數據挖掘在計算機取證中應用與設計

導語：數據挖掘在計算機取證中應用與設計一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：計算機和網絡犯罪犯罪手法新穎，而現代犯罪技術擁有高技術性、即時性、證據的易毀滅性及犯罪地點的去中心化等特點，偵查人員通過傳統的設備和工具很難采集計算機犯罪證據。犯罪證據的獲取不僅需要嚴謹的計算機辨識技術，更需要高效快速的推理分析系統。因此，以知識推理和本體理論作為研究理論技術基礎，采用數據挖掘技術設計實現了一種計算機犯罪證據挖掘系統，以輔助公安機關搜集計算機犯罪證據搜集，有效打擊計算機犯罪。

關鍵詞：計算機犯罪；證據；數據挖掘；知識組織和推理

1計算機犯罪及其證據分類

計算機犯罪從以往的竊取實體的計算機轉變為以網絡為犯罪標的、犯罪場所和犯罪工具的犯罪行為。計算機犯罪可分為三大類型：第一種，計算機網絡作為“犯罪工具”的犯罪行為；第二種，以計算機網絡作為“犯罪客體”的犯罪行為；第三種，以計算機網絡作為“犯罪場所”的犯罪行為。

2數據挖掘技術之數據挖掘的流程

在人工智能領域，數據挖掘又稱為數據庫中的知識發現。隨著人類對計算機的依賴程度越來越高，無論在決策的制定上，或是在資料的處理上，都需要借助數據挖掘來分析資料，找出其中有價值的信息，以供各種決策進行參考。

3知識組織理論

3.1知識組織的概念

知識是人們在改造客觀世界的實踐中積累起來的認識和經驗。認識包括對事物現象、本質、屬性、狀態、關系、聯系和運動等的認識。Feigenbaum認為知識、信息和數據之間存在密切的邏輯關系。數據是事物、概念或指令的一種形式化的表示形式，適合于人工或自然方式進行通信、解釋或處理。信息是根據表示數據所用的約定，賦予數據的意義。信息是數據所表達的客觀事實。數據是信息的載體，與具體的介質和編碼方法有關。知識是經過加工的信息。

3.2知識組織方法

知識組織即把人類知識形式化成為機器能處理的數據結構，是一組對知識的描述和約定。人工智能研究者們在早期階段，重點研究具有因果關系的知識，因此早期的專家系統，都是基于產生式的知識庫系統，例如DENDRAL、MYCIN及PROSPECTOR等分別把化學、醫藥和探礦等領域知識整理成一條條規則，放入知識庫中，然后經過推理尋求答案。以產生式規則作為知識表示技術運用以來，產生了框架、語義網絡等多種表示方法。知識的表示方法有產生式規則、謂詞邏輯、語義網絡及框架等。

3.3本體及其相關技術概述

主要用于描述解釋并預測知識的一些元特性。本體需要繼承或體現特定領域的某些觀點，通常表現為一個概念集(例如，實體、屬性或過程)、概念的定義及概念的間的關系。本體可以定義通用領域的本體知識，如時間、空間等，也可以定義特殊領域的本體知識，如偏好、人群或種類。在計算機研究中，本體論的研究與知識工程領域在本質上有著十分密切的聯系。特別是語義Web的應用，語義Web要實現更多的自動化服務，離不開本體的形式化表示。

3.4計算機犯罪證據的特點及其挖掘和推理

3.4.1計算機證據的特點

網絡犯罪是近年來隨著因特網發展所興起的新興犯罪形式，最主要的特性是計算機系統與通信網絡結合所構成的犯罪。一般而言，網絡犯罪具有下列特征：（1）智能型犯罪；（2）隱匿性；（3）犯罪證據難以采集；（4）犯罪區域廣泛、網絡無國界，衍生管轄權問題；（5）被害者不易察覺，具有高犯罪特征；（6）犯罪成本及障礙低。

3.4.2計算機證據的發現和推理

數據挖掘應用于計算機犯罪證據，就是將犯罪嫌疑人應用過的計算機中的隱藏的文本、音視頻、網絡登錄和瀏覽及病毒和木馬程序信息挖掘出來，作為犯罪證據。數據挖掘的工具是利利用資料來建立一些仿真世界的模型，利用這些模型來描述資料中的形式及關系，且在數據挖掘中可以建立模型。

4計算機犯罪分析與本體構建

4.1計算機犯罪模式

由于網絡犯罪尚屬新興犯罪型態，各種入侵或攻擊手法隨著技術的進步及網絡的散播而日新月異。因此，從計算機犯罪的動機、標的及目標等三方面研究并分析計算機犯罪模式，通過計算機犯罪動機的產生、標的的選擇及目標的決定，再輔以目前發生的計算機犯罪案例分析與傳統犯罪模式方析，結合計算機犯罪者可能出現的入侵或攻擊的手法及方式，由上而下依時序來架構完整的計算機犯罪模式。

4.2計算機犯罪的動機

計算機犯罪屬于犯罪形式的一種，與傳統犯罪的差異是實行犯罪的方法及所造成結果，傳統犯罪與計算機犯罪的動機是相同的。在犯罪動機所作的案例抽樣調查中將犯罪動機可分為圖利、好玩和報復等動機。

4.3計算機犯罪的標的

一般而言，按照計算機在犯罪中所扮演的角色，可將計算機犯罪分為以下三類：第一，以計算機及鏈接在計算機上的計算機系統作為犯罪工具；第二，以計算機空間作為犯罪場所；第三，以計算機及鏈接在計算機上的計算機作為犯罪的攻擊目標。

4.4計算機犯罪的目標

計算機社會是現實社會的對映，同樣計算機犯罪者會針對犯罪目標實施犯罪行為，將計算機犯罪者的目標區分為組織形式與實體形式，詳述如下。組織形式：根據計算機域名注冊類別，并做少部分的修改，將組織形式分為政府、軍事、學術、商業、團體機構(包含計算機事業機構及法人機構)及個人等，而不同的組織形式能提供的計算機犯罪的標的亦不盡相同。實體形式：所謂實體形式系指計算機上的主機種類，一個組織形式會存在一種以上的主機種類。

4.5計算機犯罪手法及方式分類

計算機犯罪雖然手法及方式繁多，但與傳統犯罪一樣必然會留下蛛絲馬跡。由目前已發生的案例及相關研究探討（如腳印拓取方法）將網絡犯罪入侵、攻擊手法或方式整理歸類為病毒、木馬程序、計算機窺探、密碼破解、聯機劫持、網頁入侵、緩沖區溢出、系統安全漏洞、阻斷服務及其他等十種類型。

4.6計算機犯罪證據獲取模式

計算機犯罪入侵、攻擊手法及方式日新月異，而犯罪偵查卻仍以偵辦傳統犯罪形式為主。整合計算機犯罪模式、犯罪偵查程序及計算機犯罪案例，建立計算機犯罪偵查模式架構，拉近計算機犯罪與犯罪證據取證難的鴻溝，建立計算機犯罪偵查的縱向偵查鏈接，以解決目前計算機犯罪與犯罪偵查尚無法整合的窘境。

4.7構建計算機犯罪證據本體

知識的表示方法很多，而框架式知識表示方法與規則式知識表示法，是專家系統中被實際應用的兩種知識表示法?？蚣鼙硎痉ㄊ抢梅诸惙ǖ脑瓌t，將知識進行分門別類而形成的一種層次化的知識表示方法。以框架為表達的基本結構體，在每一框架中，可分別代表一項目標或事物的說明，讓使用者能簡易的敘述某一專業化環境中的相關知識或事物，從而達到建立知識庫的目的。在框架表示法中，需要特別強調目標－屬性－附值三者之間的關系。通常，有關某一應用領域的知識層，可以看成是由主題及對此主題的說明兩部分組成。對主題的描述命名為一槽（SLOT），而由此又可衍生出另一個槽的發展，代表從某一主題引導出另一個次主題的產生。根據本體論方法和計算機犯罪案例，構建涵蓋計算機犯罪動機、犯罪標的、犯罪目標、犯罪方式、犯罪手法及犯罪類型的知識本體數據庫，建立計算機犯罪的“犯罪動機”“犯罪標的”“組織目標”“實體目標”“手法方式”及“犯罪類型”屬性連接和決策樹推理機制，以適應K-means算法進行計算機犯罪證據挖掘和推理。通過上述本體規則描述，采用OWL構建一個計算機犯罪動機、犯罪標的、組織目標、實體目標、手法方式和犯罪類型的描述和交換元數據的框架，用交換元數據節點表示各種事物、概念、屬性及知識實體，用有向邊表示各種語義聯系，指明其所鏈接的節點間的某種關系。例如，因為“時間”和“事件”存在著“動機”的聯系，所以可以用RDF模型來表示“時間”和“事件”存在著“動機”的語義聯系。

4.8計算機犯罪證據挖掘算法

計算機犯罪劃分為犯罪動機、犯罪標的、組織目標、實體目標、手法方式和犯罪類型形式多樣，采用傳統的數據挖掘算法在聚類的過程中孤立點的存在會造成聚類結果的不準確，而初始聚類中心隨機性選擇會加大算法陷入局部最優解的可能和使得迭代次數增多。因此，重點在于孤立點地檢測和初始聚類中心的確定兩個方面加以改進。

5計算機犯罪證據挖掘系統的設計與實現

計算機網絡犯罪模式雖然手法和種類眾多，但仍有蛛絲馬跡可循。在證據偵查方面，亦如同傳統犯罪經驗需要經驗和知識傳承。因此，將網絡犯罪模式進行分類整合，輔以目前實務案例和相關資源，采用現代人工智能技術，開發一種計算機證據挖掘系統，輔助司法與公安機關計算機犯罪取證工作。

6結語

知識組織根據知識本身的特點和知識間內在的聯系來分析知識內容，有利于語義推理，便于用戶更快的獲取、利用知識。本體作為一種知識表示方式，能通過一定的語義聯系與相關的知識組織進行鏈接,實現知識的組織、查詢及用戶挖掘。目前，已經有一些搜索引擎或挖掘系統利用查詢擴展來幫助使用者進行查詢，但對于特定專業領域的效益還是不夠。為解決此類問題，采用protégé、OWL及Jena工具，建立一種基于本體的計算機犯罪證據組織與挖掘系統。

參考文獻

[1]秦霞,丁欣.我國計算機犯罪的原因與防治[J].職工法律天地,2017(4):130-131.

[2]米佳,劉浩陽.計算機取證技術[M].北京:群眾出版社,2007．

作者:王周娟 黃文明 單位:桂林電子科技大學