基于日志挖掘计算机取证系统分析和设计.pdfVIP

计算机科学 2007Vol34 № 12 　 基于日志挖掘的计算机取证系统的分析与设计 1 2 国光明 　洪晓光 ( ) 1 ( ) 2 济南人民警察职业培训学院　济南 25003 1 　 山东大学计算机科学与技术学院　济南 25006 1 　 摘 　要 　本文主要讨论基于日志的计算机取证分析系统的分析与设计 ,给出了基于计算机 日志的取证分析系统的总 体结构和计算机 日志分析取证系统日志处理 、挖掘与分析子系统结构 ,并着重讨论了日志数据的预处理 、挖掘与分析 模块的主要功能与设计思想 ,并对挖掘模式进行了评估和分析 。 关键词 　日志 ,计算机取证 , 日志挖掘 　 The Analysis and Design f or Computer Forensic System Based on Logs Mining GU O GuangMing1 　HON G XiaoGuang2 ( School of Police Occup ation Training of J inan , J inan 25003 1) 1 ( School of Comp ut er Science and Technology ,Shandong U niver sit y , J inan 25006 1) 2 　 Abstract 　Thi s p ap er mainly di scu sses t he analy si s and design of lo gba sed comp ut er foren sics syst em . The general st ruc t ure of t hi s syst em i s p resent ed and emp ha si s i s laid on a di scu ssion about t he main function and design p hilo sop hy of mo dules on log dat a p rep rocessing , dat a mining and analy si s. Keywords 　Lo g , Comp ut er foren sic , Log mining 　 或移动 PC) 的管理控制台和 日志取证数据库以及取证服务器 1 　原型系统的总体结构 组成 。取证前端包括收集 目标系统信息、收集 日志文件记录 本系统采用了数据挖掘技术 ,对计算机犯罪现场采集的 和备份 、上传 日志文件等三个部分 。后端的管理控制台主要 系统日志进行挖掘分析 ,用以指导计算机犯罪的取证和侦破 由日志取证数据库管理 、日志取证前端管理 、日志记录数据 ( 工作 。计算机取证分析系统主要由取证前端 被入侵者攻击 库 、日志文件保护与备份 、日志挖掘与分析报告等五个部分组 ) ( 的系统 ,称为 目标系统 、后端 取证设备 ,可以是笔记本电脑 成 。原型系统总体结构如图 1 所示 。