事件关联在证据链构造中的研究

发布时间：2019-11-12 11:49

【摘要】：在电子取证工作中,往往忽略对电子证据信息的预处理,从而导致电子证据冗余较大,计算分析较复杂。为解决计算机取证中存在电子证据形式化表示的困难以及数据缺失的问题,在对事件关联技术进行研究和深入分析的基础上,利用贝叶斯网络理论,提出一种基于事件关联的证据链构造方法。该方法考虑事件之间的相互影响以及序列关系,分析缺失数据的因果关系,拟合完整证据链,实现了形式化表示电子证据,并降低了证据分析的数据冗余,从而有针对性地进行数据处理和证据分析,完善了取证体制。通过实验结果分析得出,该方法实现了证据的形式化表示,减少了证据分析的数据量。
【图文】：

均匀分布,原子事件,贝叶斯网络

布P(λ)，该分布表示学习前关于参数λ的先验信息。假设P(λ)是一个均匀分布。参数λ的信息随着在实例数据集合M上的学习而发生变化。一般参数的估计值采用最大后验分布。采用式(7)计算参数的估计值为:λijk=αjk+Nijk∑rk=1(αk+Nijk)(7)其中，αk代表先验知识(专家证据集［9］)，特殊情况下，假设变量取各个值的概率都相等，即αi=1，一般采用等价抽样规模法进行估计。原子事件的贝叶斯网络拟合:令G={N，E，P}为原子事件贝叶斯网络，如图1所示。图1原子事件贝叶斯网络结构其中，N=Z∪S∪O，(N，E)表示网络结构，其作用是描述变量之间的因果关系，，用条件概率表示变量·109·第12期刘栋等:事件关联在证据链构造中的研究

事件,证据,错误率,事件关联

杂度，可以采用联合树推理算法［14］进行求解。对缺失证据事件的修补，为取证提供完整证据链，以满足电子证据的分析需求。而缺失的原子事件又是离散的，因此，可以构造一种用于多个离散变量的贝叶斯网络。4测试结果与分析以一次关联实验为例，测试该方法构造证据链关联事件的性能。测试环境为实验室内局域网(25台主机，1台服务器)，操作系统为WindowsXP。数据采集了2500个事件，测试中时间阈值(即在某一时间段内进行关联分析)分别为20min，40min，60min。实验中关联度临界值α设为0．7。测试结果如图2所示。图2证据链关联结果从测试结果中得出，时间阈值较小时，由于获取的前后知识不充分，错误率较大，随着阈值的增大，错误率明显下降。当数据缺失较严重时，错误率增加不明显，说明该方法对于缺失数据的拟合补充效果较为明显。但是当时间阈值较小，如20min时，错误率却较高，说明此时对于因果关系的分析还不充分，仍需要进一步的自学习。经过证据链中的事件关联分析后，减少了无用知识与冗余事件，证据分析的数据量减少了许多，见表1，使得取证分析更有针对性。表1事件数量比较事件个数关联后事件个数精简比关联前事件种类关联后事件种类25008932．8:137215结束语文中引入关联度的概念描述证据事件间的相互影响程度，提出一种基于事件关联的证据链构造方法，综合不同的证据事件源进行相关性分析，去除冗余事件，最终构成证据链，有效地实现了电子证据的形式化表示，减少了证据分析的数据量。运用贝叶斯网络推理算法分析缺失数据与现有数据之间的因果关系，即使在部分事件失序和数据缺失情况下，算法也可推理犯罪入侵的发生过程，拟合证据链，保证了数据的完整性。?

【相似文献】