接证据范畴【2 5 】【2 6 】 2 7 【2 8 】。 此外，电子证据还具有与传统证据有别的其他特点【3 0 】【32 1 ，例如，无时无 刻不在改变；不是肉眼直接可见的，必须借助适当的工具，具体体现在： l 、容易被改变或删除，并且改变后不容易被发觉 传统证据如书面文件可以长久保存，如有改动或添加，都会留有痕迹，通常 不难察觉，如有疑问可由专家通过成熟的司法鉴定技术加以鉴别。而数字证据与 传统证据不同，它们多以磁性介质为载体。由于磁性介质保存的数据内容可以被 改动，并且不易留下痕迹。因此数字证据的真实性和安全性存在疑问，一旦发生 争议，这种数字证据难以在诉讼或仲裁中被采纳为合法的证据。 2 、多种格式的存储方式 数字证据以计算机为载体，其实质是以一定格式储存在硬盘、软盘或c d r o m 等储存介质上的二进制代码，它的形成和还原都要借助计算机设备。另外，随着 多媒体技术的出现，数字证据综合了文本、图形、图像、动画、音频及视频等多 种媒体信息，这种以多媒体形式存在的电子证据几乎涵盖了所有传统证据类型。 3 、易损毁性 计算机信息最终都是用二进制数字表示的，以数字信号的方式存在，而数字 信号是非连续性的，因此对数字证据进行接收、监听、删节、剪接等操作，从直 观上讲无法查清。或者由于操作人员的误操作或供电系统、通信网络的故障等环 浙江t 业大学顺卜研究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统设计 境和技术方面的原因都会造成数字证据的不完整性。 4 、高科技性 计算机是现代化的计算、通信工具和信息处理工具其证据的产生、储存和 传输，都必须借助于计算机软硬技术、存储技术、网络技术等，离开了高科技含 量的技术设备，电子证据无法保存和传输。如果没有外界的蓄意篡改或差错的影 响，电子证据就能准确地储存并反映有关案件的情况。正是以这种高技术为依托， 使它很少受主观因素的影响，其精确性决定了电子证据具有较强的证明力。而电 子证据的收集和审查判断，往往需要一定的科学技术，甚至是尖端的科学技术， 并且伴随科技的发展进程会不断地更新、变化。 5 、传输过程中通常和其他无关信息共享信道 电子证据实质是储存在计算机上、计算机系统运行所产生的电磁记录物中的 部分，它的传输过程，往往是与其他应用程序系统的信息流传输过程同时进行 的。因此，在必要的时候，需要将电子证据与这些无关信息分离，并且要保证这 个分离过程是无损电子证据本身的。 1 。3 5 计算机证据的获取与分析技术 一、获取技术 计算机证据获取技术的关键是如何保证在获取数据的同时不破坏原始介质， 般不推荐使用原始介质进行取证分析。常用的数据获取技术包括：对计算机系 统和文件的安全获取技术，避免对原始介质进行任何破坏和干扰；对数据和软件 的安全搜集技术：对磁盘或其它存储介质的安全无损伤备份技术；对己删除文件 的恢复、重建技术；对s l a c k 磁盘空间、未分配空间和自由空间中所含信息的发掘 技术：对交换文件、缓存文件、1 临时文件中包含的信息的复原技术；计算机在某 特定时刻活动内存中数据的搜集技术：网络流动数据的获取技术等。 二、分析技术 分析技术是计算机取证的核心和关键。 在计算机犯罪侦查中，侦查人员往往要面对繁杂的计算机数据，如何从中分 析辨别变动数据与正常数据，审查判断出与案件相关的、反映案件客观事实的计 算机证据，也是计算机取证的重要内容。这项工作通常要运用专用的辅助分析软 件【具对数据进行筛选，根据数据确定犯罪实施的过程。包括入侵的时间、使用 的碑地址、修改的文件、增加的文件( 后门、木马、病毒等) 、删除的文件、下载 和上载的文件等。 分析计算机的类型、采用的操作系统，是否为多操作系统或有隐藏的分区； 有无可疑外设；有无远程控制、木马程序及当前计算机系统的网络环境。注意开 机、关机过程，尽可能避免正在运行的进程数据丢失或存在不可逆转的删除程序。 浙江t 业人学硕二l 研究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统殴计 分析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存储空闲空间的数 据分析技术进行数据恢复，获得文件增、删、改、复制前的痕迹。通过将收集的 程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹。 也可通过该计算机的所有者，或电子签名、密码、交易记录、邮件信箱、邮件 发送服务器的日志、上网口等计算机特有的信息识别体来获得必需的痕迹或证据， 结合全案其他证据进行综合审查。 注意这些计算机证据要同其他证据相互印证、相互联系起来综合分析。同时， 要注意计算机证据能否为侦破该案提供其他线索或确定可能的作案时间、犯罪人； 审查计算机系统的数据备份以及有无可恢复的其他数据。 三、当前主要的分析技术 在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要 分析技术。主要有：文件属性分柝技术；文件数字摘要分析技术；日志分析技术； 根据已获得的文件或数据的用词、语法和写作( 编程) 风格，推断可能作者的分析技 术：发掘同一事件的不同证据间联系的分析技术；数据解密技术；密码破译技术： 对电子介质中的被保护信息强行访问技术等。 1 4 计算机取证的研究现状 1 4 1 国外计算机取证研究概况 计算机证据出现在法庭上，在信息技术发达的美国已有三十年左右的历史了。 最初的电子证据是从计算机中获得的正式输出，法庭不认为它与普通的传统物证 有什么不同。但随着计算机技术的发展，以及随着与计算机相关的法庭案例的复 杂性的增加，电子证据与传统证据之间的类似性逐渐减弱，从1 9 7 6 年的“f e d e r a l r u l e so f e v i d e n c e ”起，在美国出现了如下一些法律解决由电子证据带来的问题： 1 ) t h ee c o n o m i ce s p i o n a g ea c to f1 9 9 6 ：处理商业机密窃取问题； 2 、t h ee l e c t r o n i cc o m m u n i c a t i o np r i v a c ya c to fl9 8 6 ：处理电子通讯的监听问 题： 3 1t h e c o m p u t e rs e c u r i t ya c t o f1 9 9 7p u b l i cl a w1 0 0 2 3 5 ：处理政府计算机系统 的安全问题； 在打击计算机犯罪和计算机取证方面也积累了定的经验，出现了许多专门的 计算机取证部门、实验室和咨询服务公司。 1 9 8 4 年，美国f b i 实验室和其他法律执行部门开始建立检查计算机证据的实 验室【” 。些专门从事计算机取证的公司开发了许多实用的取证产品，如： 美国g u i d a n c e 软件公司研制的e n c a s e 产品【2 0 】：基于w i n d o w s 系统下用于 法庭数据收集和分析系统，可将正在运行的系统在不停机的情况下，将系 塑堡! 些= ! ! ! ；堂婴主墨堕望业论文数据挖掘在计算机取证分析中的应用研究及系统设计 统的全部运行环境和数据生成一个镜像文件，再对该文件进行分析。从中 发现犯罪证据。 美国计算机取证公( c o m p u t e r f o r e n s i c sl t d ) 开发的d i b s 产品 2 1 】：这是一 种数据镜像备份系统。使用独特的数据镜像查证和鉴定技术，确保单独复 制的绝对安全性和完整性。 英国v o g o n 公司开发的基于p c 、m a c 和u n i x 系统的数据收集和分析系 统( f l i g h ts e r v e r ) 【2 2 j ：可以将计算机犯罪现场中的计算机硬盘逐个扇区( 包 括坏扇区) 进行复制、拷贝，并生成一个物理镜像文件，然后对该文件进 行分析，辅助办案人员发现犯罪证据。 美国s a n d s t o r m 公司开发的n e t i n t e r c e p t 网络取证系鲥玎】：可以获取和分 析网络数据，具有数据恢复等功能，能产生详细的报告，可支持6 0 多种 网络协议的数据流格式。 在学术界，近几年每年都会有讨论计算机取证为主题的学术会议召开。1 9 9 3 年 和1 9 9 5 年、1 9 9 6 年、1 9 9 7 年分别在美国、澳大利亚和新西兰召开了以计算机证 据为主题的国际会议，并最终成立了有关计算机证据国际组织和电子证据科学工 作组【i 引。另外，还有s a n s 公司主持的系统取证、调查和响应年会和f i r s t 技术 论坛年会等。国际著名的网络安全站点s e c u r i t yf o c u s 也开辟计算机取证专栏的邮 件列表供全球从事计算机取证的研究人员讨论交流。从2 0 0 1 年在法国图鲁兹城和 2 0 0 2 年在美国夏威夷召开的第十三届和第十四届f i r s t 技术论坛上看，在国外， 计算机取证分析正日益成为计算机网络的重点研究课题。可以预见，计算机取证 将是未来几年信息安全领域的研究热点。 1 4 2 国内计算机取证研究概况 在我国，计算机证据出现在法庭上也只是近些年的事，有关计算机取证的研 究与实践尚在起步阶段，只有一些法律法规涉及到了部分计算机证据，如关于 审理科技纠纷案件的若干问题的规定、计算机软件保护条例等。目前，我国 法庭案例中出现的电子证据还比较简单，如电子邮件、程序源代码等，不需要使 用特殊的工具就能够得到。我国计算机取证工作无论是在技术、人们的意识形态 还是在法律执行部门与欧美发达国家相比都存在一定的差距。 首先，在技术上还缺乏自主知识产权的优秀计算机取证工具，许多企业和政 府部门的网络甚至金融系统受到攻击造成重大损失时没法收集证据，使犯罪者逍 遥法外。其次，在人们的意识当中信息安全还仅仅停留在被动防护的概念，只是 尽量将自己的网络和数据保护好，殊不知再好的安全防范措施也会随着技术的发 展或人员的误操作而变得不安全。因此，有必要教育i t 从业人员跟上技术的发展， 将信息安全提高到主动防护的高度，一旦发现入侵事件马上报告，并设法收集证 浙江t 业大学坝ji i j 究生毕业论史 数据挖掘n 计算机取“分折中的她胃研究发系统设计 据将犯罪者起诉至法庭。最后，由于计算机取证的高科技性，需要有专门的法律 执行调查取证机构，同时还要颁布相关的法律法规规范计算机取证，在这方面我 们还有很多工作要做【2 ”。 随着技术的不断发展，计算机犯罪手段的不断提高，严厉打击日益严重的计 算机犯罪已迫在眉睫。目前，在广东、北京和上海等发达省市都已建立专门打击 计算机犯罪的网络警察队伍，在全国各省市级公安机关也有专门的部门处理计算 机犯罪案件。但这些执法机关技术上还比较缺乏有效的工具，仅有的也只是利用 国外一些常见取证工具或利用自身的技术经验，程序上还缺乏一套计算机取证的 流程，提供给法庭的证据很容易遭到质疑。 目前，国家有关部门非常重视对打击计算机犯罪的研究，组织相关科研单位 开展了相关课题的研究。 2 0 0 0 年5 月，公安部制订了打击计算机犯罪技术攻关思路，确立了以办理 计算机计算机犯罪案件为主线，以电子数据证据为核心，以计算机犯罪侦查为主 要内容的技术攻关思路，展开研究。 目前在研的项目有如下几项： 国家8 6 3 项目子课题电子证物保护和分析技术。 公安部重点项目打击计算机犯罪侦查技术研究：包括计算机系统运行 环境勘查取证技术、计算机系统日志勘查取证技术、常用应用软件默认数 据及缓冲数据勘查取证技术、存储介质中残缺数据勘查取证技术、常用软 件加密数据的勘查取证技术、常见破坏性程序的搜索与取证技术、计算机 犯罪证据固定与保全技术和电子数据证据鉴定技术等八个课题。 中科院高能物理研究所计算中心主持的国家网络安全课题网络安全 入侵取证系统。 还有厦门美亚柏科资讯科技有限公司主持开发的计算机犯罪证据勘察箱， 它集成多种工具软件，解决目前计算机犯罪证据的提取、破解、分析、恢 复等难题。 1 4 3 我国关于计算机证据的法律保障 1 9 9 7 年3 月1 4 日八届人大五次会议通过的新刑法，已将计算机犯罪纳入到刑 法立法体系之中。新刑法在妨害社会管理秩序罪中的一章三条五款规定了扰乱计 算机信息系统安全秩序管理的四种罪名，即非法侵入计算机信系统罪；删除、修 改、增加、干扰计算机信息系统功能罪；删除、修改、增加计算机信息系统中数 据和应用程序罪：故意制作、传播计算机病毒等破坏性程序罪。同时在第2 8 5 条 规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域计算机系统 的，处3 年以下有期徒刑或者拘役。”这些行为都是属于计算机犯罪，这些犯罪行 浙江工业大学硕士研究生毕业论文 数据挖掘在计算机取证分析中的应用研究及系统设计 为的显著特点都是以计算机信息系统作为攻击的目标。 另外，新刑法在第2 8 7 条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪 用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定处理；这一条是指以 计算机作为工具或手段进行传统犯罪，其最终行为，犯了何罪即以何罪处罚，或 根据第2 8 5 条规定处罚。” 1 4 4 计算机取证研究存在的不足 由于计算机证据和传统证据之间有很大的不同，造成了计算机取证的特殊性 和复杂性，因而对计算机取证的工具也有比较特殊的要求。 目前在打击计算机犯罪的关键技术研究和应用主要集中在对犯罪现场的计算 机证据进行复制和备份方面，已经出现的取证工具大部分也只是磁盘镜像、文件 和密码恢复、网络流量分析和日志分析等工具，这些工具基本上只适合使用于某 一个系统。 取证研究领域存在的不足包括： 缺乏能够应用于多个操作系统、多个应用软件的业务平台来综合的提炼数 据； 缺乏超大网络数据量的网络侦控综合业务分析平台来处理诸如分布式拒 绝服务攻击( d d o s ) 的网络犯罪案件； 缺乏根据某一线索，如罪犯的i p 地址、用户名等自动搜索与他有关的记录 并进行统计分析的工具； 还缺乏有效的工具和手段根据证据链的逆向过程还原犯罪的原始状态。 1 4 5 数据挖掘在防范和打击计算机犯罪应用中的研究现状 数据挖掘是一种特定应用的数据分析过程，可以从包含大量冗余信息的数据 中提取出尽可能多的隐藏知识，从而为做出正确判断提供基础。因为具有高度自 动化的特点，数据挖掘技术已经被频繁应用于与计算机取证领域相近的入侵检测 领域的研究中，用于对海量的安全审计数据进行智能化处理，目的是抽象出利于 进行判断和比较的特征模型。 在计算机犯罪和取证分析领域，数据挖掘技术也开始越来越多地受到研究人 员的关注，因为数据挖掘具有的特点恰好解决了计算机取证分析所面临的困难。 当前数据挖掘技术在计算机犯罪及取证分析领域的研究主要分为两方面，一 是对犯罪行为的分析、预测和防范，即通过对记录在案的犯罪行为进行挖掘研究， 得到犯罪行为、模式、区域方面的一些特征，并对这些情况进行分析预测，为警 方的犯罪预防工作提供依据，同时也对警方的案件侦破工作提供新的线索；二是 浙江t 业犬学硕士研究生毕业论立 数据挖掘在计算机取证分析中的应用研究及系统设计 在计算机日志取证分析领域的研究，如利用关联规则挖掘对日志进行特征分析、 属性概念分层在取证日志中的应用等，来自澳大利亚的t a m a sa b r a h a m 所领导的 研究小组在这些方面做了比较多的工作【5 7 】 5 8 】。 在我国，数据挖掘在计算机取证分析领域的研究报道还不多见，主要相关的 应用研究方向集中在入侵检测领域。但是随着研究的进一步深入和发展，研究人 员开始将目光投向数据挖掘技术，并且计算机取证中动态取证分析需求的提出， 使得入侵检测和计算机取证研究在互补性和合作关系上越来越密切，数据挖掘在 防范计算机犯罪和取证分析的应用研究上将会成为一个新的焦点。 1 5 本文的研究目标、内容和方法 1 5 1 研究目的 计算机犯罪勘查取证所获得的电子证据主要来自两个方面：系统方面和网络 方面。这些数据可能是相互之间没有关系的，但是也可能是有联系的，总的来说， 这些信息记录着系统中特定事件的相关活动情况，因此从计算机取证角度来看， 必定包含了计算机犯罪活动的一些痕迹。但是这些取证获得的数据信息具有不易 读懂、数据量很大等特点；而且不同数据之间存在的某种不易发觉的必然联系， 需要对其进行综合分析，才能准确反映用户的活动情况。 数据挖掘技术在海量数据中提取特征和规则方面有非常大的优势，所以本课 题尝试通过数据挖掘方法，找出纷繁复杂的勘查取证数据背后的关联信息或者隐 含信息，作为计算机犯罪活动的证据。 面对计算机取证获得的海量数据信息，运用数据挖掘技术，对这些电子证据 信息进行相关性分析和挖掘，从中发现计算机犯罪活动证据或者潜在的计算机攻 击行为，用以支持打击计算机犯罪活动，是本文的研究目标。 1 5 2 主要内容 针对目前计算机取证工作中缺乏数据提炼和统计分析工具这一难点，结合计算 机取证的特殊情况，运用数据挖掘技术，分析提取大量取证数据集中隐藏的、预 先所不知道的有用信息，作为计算机犯罪活动的电子证据。 主要的研究内容分为以下几点： 1 ) 介绍了计算机取证技术发展的现况和数据挖掘的方法和特点： 2 ) 提出了数据挖掘技术在计算机取证分析中的应用思路； 3 ) 以计算机日志为数据源，具体讨论分析了关联挖掘和孤立点分析在计算机 取证中的应用，对基本的算法加以改进，提出适合取证分析的方法； 塑坚三些盔兰塑主型窒皇望些堡塞数据挖掘在计算机取证分析中的应用研究及系统设计 4 ) 提出在计算机取证分析中应用数据挖掘技术的系统设计的思想，并以曰志 文件为数据源进行具体分析设计： 5 ) 对数据挖掘技术在计算机取证分析领域的深入研究和应用，以及将来的发 展趋势提出看法。 1 5 3 研究方法 用户的正常行为和恶意入侵行为，都将反映到审计记录数据中，不论是正常 行为还是异常行为，都会留下一条或多条记录。这些记录都不是孤立的，记录内 部的属性或记录之间都存在某些必然的联系，这些联系对于计算机取证分析来说 有着非常重要的意义。 在针对安全审计数据的处理上，比较适用的数据挖掘方法有关联规则挖掘、 频繁序列模式挖掘和孤立点分析4 6 】【4 7 】【4 8 1 。本文采用关联规则分析方法挖掘审计记 录数据内部的模式，即系统中不同用户行为特征之间的模式。采用频繁序列模式 挖掘审计记录数据之间的模式，即连续事件之间的模式，可以发现程序执行和用 户命令的序列信息。孤立点分析主要希望发现一些偶然的、孤立的事件，这些异 于寻常的事件往往是计算机犯罪取证分析中很有用的信息，是侦破计算机犯罪案 件的一个突破口。不同方法结合进行挖掘，可以得到更多有用信息。 1