【摘要】：在電子取證工作中,往往忽略對(duì)電子證據(jù)信息的預(yù)處理,從而導(dǎo)致電子證據(jù)冗余較大,計(jì)算分析較復(fù)雜。為解決計(jì)算機(jī)取證中存在電子證據(jù)形式化表示的困難以及數(shù)據(jù)缺失的問題,在對(duì)事件關(guān)聯(lián)技術(shù)進(jìn)行研究和深入分析的基礎(chǔ)上,利用貝葉斯網(wǎng)絡(luò)理論,提出一種基于事件關(guān)聯(lián)的證據(jù)鏈構(gòu)造方法。該方法考慮事件之間的相互影響以及序列關(guān)系,分析缺失數(shù)據(jù)的因果關(guān)系,擬合完整證據(jù)鏈,實(shí)現(xiàn)了形式化表示電子證據(jù),并降低了證據(jù)分析的數(shù)據(jù)冗余,從而有針對(duì)性地進(jìn)行數(shù)據(jù)處理和證據(jù)分析,完善了取證體制。通過實(shí)驗(yàn)結(jié)果分析得出,該方法實(shí)現(xiàn)了證據(jù)的形式化表示,減少了證據(jù)分析的數(shù)據(jù)量。
【圖文】：

布P(λ)，該分布表示學(xué)習(xí)前關(guān)于參數(shù)λ的先驗(yàn)信息。假設(shè)P(λ)是一個(gè)均勻分布。參數(shù)λ的信息隨著在實(shí)例數(shù)據(jù)集合M上的學(xué)習(xí)而發(fā)生變化。一般參數(shù)的估計(jì)值采用最大后驗(yàn)分布。采用式(7)計(jì)算參數(shù)的估計(jì)值為:λijk=αjk+Nijk∑rk=1(αk+Nijk)(7)其中，αk代表先驗(yàn)知識(shí)(專家證據(jù)集［9］)，特殊情況下，假設(shè)變量取各個(gè)值的概率都相等，即αi=1，一般采用等價(jià)抽樣規(guī)模法進(jìn)行估計(jì)。原子事件的貝葉斯網(wǎng)絡(luò)擬合:令G={N，E，P}為原子事件貝葉斯網(wǎng)絡(luò)，如圖1所示。圖1原子事件貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)其中，N=Z∪S∪O，(N，E)表示網(wǎng)絡(luò)結(jié)構(gòu)，其作用是描述變量之間的因果關(guān)系，，用條件概率表示變量·109·第12期劉棟等:事件關(guān)聯(lián)在證據(jù)鏈構(gòu)造中的研究

雜度，可以采用聯(lián)合樹推理算法［14］進(jìn)行求解。對(duì)缺失證據(jù)事件的修補(bǔ)，為取證提供完整證據(jù)鏈，以滿足電子證據(jù)的分析需求。而缺失的原子事件又是離散的，因此，可以構(gòu)造一種用于多個(gè)離散變量的貝葉斯網(wǎng)絡(luò)。4測(cè)試結(jié)果與分析以一次關(guān)聯(lián)實(shí)驗(yàn)為例，測(cè)試該方法構(gòu)造證據(jù)鏈關(guān)聯(lián)事件的性能。測(cè)試環(huán)境為實(shí)驗(yàn)室內(nèi)局域網(wǎng)(25臺(tái)主機(jī)，1臺(tái)服務(wù)器)，操作系統(tǒng)為WindowsXP。數(shù)據(jù)采集了2500個(gè)事件，測(cè)試中時(shí)間閾值(即在某一時(shí)間段內(nèi)進(jìn)行關(guān)聯(lián)分析)分別為20min，40min，60min。實(shí)驗(yàn)中關(guān)聯(lián)度臨界值α設(shè)為0．7。測(cè)試結(jié)果如圖2所示。圖2證據(jù)鏈關(guān)聯(lián)結(jié)果從測(cè)試結(jié)果中得出，時(shí)間閾值較小時(shí)，由于獲取的前后知識(shí)不充分，錯(cuò)誤率較大，隨著閾值的增大，錯(cuò)誤率明顯下降。當(dāng)數(shù)據(jù)缺失較嚴(yán)重時(shí)，錯(cuò)誤率增加不明顯，說明該方法對(duì)于缺失數(shù)據(jù)的擬合補(bǔ)充效果較為明顯。但是當(dāng)時(shí)間閾值較小，如20min時(shí)，錯(cuò)誤率卻較高，說明此時(shí)對(duì)于因果關(guān)系的分析還不充分，仍需要進(jìn)一步的自學(xué)習(xí)。經(jīng)過證據(jù)鏈中的事件關(guān)聯(lián)分析后，減少了無用知識(shí)與冗余事件，證據(jù)分析的數(shù)據(jù)量減少了許多，見表1，使得取證分析更有針對(duì)性。表1事件數(shù)量比較事件個(gè)數(shù)關(guān)聯(lián)后事件個(gè)數(shù)精簡(jiǎn)比關(guān)聯(lián)前事件種類關(guān)聯(lián)后事件種類25008932．8:137215結(jié)束語文中引入關(guān)聯(lián)度的概念描述證據(jù)事件間的相互影響程度，提出一種基于事件關(guān)聯(lián)的證據(jù)鏈構(gòu)造方法，綜合不同的證據(jù)事件源進(jìn)行相關(guān)性分析，去除冗余事件，最終構(gòu)成證據(jù)鏈，有效地實(shí)現(xiàn)了電子證據(jù)的形式化表示，減少了證據(jù)分析的數(shù)據(jù)量。運(yùn)用貝葉斯網(wǎng)絡(luò)推理算法分析缺失數(shù)據(jù)與現(xiàn)有數(shù)據(jù)之間的因果關(guān)系，即使在部分事件失序和數(shù)據(jù)缺失情況下，算法也可推理犯罪入侵的發(fā)生過程，擬合證據(jù)鏈，保證了數(shù)據(jù)的完整性。?

【相似文獻(xiàn)】

相關(guān)期刊論文 前7條

1 陳東;辦案方法談(三) 怎樣加固證據(jù)鏈:嚴(yán)密部署把握關(guān)鍵[J];中國監(jiān)察;2003年18期

2 馮愛冰;謝萍;;證據(jù)鏈:認(rèn)證案件事實(shí)的另一視角[J];法律適用;2011年07期

3 徐官兵;尋找缺失的證據(jù)鏈[J];人民檢察;2004年07期

4 趙學(xué)剛;薛瀾;;基于證據(jù)鏈原理的交通事故現(xiàn)場(chǎng)勘查方法研究[J];山西警官高等�？茖W(xué)校學(xué)報(bào);2009年02期

5 陳東;辦案方法談(二) 怎樣形成證據(jù)鏈:深化認(rèn)識(shí) 程序合法[J];中國監(jiān)察;2003年17期

6 金海燕;;“小三”反腐誰該臉紅[J];w

本文編號(hào)：2559756