【摘要】：在電子取證工作中,往往忽略對電子證據(jù)信息的預處理,從而導致電子證據(jù)冗余較大,計算分析較復雜。為解決計算機取證中存在電子證據(jù)形式化表示的困難以及數(shù)據(jù)缺失的問題,在對事件關(guān)聯(lián)技術(shù)進行研究和深入分析的基礎(chǔ)上,利用貝葉斯網(wǎng)絡理論,提出一種基于事件關(guān)聯(lián)的證據(jù)鏈構(gòu)造方法。該方法考慮事件之間的相互影響以及序列關(guān)系,分析缺失數(shù)據(jù)的因果關(guān)系,擬合完整證據(jù)鏈,實現(xiàn)了形式化表示電子證據(jù),并降低了證據(jù)分析的數(shù)據(jù)冗余,從而有針對性地進行數(shù)據(jù)處理和證據(jù)分析,完善了取證體制。通過實驗結(jié)果分析得出,該方法實現(xiàn)了證據(jù)的形式化表示,減少了證據(jù)分析的數(shù)據(jù)量。
【圖文】：

布P(λ)，該分布表示學習前關(guān)于參數(shù)λ的先驗信息。假設P(λ)是一個均勻分布。參數(shù)λ的信息隨著在實例數(shù)據(jù)集合M上的學習而發(fā)生變化。一般參數(shù)的估計值采用最大后驗分布。采用式(7)計算參數(shù)的估計值為:λijk=αjk+Nijk∑rk=1(αk+Nijk)(7)其中，αk代表先驗知識(專家證據(jù)集［9］)，特殊情況下，假設變量取各個值的概率都相等，即αi=1，一般采用等價抽樣規(guī)模法進行估計。原子事件的貝葉斯網(wǎng)絡擬合:令G={N，E，P}為原子事件貝葉斯網(wǎng)絡，如圖1所示。圖1原子事件貝葉斯網(wǎng)絡結(jié)構(gòu)其中，N=Z∪S∪O，(N，E)表示網(wǎng)絡結(jié)構(gòu)，其作用是描述變量之間的因果關(guān)系，，用條件概率表示變量·109·第12期劉棟等:事件關(guān)聯(lián)在證據(jù)鏈構(gòu)造中的研究

雜度，可以采用聯(lián)合樹推理算法［14］進行求解。對缺失證據(jù)事件的修補，為取證提供完整證據(jù)鏈，以滿足電子證據(jù)的分析需求。而缺失的原子事件又是離散的，因此，可以構(gòu)造一種用于多個離散變量的貝葉斯網(wǎng)絡。4測試結(jié)果與分析以一次關(guān)聯(lián)實驗為例，測試該方法構(gòu)造證據(jù)鏈關(guān)聯(lián)事件的性能。測試環(huán)境為實驗室內(nèi)局域網(wǎng)(25臺主機，1臺服務器)，操作系統(tǒng)為WindowsXP。數(shù)據(jù)采集了2500個事件，測試中時間閾值(即在某一時間段內(nèi)進行關(guān)聯(lián)分析)分別為20min，40min，60min。實驗中關(guān)聯(lián)度臨界值α設為0．7。測試結(jié)果如圖2所示。圖2證據(jù)鏈關(guān)聯(lián)結(jié)果從測試結(jié)果中得出，時間閾值較小時，由于獲取的前后知識不充分，錯誤率較大，隨著閾值的增大，錯誤率明顯下降。當數(shù)據(jù)缺失較嚴重時，錯誤率增加不明顯，說明該方法對于缺失數(shù)據(jù)的擬合補充效果較為明顯。但是當時間閾值較小，如20min時，錯誤率卻較高，說明此時對于因果關(guān)系的分析還不充分，仍需要進一步的自學習。經(jīng)過證據(jù)鏈中的事件關(guān)聯(lián)分析后，減少了無用知識與冗余事件，證據(jù)分析的數(shù)據(jù)量減少了許多，見表1，使得取證分析更有針對性。表1事件數(shù)量比較事件個數(shù)關(guān)聯(lián)后事件個數(shù)精簡比關(guān)聯(lián)前事件種類關(guān)聯(lián)后事件種類25008932．8:137215結(jié)束語文中引入關(guān)聯(lián)度的概念描述證據(jù)事件間的相互影響程度，提出一種基于事件關(guān)聯(lián)的證據(jù)鏈構(gòu)造方法，綜合不同的證據(jù)事件源進行相關(guān)性分析，去除冗余事件，最終構(gòu)成證據(jù)鏈，有效地實現(xiàn)了電子證據(jù)的形式化表示，減少了證據(jù)分析的數(shù)據(jù)量。運用貝葉斯網(wǎng)絡推理算法分析缺失數(shù)據(jù)與現(xiàn)有數(shù)據(jù)之間的因果關(guān)系，即使在部分事件失序和數(shù)據(jù)缺失情況下，算法也可推理犯罪入侵的發(fā)生過程，擬合證據(jù)鏈，保證了數(shù)據(jù)的完整性。?

【相似文獻】

相關(guān)期刊論文 前7條

1 陳東;辦案方法談(三) 怎樣加固證據(jù)鏈:嚴密部署把握關(guān)鍵[J];中國監(jiān)察;2003年18期

2 馮愛冰;謝萍;;證據(jù)鏈:認證案件事實的另一視角[J];法律適用;2011年07期

3 徐官兵;尋找缺失的證據(jù)鏈[J];人民檢察;2004年07期

4 趙學剛;薛瀾;;基于證據(jù)鏈原理的交通事故現(xiàn)場勘查方法研究[J];山西警官高等�？茖W校學報;2009年02期

5 陳東;辦案方法談(二) 怎樣形成證據(jù)鏈:深化認識 程序合法[J];中國監(jiān)察;2003年17期

6 金海燕;;“小三”反腐誰該臉紅[J];w

本文編號：2559756