时间:2023-06-22 09:13:36
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇计算机犯罪研究论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
1998年招商银行开通网上银行服务,随即各大银行也推出各自的网上银行业务。目前“网银”已经成为中国各大银行的一个重要业务渠道。然而,据CNNIC的调查统计,中国网络用户对网上银行表示不太满意和很不满意的占16%,且仅有1/3的客户在网上购物时,选择网上支付货款。不愿意选择网上银行的客户中有76%是出于安全考虑,担心网上银行的安全性。
二、网络银行存在的安全性问题
1.对实体的威胁和攻击。对实体的威胁和攻击主要指对银行等金融机构计算机及其外部设备和网络的威胁和攻击,如各种自然灾害、人为破坏以及各种媒体的被盗和丢失等。
2.对银行信息的威胁和攻击。对银行信息的威胁和攻击主要是指信息泄漏和信息破坏。信息泄漏是指偶然或故意地获得目标系统中的信息,尤其是敏感信息而造成泄漏事件;信息破坏是指由于偶然事故或人为破坏,使信息的正确性、完整性和可用性受到破坏。
3.计算机犯罪。计算机犯罪是指破坏或者盗窃计算机及其部件或者利用计算机进行贪污、盗窃、侵犯个人隐私等行为。有资料指出,目前计算机犯罪的年增长率高达30%。与传统的犯罪相比,计算机犯罪所造成的损失要严重得多。
4.计算机病毒。犯罪分子通过计算机病毒入侵网银用户以非法获取个人隐私等,严重危及网银用户的安全。
三、网络银行的安全技术措施
1.操作系统及数据库。许多银行业务系统使用Unix网络系统,黑客可利用网络监听工具截取重要数据;或者利用用户使用telnet、ftp、rlogin等服务时监听这些用户的明文形式的账户名和口令等等。
2.网络加密技术。网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。信息加密处理通常有两种方式:链路加密和端到端加密。
3.网络安全访问控制。访问控制的主要任务是保证网络资源不被非法使用和非法访问,通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的,是维护网络系统安全保护网络资源的重要手段。
4.身份认证。身份认证统指能够正确志别用户的各种方法,可通过三种基本方式或其组合形式来实现:用户所知道的密码(如口令),用户持有合法的介质(如智能卡),用户具有某些生物学特征(如指纹、声音、DNA图案、视网膜扫描等)。
5.网络入侵检测系统。入侵检测技术是近年出现的新型网络安全技术,是对入侵行为的监控,它通过对网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。
6.防病毒技术。
7.备份和灾难恢复。备份和灾难恢复是对银行网络系统工作中可能出现的各种灾难情况(如计算机病毒、系统故障等)进行的保证系统及数据连续性和可靠性的一种防范措施。
四、正确安全使用网络银行的方法
1.确保计算机系统的安全可靠,及时更新操作系统及浏览器的各种补丁。
2.应妥善保管自己的卡号、密码、身份证件号、开卡日期等资料,不要随手丢弃银行回单,确保自身账户安全。
3.应熟记开户银行的网上银行网址,如交通银行的网上银行是,不要登陆不熟悉的网上银行,输入自己的银行卡号和密码。
4.不要使用连续数字、电话号码、生日等作为密码,设置的银行密码最好与证券等非银行用密码不同,不要在网吧等公共场合使用网上银行。
5.在自己的计算机上安装防火墙及防病毒软件,并定期更新病毒库及检测病毒。
6.定期更新操作系统和互联网浏览器。
7.切勿打开可疑电邮内含的超级链接或附件,切勿浏览可疑网站。
参考文献:
[1]于志刚.计算机犯罪研究[M].北京:中国检察出版社,1999.
[2]周光斌.计算机犯罪与信息安全在国外[C].北京:中国信息化法制建设研讨会论文集,1997.
【关键词】计算机取证:易失性:内存取证;关联性分析:
【中图分类号】TP333 【文献标识码】A 【文章编号】1672-5158(2013)04-0026-01
1.引言
打击犯罪的关键在于获得充分、可靠和强有力的证据,取证涉及到法律和技术两个方面。一般犯罪证据的提取目前已经有很多较为成熟的技术,例如,指纹提取和识别、法医鉴定、DNA鉴定等等。随着计算机技术的发展和网络的普及,利用或以计算机为目标的犯罪事件频繁发生。由于计算机证据具有与一般犯罪证据不同的特点,所以对其获取和可靠性的保证一直是计算机犯罪案件和其他与计算机有关的犯罪案件侦破工作的难点。因此,计算机取证(computer forensics)技术的研究变得越来越迫切。计算机取证作为计算机科学和法学的交叉学科应运而生。
2.计算机取证综述
计算机取证,可以定义为对依靠计算机实施的犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。亦即是将存于计算机及相关设备中的电子数据转化固定为实质的证据,以及鉴定这些电子证据属性的过程。从计算机取证的概念可以看出,电子证据是计算机取证的核心。电子证据,是指以数字形式保存于计算机主存储器或外部存储介质中,能够证明案件真实情况的数据和信息。从广义上讲,电子证据泛指一切用以证明案件事实的电子化信息资料和数据;从狭义上讲,电子证据仅指以数字形式存在于计算机系统中的能够证明案件事实的数据,包括计算机产生、传输、储存、记录以及打印的证据。其表现形式可能为文档、图形、图像、声音等形式。
当前计算机取证研究的一个比较活跃的领域是获取操作系统的易失性数据。易失性数据可以定义为当计算机系统失去电源以后不再存在的数据,而这些易失性信息通常保存在内存或硬盘的临时文件中。RFC3227文档给出了各种类型的信息按照易失性的程度的排序,依次为:
①寄存器,高速缓存
②路由表,ARP高速缓存,进程表,内核统计和内存
③临时文件系统
④硬盘
⑤远程登录和监控数据
⑥物理配置和网络拓扑
⑦归档媒体
其中内存取证研究处于易失性数据取证领域的前沿,是当前的研究热点。内存取证是指获取和分析正在运行的主机的物理内存的内容。
3.windows易失性内存取证技术
当前获取Windows操作系统易失性内存数据的技术主要包括两类:基于软件的和基于硬件的。可以通过操作的基本原理进行区分:软件技术依赖于Windows操作系统获取内存的镜像,而硬件技术则独立于具体的操作系统,直接访问计算机系统的内存。基于硬件的技术主要包括基于DMA(DMA:Direct MemoryAccess)的PCI卡、Firewire设备和虚拟机(如VMWare)等,这些方法虽然具有一定的研究价值,但大都存在固有的缺陷:如受限于实际的应用场景;又比如受内存映射IO(MMIO:Memory Mapped Io)特性的影响,导致获取的内存镜像与实际不符,因此还没有得到广泛应用。
原始Windows内存镜像是纯二进制比特信息,不能直接作为电子证据高级分析技术和工具的数据源,需要根据Windows内存组织和运行方式提取其中有价值的结构化数据(如进程和线程信息),已经有一些商用和研究的工具和技术支持物理内存的取证分析。所有成果中Volatility Framework除了具备大多数内存分析工具的功能以外,还具有以下特性:首先,它可以自动识别标准c语言的底层二进制数据流,并将它们映射到高层的标准c语言的数据结构类型,这样就可以使取证分析工作人员在高级语言层面分析内存中代码结构;其次,VolatilityFramework还可以通过内存镜像的物理地址信息,构建出内存的逻辑地址空间,使分析人员可以使用每个进程自己的虚拟地址空间分析问题,而不用考虑其真实的物理地址究竟映射在内存的什么地方。而且对c语言的指针可以直接访问到其指向的数据,不用过多考虑逻辑地址到物理地址空间映射的问题;另外,VolatilityFramework具有较好的可扩展性,支持通过编写插件等进一步对分析功能进行扩展。
总之,现有的Windows易失性内存取证方法和技术只能分析单个Windows内存镜像文件,并没有利用计算机技术智能分析相同性质案件所共有的典型特征,还不能自动地利用已经积累的案例信息智能地辅助调查取证人员处理同一类的计算机犯罪案件。此外,当前面向证据的设计模式限制了取证工具的横向功能扩展和纵向满足更高层次的应用发展,单一的证据很难在逻辑上形成具有相互关系的证据链,还无法实现智能推理等扩展功能,不能为高级应用提供支持。因此,迫切需要开展面向证据链重构的Windows易失性内存智能取证研究。
4.windows易失性内存取证模型
计算机取证过程必须遵循严格的程序流程,否则将导致获取证据的可信度降低或缺乏合法性,为此人们提出了许多种计算机取证模型,以规范取证过程、指导取证产品研发。然而,现有的取证模型也存在诸如过于注重细节,缺乏通用性;没有很好地把法律和技术结合起来;注重静态的取证分析而没有考虑取证模型随时间的变化等问题,特别是现有的取证模型还没有考虑Windows内存数据的易失性、瞬时性、阶段稳定性、实体信息多维性、实体相互关联性以及阶段内实体状态变化的可预见性等特点。
经过严谨的理论研究和应用测试,本文已经设计出具有较好通用性与可扩展性的实用的Windows易失性内存取证模型,共四层。第一层进行基本信息分析与提取;第二层进行实体信息的识别;第三层进行关联性分析;第四层进行电子证据的归档;对已获取的原始的Windows内存数据从高层次视图进行抽象。利用进程代数和规则制定辅助调查取证人员进行智能推理,并用软件实现了将多个相关的可疑证据组成一个整体,形成具有推理关系的证据链,重构计算机犯罪行为、动机以及嫌疑人特征。
参考文献
[1].许榕生,吴海燕等.计算机取证概述.计算机工程与应用,2001,37(21):7 8,144.
[2].丁丽萍,王永吉.计算机取证的相关法律技术问题研究.软件学报,2005,16(2):260 275.
[3].王峰.基于Windows的易失性内存数据取证分析方法研究吉林大学硕士毕业论文
论文关键词 计算机取证 电子证据 规制
一、引言
随着计算机和网络的广泛应用,人们的工作和生活也越来越依赖这一现代化的工具了。但与此同时,利用计算机和网络的犯罪案例也急剧增加,它扰乱了社会的经济秩序,对国家的安全、社会文化等都构成了威胁。为了更好地打击计算机犯罪,计算机取证这一交叉于计算机和法学的学科应运而生。计算机取证过程中获得的电子证据与传统证据相比,具有易失性、脆弱性等特点,现实办案过程中,所获取的材料往往多用作办案线索而非定案证据,一直以来在证明力上保守质疑。为了能够得到法庭认可的证据,就应该规范取证的过程,规范取证的步骤,依据相关的操作规范进行取证工作。那么如何制定规范?是从技术角度还是从法律角度进行规范?计算机发展日新月异,技术或者法律的规制是否也应与时俱进呢?如何解决这些问题,不妨先看看国外在标准化方面的进程。下面先从计算机取证的含义谈起,着重介绍国际计算机取证标准化方面的工作。
二、计算机取证的含义
计算机取证没有统一、准确的定义。计算机取证资深专家JuddRobbins给出的定义:将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。计算机紧急事件响应组CERT和取证咨询公司NTI扩展了该定义:计算机取证包括了对磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。系统管理审计和网络安全协会SANS归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
这些概念比较侧重于对证据的收集和获取,而没有涉及对证据的分析和法庭出示等问题,因此这几种定义是不完全的。
目前,比较全面且能广泛接受的概念是:计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。
此外,和计算机取证相近的术语还有计算机取证、电子证据的收集等,虽然,业界有很多学者对它们的含义进行了区分和界定,实际上,笔者认为它们的含义大体相同,涉及的取证过程的步骤、原则、标准等理论也基本一致可以互通,所以并没有严格区分的必要。
三、计算机取证的基本步骤
计算机取证的工作流程目前并没有统一的规定,早在1999年,美国人法默和韦尼玛在一次电子取证分析培训班上率先提出了基本过程模型,遵循如下的基本取证流程:第一步,保护现场安全并进行隔离;第二步,对现场进行记录;第三步,系统地查找证据;第四步,对证据进行提取和打包;第五步,建立证据保管链。后来,相继有多种模型被提出,如:事件响应过程模型、执法过程模型、抽象过程模型、综合数字取证模型、增强式数字取证模型、基于需求的计算机取证过程模型、多维计算机取证模型、可信计算取证模型以及网络实时取证模型。总的来看,这些模型是分别立足于不同的取证环境或技术的,所反映出来的取证流程也有所差异。但大致都包含了如下几个部分:
(一)现场保护与勘查现场勘查是获取证据的第一步,是指计算机侦查人员依照规定,使用计算机科学技术手段和调查访问的方法,对与计算机案件有关的场所、物品及犯罪嫌疑人、被告人以及可能隐藏罪证的人的身体进行检查、搜索,并对于和犯罪相关的证据材料扣留封存的一种侦查活动。
(二)证据获取证据的获取是指识别物理设备中可能含有电子证据的电子数据,并对这些电子数据进行收集,或直接利用技术手段收集电子数据的过程。从本质上说,就是从众多的未知和不确定性中找到确定性的东西。所以,这一阶段的任务就是保存所有电子数据,至少要复制硬盘上所有已分配和未分配的数据,也就是通常所说的硬盘映像。除了硬盘数据外,网络数据也是要获取的证据。网络数据包括实时获取的网络通信数据流,网络设备上产生的日志文件,防火墙的日志文件以及与网络应用有关的日志和登陆日志文件等。
(三)证据鉴定计算机证据的鉴定主要是解决证据的完整性验证。计算机取证工作的难点之一是证明取证人员所收集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点,如果获取的电子数据不加以妥善保存,电子数据很容易受到破坏,甚至消失。所以,取证过程中应注重采取保护证据的措施。常用的电子数据的保存技术主要有物证监督链、数字时间戳技术、数字指纹技术、数据加密技术等等。
(四)证据分析分析证据是计算机取证的核心和关键,分析已获取的数据,然后确定证据的类型,包括检查文件和目录内容以及恢复已删除的内容,分析计算机的类型、采用的操作系统,是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境等,并用科学的方法根据已发现的证据推出结论。
(五)证据追踪上面提到的计算机取证步骤是静态的,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的升级,这种静态的分析已经无法满足要求,发展趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合,进行动态取证,即计算机动态取证。
(六)证据提交这个步骤主要包括打印对目标计算机系统的全面分析和追踪结果,以及所有可能有用的文件和被挖掘出来的文件数据的清单,然后给出分析结论,主要涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统版本、运行取证工具时数据和操作系统的完整性、病毒评估情况、发现的文件结构、数据、作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息,标明提取时间、地点、机器、提取人及见证人,给出必要的专家证明或在法庭上的证词。最后以证据的形式按照合法的程序提交给司法机关。
四、计算机取证的规制现状
在遵循取证原则的基础上,计算机取证的各个阶段所需要遵守的法律界限在哪里,如何把所获取的电子证据送上法庭以及如何呈送,这些问题的解决都需要与计算机取证相关的规则和制度的出现。
计算机取证的规制分技术规制和法律规制两个方面,前者从技术角度推动计算机取证的标准化,后者从法律角度促进计算机取证的合法化。它们之间存在着一定的界限。举例来说,在证据提交的这个步骤中,提交什么样格式的文档,文档中包含的内容和数据及其相互关系如何,是否需要统一界定,这属于技术规制的范畴。技术规制同其他自然科学一样,与政策和法律体制无关,因此,不同国家之间可以相互参考。
但法律规制则不然,显然无法照搬别国的法律条文,例如:就电子证据是否单独立法各个国家的作法就不尽相同,英美法系的国家大都有专门的法案,美国在1996年设立了《国家信息安全法案》,英国在1984年出台了《数据保护法》,而大陆法系的国家则不一定设有专门的法案,如:法国作为大陆法系的代表之一,没有专门的证据法典,只是在1992年通过、1994年生效的《刑法典》中专设了“计算机信息领域的犯罪”一章。
计算机取证的法律规制与技术规制区别明显,但这并不说明这两者之间不能转化,技术规制经过实践检验,法律确认后便可成为法律规制。正因为相互之间的可转化性,所以本文无法也没有必要单独从技术规制和法律规制两个角度分裂开来介绍目前的国外研究现状,而是从标准化草案和立法现状两个角度来介绍规制情况。
(一)标准化草案1.美国SWGDE组织提出的标准化草案计算机取证的标准化工作起源于“Digital Evidence:Standardsand Principles(数字证据:标准和原则)”一文的出版,该文由SWGDE(Scientific Working Group DigitalEvidence,数字证据科学小组,它是国际计算机证据组织在美国的分部)起草,并于1999年10月在伦敦举办的国际高技术犯罪和取证会议上公布,次年4月刊登在美国联邦调查局出版的《Forensic Science Communications》。目前,已被美国法律部门采纳为标准化草案。
“数字证据:标准和原则”一文中明确规定,为使数字证据以一种安全的方式进行收集、保存、检查和传输,以确保其准确性和可靠性,法律部门和取证机构必须建立一个有效的质量体系并需编制一份标准化操作规程(Standard Operating Procedures Manual, SOP,2011年6月已出第二版)。考虑到了计算机技术的飞速发展,SOP文件必须每年有权威机构审查一次,以确保其使用范围和有效性。在SOP文档中,规定了取证过程操作的技术规程,方法性的指导了取证的过程。考虑到处理证据过程中关注的角度不同,SOP文档分为实验室单元和现场单元两种类型的文档,现场单元文档中列举了在证据保存、动态内存数据获取、数据镜像、移动设备收集等环节过程中所需要软硬设备、局限性、处理过程的标准化建议,实验室单元文档中列举了在介质擦除、硬件拆除、BIOS检测、介质写保护等环节中所需要的软硬设备、局限性、处理过程的标准化建议。
2.FIRST会上提出的标准化2002年6月在夏威夷召开的第14届FIRST(Forum of Incident Response and Security Teams)年会上,巴西教授提出了一个新的标准化模型。该模型是一个两级分类结构,分为法律标准类和技术标准类:
本届年会主题是“世界转变中的犯罪学和刑事司法:来自亚洲的贡献”,其中包括“犯罪原因和预防:文化,社会,家庭和学校”、“矫正问题”、“腐败和经济犯罪”、“犯罪预防”、“亚洲国家的刑事司法:警察局,检察院,法院和监狱,,、“亚洲的司法鉴定和证据基础上的刑事政策”、“亚洲受害者心理学”、“面对计算机犯罪的新挑战”、“亚洲的恢复性司法”、“安保和监控”、“亚洲犯罪学的未来”、“犯罪和犯罪性理论”、“亚洲跨国有组织犯罪”、“亚洲青少年犯罪问题”、“其他犯罪和犯罪学有关问题”等15个主要议题。来自亚洲各主要国家和地区以及美国、英国、澳大利亚、比利时、意大利、波兰、荷兰等多个国家和地区的300多位代表出席了本届年会。本届年会由亚洲犯罪学学会主办、香港城市大学应用社会科学学院和香港中文大学社会学院共同承办。美国哈佛大学著名教授,美国犯罪学学会前主席罗伯特桑普杰等做了主题发言。
在这届年会上,肖庆平先生和冯引如博士向大会提交了合作撰写的论文《中国犯罪学研究三十年的变化和发展》,通过考察中国大陆主要犯罪学刊物以及法学、社会学刊物近三十年刊载的犯罪学论文的论题、
关键词 、研究方法以及作者群体分布,作者认为,中国大陆犯罪学研究正在经历一个明显的转型时期,传统的“政法犯罪学”正在衰落,犯罪学研究日益分化为三支:一为社会学学科之下的犯罪社会学研究(主要依据社会学调查与统计作为研究的材料基础),一为刑法学学科之下的实证刑法研究的分支(主要依据司法文献尤其是判决书作为研究的材料基础),此外则是从“政法犯罪学”衍生而来的社会治安综合治理视域下的犯罪防控研究。中国大陆犯罪学研究的这三个分支存在着巨大的学术话语的鸿沟,将之称为“鸡同鸭讲”或许并不为过;同时,这一分化的趋势仍将持续下去,并对犯罪学的学科建制带来直接的冲击,中国大陆的犯罪学研究的重新整合将困难重重。在大会分会场,冯引如博士就此论文主题做了英文演讲,演讲介绍了中国犯罪学研究的现状、发展趋势及存在的问题等情况,回答了与会者的提问并作交流,得到了大家的关注和好评。
在年会上,冯引如博士受邀主持了以“亚洲犯罪学的未来II”为主题的分会场讨论。
会议最后组织参观了香港廉政公署和罗湖惩教所,详细了解香港惩教署相关制度和基本情况,收获颇丰。
[论文摘 要]随着网上银行迅速发展,安全问题日益突出,网上银行犯罪呈多元化,究其实质都是传统犯罪形式的翻新。对于以网络为基础的网上银行犯罪,证据资料易被篡改、销毁,并且在侦查取证时技术复杂、要求较高,此类案件的侦查取证工作较之于传统案件相对困难。因此,必须基于网上情报信息搞好网上银行犯罪案件现场勘查、电子证据的提取以及电子证据的保全等工作,从而有效打击网上银行犯罪。
一、网上银行犯罪的现状
网上银行犯罪形式复杂多样,迷惑性较强,犯罪行为的定性问题值得研究。网上银行犯罪主要有以下几种:
(一)网上银行的盗窃行为
对于网上银行用户来说最为重要的莫过于网上银行账号和密码了,常见的网上银行盗窃是利用病毒秘密窃取用户的账号和密码当被感染用户再次使用网上银行业务时,用户的账号、密码和数字证书就会被窃取并发向病毒编写者的信箱;还有像泛滥的小邮差变种在线支付网站的信息骗取用户的信用卡和密码等信息;另一种现象是利用网上银行进行非法转账,该类犯罪主体可以是受害单位外部人员,也可以是受害单位内部人员。如果内外部人员共同合作参与则构成盗窃的共犯或者贪污、职务侵占的共犯。
(二)网上银行诈骗
犯罪分子利用人们缺乏网上支付这种新兴支付手段的知识,轻而易举实施犯罪。另外,一些不法分子仿制网上银行网页制作诈骗网站,然后以银行的名义发送电子邮件,在电子邮件中载有一个可链接至诈骗网站的超链接,并需要客户经这个超链接输入账号和密码,以核实其资料。此外,还有虚假销售网站风险,这类网站以低价出售市面热销的商品,目的是骗取客户网上银行账号里的存款,如在网络游戏中低价贩卖武器装备,就可以骗到用户账号和密码。
(三)网上银行洗钱
网上银行和传统银行一样,具有许多功能,网上银行为我们带来便利的同时,也为不法分子洗钱提供了新的渠道,藏匿和转移赃款变得更加容易。不难看出,尽管利用网上银行洗钱,手法较传统洗钱方式有所区别,但定性为洗钱罪应无问题。
(四)非法侵入网上银行系统
非法侵入网上银行系统有三种:一是善意的侵入者;二是没有恶意的黑客;三是恶意的黑客。基于罪刑法定原则,前两种情况无罪的处理结果是无可厚非的,但是侵入行为已对网上银行系统的安全构成了极大的危害,容易造成商业机密泄漏等,而且随着网上银行在我国的进一步发展,在未来的金融系统所起的作用越来越大,因此必须对此类行为进一步加以立法规制;对于第三种情况来说,如果其实施的删除、修改、增加、干扰行为已完成,并造成系统不能正常运行,后果严重。但如果犯罪行为在产生危害结果前,因系统管理员或侦查机关发现而自动中止或被迫停止该行为,预定结果未实现,出于《刑法》第二百八十六条规定为结果犯,此时就不能以该条定罪。
二、网上银行犯罪侦查的难点
不同于一般案件的侦查,网络犯罪所具有的智能性、隐蔽性、跨地域性以及罪证易被篡改、销毁等特性,网上银行犯罪也都具备。实践中侦查机关常常面临如下难点:
(一)侦查机关准备不足
我国侦查机关还把侦点停留在传统证据的收集上,缺乏网络犯罪证据发现、收集与固定的敏锐意识,缺乏以科技智能等手段作为支撑、以公开和秘密两个方面加强情报信息收集的能力。我国的网络警察与发达国家相比成立较晚,技术积累少,另外高科技设备严重装备不足,与网络犯罪形成一个不对称的局面。对于网上银行犯罪尤其需要更高科技含量,不仅要懂电脑知识而且要熟悉精通银行方面的业务技术,对于计算机犯罪侦查和取证等一系列工作,显然要求相关公安民警必须掌握较全面的计算机知识。
(二)相关法律法规不健全
现行《刑法》来应对网上银行犯罪时会涉及到管辖权问题,《刑法》在观念层面、理论层面、实践层面便暴露出了方方面面的问题。此外,《刑法》第二百八十五、二百八十六、二百八十七条的规定过于狭窄,缺乏打击网上金融犯罪的法律规定,因此最好制定单独的《中国互联网金融犯罪条例》来打击网上金融犯罪。例如《刑法》第一百九十一条规定的五种洗钱犯罪的方式就没有提及通过网上银行洗钱的方式,应在相关立法和司法解释中对通过网上银行进行的洗钱犯罪及相关惩治措施作出具体的规定。
(三)犯罪证据难以收集与固定
网上银行犯罪证据的收集、判断、保存需要专业的计算机知识,但侦查机关中具有这方面专业知识的人才很少。出于网络证据的脆弱性,网上银行犯罪证据在人为因素作用下,极易发生改变,而且不留痕迹,难以恢复。。除了人为的因素,环境因素也可造成(如强电磁场、温度、湿度等)证据改变。即使在收集证据的过程中,由于技术或设备的原因,也可能对原始数据造成修改、破坏甚至毁灭。此外,由于网上银行犯罪证据本身的脆弱性,销毁起来也相当容易。实践中常见的是在犯罪证据保全这一问题上意识弱、动作慢,使证据被销毁,从而出现认定犯罪上的困难。
三、网上银行犯罪侦查的策略
(一)网上情报主导侦查,提高网上侦查能力
公安机关必须采取加强日常登记、加强情报专业队伍建设、加强网上银行情报基础建设、加强与民间商业公司的合作、加强秘密力量建设以及加强国际合作等措施,建立起完善的网上银行情报收集体系,并加强立法,为网上银行犯罪情报收集提供合法依据。同时,全国应建立计算机犯罪前科数据库,重点监控那些有前科的掌握高水平计算机知识的人员。另外,建议公安部设立全国互联网巡查中心,负责对全球网站、网址进行巡查,一经发现有害数据的网站应及时进行预警并找出应对策略。
(二)确定网上银行犯罪管辖权
我国《刑法》规定的管辖采用的是以属地管辖为基础,以属人管辖为原则,以保护管辖和普遍管辖为补充的刑事管辖原则。为了有效打击犯罪,在现有法律框架下确定我国对网上银行犯罪的刑事管辖权,同样应该坚持以属地管辖为基础的管辖原则,但应当对传统刑法理论的属地管辖原则加以适度扩充,对犯罪行为地和犯罪结果地做出广义上的解释。
(三)勘查网上银行犯罪现场
网上银行犯罪案件的现场勘查,除了传统意义上的勘查手段之外(如勘验足迹、指纹、工具痕迹、拍摄现场照片、绘制现场图等),还要迅速保护封锁现场,进行人、机、物之间的隔离,记录现场各种仪器的连接、配置状况和运行状态,尤其是对正在运行的系统参数,防止关机后无法恢复。还要收集、封存现场上可能记录有犯罪行为过程和真实情况的物品、数据等证明(如工作日记,伪造的各种银行卡、假身份证,记录下的账号、密码以及烧毁、撕毁的计算机打印结果、计算机磁盘的残片等),另外最好能对系统进行备份
(四)保全网上银行犯罪证据
一是现场提取的内容、方法、工具等要做好现场记录,见证签字,以验证不可变、唯一性;二是复制的有关文件要打印目录数据、文件清单,体现属性、长度、时间等;三是给所有的拟作为证据的硬盘、软盘、软件、文件资料等作标志,整理归类。
犯罪侦查必然面临诸如收集、认定证据等技术上的新难题。侦查机关在应对网上银行犯罪时,要不断运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络犯罪体系,以提高防范、控制和侦查打击能力。
参考文献
[1]周钢,宋小宁,网络犯罪及其侦查和防范[J]公安学刊-浙江公安高等专科学校学报,2000
[论文摘 要]随着网上银行迅速发展,安全问题日益突出,网上银行犯罪呈多元化,究其实质都是传统犯罪形式的翻新。对于以网络为基础的网上银行犯罪,证据资料易被篡改、销毁,并且在侦查取证时技术复杂、要求较高,此类案件的侦查取证工作较之于传统案件相对困难。因此,必须基于网上情报信息搞好网上银行犯罪案件现场勘查、电子证据的提取以及电子证据的保全等工作,从而有效打击网上银行犯罪。
一、网上银行犯罪的现状
网上银行犯罪形式复杂多样,迷惑性较强,犯罪行为的定性问题值得研究。网上银行犯罪主要有以下几种:
(一)网上银行的盗窃行为
对于网上银行用户来说最为重要的莫过于网上银行账号和密码了,常见的网上银行盗窃是利用病毒秘密窃取用户的账号和密码当被感染用户再次使用网上银行业务时,用户的账号、密码和数字证书就会被窃取并发向病毒编写者的信箱;还有像泛滥的小邮差变种在线支付网站的信息骗取用户的信用卡和密码等信息;另一种现象是利用网上银行进行非法转账,该类犯罪主体可以是受害单位外部人员,也可以是受害单位内部人员。如果内外部人员共同合作参与则构成盗窃的共犯或者贪污、职务侵占的共犯。
(二)网上银行诈骗
犯罪分子利用人们缺乏网上支付这种新兴支付手段的知识,轻而易举实施犯罪。另外,一些不法分子仿制网上银行网页制作诈骗网站,然后以银行的名义发送电子邮件,在电子邮件中载有一个可链接至诈骗网站的超链接,并需要客户经这个超链接输入账号和密码,以核实其资料。此外,还有虚假销售网站风险,这类网站以低价出售市面热销的商品,目的是骗取客户网上银行账号里的存款,如在网络游戏中低价贩卖武器装备,就可以骗到用户账号和密码。
(三)网上银行洗钱
网上银行和传统银行一样,具有许多功能,网上银行为我们带来便利的同时,也为不法分子洗钱提供了新的渠道,藏匿和转移赃款变得更加容易。不难看出,尽管利用网上银行洗钱,手法较传统洗钱方式有所区别,但定性为洗钱罪应无问题。
(四)非法侵入网上银行系统
非法侵入网上银行系统有三种:一是善意的侵入者;二是没有恶意的黑客;三是恶意的黑客。基于罪刑法定原则,前两种情况无罪的处理结果是无可厚非的,但是侵入行为已对网上银行系统的安全构成了极大的危害,容易造成商业机密泄漏等,而且随着网上银行在我国的进一步发展,在未来的金融系统所起的作用越来越大,因此必须对此类行为进一步加以立法规制;对于第三种情况来说,如果其实施的删除、修改、增加、干扰行为已完成,并造成系统不能正常运行,后果严重。但如果犯罪行为在产生危害结果前,因系统管理员或侦查机关发现而自动中止或被迫停止该行为,预定结果未实现,出于《刑法》第二百八十六条规定为结果犯,此时就不能以该条定罪。
二、网上银行犯罪侦查的难点
不同于一般案件的侦查,网络犯罪所具有的智能性、隐蔽性、跨地域性以及罪证易被篡改、销毁等特性,网上银行犯罪也都具备。实践中侦查机关常常面临如下难点:
(一)侦查机关准备不足
我国侦查机关还把侦点停留在传统证据的收集上,缺乏网络犯罪证据发现、收集与固定的敏锐意识,缺乏以科技智能等手段作为支撑、以公开和秘密两个方面加强情报信息收集的能力。我国的网络警察与发达国家相比成立较晚,技术积累少,另外高科技设备严重装备不足,与网络犯罪形成一个不对称的局面。对于网上银行犯罪尤其需要更高科技含量,不仅要懂电脑知识而且要熟悉精通银行方面的业务技术,对于计算机犯罪侦查和取证等一系列工作,显然要求相关公安民警必须掌握较全面的计算机知识。
(二)相关法律法规不健全
现行《刑法》来应对网上银行犯罪时会涉及到管辖权问题,《刑法》在观念层面、理论层面、实践层面便暴露出了方方面面的问题。此外,《刑法》第二百八十五、二百八十六、二百八十七条的规定过于狭窄,缺乏打击网上金融犯罪的法律规定,因此最好制定单独的《中国互联网金融犯罪条例》来打击网上金融犯罪。例如《刑法》第一百九十一条规定的五种洗钱犯罪的方式就没有提及通过网上银行洗钱的方式,应在相关立法和司法解释中对通过网上银行进行的洗钱犯罪及相关惩治措施作出具体的规定。
(三)犯罪证据难以收集与固定
网上银行犯罪证据的收集、判断、保存需要专业的计算机知识,但侦查机关中具有这方面专业知识的人才很少。出于网络证据的脆弱性,网上银行犯罪证据在人为因素作用下,极易发生改变,而且不留痕迹,难以恢复。。除了人为的因素,环境因素也可造成(如强电磁场、温度、湿度等)证据改变。即使在收集证据的过程中,由于技术或设备的原因,也可能对原始数据造成修改、破坏甚至毁灭。此外,由于网上银行犯罪证据本身的脆弱性,销毁起来也相当容易。实践中常见的是在犯罪证据保全这一问题上意识弱、动作慢,使证据被销毁,从而出现认定犯罪上的困难。
三、网上银行犯罪侦查的策略
(一)网上情报主导侦查,提高网上侦查能力
公安机关必须采取加强日常登记、加强情报专业队伍建设、加强网上银行情报基础建设、加强与民间商业公司的合作、加强秘密力量建设以及加强国际合作等措施,建立起完善的网上银行情报收集体系,并加强立法,为网上银行犯罪情报收集提供合法依据。同时,全国应建立计算机犯罪前科数据库,重点监控那些有前科的掌握高水平计算机知识的人员。另外,建议公安部设立全国互联网巡查中心,负责对全球网站、网址进行巡查,一经发现有害数据的网站应及时进行预警并找出应对策略。
(二)确定网上银行犯罪管辖权
我国《刑法》规定的管辖采用的是以属地管辖为基础,以属人管辖为原则,以保护管辖和普遍管辖为补充的刑事管辖原则。为了有效打击犯罪,在现有法律框架下确定我国对网上银行犯罪的刑事管辖权,同样应该坚持以属地管辖为基础的管辖原则,但应当对传统刑法理论的属地管辖原则加以适度扩充,对犯罪行为地和犯罪结果地做出广义上的解释。
(三)勘查网上银行犯罪现场
网上银行犯罪案件的现场勘查,除了传统意义上的勘查手段之外(如勘验足迹、指纹、工具痕迹、拍摄现场照片、绘制现场图等),还要迅速保护封锁现场,进行人、机、物之间的隔离,记录现场各种仪器的连接、配置状况和运行状态,尤其是对正在运行的系统参数,防止关机后无法恢复。还要收集、封存现场上可能记录有犯罪行为过程和真实情况的物品、数据等证明(如工作日记,伪造的各种银行卡、假身份证,记录下的账号、密码以及烧毁、撕毁的计算机打印结果、计算机磁盘的残片等),另外最好能对系统进行备份
(四)保全网上银行犯罪证据
一是现场提取的内容、方法、工具等要做好现场记录,见证签字,以验证不可变、唯一性;二是复制的有关文件要打印目录数据、文件清单,体现属性、长度、时间等;三是给所有的拟作为证据的硬盘、软盘、软件、文件资料等作标志,整理归类。
犯罪侦查必然面临诸如收集、认定证据等技术上的新难题。侦查机关在应对网上银行犯罪时,要不断运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络犯罪体系,以提高防范、控制和侦查打击能力。
参考文献
[1]周钢,宋小宁,网络犯罪及其侦查和防范[J]公安学刊-浙江公安高等专科学校学报,2000
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民
商法(电子合同、电子支付等)、知识产权法(着作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取 证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
【 关键词 】 特征权重;电子证据;假设间隔;特征选择
Analysis of Relief Algorithm Design in the Application of Electronic Evidence in the Analysis
Fu Lu 1 Huo Yong 2
(1. The Criminal Investigation Unit of Chongqing Public Security Bureau Chongqing 400000;2.The Internet Security Department of New North Zone District Sub-bureau of Chongqing Public Security Bureau Chongqing 400000)
【 Abstract 】 Relief algorithm is the maximum hypothesis based on feature weight calculation interval. This aticle focuses on the Relief algorithm, proposed a kind of electronic evidence analysis algorithm, the algorithm can not only rapidly intensive electronic evidence act, save the processing time, but also for further grasp the suspect's behavior model provides a convenient.
【 Keywords 】 feature weight; electronic evidence; interval hypothesis; feature selection
1 引言
数据挖掘是数据库和信息决策领域的前沿研究方向之一,通过从大型数据仓库中提取与需求相关的高维潜在数据,为社会各行业提供了大量的数据支持;而新兴的电子证据领域在如何利用数据挖掘方法进行犯罪嫌疑人行为特征模式分析方面积极探索。
数据挖掘中的特征选择是从一系列相关或无关的特征中选择出关联性最强的若干特征来表征一个概念或事物。选择不仅能减少特征提取阶段采集、变换等操作的计算压力,同时也有利于降低噪声干扰、提高分类的准确性,因此特征选择是模式识别中的一个重要环节。
2 Relief算法及ReliefF算法
2.1 Relief算法
Relief算法是由Kira和Rendell于1992年提出的一种著名多变量过滤式特征选择算法。该算法主要针对两类问题进行分类,通过权重值函数计算方法为每维特征赋予一个权重值,以权重值表征特征与类别的相关性。通过不断调整权重值逐步凸显特征的相关度,最后通过确定阀值选择权重值较大的特征。Relief算法的计算复杂度为O(W*R*N)(其中W为实验次数、R为样本数、N为特征属性个数),相对其他权重值计算方法其计算量大为减少。
假设间隔是Relief算法征相关程度的一种度量,是指为在保持样本x分类不变的情况下决策面能够移动的最大距离,可表示为:θ=(|| x-M(x)||)-|| x-H(x)||),其中H(x)、M(x)分别为与样本x同类和非同类最近邻点。Relief算法随机选取训练样本,并在同类样本与非同类样本中通过计算样本间所选取特征的假设间隔来选择参与权重计算的最近邻点,由于计算间隔涉及到的特征会影响样本的相对距离,进而影响最近邻点的选择,因而最终会影响特征权重的评价作用,因此Relief算法通过考察特征在同类样本与非同类样本间的差异来度量特征的区分能力。
Relief算法从所有的训练样本中随机选择样本X,并抽样选取R次,计算样本在特征p上的假设间隔,并累加起来作为属性的权值。样本X更新特征p的权值可表示为:
w=w-diff(p,X,H(X))/ R+diff(p,X,M(X))/ R,
对于特征p的离散属性,函数diff( )定义为:
diff(p,X,X') = 0 XP =X'P
1 XP ≠X'P,
对于特征p的连续属性:函数diff( )定义为:
diff(p,X,X') = ,
其中max(p)和min(p)分别为特征p的上界与下界。
2.2 ReliefF算法
由于Relief算法比较简单,因此Kononeill于1994年对其进行了扩展,得到了ReliefF作算法,该算法处理多类别问题,处理噪声数据和不完整数据。ReliefF算法针对R类种样本,循环m次从一类样本中随机取出k个距离样本X的近邻样本,与X组成同类的样本集H,同样从样本X的非同类的样本中找出k个近邻样本,与X组成非同类的样本集M,更新每个特征的权重公式为:
w=w-diff(p,X,Hj(X))/ (m・k)
+
ReliefF算法的出现很大程度上减少了噪声对特征权重计算的准确判定,它通过选用k个近邻样本而非最近邻点进行计算,经过k个样本的平均值评价,削弱了噪声对数据的影响。
3 电子证据的应用
电子证据中多类别数据是在实际问题中较为常见的数据。针对不同类别的数据,我们所希望得到的是在对同类和非同类数据综合分析的基础上,利用Relief算法获得犯罪嫌疑人行为模式的区分度,该数据综合分析的前提是基于数量庞大充足的数据集合,其中包含着各式各样无关样本,对整个识别过程起着重要的作用。例如在犯罪嫌疑人行为模式识别中,我们将需要识别的样本明确的分成几类,如诈骗犯类、盗窃犯类、犯类、扒窃犯类等,同时也需要获取大量其他上述类人员的数据样本。对于这些样本,只是希望能够避免与需要识别的样本混淆。如何标记其类别并应用于特征选择过程成为主要的问题。
ReliefF聚类算法在求特征权值方面存在不足。
(1)通过公式所计算的权值可能出现负值现象,权值为负数表示同类近邻样本距离比非同类近邻样本距离还要大些,但特征权值为负值现象,可能导致某些聚类算法不能收敛。
(2)由于样本的获取途径与来源的不同,对于样本库中数据集合的各种类别的样本数量存在一些差异。尤其对于违法人员行为模式数据库的数据量差距更为明显。例如刑事犯罪人员库中盗窃人员的数量远远多于其他案件人员数量,这对于如果选用Relief、ReliefF算法中的随机选择样本策略会使小样本类别选中进行权值计算的概率较小,甚至可能被完全忽略,而当某类样本数量多时,与该类别相关的特征权值积累得就会较高,当根据权值大小取舍特征时,对分离小样本有明显作用的特征往往可能被舍弃,这就会直接影响了特征选择的结果。
为避免以上问题对特征权值的影响,提出改进方法:从嫌疑人数据集合中进行抽样形成一个样本集合N,对于小样本类的样本按高比例进行抽样,其他类的样本按一定比例随机挑选,从而保证小样本类别在数量上能够得到保证。去掉无关样本的抽样。算法流程描述如下:
输入:嫌疑人样本集合R,类别集C,取样次数m,近邻个数k
输出:特征权重W
Begin:
Wp = 0;//初始化各维权值为0
统计各样本数量;按照比例形成一个样本集合N;
for i=1 to m do
1)从R中随机选择样本x;
2)从X中选择同类样本近邻k个Hj(j=1,2,…k);从不同类样本中选择近邻k个Mj(C);
3)for i=1 to N do
w=w-diff(p,X,Hj(X))/ (m・k)
+
End
最后根据权重选择若干维权值。
4 结束语
本文尝试在电子证据中通过Relief算法对存在数据中无关样本和样本的数量分析计算特征权重值,解决电子证据中行为模式识别中难以抉择的高维特征选择问题。通过分析无关样本、样本数量差异对Relief算法的影响,改进拓展一个新的扩展算法,从而使算法的性能得到提高。该算法的改进措施特别有益于改善小样本类别的存在对相关特征和非相关特征的影响,对于准确取舍特征,提高分类性能有一定的帮助。
参考文献
[1] 李晓岚.基于Relief特征选择算法的研究与应用[EB/OL].2013.6.16.
[2] 吴浩苗,尹中航.Relief算法在笔迹识别中的应用[J].计算机应用,2006.(1):175-176.
[3] CHENK,LIUH.TowardsanEvolutionaryAlgorithm:ACompar-isonofTwoFeatureSelectionAlgorithms[A].CongressonEvolution-aryComputation[C],1998.1309-1313.
[4] KIRAK,RENDELLL.Apracticalapproachtofeatureselection[A].Proc.9thInternationalWorkshoponMachineLearning[C],1992.249-256.
[5] 吴艳文,胡学钢,陈效军. 基于Relief算法的特征学习聚类[N].合肥学院学报,2008.5(2).
作者简介:
购物车(0)
