计算机动态取证的数据分析技术研究.pdfVIP

维普资讯 第21卷第9期 计算机应用与软件 Vo1．21．No．9 2004年 9月 ComputerApplicationsandSoftware Sep．2004 计算机动态取证的数据分析技术研究 钟秀玉 凌 捷 (嘉应学院计算机系 梅州 514015) (广东工业大学计算机学院 广州 510090) 摘 要 本文针对计算机动态取证的数据分析阶段面临的问题，提出将数据挖掘技术应用于计算机动态取证的海量数据分析 中， 给出了基于数据挖掘的计算机动态取证系统模型，提高动态取证 中数据分析的速度、分析的准确性和分析的智能性，解决动态取证 中的实用性、有效性、可适应性和可扩展性问题。 关键词 动态取证 数据分析 数据挖掘 R CH oN 口 I GY 0FlDALTIA ANAI SIS IN oD]ⅥPUIER D ⅣⅡCFo]刚嘲 CS ZhongXiuyu LingJie2 ( of 灯 ，Jiayi~ [ ，Meizhou514015) 。(hodof 。 v~ ityofTedmo~ 。 ∞ 510090) Abstract qnispaperaimsattheproblem ofdataanalysisincomputerdynamicforensics，itraisestheapplicationofdatam angintotheaI s ofvolumesofdataincomputerdyna,lnicforensics，it vesthemodelofcomputeray~mieforensicsbasedondatamining．Itcanraisethespeed，axac· titudeandinteJligeneeofdataanalysisind) cforensics，theapplicationofdatamiIlingcanhelptoresolvethereal-time，etilcientandadaptable problems． Keywords Dynamicforensics Dataanalysis Datamining 取和归档的过程 “J。按电子证据取证发生时间的不同，将计 0 引 言 算机取证分为事后的静态取证和事前 的动态取证 ，静态取证 的 计算机取证学涉及到对计算机数据的保存、识别 、抽取、记 电子证据的证 明力相对较低 ，事后 的取证使取证工作处于被动 录以及解释，以作为证据或作为动机分析的依据，这种工作通常 状态，取证工作很大程度上受制于计算机犯罪分子留下的现场， 需要在数吉字节的数据中查找特定的关键字、分析 日志文件查 这种方法被动地对付计算机犯罪，防不胜防。即使是入侵检测 系统(DS)也难 以单一地 防范入侵 ，同时 IDS依赖 网络数据片 找某一时刻发生的事件 ，并希望借此证明某人曾经作 了某项非 断，从法律角度来看 ，证据不够完整 ，IDS可 以看作是防盗贼 的 法行为 ，或者相反 ，为某人澄清某项罪名。计算机取证 的过程主 报警系统。计算机动态取证是将取证技术结合到防火墙、入侵 要包括获取证据、鉴定