基于用户行为关联分析的电子取证系统研究

doi:10.3969/j.issn.1000-0801.2010.12.021

摘要/Abstract

摘要：

针对目前电子取证缺乏全程监督的问题提出了一种基于用户行为关联分析的电子取证系统。该系统根据业务活动主体、行为和客体约束关系建立用户行为知识库，基于电子证据属性相似度，对原始电子证据进行过滤和融合，在WINEPI算法的基础上，实现电子证据的用户行为关联。使用实际数据测试表明，该系统能够对用户网络活动过程进行全程监督，并可以把取证过程的监督数据作为呈堂的证据。

关键词: 电子取证, 关联分析, 用户行为

Abstract:

Aimed at the problem of which the electronic forensics lack of full supervision，the electronic forensics system based on user behaviors correlation analysis was presented.The system according to the main business activities，behavior，and object constraints of application established knowledge of user behavior，based on the similarity properties of electronic evidence， electronic evidence of the original filter and integration，in WINEPI algorithm based on the realization of user behavior associated with electronic evidence.Tested using actual data show that the system can monitor the whole process of network activity and can show the supervised data as evidence in court.

Key words: electronic evidence, user behavior, correlation

苏红,万国根. 基于用户行为关联分析的电子取证系统研究[J]. 电信科学, 2010, 26(12): 72-78.

Hong Su,Guogen Wan. Electronic Forensics System Based on User Behaviors Correlation Analysis[J]. Telecommunications Science, 2010, 26(12): 72-78.

图/表 9

图1

图2

图3

图4

表1

图5

表2

表3

表4

参考文献 13

1	Brian L . Porto：legal reasoning and review. David A Schultz ed.Law and politics： unanswered questions，Harvard University Press， 1996
2	丁丽萍，王永吉 . 多维计算机取证模型研究. 第二十次全国计算机安全学术交流会论文集
3	Knight E . Computer vulnerabilities. ， 2008-04-06
4	Lough D L . A taxonomy of computer attacks with applications to wireless networks. Virginia Polytechnic Institute and State University， 2001
5	Amel M ， Noureddine B . Multi-violation detectors an algebraic tool for alert correlation and intrusion detection.In： ICTTA 06， Damascus：IEEE Computer Society 2006
6	Agrawal R ， Srikant R . Fast algorithms for mining association rules in large databases.In： Proceedings of 20th International Conference on Very Large Databases， Santiago，Chile， 1994
7	Calders T ， Parcedaens J . Axiomatization of frequent itemsets. Theoretical Computer Science， 2003，290（1）： 669～693.
8	杜月，江志斌，刁晓姊等. 基于工作流驱动的手术临床路径建模及系统架构. 上海交通大学学报， 2008，42（5）
9	Jin H ， Sun J H . A fuzzy data mining based intrusion detection model.In： 10th IEEE International Workshop on Future Trends of Distributed Computing Systems（FTDCS04）.IEEE Computer Society， 2004
10	Julisch K . Clustering intrusion detection alarms to support root cause analysis. ACM Transactions on Information and System Security， 2003，6（4）： 443～471.
11	Mika K . A knowledge discovery methodology for telecommunication network alarm databases. Helsinki：University of Helsinki， 1999
12	武斌，杨义先，郑康锋 . 入侵检测中基于序列模式的告警关联分析. 电子科技大学学报， 2009，38（3）
13	Jin M ， Sihem G F ， Sihem B . An efficient correlation method for intrusion detection. 10th IEEE International Workshop on Future Trends of Distributed Computing Systems（FTDCS04）.IEEE Computer Society. Tunisia：IEEE Circuits And Systems Society， 2004

构成要素	含义	说明
ID	约束标识	用于惟一标识一个约束
S	约束主体	即约束谁，例如系统管理员、普通用户等
C	约束类型词	包括正面约束词和负面约束词，如“允
		许”、“需要”、“禁止”等
O	约束客体	表示约束主体作用的对象
T	约束时间	表示约束的生效时间段
A	约束行为	表示约束主体作用于约束客体的具体行为，如“登录”、“发邮件”、“打印”等

业务部门	使用人员	行为种类	原始电子数据（份）	有效电子数据（份）	精简比例
7	150	345	29 876	15 670	52%

序号	时间	用户	用户的IP地址	用户的操作
S1	08：30：15	Wn	10.10.20.201	系统操作
S2	20：10：01	Shiminghe	10.10.20.214	打印服务
S3	16：50：51	Whf	10.10.20.96	浏览网页
S4	08：45：06	Wn	10.10.20.201	收发邮件
S5	21：00：04	Shiminghe	10.10.20.214	浏览网页
S6	10：00：04	Wn	10.10.20.201	系统操作
S7	14：20：18	whf	10.10.20.96	打印服务
S8	08：10：20	Wn	10.10.20.203	系统操作
S9	15：20：10	whf	I 0.10.20.96	收发邮件
S10	09：30：15	Wn	10.10.20.201	打印服务

编号	规则	支持度	置信度
1	Wn，10.10.20.201，系统操作 =＞上午	20%	100%
2	10.10.20.201，系统操作 =＞上午，Wn	20%	100%
3	上午，10.10.20.201，系统操作 =＞Wn	20%	100%
4	Wn，10.10.20.201，打印服务 =＞上午	10%	100%
5	10.10.20.201，打印服务 =＞上午，Wn	10%	100%
6	Wn，打印服务 =＞上午，10.10.20.201	10%	100%
7	上午，10.10.20.201，打印服务 =＞Wn	10%	100%
8	上午，打印服务 =＞Wn，10.10.20.201	10%	100%
9	上午，Wn，打印服务 =＞10.10.20.201	10%	100%
10	Wn，10.10.20.201，收发邮件 =＞上午	10%	100%
…	…	…	…

[1]	廖明,陈明,周冀,向小华,李芳,焦叶芬. 基于大数据融合算法的DNS日志分析系统[J]. 电信科学, 2019, 35(5): 129-139.
[2]	陈步华,陈戈,梁洁. 基于自适应分段广延指数模型的IPTV用户点播行为[J]. 电信科学, 2018, 34(5): 148-154.
[3]	林晓勇,俞洋,糜正琨. 一种基于用户行为预测的群移动性管理模型[J]. 电信科学, 2017, 33(8): 94-99.
[4]	刘旸. 小基站部署方案规划算法[J]. 电信科学, 2017, 33(11): 195-200.
[5]	李雷,张治中,席兵. LTE-Advanced网络Uu接口多协议关联方案的研究与实现[J]. 电信科学, 2016, 32(6): 167-176.
[6]	谷红勋,杨珂. 基于大数据的移动用户行为分析系统与应用案例[J]. 电信科学, 2016, 32(3): 139-146.
[7]	申志伟,崔瑞媛,吕恒. 国际漫游通信产品用户识别模型及实证分析[J]. 电信科学, 2016, 32(1): 138-143.
[8]	苏良良,王睿,雷蕾. 基于用户行为的网格化管理应用的研究——对渠道集中化运营管理的新尝试[J]. 电信科学, 2015, 31(6): 109-115.
[9]	周静,刘国军. 一种电力通信网规划成效评价方法[J]. 电信科学, 2015, 31(3): 2015083-.
[10]	周静,刘国军. 一种电力通信网规划成效评价方法[J]. 电信科学, 2015, 31(3): 148-152.
[11]	张弋斌,罗春涛. 挖掘移动网位置信息支撑精准化市场营销[J]. 电信科学, 2014, 30(Z1): 6-11.
[12]	王建,张治中,骆云龙. 基于DPI的LTE网络用户行为感知系统的设计与实现[J]. 电信科学, 2014, 30(7): 77-83.
[13]	张青,黄平. 电信行业基于数据驱动的精准营销模式研究[J]. 电信科学, 2014, 30(7): 143-148.
[14]	郭健,沈杰. 电信运营商安全审计系统小概率关联分析技术探讨[J]. 电信科学, 2013, 29(4): 137-140.
[15]	刘洁,王哲. 基于大数据的电信运营商业务精确运营平台的构建[J]. 电信科学, 2013, 29(3): 22-26.