面向网络犯罪侦查的日志关联取证技术研究.docxVIP

面向网络犯罪侦查的日志关联取证技术 研究 贾王晶 山西警察学院 摘要: 目前计算机网络在人们的工作、生活等方方面面都得到了广泛的应用，但由于网 络的虚拟性、开放性，以及相关立法工作的滞后性，利用计算机网络为工具的犯 罪活动R益增多。计算机取证技术的目的是对计算机系统和计算机网络中发生的 犯罪行为进行取证分析，获取网络犯罪事件的电子证据。日志取证是计算机取证 研究中非常重要的一个研究领域，本文就是在已有日志关联技术的基础上，提 出能够应用在网络犯罪取证屮的新的取证方案。 关键词： 计算机取证技术;犯罪行为;取证分析;电子证据; 基金：学科建设：山西省“1331工程”重点学科建设计划经费资助(英文缩写为 “1331KSC” ) 0引言 计算机取证这门学科，是伴随着计算机技术的发展和网络犯罪这一新的犯罪形 式出现而出现的。而大量计算机网络犯罪的操作痕迹被日志记录下来，构成了发 生在计算机本地系统或者网络中的事件的重要审计凭据，为打击计算机犯罪提 供了非常重要的线索和证据。怎样充分利用系统口志资源在相关范围内挖掘实时 有效的数据作为犯罪证据，重新构建网络犯罪事件的整体流程，追踪肇事者， 是我们在网络犯罪取证方面研究的重点方向。[1] 根据目前的研究成果，基于日志取证的取证分析方法有： 建立日志规则库，即通过收集网络犯罪的相关日志知识来构成日志知识库, 并利用日志知识寻找犯罪事件相关的证据信息； 日志审计方法，即根据海量的正常用户的系统日志来定义正常用户的一般 行为模式，然后对当前用户行为模式与正常历史用户行为的偏差进行分析； 机器学习方法，即利用用户过往日志记录的信息来学习用户的正常行为模 式，通过使用一些学习算法来分析日志的历史事件，并预测用户的未来行为； 数据挖掘方法，即从海量日志数据中提取出与相关案件的数据信息，并从 具体的数据屮抽象出有利于进行判断和比较的特征模型，采用相应的数据挖掘 算法来分析整个证据文件的性质及内容。⑵ 以上这儿种方法都可以有效地对各自类型的日志数据进行取证分析，并得到相 关的分析结果。但这些结果相对来说是比较片面的，因为各种日志信息没有被关 联起来，这样可能会造成某些关键信息的遗漏。在已有的日志关联技术上做出改 进是本文的目的。 1日志关联取证技术在网络犯罪侦查方面的应用 将各种系统中的H志以统一格式综合到一起进行观察就叫做H志关联，而H志 关联分析是指对取证所得日志数据进行自动、连续地分析。根据用户定义的、可 配置的规则来识别网络中的各种证据文件，从而可以确定事件真实性并进行有 效取证。口志关联取证分析与传统的犯罪调查取证分析有很大的不同，一般來说 传统的取证分析要从已得的有限的证据样本中获取尽可能多的信息，而日志关 联取证分析面临的是海量的FI志数据，没有办法人工逐条分析，需要借助关联 规则自动、连续的特点，从中筛选出与计算机犯罪相关的证据材料。日志关联分 析可以用来提高网络取证操作的可靠性、效率以及可视化程度，并为证据数据的 安全管理和统计分析提供技术手段。[3] 1.1日志关联取证技术 日志关联分析需要将各系统中的原始数据采集起来，然后数把它们进行集中统 一管理，最后根据我们指定的相关规则进行分析，得到相应的结果。[4] 案件相关日志数据的采集及存储 我们应按照以下的方法来采集口志数据:根据所找口志文件的内容要求來配置采 集参数，按照设定的频率从各个H志数据源采集原始H志数据，对原始H志数 据进行一定处理，转换为标准格式;建立安全通道并通过安全通道传输数据，记 录数据采集、传输的过程。 日志数据在存储管理吋遇到的主要问题是对于来自不同数据源的日志，它们对 应的系统及应用程序各有不同，记录的数据类型也不一样，因此，需要使用分 类存储的方式。可以将这些采集到的数据根据按照不同的标准(如接收时间、源 IP地址、日志类型等)进行分类存储。除此之外，还要提供专用数据库来记录 关联规则，以及关联前的日志记录和关联后的分析结果。 日志的关联取证分析 面对海量的日志数据，我们不可能通过人工逐条判读日志记录来发现与事件相 关的证据信息。目前的趋势是利用数据库提供的强大的扫描和统计功能来进行取 证分析。关联分析可以帮助取证人员构建网络用户操作的正常行为规律;可以对 口志记录进行聚类，利用算法缩小分析的范围，检测出与犯罪案件相关的口志 记录;此外，关联分析述可以对来自多个数据源的不同类型的H志数据进行聚 合、规范化处理，然后运用各种关联方法从相互独立的数据源中提取相关信息， 用于整体案件的分析与处理。 1.2日志关联技术原理-Apriori算法 口志关联取证的关键在于关联规则的挖掘，关联规则的R的就是在一个数据集 中找出项与项之间的关系，Apriori算法是关联规则领域中的一项具有代表性的 算法。目前大部分的日志关联