一种改进的计算机取证领域的分流过程模型

大数据时代计算机取证技术的新发展刘三满;刘荷花【摘要】The article points out that the big data has become the operating basis resource of the whole society which are changing the people's production, life and the way of thinking. It analyzes six main methods and techniques of computer forensics in big data's time: data collision, data mining, data, network analysis, hot spot analysis. This paper points out that there will be more and more network and information security incidents and crimes involving information network in the future. Computer forensics will face many new technologies and problems, which will promote the constant development and application for computer forensics in theory, technology, tools and standards.%文章指出大数据已经成为整个社会运行的基础资源, 正改变着人们的生产、生活甚至思维方式;分析了大数据时代计算机取证的6种主要方法和技术;提出未来网络与信息安全事件及涉信息网络违法犯罪行为会越来越多, 计算机取证将面临许多新技术和新问题, 这将促进计算机取证在理论、技术、工具和标准规范上不断发展和应用.【期刊名称】《山西电子技术》【年(卷),期】2019(000)002【总页数】4页(P69-72)【关键词】大数据;计算机取证;数据碰撞;数据挖掘【作者】刘三满;刘荷花【作者单位】山西警察学院,山西太原 030401;太原学院,山西太原 030032【正文语种】中文【中图分类】TP392技术改变世界。

一：填空题1：计算机取证模型包括：基本过程模型；事件响应模型；执法过程模型；过程抽象模型2：在证据收集过程中必须收集的易失证据主要有：系统日期和时间；当前运行的活动目录；当前的网络连接；当前打开的端口；当前打开的套接字上的应用程序；当前登录用户3：目前的计算机翻反取证技术主要有：删除技术；隐藏技术4：在windows工作模式下显示系统的基本信息包括：用户；网络环境；系统进程；系统硬件环境5：隐藏术通常通过两种方法对数据进行保护：使数据不可见，隐藏起所有属性；对数据加密6：在MACtimes中的Mtime指文件的最后修改事件；Atimes指：文件最后访问时间按；Ctimes 指：文件的最后创建时间7：防止密码被破译的措施：强壮的加密算法；动态的会话密钥；良好的密码使用管理制度8：目前主要的数据分析技术包括：文件属性分析技术；文件数字摘要分析技术；日志分析技术；数据分析技术9：安全管理主要包括三个方面：技术安全管理；法律法规安全管理；网络安全管理10：计算机信息系统安全管理的三个原则：多人负责原则；任期有限原则；职责分离原则11：信息系统安全包括：身份认证；访问控制；数据保密；数据完整性；不可否认性12：任何材料要成为证据，均需具备三性：客观相；关联性；合法性13：计算机取证是指对能够为法庭接受的，足够可靠和有说服性的存在于计算机和相关外设中的电子证据的确认；保护；提取和归档的过程14：DES是对称密钥加密算法，DES算法大致可以分为四个部分：初始置换；迭代过程；子密钥生成；逆置换15：目前反取证技术分为：擦出技术；隐藏技术；加密技术16：网络安全管理的隐患有：安全机制；安全工具；安全漏洞和系统后门二．判断1.取证的目的是为了据此找出入侵者（或入侵的机器），并解释入侵的过程。

（ F ）2.网络入侵取证系统中，日志文件是可以很轻易被人修改的，但是这种修改是很容易被发现的。

（ F ）3.硬盘由很多盘片组成，每个盘片被划分为若干个同心圆，称为磁道。

探索ChatGPT模型的领域知识抽取与迁移学习方法ChatGPT 模型是 OpenAI 最近推出的一种语言处理模型，其基于大规模的无监督学习数据进行预训练，并能通过微调实现各种任务上的性能提升。

本文旨在探索ChatGPT 模型的领域知识抽取与迁移学习方法，以期深入了解模型的能力和应用潜力。

首先，我们将介绍 ChatGPT 模型的基本原理和训练方法。

ChatGPT 是一个生成式模型，它通过自回归的方式逐词生成文本。

在训练阶段，该模型使用了大量的对话数据进行预训练，这些对话数据包括来自互联网的多源文本、聊天记录以及人工产生的对话。

ChatGPT 模型的训练过程中使用了自回归的目标函数，即最大化给定前文条件下生成下一个词的概率。

通过这种方式，模型能够学习到对各种话题的理解和生成能力。

ChatGPT 模型在生成文本方面表现出色，但其领域知识抽取的能力还有待提高。

为了克服这一限制，我们可以使用迁移学习技术。

迁移学习可以将模型在一个任务上学习的知识迁移到另一个任务上，以提升后者的性能。

在领域知识抽取任务中，我们可以通过在 ChatGPT 上进行微调，将其应用于特定领域的知识抽取。

首先，为了进行迁移学习，我们需要准备带有领域特定标注的数据集。

这些标注可以是实体名称、关系或属性等。

然后，我们可以使用 ChatGPT 模型的生成能力，在标注的数据集上生成模拟对话，并以标注数据为目标训练模型。

通过这种方式，ChatGPT 模型可以学习到从对话中抽取出领域知识的能力。

在微调过程中，我们可以使用不同的注意力机制，如自注意力机制（self-attention）和注意力蒸馏（attention distillation）技术，来提升模型对于生成特定领域知识的准确性和一致性。

此外，我们还可以借助先验知识来引导模型的生成过程。

例如，在微调过程中，我们可以将一些领域特定的约束引入模型中，以确保生成的文本遵循特定的领域知识。

这可以通过引入一些条件或规则来实现，以限制模型输出的范围和内容。

三、简答题在计算机取证的过程中，不论发生了什么紧迫状况，检查者都一定依照的原那么是什么答：①不要改变原始记录②不要在作为凭证的计算机上履行没关的程序③不要给犯法者销毁凭证的机遇④详尽记录全部的取证活动⑤妥当保留获得的人证当Windows系统遇到入侵攻击，而需要对系统进行取证剖析的操作会惹起易失性数据。

主要的易失性数据包含哪些答：①系统日期和时间②目前运转的活动进度③目前的网络连结④目前打开的端口⑤目前打开的套接字上的应用程序⑥目前登录取户系统中初始响应指的是什么现场数据采集的主要步骤包含哪些答：1.初始响应指的是采集受害者机器上的易失性数据，并据此进行取证剖析的过程现场数据采集包含一下3步：①打开一个可信的命令解说程序②数据采集的准备工作③开始采集易失性数据描绘你知道的凭证获得技术包含哪些答：①对计算机系统和文件的安全获得技术；防备对原始介质进行任何损坏和扰乱；③对数据和软件的安全采集技术；④对磁盘或其余储存介质的安全无损害备份技术；⑤对已删除文件的恢复、重修技术；⑥对磁盘空间、未分派空间和自由空间中包含的信息的发掘技术；⑦对互换文件、缓存文件、暂时文件中包含的信息的还原技术；⑧计算机在某一特准时辰活动内存中的数据的采集技术；⑨网络流动数据的获得技术等根本过程模型有哪些步骤答：①保证安全并进行隔绝；②对现场信息进行记录；③全面查找凭证；④对质据进行提取和打包；⑤保护凭证监察链电子凭证与传统凭证的差别有哪些答：①计算机数据无时无刻不在改变；②计算机数据不是肉眼直接可见的，一定借助适合的工具；③采集计算机数据的过程，可能会对原始数据造成很严重的改正，因为打开文件、打印文件等一般都不是原子操作；④电子凭证问题是因为技术展开惹起的，因为计算机和电信技术的展开特别迅猛，因此取证步骤和程序也一定不停调整以适应技术的进步。

Windows系统取证方法的主要流程是什么答：6大流程：①取简单丧失的信息②冻结硬件③申请取证④取证剖析⑤剖析报告⑥文件归档日记剖析有哪些包含什么内容答：①操作系统日记剖析；②防火墙日记剖析；IDS软件日记剖析；④应用软件日记剖析9.Windows2000/XP安全管理的常用方法有哪些〔起码写出6个〕答：①创办2个管理员账户②使用NTFS分区③使用安全密码④设置屏保密码⑤创办一个陷门帐号⑥把administrator 账号更名四、综合题1.Windows系统下取证方法的主要流程是什么我们文件数据一般的隐蔽术有哪些,说说你的见解答：6大流程：①取简单丧失的信息②冻结硬件③申请取证④取证剖析⑤剖析报告⑥文件归档文件数据一般的隐蔽术①操作系统自己自带功能②利用FAT镞大小③利用slack 镞④利用更高级的工具11.12.论述事件响应过程模型履行步骤及其工作内容13.答：①攻击预防阶段:预先进行有关培训，并准备好所需的数字取证设备。

网络出版时间：2012-08-16 10:45网络出版地址：/kcms/detail/11.2127.TP.20120816.1045.019.htmlComputer Engineering and Applications计算机工程与应用基于自适应权重的多重稀疏表示分类算法段刚龙, 魏龙, 李妮DUAN Ganglong, WEI Long, LI Ni西安理工大学信息管理系, 陕西西安 710048Department of Information Management, Xi’an University of Technology, Xi’an 710048, ChinaAdaptive weighted multiple sparse representation classification approach Abstract：An adaptive weighted multiple sparse representation classification method is proposed in this paper. To address the weak discriminative power of the conventional SRC (sparse representation classifier) method which uses a single feature representation, we propose using multiple features to represent each sample and construct multiple feature sub-dictionaries for classification. To reflect the different importance and discriminative power of each feature, we present an adaptive weighted method to linearly combine different feature representations for classification. Experimental results demonstrate the effectiveness of our proposed method and better classification accuracy can be obtained than the conventional SRC method.Key words：adaptive weight; multiple sparse representation; SRC摘要：提出了一种基于多特征字典的稀疏表示算法。

云计算取证一．介绍：云计算取证（Cloud Forensics）是云计算和数字取证交叉的一个概念，云计算的特点是整合计算资源,在保持低成本的状态下提供良好的计算服务质量,实现信息的自由分享。

虽然云计算平台可以给广大用户提供高效服务,但是不法分子也可以在此平台上进行违法活动,取证技术是有效发现、证实违法行为的必要手段。

但是传统以文件为基础的取证方式已经不适应云计算的服务模式,云计算环境主要由大量的分布式异构虚拟计算资源构成,这些复杂的结构给计算机取证工作的开展带来巨大的挑战。

为了适应这些取证环境的变化,实现在云计算环境下进行取证工作成为一个重要的课题。

二．云计算：计算资源虚拟化共用技术的一种商业模式云计算所提供的服务：1.软件即服务（SaaS）：用户使用软件，数据存放在云端，eg.Google App2.科学计算云服务：提供超级计算服务器，处理相关数据高性能科学计算平台3.企业级云计算：为中小企业提供服务器服务，eg.Cloudware提供的数据中心服务4.软件和服务开发：为特定软件开发所需环境提供相应的资源和规模，eg.Google的Web Search服务。

云计算现有的主要平台架构：Google公司的MapReduce模型，微软的Dryad模型，Apache公司的Hadoop 模型，VMware公司的VCloud模型云计算主要技术：系统虚拟化技术：主要通过操作系统与硬件设备中增加一个软件虚拟层（VMM），将运行环境与真实硬件环境进行隔离。

三．计算机取证传统计算机取证层次：证据发现层、证据固定层、证据提取层、证据分析层、证据表达层云计算平台下的计算机取证过程：1．原始数据调查：在云计算环境中，主要针对云计算平台的虚拟机镜像，保证其不被修改。

2．现场数据记录：合理地对原始数据进行备份和记录。

3．监督层审核：收集现场数据记录生成的日志文件，使获得的证据具有法律效力。

4．收集迁移虚拟机证据：对虚拟机取证对象进行分析，通过对虚拟机镜像文件进行迁移处理。

1.数据管理（4分）●数据是数字形成存储的信息，也适用于纸面上数据。

●数据被称为“信息的原材料”，而信息则被称为“在上下文语境中的数据”●数据管理的12条原则：1、数据是有独特属性的资产2、数据的价值是可以用经济术语来表示3、管理数据意味着对数据的质量管理4、管理数据需要元数据5、数据管理需要规划6、数据管理需驱动信息技术决策7、数据管理是跨职能的工作8、数据管理需要企业级视角9、数据管理需要多角度思考10、数据管理需要全生命周期的管理，不同类型数据有不同生命周期特征11、数据管理需要纳入与数据相关的风险12、有效的数据管理需要领导层承担责任●数据与其他资产的区别：实物是可移动的，在同一时刻只能放置在一个地方。

数据不是有形的，数据的价值经常随着事件的推移而变化，但它是持久的不会磨损的；数据很容易被复制和传送，但它一旦被丢失或销毁，就不容易重新产生了，在使用时不会被消耗。

●数据价值（基于成本法来核算）：获取、存储数据的成本，数据丢失更换需要的成本，数据丢失对组织的影响。

●数据管理工作聚焦关键数据，将数据ROT（冗余、不重要的，过时的）降至最低。

●数据管理战略的组成应包括：1、令人信服的数据管理愿景2、数据管理的商业案例总结3、指导原则、价值观和管理观点4、数据管理的使命和长期目标5、数据管理成功的建议措施6、符合SMART原则（具体、可衡量、可操作、现实、有时间限制）的短期（12-24个月）数据管理计划目标7、对数据管理角色和组织的描述，以及对其职责和决策权的总结。

8、数据管理程序组件和初始化任务9、具体明确范围的优先工作计划10、一份包含项目和行动任务的实施路线图草案●数据管理战略规划的可交付成果：1、数据管理章程。

包括总体愿景、业务案例、目标、指导原则、成功衡量标准、关键成功因素、可识别的风险、运营模式等。

2、数据管理范围声明3、数据管理实施路线图●战略一致性模型：业务战略、IT战略、组织和流程、信息系统●阿姆斯特丹信息模型与战略一致性模型一样，从战略角度看待业务和IT的一致性●DAMA-DMBOK：DAMA车轮图、六边形图、语境关系图●车轮图：数据架构、数据建模和设计、数据存储和操作、数据安全、数据集成和互操作、文件和内容管理、参考数据和主数据、数据仓库和商务智能、元数据、数据质量●六边形图：目标和原则-->角色和职责、活动、工具、组织和文化、方法、交付成果。

基于涉密网的计算机取证模型分析摘要：在Agent动态远程控制的基础上针对涉密网设计一种计算机取证模型，利用Agent分布式的数据采集方式，引入syslog协议实现相关日志的高效传输，把计算机取证和入侵检测技术结合起来，通过动态形式得到入侵证据，提高证据的可信度以及有效性。

关键词：涉密网计算机取证随着计算机技术的发展和网络的不断普及，涉密网由于具备独有的性质，因此需要与互联网进行连接。

计算机取证即通过数字化证据的识别、搜集、保护和分析检查以及法庭出示的过程，此类取证信息都存储在计算机系统之中，也可能是网络设备中的潜在证据。

一般是对日志、存储介质的分析检查，和那些传统的证据一样，电子证据具有可信度、准确性以及完整性。

但是根据相关调查结果可知，就目前世界范围内在取证工具大多选用静态工具，而很少使用动态实时取证工具。

电子取证理论上需要借助入侵检测等网络安全技术，因此这些技术如果存在的局限性则也会对取证系统造成一定的负面影响，此类负面影响一般表现为取证保密程度不强、安全可靠性不高等。

借助其他技术的电子取证在获取证据时较为被动；取证系统的应用主要采取的是保护式取证，很少是监控式的网络取证。

1 模型设计和分析1.1 模型原理以及系统构成这篇文章提出的在Agent动态远程控制的基础上针对涉密网设计一种计算机取证模型，其原理就是通过证据收集以及分析两大部分筛选出可以利用的信息，达到一定的目的。

Agent控制中心具备多中功能，除了能够进行取证控制以及身份认证以外，还可以通过远程触发、隐蔽通信等技术来实现对取证内容的控制，从而保证取证端以及被取证端身份的认定、被取证端的取证程序触发和隐蔽通信等程序的正常运作。

数据库的服务器中含有证据库、证据仓库、知识库以及规则库等，其中证据库中存放经过数据发掘和融合以后能够作为司法证据的信息；证据仓库中存放Agent收集的SYSLOG相关日志；知识库中存放与入侵知识有关的专家知识；而规则库中则存放着SNORT检测规则。