计算机科学2007Vol134№112 基于日志挖掘的计算机取证系统的分析与设计 国光明1洪晓光2 (济南人民警察职业培训学院济南250031)1(山东大学计算机科学与技术学院济南250061)2 摘要本文主要讨论基于日志的计算机取证分析系统的分析与设计,给出了基于计算机日志的取证分析系统的总 体结构和计算机日志分析取证系统日志处理、挖掘与分析子系统结构,并着重讨论了日志数据的预处理、挖掘与分析 模块的主要功能与设计思想,并对挖掘模式进行了评估和分析。 关键词日志,计算机取证,日志挖掘 TheAnalysisandDesignforComputerForensicSystemBasedonLogsMining GUOGuang2Ming1HONGXiao2Guang2 (SchoolofPoliceOccupationTrainingofJinan,Jinan250031)1 (SchoolofComputerScienceandTechnology,ShandongUniversity,Jinan250061)2 AbstractThispapermainlydiscussestheanalysisanddesignoflog2basedcomputerforensicssystem.Thegeneral structureofthissystemispresentedandemphasisislaidonadiscussionaboutthemainfunctionanddesignphilosophy ofmodulesonlogdatapreprocessing,dataminingandanalysis. KeywordsLog,Computerforensic,Logmining 或移动PC)的管理控制台和日志取证数据库以及取证服务器 1原型系统的总体结构 组成。取证前端包括收集目标系统信息、收集日志文件记录 本系统采用了数据挖掘技术,对计算机犯罪现场采集的和备份、上传日志文件等三个部分。后端的管理控制台主要 系统日志进行挖掘分析,用以指导计算机犯罪的取证和侦破由日志取证数据库管理、日志取证前端管理、日志记录数据 工作。计算机取证分析系统主要由取证前端(被入侵者攻击库、日志文件保护与备份、日志挖掘与分析报告等五个部分组 的系统,称为目标系统)、后端(取证设备,可以是笔记本电脑成。原型系统总体结构如图1所示。 图1基于日志的计算机取证系统总体结构图 本文重点讨论的计算机日志分析取证系统日志处理、挖源的日志记录数据预处理,包括数据的清洗、归约、变换、集成 掘与分析子系统结构如图2所示。等功能。 其中涉及的功能模块包括:·数据挖掘模块:根据不同的需要,提供各种挖掘算法, ·日志挖掘分析控制台:一个人机对话的窗口,提供可视对日志数据源进行关联挖掘分析、孤立点检测等,以得到有用 化的界面。的信息。 ·数据库管理模块:提供数据库的维护功能,可以进行数·评估分析模块:由于计算机犯罪和计算机取证技术的 据表的创建添加、表属性的修改、删除等工作。特殊要求,根据司法人员和专家意见来评估反馈每个步骤可 ·数据预处理模块:可以根据取证分析的需要,对不同来能得到的结果,包括数据预处理过程的完善、挖掘算法实施的 国光明工程硕士,讲师;洪晓光教授。 ·299· 改进、提取模式的合理性和可行性分析等。据源。 ·数据清理的任务是要去除源数据即审计日志信息数据 中的噪声数据和无关数据,处理遗漏数据和清洗脏数据,去除 空白数据和在知识背景上的白噪声,考虑审计日志信息的时 间变化和它们的数据变化,主要是对重复数据和缺值数据进 行处理,去除重复数据记录,填补缺省数据。 ·系统审计日志中有些数据属性对提取安全规则没有影 响,这些属性的加入会大大影响数据挖掘效率,甚至可能导致 数据挖掘结果的偏差,产生误导作用,因此,有效地对数据进 行简化是很有必要的。数据归约简化是在对发现任务和数据 本身内容理解的前提下最大限度地精简数据集。这个步骤 图2基于日志的取证系统挖掘分析子系统结构图, 主要通过两种途径:属性的选择和数据的抽样,分别对系统审 本文讨论的重点即在日志的处理、挖掘和分析部分,着重计日志信息中的属性和记录进行简化。属性选择包括根据需 在于探讨如何对日志进行处理、挖掘分析。要提取的安全主题对数据的属性进行剪枝、并值等相关操作。 剪枝就是去除对提取安全规则没有贡献,或者贡献率很低的 2数据预处理模块的设计 属性值。并值就是把相近的属性进行综合归并处理。 数据源准备部分是整个取证分析的基础,它为后续的分·在审计日志信息中,有些属性域需要做一定的变换处 析模块提供真实可靠的、适宜的挖掘数据源。在计算机取证理,使得挖掘的结果能够合乎我们的习惯逻辑