基于BP神经网络模型的电子证据链构造

摘　要：当前，将计算机取证技术和司法鉴定相结合来打击计算机犯罪一直是研究的热点。由于计算机数据的多样性、易失性、易伪造性和司法鉴定过程中要求证据的充足性、完整性、真实性、逻辑性、有效性，因此，如何构造一个能够从海量计算机数据中提取完整的、真实的、符合司法鉴定要求的电子证据链也就成为了该领域研究的重心。

关键词：计算机取证；电子证据链；监督链；推理链；

      在计算机取证领域中，很多业内人士把电子证据链的构造过程当成计算机上的“犯罪现场重现”。在实际的取证过程中，取证人员用专业的取证工具在被侵犯系统上收集电子证据，再对这些数据进行分析和重现整个犯罪过程，被认为是电子证据链的构造过程。然而在理论上，电子证据链并没有被给予一个明确的定义。因此，该文的电子证据链构造机制研究主要以计算机犯罪现场重构和司法鉴定为基础，利用BP神经网络模型来实现。

　　电子证据链是联接计算机取证和司法鉴定的纽带，它的重要性是毋庸置疑的。

　　

1.相关研究

　　在计算机取证理论研究方面，主要集中在取证程序模型的研究。典型的模型有：Farmer和Venema提出的基本过程模型（Basic Process Model），Chris Prosise和Kevin Mandia提出事件响应过程模型（Incident Response Process Model），美国司法公证处US．Department of Justice，DOJ提出法律执行过程模型（Law Enforcement Process Model），美国空军学院US．Air Force Institute提出了一个抽象过程模型（Abstract Process Model）等。

     在实际的计算机取证的过程中，其中最重要的一项就是犯罪现场重构；它能否被构造成功，直接影响着司法部门打击计算机犯罪的力度。犯罪现场重现主要是指计算机取证人员对采集的电子数据进行研究分析，将整个犯罪过程重新恢复出来。结合BP神经网络特征，本文将其应用到计算机犯罪现场重构过程中，即电子证据链构造。

2.电子证据链模型

　　BP网络是有监督的误差学习性前馈性多层神经网络，其分为输入层、隐含层和输出层。各层之间是全互连接，各层内的神经元之间没有连接。

　　在BP网络模型中，各层神经元之间的连接强度用权值（W）表示，信息流主要有信息正向传播和误差反向传播组成。检测输出层的实际输出和期望输出之间的误差，通过梯度下降方法调整权值，最后使网络的实际输出与期望输出误差降低到最小值。

　　

　　根据BP网络模型的层次结构和信息正向传播方式，将证据链的构造过程分为三层：采集层、分析层和构造层，其数据流图如下：

　　　　　　　　　　

上图中，X1、X2、X3、Xn表示要采集的取证数据信息，如：IDS日志、System日志、Firewall日志等。

    采集层(LC)：主要负责收集安全系统中记录的安全事件信息，经过预处理进行标准化和格式化，最后形成原始的数据集（其包括重复的、错误的、孤立的数据信息）。在该层中的神经元表示采集到的安全事件信息进行预处理的功能模块，分别为C1、C2、C3、Cn。

　　分析层(LA)：主要负责对原始数据集进行融合、聚类和关联分析等多种算法，从海量数据集中，提取无重复、相关联、完整的电子证据集。该层的神经元表示用于数据分析的功能模块，分别表示为：A1、A2、A3、An。

　　构造层(LS)：主要对分析层中产生的关联数据集。在该层中，神经元表示对关联数据集进行处理用到的功能模块，分别为：S1、S2、S3、Sn。

　　Y1、Y2、Y3、Yn表示构造层中运用不同算法，输出的不同主线的证据链，如：以时间线基准的证据链、以攻击源为基准的证据链、

　　神经网络中，两个神经元的连接强度的值即是权值，权值的正负模拟了生物神经元中突触的兴奋与抑制，其大小代表突触的不同连接程度。在证据链的构造过程中，权值表示各层功能模块之间的连接协调强度。权值Wij表示采集层上神经元Ci与分析层上神经元Aj之间的协调强度，而Vij表示分析层上神经元Ai与构造层上神经元Sj的协调强度。如果构造的证据链与司法鉴定需求差距很大，则可以通过误差反馈来调整权值（重新选择各层的算法）来缩减两者之间的差距。反馈机制中的权值调整过程以攻击过程为基准的证据链等，从不同角度反映犯罪过程。如下图：

　　

该模型中，对不同的层次将采用不同的算法来构造其神经元，即功能模块。

采集层将对采集到的数据进行简单的预处理，形成原始数据集。

分析层主要应用到三个功能模块（神经元）融合模块、聚类模块和关联分析模块。

①融合模块：采用特征属性相似性聚合技术，对采集的原始数据集进行冗余处理，删除其中重复的、错误的数据，形成融合数据集。

②聚类模块：基于属性相似度的模糊聚类算法，其中所使用的聚类参数采用改进后的量子粒子群优化技术进行自适应优化，这种聚类算法主要是对冗余处理后的数据集进行合理分类，这种分类可以发现和删除很多真正孤立或错误的数据，减少不必要的关联。

③关联分析模块：基于谓词的因果关联方法，这种方法可以挖掘模糊聚类后大量数据中的内在逻辑关系，提取出更加有价值的数据为构造层提供准确、完整的关联数据集。

构造层采用时间序列分析和攻击因果关联算法，从不同的角度进行分析，产生具有逻辑性、顺序性和唯一性的证据链。

3.结论

　　由于计算机网络系统信息数据的多样性，不稳定性和易伪造性使得构造的电子证据链缺乏完整性，真实性。因此，本文从计算机取证，电子证据链和司法鉴定三者之间的关系出发，简要地阐述了以BP神经网络为模型构造电子证据链的过程；当然，该模型在电子证据链的构造过程中存在着很多不足的地方需要纠正。

参考文献：

Atif Ahmad. The Forensic Chain of Evidence Model.