序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇計算機犯罪研究論文范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

隨著信息技術突飛猛進的發(fā)展，尤其是計算機技術與網絡技術的結合，人類社會產生了前所未有的巨大變革。然而，科學技術歷來就是一把雙刃劍。絢麗多姿的網絡世界，就像“潘多拉魔盒”在給人類社會帶來希望的同時，也釋放出“飄過世紀的烏云”———計算機犯罪1.國外一位犯罪學家指出：比起現(xiàn)實世界，人們似乎更傾向于在網絡上犯罪

1.隨著社會信息化程度的不斷提高，計算機犯罪日益嚴重地滲透到社會生活的各個層面，遭受計算機犯罪侵害的領域越來越廣泛，危害的程度也越來越高。這給我國的刑事法造成了諸多沖擊，亟待研究解決。

計算機犯罪對相關罪名立法之沖擊在我國第一部刑法（1979年刑法）立法時，由于當時的計算機發(fā)展水平不高，計算機在我國的應用范圍極其有限，故該部刑法未對計算機犯罪作出任何規(guī)定。隨著計算機技術的不斷發(fā)展和應用范圍的不斷擴大，1986年在深圳發(fā)生了我國首例以計算機為犯罪工具的金融詐騙案件2.此后，類似的案件不斷增多。對于此類以計算機為犯罪工具的案件，1979年刑法還能勉強應對，可以按其目的行為所觸犯的罪名如詐騙罪、盜竊罪、貪污罪等進行處罰。然而，對于隨后發(fā)生的純正的計算機犯罪，即以計算機信息系統(tǒng)為侵害對象的非法侵入和破壞行為，1979年刑法就顯得無能為力了。針對這種沖擊，修訂后刑法（1997年刑法）作出了一定的回應，以第285條和第286條專門規(guī)定了非法侵入計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪兩個罪名。但是，由于計算機犯罪是一種全新的犯罪形式，加之立法經驗和立法水平不足，這兩個罪名的立法本身就不盡完善。再加之立法的回應跟不上一日千里的計算機發(fā)展和應用速度，計算機犯罪又對修訂后刑法發(fā)出諸多沖擊，使得1997年刑法在層出不窮的計算機犯罪面前又顯得相對滯后。這種滯后在罪名問題上主要表現(xiàn)為：

（一）已有罪名的立法缺陷已日益顯現(xiàn)

首先，刑法第285條規(guī)定：“違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)，處三年以下有期徒刑或拘役”。該條將非法侵入計算機信息系統(tǒng)罪的犯罪對象僅限于國家事務、國防建設和尖端科技領域的計算機信息系統(tǒng)，保護范圍顯得過于狹窄。這種規(guī)定，明顯落后于時展的需要，與計算機技術日新月異的發(fā)展及其在我國各行各業(yè)的廣泛應用狀況極不相稱。目前我國許多單位，尤其是金融、郵電、醫(yī)療、交通、高校等部門都建立了計算機信息系統(tǒng)。這些信息系統(tǒng)關系到社會生活的各個方面，許多系統(tǒng)與公眾利益息息相關，如果我們對這些計算機信息系統(tǒng)不從刑法上加以保護，那么對這些系統(tǒng)的非法侵入將無法用刑罰加以制裁，這極不利于打擊犯罪，保護國家、社會和個人的合法權益。因此，在刑法中對其保護范圍作適當?shù)臄U大，顯得很有必要。再者，根據(jù)刑法第286條的規(guī)定，破壞計算機信息系統(tǒng)罪，是指違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾或對計算機信息系統(tǒng)中儲存、處理、傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改、增加的操作，或故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，造成嚴重后果的行為。本條旨在保護計算機信息系統(tǒng)安全，但該條的規(guī)定也顯示出一些不足之處。本條將傳播計算機病毒的行為規(guī)定為實害犯，即需要造成嚴重后果的才能構成犯罪。這一規(guī)定不盡合理。計算機病毒往往具有潛伏性，使得感染病毒的計算機系統(tǒng)不一定立刻受到病毒的影響。例如風行全球的CIH病毒，就經歷了一個較長的潛伏期之后，才全面爆發(fā)。如果按本條的規(guī)定以實害犯標準加以衡量，那么在潛伏期內就看不出其實質的危害結果，從而很難適用本條對其加以懲處。但如果以危險犯標準，即計算機病毒可能給信息系統(tǒng)造成多大危害來加以衡量，則可以通過估測病毒感染的范圍以及從程序代碼的分析結果中估測其可能具有的破壞力大小，只要其對計算機信息系統(tǒng)安全的威脅達到一定程度就能成罪。因而，若將本條中傳播計算機病毒的行為由實害犯改為危險犯并單獨成罪，則更加合理、可取。

（二）罪名闕如，法網不密

我國現(xiàn)行刑法關于計算機犯罪的規(guī)定，尚存許多立法空白，從而導致法網不密。這主要表現(xiàn)在：（1）沒有規(guī)定竊用計算機服務罪。在我國現(xiàn)行刑法中，竊用計算機服務的行為并未受到應有的重視，這使刑法與時展的要求產生一定的脫節(jié)。在現(xiàn)代社會中，由計算機系統(tǒng)所提供的信息服務也是一種商品，它是與信息采集、加工、處理、查詢等相關的一種勞務。使用計算機信息服務需要向提供方支付一定的費用，因此，竊用他人計算機信息系統(tǒng)的服務，則侵犯了所有人對系統(tǒng)的使用權和收益權，并給所有人造成了經濟損失。對于這種行為，理應作為犯罪予以打擊。然而，我國現(xiàn)行刑法并未規(guī)定竊用計算機服務為犯罪，這使得實踐中對一些案件無法處理或打擊不力。（2）沒有規(guī)定盜竊計算機軟件、數(shù)據(jù)罪。計算機系統(tǒng)內部的數(shù)據(jù)，有些是屬于知識產權的軟件，有些屬于商業(yè)秘密的資料，有些則是屬于國家秘密，竊取這些數(shù)據(jù)或軟件的行為，雖然可以適用相應罪名來加以處罰，但是，計算機系統(tǒng)中還有相當一部分數(shù)據(jù)并不屬于以上的內容，卻具有廣泛的知識性和十分重要的價值。從知識經濟的角度考慮，竊取這些數(shù)據(jù)的行為也應規(guī)定為犯罪，否則就會造成盜竊有形的物質財產構成犯罪，而盜竊無形的知識財富不構成犯罪的畸形狀態(tài)。（3）沒有規(guī)定破壞計算機設備罪。計算機設備包括計算機實體硬件、系統(tǒng)軟件或其他附屬設備。盡管對破壞計算機設備的行為也可以依照毀壞公私財物罪定罪處罰，但由于毀壞公私財物罪的法定刑較低，按此罪處理打擊力度顯然不夠。由于計算機本身在現(xiàn)代社會生產和人民生活中的地位非常重要，所以對計算機設備應像對交通工具、電力設備等一樣予以特別保護。因而，單獨規(guī)定破壞計算機設備罪很有必要。

（三）罪名類型歸屬不當，應作調整

隨著信息化程度的不斷提高，社會對計算機系統(tǒng)的依賴程度亦越來越高，計算機犯罪的社會危害性變得越來越大，因而也越來越具有危害公共安全的性質?，F(xiàn)行刑法將計算機犯罪歸屬于分則第六章妨害社會管理秩序罪當中，這一歸類不甚妥當。將計算機犯罪的部分罪種由妨害社會管理秩序罪調整至分則第二章危害公共安全罪當中，將隨著社會的發(fā)展變得越來越有必要。

計算機犯罪對犯罪主體問題之沖擊

計算機犯罪主體的低齡化是一個不可忽視的趨勢。世界各國的學校教育都將計算機操作作為一種基本內容加以普及，這對于社會的技術化進程無疑具有巨大的推動作用。但是，這也造就了一大批精通計算機技術的未成年人，這些人利用計算機技術的違法犯罪在一些國家已成為一個社會問題。我國的教育制度現(xiàn)在也強調此種教育，因而此種主體低齡化的趨勢也可能在我國發(fā)生。至少未成年人制作計算機病毒的案件就已發(fā)生多起3.然而，我國刑法第17條第2款規(guī)定：“已滿14周歲不滿16周歲的人，犯故意殺人、故意傷害致人重傷或者死亡、、搶劫、販賣、放火、爆炸、投毒罪的，應當負刑事責任?！边@就是說，除了該條款中規(guī)定的，種犯罪以外，該年齡段的人實施的任何危害社會的行為都不作犯罪處理。因而，我國刑法中的非法侵入計算機信息系統(tǒng)罪、破壞計算機信息系統(tǒng)罪的主體就不包括該年齡段的未成年人。但從司法實踐來看，少年“黑

客”是一種不可小覷的破壞力量，這就對我國刑法關于刑事責任年齡的規(guī)定產生了沖擊。為了應對這種沖擊，筆者認為，我國刑法應把已滿14周歲不滿16周歲的未成年人納入計算機犯罪的主體范圍。

此外，從司法實踐來看，單位利用計算機網絡實施非法侵入、破壞計算機信息系統(tǒng)的行為已不鮮見。例如，1997年，北京江民新技術公司為防止盜版，在其產品“KV3LL++”殺毒軟件中加入“邏輯鎖”，致使許多計算機不能正常運行4.再如，一些企業(yè)為了達到破壞其競爭對手商業(yè)信譽的目的而侵入、破壞他人計算機網絡，這樣的行為時有發(fā)生。然而，根據(jù)我國刑法第30條、第285條、第286條的規(guī)定，單位不能成為侵入計算信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪的主體。因而，上述的單位危害行為又對我國刑法造成了沖擊。為此，有必要將單位主體納入計算機犯罪的規(guī)制范圍。

計算機犯罪對刑罰問題之沖擊

根據(jù)我國刑法第285條、第286條的規(guī)定，我國刑法對計算機犯罪僅規(guī)定了自由刑，未規(guī)定財產刑和資格刑，并且自由刑的法定刑較低（第285條僅規(guī)定3年以下有期徒刑或拘役；第286條對一般情形只規(guī)定5年以下有期徒刑或拘役，對造成嚴重后果的，亦只規(guī)定5年以上有期徒刑）。這一刑罰制度在日益猖獗的計算機犯罪面前，威懾力不足，從而使刑罰效果大打折扣，不利于實現(xiàn)刑罰的一般預防與特殊預防的目的。

計算機犯罪的主體往往是掌握計算機技術的智能型犯罪人，其犯罪目的通常是為了謀取非法利益或進行技術挑戰(zhàn)。為了有效地打擊、威懾和預防此類犯罪，應對現(xiàn)行刑法的刑種作出調整，增設以下財產刑和資格刑：（1）罰金。立法時可以采取倍比罰金制，即對犯罪人處以非法所得若干倍的罰金，使之真正起到懲戒和預防犯罪的雙重效果。（2）沒收財產。主要適用于以非法牟利為目的，情節(jié)嚴重的計算機犯罪。（3）剝奪犯罪人的職業(yè)資格。例如剝奪從事與計算機相關行業(yè)的資格等。這主要適用于對計算機形成癮癖的所謂“網蟲”的犯罪人。

計算機犯罪的顯著特征就是容易成功，獲利大，風險小，不易偵破，定罪困難，后果嚴重。根據(jù)罪責刑相適應原則，不施重刑，難以防止和打擊，只有提高法定刑幅度，才能有效地回應其挑戰(zhàn)，防患于未然。我國臺灣地區(qū)的電腦犯罪立法即體現(xiàn)了這種精神，例如其“刑法”第318條規(guī)定：“利用電腦或其他相關設備犯第316至318條之罪，加重其刑至二分之一?！逼?16至318條之規(guī)定為電腦資訊犯罪，其泄露資訊因電腦的特質所造成的損害遠較傳統(tǒng)犯罪為大，所以立法明確規(guī)定加重刑罰，這種做法無疑會對遏制電腦犯罪起到較好作用。因此按照罪責刑相適應原則，調高計算機犯罪的法定刑標準，避免罪刑失衡，是我國刑法為回應計算機犯罪的沖擊而應當作出的選擇。

計算機犯罪對刑事管轄權之沖擊

根據(jù)我國刑法第6條至第11條的規(guī)定，我國刑法的刑事管轄權是以屬地原則為主，兼采其他原則。而傳統(tǒng)意義上的地域（即領域）僅含領陸、領水、領空和擬制領土，它是一個具體的，可觸及的物理空間，其界限相對分明。然而，計算機網絡的出現(xiàn)，創(chuàng)造了一個全新的“虛擬世界”或“虛擬空間”———賽博空間（CyberSpace）。這一空間是屬于真實的物理架構“（即多種線路及多種計算機設備所連結構成的系統(tǒng)）的數(shù)字化空間，人們不能物理地進入這一空間，但通過各種數(shù)字化的界面，卻可以進行多種多樣的活動”5.這一“虛擬空間”，有學者稱之為“第五空間”，并認為傳統(tǒng)刑法的屬地管轄僅包括領陸、領水、領空、擬制領土“4個空間”，不包括“虛擬世界”的計算機網絡系統(tǒng)這一“第五空間”，因而對于發(fā)生在本國領域外，又非直接針對本國及其公民的“第五空間”的犯罪，以屬地原則為主、其他屬人、保護原則為輔的傳統(tǒng)刑法的管轄權顯然難以覆蓋。例如，無國籍人某B在Z國X網站實施了通過因特網傳授教義并發(fā)展組織的行為，訪問該網站的任何人因此均可在該網站主頁上讀到其教義并在線入教。這樣，某B的行為無疑涉嫌構成中國刑法第300條規(guī)定的有關組織的犯罪。然而對于本案，中國刑法很難管轄。因為因特網域既非領陸、領水、領空，也非擬制領土，不屬于上述四大領域之任一部分，本案行為及結果又不發(fā)生在我國“領域內”，加之行為人某B既不是中國公民，又不是針對特定的中國國家或公民的犯罪，因而根據(jù)中國現(xiàn)行刑法關于空間效力的規(guī)定，中國刑法無權管轄6.然而，此類犯罪畢竟對于我國具有嚴重的社會危害性，若無權管轄又有放縱犯罪之嫌。由此可見，互聯(lián)網絡這一“虛擬空間”的出現(xiàn)，無疑對傳統(tǒng)的刑事管轄權問題產生了巨大的沖擊。對此，我國和國際社會應該反思傳統(tǒng)刑法對于網絡空間管轄規(guī)定之不足，盡早地對這種沖擊作出回應，構想出超前性的刑法新“領域”，將刑法的“領域”適當?shù)財U大到該“虛擬空間”。

計算機犯罪對刑事偵查及刑事證據(jù)制度之沖擊

計算機犯罪作為一種與高科技相伴生的犯罪，它與傳統(tǒng)犯罪有著許多不同的地方。計算機犯罪的行為人大多受過一定的教育和技術訓練，具有相當高的計算機專業(yè)知識和嫻熟的計算機操作技能，他們作案時多種手段并用，手法高明巧妙，作案前一般又往往經過周密的預謀和精心的策劃，具有很強的反偵查能力，體現(xiàn)了智能型犯罪的特點，這加大了被識別、被發(fā)現(xiàn)的難度。計算機犯罪，特別是網絡犯罪，多數(shù)是在“虛擬空間”里進行，因而其犯罪現(xiàn)場已不具有傳統(tǒng)犯罪現(xiàn)場的物理性和確定性，難以按照傳統(tǒng)的方法和習慣進行現(xiàn)場勘查、收集證據(jù)。計算機具有強大的運算能力，犯罪分子可以在很短的時間內作案，偵查機關很難現(xiàn)場追蹤犯罪分子，也給監(jiān)控帶來困難。計算機犯罪具有行為地與結果發(fā)生地、行為時與結果發(fā)生時的分離性，因而難以在現(xiàn)場直接抓獲犯罪人。計算機犯罪的證據(jù)多存在于電磁介質（如硬盤、軟盤）中，信息在其中以數(shù)字方式儲存，具有隱含性，人的肉眼難以分辨，必須借助專門的計算機和軟件的支持才能看到，并且電磁介質極易受到有意和無意的損傷而失去證據(jù)意義，這給偵查取證工作帶來了不少困難。出于以上因素的影響，在現(xiàn)實生活中，計算機犯罪的發(fā)現(xiàn)率和偵破率都是極低的，這給刑事偵查工作造成了不小的沖擊。為了應對這種沖擊，我國的偵查機關應當加強對計算機犯罪偵查問題的研究，加強偵查人員的計算機技術培訓，建立健全專門的偵查機構，組建反計算機犯罪特別警察隊伍，加強國際社會計算機犯罪偵查的合作與交流，采取切實有效的措施提高計算機犯罪的偵破率。

計算機犯罪也給我國的刑事證據(jù)制度造成了一定的沖擊。我國現(xiàn)行刑事訴訟法第42條規(guī)定：證明“案件真實情況的一切事實，都是證據(jù)。證據(jù)有以下7種：（1）物證、書證；（2）證人證言；（3）被害人陳述；（4））犯罪嫌疑人、被告人供述和辯解；（5）鑒定結論；（6）勘驗、檢查筆錄；（7）視聽資料”。在上述7種證據(jù)種類中，計算機犯罪中的電子證據(jù)———電磁記錄，究竟屬于哪一種證據(jù)？由于計算機犯罪中的證據(jù)問題是一個全新的問題，我國法學界和司法實踐部門對其認識還不統(tǒng)一，對于它的法律定位，產生了“視聽資料說”、“書證說”、“鑒定結論說”、“獨立證據(jù)說”和“混合證據(jù)說”等不同觀點7.筆者認為，計算機證據(jù)主要有3個特點：其一，是以其所存儲信息的內容來證明犯罪事實；其二，其存在方式是以二進制代碼的形式（即數(shù)字式形式）存儲于存儲介質中；其三，在感知方式上，它必須借助電子設備，且不能脫離特定的系統(tǒng)環(huán)境。第一個特點使計算機證據(jù)具有書證、視聽資料的某些特征，但后兩個特點又使它區(qū)別于所有證據(jù)種類。數(shù)字化信息的一個突出特點就是它以“0”或“1”兩個數(shù)的不同編碼存儲，信息一旦數(shù)字化就可以利用計算機隨意加碼、編輯，而不具有其他證據(jù)相對穩(wěn)定直觀的特點。因此，將計算機證據(jù)歸屬于刑事訴訟法第42條中的任何一種證據(jù)，都是不妥當?shù)?。隨著計算機犯罪案件的不斷增多，計算機電磁證據(jù)將大量涌現(xiàn)，為了避免區(qū)分認定證據(jù)上的分歧與爭論，刑事訴訟法應該作出恰當?shù)幕貞?，有必要將計算機證據(jù)規(guī)定為一種新的證據(jù)種類，給它一個明確的法律定位。超級秘書網

注釋：

1.趙廷光，朱華池，皮勇.計算機犯罪的定罪與量刑[M]北京-人民法院出版社。2000.13。

2.康樹華.犯罪學通論[M]北京-北京大學出版社。1993.330。

3.于志剛.計算機犯罪研究[M]北京中國檢察出版社，1999.31。

4.廖天華.KV300L++“邏輯鎖”事件有結論[N]電腦報1997-09-12。

篇（2）

【中圖分類號】TP333 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0026-01

1.引言

打擊犯罪的關鍵在于獲得充分、可靠和強有力的證據(jù)，取證涉及到法律和技術兩個方面。一般犯罪證據(jù)的提取目前已經有很多較為成熟的技術，例如，指紋提取和識別、法醫(yī)鑒定、DNA鑒定等等。隨著計算機技術的發(fā)展和網絡的普及，利用或以計算機為目標的犯罪事件頻繁發(fā)生。由于計算機證據(jù)具有與一般犯罪證據(jù)不同的特點，所以對其獲取和可靠性的保證一直是計算機犯罪案件和其他與計算機有關的犯罪案件偵破工作的難點。因此，計算機取證（computer forensics）技術的研究變得越來越迫切。計算機取證作為計算機科學和法學的交叉學科應運而生。

2.計算機取證綜述

計算機取證，可以定義為對依靠計算機實施的犯罪行為利用計算機軟硬件技術，按照符合法律規(guī)范的方式進行證據(jù)獲取、保存、分析和出示的過程。亦即是將存于計算機及相關設備中的電子數(shù)據(jù)轉化固定為實質的證據(jù)，以及鑒定這些電子證據(jù)屬性的過程。從計算機取證的概念可以看出，電子證據(jù)是計算機取證的核心。電子證據(jù)，是指以數(shù)字形式保存于計算機主存儲器或外部存儲介質中，能夠證明案件真實情況的數(shù)據(jù)和信息。從廣義上講，電子證據(jù)泛指一切用以證明案件事實的電子化信息資料和數(shù)據(jù)；從狹義上講，電子證據(jù)僅指以數(shù)字形式存在于計算機系統(tǒng)中的能夠證明案件事實的數(shù)據(jù)，包括計算機產生、傳輸、儲存、記錄以及打印的證據(jù)。其表現(xiàn)形式可能為文檔、圖形、圖像、聲音等形式。

當前計算機取證研究的一個比較活躍的領域是獲取操作系統(tǒng)的易失性數(shù)據(jù)。易失性數(shù)據(jù)可以定義為當計算機系統(tǒng)失去電源以后不再存在的數(shù)據(jù)，而這些易失性信息通常保存在內存或硬盤的臨時文件中。RFC3227文檔給出了各種類型的信息按照易失性的程度的排序，依次為：

①寄存器，高速緩存

②路由表，ARP高速緩存，進程表，內核統(tǒng)計和內存

③臨時文件系統(tǒng)

④硬盤

⑤遠程登錄和監(jiān)控數(shù)據(jù)

⑥物理配置和網絡拓撲

⑦歸檔媒體

其中內存取證研究處于易失性數(shù)據(jù)取證領域的前沿，是當前的研究熱點。內存取證是指獲取和分析正在運行的主機的物理內存的內容。

3.windows易失性內存取證技術

當前獲取Windows操作系統(tǒng)易失性內存數(shù)據(jù)的技術主要包括兩類：基于軟件的和基于硬件的?？梢酝ㄟ^操作的基本原理進行區(qū)分：軟件技術依賴于Windows操作系統(tǒng)獲取內存的鏡像，而硬件技術則獨立于具體的操作系統(tǒng)，直接訪問計算機系統(tǒng)的內存?；谟布募夹g主要包括基于DMA（DMA：Direct MemoryAccess）的PCI卡、Firewire設備和虛擬機（如VMWare）等，這些方法雖然具有一定的研究價值，但大都存在固有的缺陷：如受限于實際的應用場景；又比如受內存映射IO（MMIO：Memory Mapped Io）特性的影響，導致獲取的內存鏡像與實際不符，因此還沒有得到廣泛應用。

原始Windows內存鏡像是純二進制比特信息，不能直接作為電子證據(jù)高級分析技術和工具的數(shù)據(jù)源，需要根據(jù)Windows內存組織和運行方式提取其中有價值的結構化數(shù)據(jù)（如進程和線程信息），已經有一些商用和研究的工具和技術支持物理內存的取證分析。所有成果中Volatility Framework除了具備大多數(shù)內存分析工具的功能以外，還具有以下特性：首先，它可以自動識別標準c語言的底層二進制數(shù)據(jù)流，并將它們映射到高層的標準c語言的數(shù)據(jù)結構類型，這樣就可以使取證分析工作人員在高級語言層面分析內存中代碼結構；其次，VolatilityFramework還可以通過內存鏡像的物理地址信息，構建出內存的邏輯地址空間，使分析人員可以使用每個進程自己的虛擬地址空間分析問題，而不用考慮其真實的物理地址究竟映射在內存的什么地方。而且對c語言的指針可以直接訪問到其指向的數(shù)據(jù)，不用過多考慮邏輯地址到物理地址空間映射的問題；另外，VolatilityFramework具有較好的可擴展性，支持通過編寫插件等進一步對分析功能進行擴展。

總之，現(xiàn)有的Windows易失性內存取證方法和技術只能分析單個Windows內存鏡像文件，并沒有利用計算機技術智能分析相同性質案件所共有的典型特征，還不能自動地利用已經積累的案例信息智能地輔助調查取證人員處理同一類的計算機犯罪案件。此外，當前面向證據(jù)的設計模式限制了取證工具的橫向功能擴展和縱向滿足更高層次的應用發(fā)展，單一的證據(jù)很難在邏輯上形成具有相互關系的證據(jù)鏈，還無法實現(xiàn)智能推理等擴展功能，不能為高級應用提供支持。因此，迫切需要開展面向證據(jù)鏈重構的Windows易失性內存智能取證研究。

4.windows易失性內存取證模型

計算機取證過程必須遵循嚴格的程序流程，否則將導致獲取證據(jù)的可信度降低或缺乏合法性，為此人們提出了許多種計算機取證模型，以規(guī)范取證過程、指導取證產品研發(fā)。然而，現(xiàn)有的取證模型也存在諸如過于注重細節(jié)，缺乏通用性；沒有很好地把法律和技術結合起來；注重靜態(tài)的取證分析而沒有考慮取證模型隨時間的變化等問題，特別是現(xiàn)有的取證模型還沒有考慮Windows內存數(shù)據(jù)的易失性、瞬時性、階段穩(wěn)定性、實體信息多維性、實體相互關聯(lián)性以及階段內實體狀態(tài)變化的可預見性等特點。

經過嚴謹?shù)睦碚撗芯亢蛻脺y試，本文已經設計出具有較好通用性與可擴展性的實用的Windows易失性內存取證模型，共四層。第一層進行基本信息分析與提??；第二層進行實體信息的識別；第三層進行關聯(lián)性分析；第四層進行電子證據(jù)的歸檔；對已獲取的原始的Windows內存數(shù)據(jù)從高層次視圖進行抽象。利用進程代數(shù)和規(guī)則制定輔助調查取證人員進行智能推理，并用軟件實現(xiàn)了將多個相關的可疑證據(jù)組成一個整體，形成具有推理關系的證據(jù)鏈，重構計算機犯罪行為、動機以及嫌疑人特征。

參考文獻

[1].許榕生，吳海燕等.計算機取證概述.計算機工程與應用，2001，37（21）：7 8，144.

[2].丁麗萍，王永吉.計算機取證的相關法律技術問題研究.軟件學報，2005，16（2）：260 275.

篇（3）

一、會議主題

2015年是網絡強國戰(zhàn)略的起步年。網絡強國離不開自主可控的安全技術支持，只有實現(xiàn)網絡和信息安全的前沿技術和科技水平的趕超，才能實現(xiàn)關鍵核心技術的真正自主可控，才能實現(xiàn)從戰(zhàn)略層面、實施層面全局而振的長策。當前，信息網絡應用飛速發(fā)展，技術創(chuàng)新的步伐越來越快，云計算、大數(shù)據(jù)、移動網絡、物聯(lián)網、智能化、三網融合等一系列信息化應用新概念、新技術、新應用給信息安全行業(yè)提出新的挑戰(zhàn)。同時，國際上網絡安全技術事件和政治博弈越來越激烈和復雜，“工業(yè)4.0”時代對網絡安全的沖擊來勢洶涌。我們需要全民樹立建設網絡強國的新理念，并切實提升國家第五空間的戰(zhàn)略地位和執(zhí)行力。本次會議的主題為“科技是建設網絡強國的基礎”。

二、征文內容

1. 關于提升國家第五空間的戰(zhàn)略地位和執(zhí)行力的研究

2. 云計算與云安全

3. 大數(shù)據(jù)及其應用中的安全

4. 移動網絡及其信息安全

5. 物聯(lián)網安全

6. 智能化應用安全

7. 網絡監(jiān)測與監(jiān)管技術

8. 面對新形勢的等級保護管理與技術研究

9. 信息安全應急響應體系

10. 可信計算

11. 網絡可信體系建設研究

12. 工業(yè)控制系統(tǒng)及基礎設施的網絡與信息安全

13. 網絡與信息系統(tǒng)的內容安全

14. 預防和打擊計算機犯罪

15. 網絡與信息安全法制建設的研究

16. 重大安全事件的分析報告與對策建議

17. 我國網絡安全產業(yè)發(fā)展的研究成果與訴求

18. 其他有關網絡安全和信息化的學術成果

凡屬于網絡安全和信息安全領域的各類學術論文、研究報告和成果介紹均可投稿。

三、征文要求

1. 論文要求主題明確、論據(jù)充分、聯(lián)系實際、反映信息安全最新研究成果，未曾發(fā)表，篇幅控制在5000字左右。

2. 提倡學術民主。鼓勵新觀點、新概念、新成果、新發(fā)現(xiàn)的發(fā)表和爭鳴。

3. 提倡端正學風、反對抄襲，將對投稿的文章進行相似性比對檢查。

4. 文責自負。單位和人員投稿應先由所在單位進行保密審查，通過后方可投稿。

5. 作者須按計算機安全專業(yè)委員會秘書處統(tǒng)一發(fā)出的論文模版格式排版并如實填寫投稿表，在截止日期前提交電子版的論文與投稿表。

6、論文模版和投稿表請到計算機安全專業(yè)委員會網站下載，網址是：.cn。

聯(lián)系人：田芳，郝文江

電話：010-88513291，88513292

篇（4）

對于電子文件的概念，目前國內外檔案學界最為主流的觀點認為，電子文件應該是"文件"這個屬概念加上"電子"這個限定詞，即電子文件在本質上仍然是屬于"文件"的，在形式上是表現(xiàn)為電子數(shù)據(jù)信息的。①但是，電子文件與"信息"、"編碼"又有所不同，"大多數(shù)電子數(shù)據(jù)、電子記錄或信息匯集并非文件，因為它們不能作為憑證"。②因此，國內有學者明確提出，"電子文件是以代碼形式記錄于磁帶、磁盤、光盤等載體，依賴計算機系統(tǒng)存取并可在通信網絡上傳輸?shù)奈募?。③

1．電子文件作為證據(jù)時不宜等同于計算機證據(jù)。在我國，電子文件證據(jù)效力研究中似乎有一種跡象就是在電子文件證據(jù)法律效力研究中套用對計算機證據(jù)的研究，甚至將電子文件證據(jù)效力研究等同于計算機證據(jù)效力研究。誠然，計算機證據(jù)進入法學研究領域，其歷史之長，其經驗之豐富都足以為當今從事電子文件證據(jù)研究的學者所借鑒。然而有一個問題是，對于作為"模板"的計算機證據(jù)研究中的"計算機證據(jù)"本身，國內外學者們仍有著不同的觀點④：

其一，將"計算機證據(jù)"等同于"計算機犯罪的證據(jù)"。持這種觀點的學者將所有計算機犯罪案件所涉及的證據(jù)全部納入。對于計算機證據(jù)的這種理解顯然與我們所討論的電子文件證據(jù)是風馬牛不相及的。

其二，將"計算機證據(jù)"界定為"與計算機相關的證據(jù)"。在這樣的理解下，計算機證據(jù)包括三種形式：⑴有關某一行為、事件或條件的證據(jù)，這些證據(jù)一般都是傳統(tǒng)的、由人工保存的各種業(yè)務檔案的計算機化的表現(xiàn)形式。⑵電子計算機模擬證據(jù)。⑶計算機系統(tǒng)的測試結果。從以上內容來看，事實上只有第一種形式的"計算機證據(jù)"反映了電子文件的特點，可以與電子文件證據(jù)對應起來，而第二、三兩種形式的"計算機證據(jù)"只能游離于電子文件證據(jù)之外。

其三，將"計算機證據(jù)"理解為"計算機產生的證據(jù)"。持這種觀點的學者認為，計算機證據(jù)就是記錄在紙張上的以文書形式存在的計算機化數(shù)據(jù)的打印輸出結果。因為用以作為證據(jù)的各種材料必須是人能夠理解和識別的，對于無人能理解的材料，法院不會認可其為證據(jù)。這里應該指出的是，把計算機證據(jù)界定為"計算機產生的證據(jù)"是將計算機證據(jù)限于計算機的打印輸出，這樣定義過于狹窄，不能概括計算機證據(jù)的全部內涵，更不能與電子文件證據(jù)等同起來。

由此可見，對于"計算機證據(jù)"無論持哪一種認識，它與電子文件證據(jù)之間難以劃等號，也不是包含與被包含的關系。

2．電子文件作為證據(jù)時不應被籠統(tǒng)地稱為"電子證據(jù)"。目前持此說法者甚眾。從字面來看，"電子證據(jù)"應該從內部分為兩大類---以模擬信號方式存在的電子證據(jù)，如錄音、錄像資料；以數(shù)字形式存在的電子證據(jù)，即電子文件類證據(jù)、由此而衍生出對于電子證據(jù)的不同理解。

⑴狹義的電子證據(jù)。如"電子證據(jù)是以通過計算機存儲的材料和證據(jù)證明案件事實的一種手段，它最大的功能是存儲數(shù)據(jù)，能綜合、連續(xù)地反映與案件有關的資料數(shù)據(jù)"⑤，"電子證據(jù)是以數(shù)字的形式保存在計算機內部存儲器或外部存儲介質中，能夠證明案件真實情況的數(shù)據(jù)或信息"⑥。從這些定義來看，所謂的"電子證據(jù)"是自計算機或相關設備中所得到的數(shù)字型的電磁記錄物，與電子文件證據(jù)具有同質性。

⑵廣義的電子證據(jù)。如"電子證據(jù)是指以存儲的電子化信息資料來證明案件真實情況的電子物品或電子記錄，它包括視聽資料和計算機證據(jù)"⑦，"電子證據(jù)，指任何記錄于或產生于計算機或類似設備中和媒介中的資料，其可以為人或計算機或相關設備所讀取或接受"⑧。從這些定義來看，廣義的電子證據(jù)實際上與對電子文件的字面的理解達成了一致，即包括模擬的電子證據(jù)和數(shù)字的電子證據(jù)。

廣義的電子證據(jù)概念在內容上涵蓋了狹義的電子證據(jù)的概念，似乎更為合理，但是廣義的電子證據(jù)中所包含的模擬信號方式存在的電子證據(jù)實際上已存在于現(xiàn)有證據(jù)法框架下視聽資料的范圍。因此，在電子文件法律效力的研究中直接借用甚至照搬電子證據(jù)研究的成果是行不通的。

電子文件不宜隨計算機證據(jù)或電子證據(jù)被歸為現(xiàn)有的某種或某向種證據(jù)類型

認為電子文件可劃歸現(xiàn)有證據(jù)類型的觀點主要有：

1．視聽資料說。該觀點認為電子文件應該劃歸視聽資料。如，在《刑事訴訟法學》中，"視聽資料"被認為是"指以錄音、錄像、電子計算機以及其他高科技設備儲存的信息證明案件真實情況的資料"⑨。持該種觀點的理由是，電子文件與視聽資料都是存儲在非傳統(tǒng)的書面介質上的電磁或其他形式，要成為"呈堂供證"必須實現(xiàn)由"機器可讀"到"人可讀"的轉化，而現(xiàn)在許多視聽資料是以數(shù)字形式存儲的，能夠為計算機處理。

然而，電子文件是以與案件有關的電磁記錄、命令記錄來反映案件事實的，雖然在作為證據(jù)時以聲音、圖像等可聽可視的形式表現(xiàn)出來，但不能因此而將其劃歸視聽資料。如果因為一種證據(jù)是可視可聽的就將其作為視聽證據(jù)，那么幾乎所有的證據(jù)類型都可以為"視聽資料"所淹沒，這顯然是欠妥的。

2．書證說。該觀點認為電子文件是一種特殊的書證。其依據(jù)有：⑴書證是以文字、符號圖畫等內容證明案件事實的證據(jù)。其特征在于以內容證明案件事實。電子文件雖然有多種外在表現(xiàn)形式，但都無一例外地是以其所表達的思想或記載的內容來反映案件情況的。⑵從立法上看，我國1999年制定的《合同法》第11條規(guī)定，"書面形式是指合同書、信件及數(shù)據(jù)電文（包括電報、電傳、傳真、電子數(shù)據(jù)交換和電子郵件）等可以有形地表現(xiàn)所載內容的形式。"聯(lián)合國貿法會《電子商務示范法》第六條第1款規(guī)定："如果法律要求信息采用書面，則假若一項數(shù)據(jù)電文所含信息可以調取以備日后查用，即滿足了該項要求。"也就是說，如果電子文件滿足了這一點，即成為紙質文件的等價物，符合了"書面形式"的要求。⑩但是，我們認為有這樣幾點需要考慮：首先，按照"以文字、符號、圖畫等內容證明案件事實就是書證"這樣一種邏輯，那么"鑒定結論"、"勘驗筆錄"也可以涵蓋在書證中。其次，在現(xiàn)有的立法實踐中，一再被強調的"功能等同"不是"形式等同"，"功能等同"是認為電子文件與書證在形式等同起來再按照傳統(tǒng)書證賦予其法律效力，如果這樣的話，那么電子文件可以和書證一樣不必經過認證中心或機構的審查而作為司法的依據(jù)。這顯然也是行不通的。

3．分別歸類說。此種觀點盡管不像前兩種那樣在學術界蔚然成風，但是也很具有代表性。電子文件可以將文字、圖形、圖像、影像 、聲音等各種信息形式加以有機組合，據(jù)此，有學者提出，如果輸入、存儲的信息記錄在硬盤、磁盤、光盤等介質上，即為物證；如果輸出打印到紙張上，即為書證；如果以聲音、圖像形式表現(xiàn)，即為視聽資料。{11}

從載體及表現(xiàn)形式來看，電子文件證據(jù)在外延上與視聽資料和書證等其他證據(jù)形式確有著交叉之處，但要將電子文件證據(jù)分解為多種證據(jù)，必將使證據(jù)種類的認定出現(xiàn)混亂局面。

從以上分析可得，電子文件既不能為現(xiàn)有的任何一種證據(jù)形式所包括，更不能被分解為各種證據(jù)形式，而是應該被賦予獨立的證據(jù)地位。

注釋：

①陶碧云，中美兩國電子文件管理之區(qū)別，《上海檔案》1999?熏?穴5?雪

②?眼美?演戴維?比爾曼等，《電子證據(jù)---當代機構文件管理戰(zhàn)略》，中國人民大學出版社?熏1999

③馮惠玲，《電子文件管理教程》，中國人民大學出版社?熏2001

④樊崇義等，《視聽資料研究綜述與評價》，中國人民公安大學出版社?熏2002

⑤董杜驕，電子證據(jù)研究的認知起點，《科技進步與對策》2003?熏?穴1?雪?押139－140

⑥韓鷹，對電子證據(jù)的法律研究，《中國律師2000年大會論文精選》上卷，法律出版社?熏2001．

⑦⑧于海防等，數(shù)字證據(jù)的程序法定位---技術、經濟視角的法律分析，《法律科學》2002?穴5?雪

⑨陳光中等，《刑事訴訟法學》，中國政法大學出版社，2000

篇（5）

    一、網上銀行犯罪的現(xiàn)狀

    網上銀行犯罪形式復雜多樣,迷惑性較強,犯罪行為的定性問題值得研究。網上銀行犯罪主要有以下幾種:

    (一)網上銀行的盜竊行為

    對于網上銀行用戶來說最為重要的莫過于網上銀行賬號和密碼了,常見的網上銀行盜竊是利用病毒秘密竊取用戶的賬號和密碼當被感染用戶再次使用網上銀行業(yè)務時,用戶的賬號、密碼和數(shù)字證書就會被竊取并發(fā)向病毒編寫者的信箱;還有像泛濫的小郵差變種在線支付網站的信息騙取用戶的信用卡和密碼等信息;另一種現(xiàn)象是利用網上銀行進行非法轉賬,該類犯罪主體可以是受害單位外部人員,也可以是受害單位內部人員。如果內外部人員共同合作參與則構成盜竊的共犯或者貪污、職務侵占的共犯。

    (二)網上銀行詐騙

    犯罪分子利用人們缺乏網上支付這種新興支付手段的知識,輕而易舉實施犯罪。另外,一些不法分子仿制網上銀行網頁制作詐騙網站,然后以銀行的名義發(fā)送電子郵件,在電子郵件中載有一個可鏈接至詐騙網站的超鏈接,并需要客戶經這個超鏈接輸入賬號和密碼,以核實其資料。此外,還有虛假銷售網站風險,這類網站以低價出售市面熱銷的商品,目的是騙取客戶網上銀行賬號里的存款,如在網絡游戲中低價販賣武器裝備,就可以騙到用戶賬號和密碼。

    (三)網上銀行洗錢

    網上銀行和傳統(tǒng)銀行一樣,具有許多功能,網上銀行為我們帶來便利的同時,也為不法分子洗錢提供了新的渠道,藏匿和轉移贓款變得更加容易。不難看出,盡管利用網上銀行洗錢,手法較傳統(tǒng)洗錢方式有所區(qū)別,但定性為洗錢罪應無問題。

    (四)非法侵入網上銀行系統(tǒng)

    非法侵入網上銀行系統(tǒng)有三種:一是善意的侵入者;二是沒有惡意的黑客;三是惡意的黑客?；谧镄谭ǘㄔ瓌t,前兩種情況無罪的處理結果是無可厚非的,但是侵入行為已對網上銀行系統(tǒng)的安全構成了極大的危害,容易造成商業(yè)機密泄漏等,而且隨著網上銀行在我國的進一步發(fā)展,在未來的金融系統(tǒng)所起的作用越來越大,因此必須對此類行為進一步加以立法規(guī)制;對于第三種情況來說,如果其實施的刪除、修改、增加、干擾行為已完成,并造成系統(tǒng)不能正常運行,后果嚴重。但如果犯罪行為在產生危害結果前,因系統(tǒng)管理員或偵查機關發(fā)現(xiàn)而自動中止或被迫停止該行為,預定結果未實現(xiàn),出于《刑法》第二百八十六條規(guī)定為結果犯,此時就不能以該條定罪。

    二、網上銀行犯罪偵查的難點

    不同于一般案件的偵查,網絡犯罪所具有的智能性、隱蔽性、跨地域性以及罪證易被篡改、銷毀等特性,網上銀行犯罪也都具備。實踐中偵查機關常常面臨如下難點:

    (一)偵查機關準備不足

    我國偵查機關還把偵點停留在傳統(tǒng)證據(jù)的收集上,缺乏網絡犯罪證據(jù)發(fā)現(xiàn)、收集與固定的敏銳意識,缺乏以科技智能等手段作為支撐、以公開和秘密兩個方面加強情報信息收集的能力。我國的網絡警察與發(fā)達國家相比成立較晚,技術積累少,另外高科技設備嚴重裝備不足,與網絡犯罪形成一個不對稱的局面。對于網上銀行犯罪尤其需要更高科技含量,不僅要懂電腦知識而且要熟悉精通銀行方面的業(yè)務技術,對于計算機犯罪偵查和取證等一系列工作,顯然要求相關公安民警必須掌握較全面的計算機知識。

    (二)相關法律法規(guī)不健全

    現(xiàn)行《刑法》來應對網上銀行犯罪時會涉及到管轄權問題,《刑法》在觀念層面、理論層面、實踐層面便暴露出了方方面面的問題。此外,《刑法》第二百八十五、二百八十六、二百八十七條的規(guī)定過于狹窄,缺乏打擊網上金融犯罪的法律規(guī)定,因此最好制定單獨的《中國互聯(lián)網金融犯罪條例》來打擊網上金融犯罪。例如《刑法》第一百九十一條規(guī)定的五種洗錢犯罪的方式就沒有提及通過網上銀行洗錢的方式,應在相關立法和司法解釋中對通過網上銀行進行的洗錢犯罪及相關懲治措施作出具體的規(guī)定。

    (三)犯罪證據(jù)難以收集與固定

    網上銀行犯罪證據(jù)的收集、判斷、保存需要專業(yè)的計算機知識,但偵查機關中具有這方面專業(yè)知識的人才很少。出于網絡證據(jù)的脆弱性,網上銀行犯罪證據(jù)在人為因素作用下,極易發(fā)生改變,而且不留痕跡,難以恢復。。除了人為的因素,環(huán)境因素也可造成(如強電磁場、溫度、濕度等)證據(jù)改變。即使在收集證據(jù)的過程中,由于技術或設備的原因,也可能對原始數(shù)據(jù)造成修改、破壞甚至毀滅。此外,由于網上銀行犯罪證據(jù)本身的脆弱性,銷毀起來也相當容易。實踐中常見的是在犯罪證據(jù)保全這一問題上意識弱、動作慢,使證據(jù)被銷毀,從而出現(xiàn)認定犯罪上的困難。

    三、網上銀行犯罪偵查的策略

    (一)網上情報主導偵查,提高網上偵查能力

    公安機關必須采取加強日常登記、加強情報專業(yè)隊伍建設、加強網上銀行情報基礎建設、加強與民間商業(yè)公司的合作、加強秘密力量建設以及加強國際合作等措施,建立起完善的網上銀行情報收集體系,并加強立法,為網上銀行犯罪情報收集提供合法依據(jù)。同時,全國應建立計算機犯罪前科數(shù)據(jù)庫,重點監(jiān)控那些有前科的掌握高水平計算機知識的人員。另外,建議公安部設立全國互聯(lián)網巡查中心,負責對全球網站、網址進行巡查,一經發(fā)現(xiàn)有害數(shù)據(jù)的網站應及時進行預警并找出應對策略。

    (二)確定網上銀行犯罪管轄權

    我國《刑法》規(guī)定的管轄采用的是以屬地管轄為基礎,以屬人管轄為原則,以保護管轄和普遍管轄為補充的刑事管轄原則。為了有效打擊犯罪,在現(xiàn)有法律框架下確定我國對網上銀行犯罪的刑事管轄權,同樣應該堅持以屬地管轄為基礎的管轄原則,但應當對傳統(tǒng)刑法理論的屬地管轄原則加以適度擴充,對犯罪行為地和犯罪結果地做出廣義上的解釋。

    (三)勘查網上銀行犯罪現(xiàn)場

    網上銀行犯罪案件的現(xiàn)場勘查,除了傳統(tǒng)意義上的勘查手段之外(如勘驗足跡、指紋、工具痕跡、拍攝現(xiàn)場照片、繪制現(xiàn)場圖等),還要迅速保護封鎖現(xiàn)場,進行人、機、物之間的隔離,記錄現(xiàn)場各種儀器的連接、配置狀況和運行狀態(tài),尤其是對正在運行的系統(tǒng)參數(shù),防止關機后無法恢復。還要收集、封存現(xiàn)場上可能記錄有犯罪行為過程和真實情況的物品、數(shù)據(jù)等證明(如工作日記,偽造的各種銀行卡、假身份證,記錄下的賬號、密碼以及燒毀、撕毀的計算機打印結果、計算機磁盤的殘片等),另外最好能對系統(tǒng)進行備份

    (四)保全網上銀行犯罪證據(jù)

    一是現(xiàn)場提取的內容、方法、工具等要做好現(xiàn)場記錄,見證簽字,以驗證不可變、唯一性;二是復制的有關文件要打印目錄數(shù)據(jù)、文件清單,體現(xiàn)屬性、長度、時間等;三是給所有的擬作為證據(jù)的硬盤、軟盤、軟件、文件資料等作標志,整理歸類。

    犯罪偵查必然面臨諸如收集、認定證據(jù)等技術上的新難題。偵查機關在應對網上銀行犯罪時,要不斷運用網絡技術手段在信息網絡領域建立系統(tǒng)、完整、有機銜接的預防、控制、偵查、懲處信息網絡犯罪體系,以提高防范、控制和偵查打擊能力。

    參考文獻

篇（6）

1.計算機病毒是計算機犯罪的一種新的衍化形式。計算機病毒是高技術犯罪，具有瞬時性、動態(tài)性和隨機性。不易取證，風險小，破壞大，從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態(tài)在計算機應用領域的表現(xiàn)。

2.計算機軟硬件產品的危弱性是根本的技術原因。計算機是電子產品。數(shù)據(jù)從輸入、存儲、處理、輸出等環(huán)節(jié)，易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫；計算機軟件論文的手工方式，效率低下且生產周期長；人們至今沒有辦法事先了解一個程序有沒有錯誤，只能在運行中發(fā)現(xiàn)、修改錯誤，并不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。

3.微機的普及應用是計算機病毒產生的必要環(huán)境。1983年11月3日美國計算機專家首次提出了計算機病毒的概念并進行了驗證。幾年前計算機病毒就迅速蔓延，到我國才是近年來的事。而這幾年正是我國微型計算機普及應用熱潮。微機的廣泛普及，操作系統(tǒng)簡單明了，軟、硬件透明度高，基本上沒有什么安全措施，能夠透徹了解它內部結構的用戶日益增多，對其存在的缺點和易攻擊處也了解的越來越清楚，不同的目的可以做出截然不同的選擇。目前，在IBMPC系統(tǒng)及其兼容機上廣泛流行著各種病毒就很說明這個問題。

二、計算機病毒的預防措施

通過采取技術上和管理上的措施，計算機病毒是完全可以防范的。雖然難免仍有新出現(xiàn)的病毒，采用更隱秘的手段，利用現(xiàn)有計算機操作系統(tǒng)安全防護機制的漏洞，以及反病毒防御技術上尚存在的缺陷，這與人類對于生物病毒的防疫方法是多么相像。新出現(xiàn)的生物病毒會使某些人致病，通過廣為宣傳可使更多的人免受其害，而研究人員在僅靠防護措施的情況下進行研究卻不會被病毒傳染，關鍵就是靠最重要的是思想上要重視計算機病毒可能會給計算機安全運行帶來的危害。

計算機病毒的預防措施是安全使用計算機的要求，計算機病毒的預防措施有以下幾點。

1.對新購置的計算機系統(tǒng)用檢測病毒軟件檢查已知病毒，用人工檢測方法檢查未知病毒，并經過實驗，證實沒有病毒傳染和破壞跡象再實際用。新購置的計算機中是可能攜帶有病毒的。新購置的硬盤中可能有病毒。對硬盤可以進行檢測或進行低級格式化，因對硬盤只做DOS的FORMAT格式化是不能去除主引導區(qū)（分區(qū)表扇區(qū)）病毒的。新購置的計算機軟件也要進行病毒檢測。檢測方法要用軟件查已知病毒，也要用人工檢測和實際實驗的方法檢測。

2.定期與不定期地進行磁盤文件備份工作，確保每一過程和細節(jié)的準確、可靠，在萬一系統(tǒng)崩潰時最大限度地恢復系統(tǒng)原樣，減少可能的損失。不要等到由于病毒破壞、PC機硬件或軟件故障使用戶數(shù)據(jù)受到損傷時再去急救。重要的數(shù)據(jù)應當時進行備份。當然備份前要保證沒有病毒，不然也會將病毒備份。很難想象，用戶數(shù)據(jù)沒有備份的機器在發(fā)生災難后會造成什么影響。系統(tǒng)程序和應用程序用經費是可以買到的，而用戶數(shù)據(jù)是無法用錢買到的。

3. 選擇使用公認質量最好、升級服務最及時、對新病毒響應和跟蹤最迅速有效的反病毒產品，定期維護和檢測您的計算機系統(tǒng)。如果您使用的是免費、共享的反病毒軟件而廠家還提供正式版，應努力爭取該項開支去購買正版，因為這不僅僅使得廠家能由于您的投入而獲得繼續(xù)開發(fā)研究升級版本的資金支持，更重要的是，您將因此而獲得售后服務和技術支持等一系列正版軟件用戶的合法權益。

4.總結恪守一套合理有效的防范策略。無論您只是使用家用計算機的發(fā)燒友，還是每天上班都要面對屏幕工作的計算機一族，都將無一例外地、毫無疑問地會受到病毒的感染和侵擾，只是或遲或早而已。因此，一定要學習和掌握一些必備的相關知識，如果您是企業(yè)和單位里工作的計算機用戶，更需要總結恪守一套合理有效的防范策略，并且要為計算機系統(tǒng)感染病毒做出一些應變計劃，您將會在無形中獲益非凡。

三、計算機病毒的預防技術

1.將大量的消毒、殺毒軟件匯集一體，檢查是否存在已知病毒，如在開機時或在執(zhí)行每一個可執(zhí)行文件前執(zhí)行掃描程序。這種工具的缺點是：對變種或未知病毒無效；系統(tǒng)開銷大，常駐內存，每次掃描都要花費一定時間，已知病毒越多，掃描時間越長。

2.檢測一些病毒經常要改變的系統(tǒng)信息，如引導區(qū)、中斷向量表、可用內存空間等，以確定是否存在病毒行為。其缺點是：無法準確識別正常程序與病毒程序的行為，常常報警，而頻頻誤報警的結果是使用戶失去對病毒的戒心。

篇（7）

縱觀1997年物證技術學的研究，主要集中在以下幾個方面：

1.拓寬物證技術研究領域。隨著我國法制建設的發(fā)展和完善，對為法律服務的物證技術的要求也越來越高。不僅“刑事犯罪案件逐年增多，暴力化、技巧化、智能化趨勢明顯，有組織的犯罪增多，犯罪手段的現(xiàn)代化程度提高”，〔1〕對物證技術提出了嚴峻的挑戰(zhàn)，

而且民事訴訟案件中，要保證準確地執(zhí)法，也越來越多的要求對案件中的各種物證進行科學鑒定。鑒于“常規(guī)的手印、足跡等痕跡物證在現(xiàn)場上的提取率越來越低?！薄?〕因此，廣泛發(fā)現(xiàn)、提取、

鑒定其他微量物證就顯得格外重要。如爆炸殘留物、纖維、毛發(fā)、油脂、泥土、涂料以及塑料、金屬屑等。

2.物證技術鑒定制度的完善。隨著法制建設的飛速發(fā)展，在訴訟中占重要地位的物證技術鑒定，其制度的進一步完善越來越緊迫。有的學者對我國現(xiàn)行鑒定制度中存在問題及鑒定活動不規(guī)范的現(xiàn)象，作了調研，寫出有關論文數(shù)篇。公安部物證鑒定中心還組織力量對以往物證鑒定有關條例進行研討，業(yè)已著手制定物證鑒定工作條例。為了確保物證鑒定的準確性，有的學者對某些鑒定技術的標準化和質量控制提出了措施。有的學者從法理角度和我國司法實踐相結合，對立法的理論依據(jù)和現(xiàn)實條件進行了細致的研究。還有的學者就我國現(xiàn)實中物證鑒定主體、鑒定資格與涉圍鑒定證人、鑒定權的劃分等問題進行了比較全面地分析和論述。

3.物證攝影技術。本年度該領域的研究主要集中在新技術、新方法的研究。如對玻璃橫斷面痕跡的拍照；變壓器矽鋼片油漬指印的拍照；蠟表面指印的拍攝方法；利用定向反射鏡進行暗視場照相的方法；利用偏振光燈拍照灰塵印痕；以及對相對平行區(qū)顱面、顏面上對應特征水平攝影位置關系的研究；刑事錄像與計算機圖像處理等方面的研究。

4.痕跡技術。痕跡物證技術方面學者們完成了“八·五”國家科技攻關項目：“DFO合成及其顯現(xiàn)潛在指紋技術研究”；

“定向反射顯理潛在指印技術系統(tǒng)研究”；“加濕502膠重顯方法及器材研究”；

“微粒懸浮液顯現(xiàn)潛在手印方法”等，使我國痕跡物證在上述技術中有的達到國際先進水平，有的處于國際領先地位。在此基礎上，97年痕跡物證技術研究又取得豐碩成果，各類學刊上發(fā)表了近百篇文章，涉及手印、足跡、工具痕跡、槍彈痕跡及動物咬痕等的顯現(xiàn)、提取、鑒定的各個方面。如有的學者探討了足跡邊緣特征的檢驗；足跡檢驗中影響特征形成的幾種因素；同一人異體鞋鞋底磨損形態(tài)變異規(guī)律；手壓的裝足跡的檢驗等問題。有的學者對非原配鑰匙痕跡、鋸路波形成機理等方面進行了研究。有的學者對槍彈陽膛線痕跡變寬機理、槍彈痕跡防護技術、彈頭擦點痕跡及改造手槍的鑒定等進行了深入的研究。有的學者還就耳廊印痕鑒定技術、煙頭上牙印痕跡、錄像資料與器材的帶機同一認定進行了探討。

5.文書物證技術。實踐中近年來涉及文書物證的案件逐漸增多，文書物證技術研究也有了相當?shù)陌l(fā)展。97年國內學者在這一方面的研究主要有：多種方法偽裝字跡案件的檢驗；血書的字跡檢驗；反轉交叉套摹筆跡的檢驗；編造規(guī)律性特征的偽裝筆跡檢驗；書寫相對時間的檢驗及文件制作時間的鑒定；電腦打印文件的打字人識別等。

6.毒物及其他微量化學特證技術。世界范圍內的禁毒活動對毒物、物證技術研究提出了更高要求。97年10月份召開了首屆全國檢驗技術交流會，會議匯集論文134篇，

廣泛研究了應用現(xiàn)代分析儀器對進行檢驗的新技術。在毒物分析方面，學者研究了因相等取技術在毒物分析中的應用；毒性元素砷、汞、鉛試樣處理方法及等離子體光譜測試技術等。在分析方面，學者們對GC／FID

測定在人體內殘留時間，生物體內海洛因及其代謝物的REMEDI的快速檢驗進行了研究。國內外學者還對違禁藥品的測定方法、可卡因對人體毒性作用、可卡因原子光譜、的快速檢出法等進行了深入研究。在其他微量化學物證技術方面，學者們應用現(xiàn)代分析技術，拓寬檢驗領域。一年來，學刊上發(fā)表的論文主要有：從污染的縱火殘留物中鑒別石油蒸餾物的氣相色譜；微量金屬物證的掃描電鏡／x—射線能譜；植物粑粉證據(jù)研究；土壤科學在空難事件調查中的作用；x

—射線熒光法分析人體組織和衣服上射擊殘留物；膠帶捉取射擊殘留物；微纖維；同位素標定在物證中的作用等。

7.生物物證技術。生物物證技術方面，97年10月份召開了首屆全國法醫(yī)物證新技術、新進展研討會。與會專家對“八·五”期間的科研成就進行了回顧。這一領域內的DNA分析技術仍是研究的重點。

“八·五”期間在“非同位素標記探針的DNA指紋圖技術、復合擴沖STR位點的DNA分型技術、人類線粒體DNA測序技術、DNA

擴沖片段長度多態(tài)性和DNA探針研制等多項國家重點科技攻關項目均達到國際先進水平或躍居國際領先地位，其中有四項獲得國家科技進步二等獎。1997年學者們繼續(xù)開拓前進，研究的熱點是：“多聚酶鏈反應（PCR

）技術”和“短串聯(lián)重復序列（STR）的擴沖技術”。

有的學者提出“這兩項技術將取代“DNA”指紋圖技術”，〔3〕發(fā)揮其對微量、陳舊、污染人體檢材進行個人識別的優(yōu)越性。

（二）物證技術學研究的展望

在新的一年里，研究的主要內容除繼續(xù)深化物證技術的基礎理論研究和物證鑒定制度的改革外，還將對以下課題進行深入研究：物證技術中計算機的應用方面，在原來指紋檔案計算機管理的基礎上，已發(fā)展到在鑒定中應用指紋印的計算機自動識別系統(tǒng)；在法醫(yī)物證的DNA

分析中，有的已將分析結果用計算機掃描保存，克服了不同檢材必須同步分析的缺點；學者們更著眼于物證技術鑒定中自動識別系統(tǒng)的應用；物證技術鑒定中信息、數(shù)據(jù)為的建立以及物證技術與國際互聯(lián)網絡等的研究。在痕跡物證、文書物證、微量化學物證等其他各領域中，將進一步研究新技術、新方法。對國外物證技術研究新成果的引進和國內外其他自然科學先進技術的借鑒，使物證技術鑒定水平再上一個臺階。另外，目前學者們對物證鑒定技術的標準化和鑒定搟量控制的必要性已達成共識。將在這方面加深研究，進一步提高物證鑒定的整體水平，更好地為法律服務。

二、1997年偵查學研究的回顧與展望

（一）1997年的回顧

1997年是我國偵查學研究深入開拓和穩(wěn)步前進的一年。年初，在杭州召開了“現(xiàn)代刑偵工作方針專家座談會”，對偵查工作方針進行了研討。此外，專家學者們還就偵查體制改革、偵查措施、方法等有關問題展開了全方位研究，取得了豐碩成果。1997年我國偵查學研究的主要問題集中在以下幾個方面：

1.偵查工作方針?，F(xiàn)行的偵查工作方針是公安部于1978年制定的《刑事偵察工作細則》中確定的。有的學者在分析該方針不足與過時的基礎上，從制訂偵查方針的依據(jù)、內容方面進行了探索，提出了“專群結合、破防并舉、科學辦案、狠抓戰(zhàn)機”的新方針建議。在杭州會議上，更多學者則圍繞《公安學刊》1996年第三期發(fā)表的斯大孝、蔡楊蒙的《論爭取把更多的案件處置在始發(fā)階段》一文，展開了熱烈討論。學者們從不同角度充分肯定了“爭取把更多的案件處置在始發(fā)階段”的必要性、可行性和優(yōu)越性，認為它應作為新時期偵查工作的一個重要指導方針。有的學者還由此提出了對傳統(tǒng)偵查工作的反思，主張將偵查工作置于大治安之中，強調公安機關要把預防犯罪和打擊犯罪作為偵查工作的出發(fā)點和落腳點。有的學者認為，爭取把更多案件處置在始發(fā)階段是偵查工作走出低效益的關鍵環(huán)節(jié)，強調以此為突破口轉變思想深化公安偵查改革。還有學者進行了配套論證，認為貫徹落實“爭取把更多案件處置在始發(fā)階段”應樹立服務觀、效率觀、全局觀、群眾觀、科學觀五大新觀念。圍繞偵查工作方針的討論，其參與人員之眾多，研究態(tài)度之務實，影響之深遠廣泛，無疑構成了該年度偵查學研究中的一道亮麗風景。

2.偵查體制改革。我國現(xiàn)行偵查體制仍是計劃經濟的產物。學者們總結認為，其存在著管轄分工不科學、機構設置重疊和不合理、職責不明、缺乏競爭機制、協(xié)作不力、效率低下、程序不順等諸多問題。有的學者建議，繼續(xù)完善和推廣偵查人員責任制，改革偵查工作考核標準，大膽實行競爭機制。還有學者對市局刑警隊和分局刑警隊建制提出了改良意見，認為應將市局刑警隊與分局刑警隊重復的一線偵查力量進行合并，把這些偵查力量放置在基層，以充分發(fā)揮他們的工作效率。有的學者對派出所偵查職能改革進行評析，認為派出所雖然不再承擔偵查破案的主要任務，但也不能完全不管案件偵查，而要積極配合協(xié)助偵查部門調查取證，抓好偵查基礎工作。有的學者進而提出了派遣刑警人員入駐派出所的設想與方案。有的學者還剖析了我國公安機關內部現(xiàn)行的偵查部門與預審部門分別專門設置及其工作互相交叉的現(xiàn)象與不良后果，主張實行偵查預審合一的制度，以減少不必要的環(huán)節(jié)。還有學者從條塊關系出發(fā)，提出建立自上而下大刑偵機制的改革設想，主張加強不同地區(qū)、不同部門、不同警種之間的協(xié)作。

3.偵查措施和方法。這一方面的研究主要集中在各種措施和方法的運用上，且多結合實際案例或實踐中的具體問題加以論述。有的從緝捕對象、緝捕人員、緝捕行動的主客觀因素、緝捕保障方面探討了緝捕行動的決策依據(jù)；有的探討了偵查中推斷犯罪分子職業(yè)的方法；有的分析了串并案偵查的前提、基礎及成功保障；有的學者對新時期如何開展布控、協(xié)查進行了研究；還有學者對開設偵查TV（或警察TV）、利用電視通緝令等方式的必要性和實行辦法進行了初步探討。此外，還有學者研究了偵查措施現(xiàn)代化與合法化的問題。

4.偵查協(xié)作與偵查信息。加強偵查協(xié)作一直是近幾年研究的熱點問題。有的學者探討了各部門、各警種協(xié)同作戰(zhàn)體制建立的可能性。有的學者對現(xiàn)行三級破案制度進行了剖析，主張建立與各地犯罪形勢相適應的偵查機構層次。在具體協(xié)作方式上，交流偵查信息是學者們議論的重點。有的學者認為，派出所應將重心放在搞好基礎情報工作上。一些學者則提出要實行情報信息的計算機化管理。還有學者提出應擴大情報信息庫的種類等。

5.偵查謀略。關于偵查謀略的研究相對有所降溫。少數(shù)學者從兵法謀略的宏觀角度探討了“孫子兵法”與現(xiàn)代偵查相結合的問題，提出了一些新見解。

6.具體類案的偵查。隨著我國改革開放和科技發(fā)展，團伙犯罪和計算機犯罪日益猖獗，因此這些案件的偵查已引起人們的高度重視。不過，大多數(shù)文章對此研究還停留在對于具體個案的分析評論、對犯罪的情況、特點、手法的介紹以及一般性對策上。

7.

涉外聯(lián)合偵查制度和外國偵查制度。涉外聯(lián)合偵查制度和外國偵查制度是我國偵查學的薄弱地帶。有些學者從涉外聯(lián)合偵查的形式與范圍、原則、基本程序等方面進行了初步研究；有的學者則繼續(xù)深入研究了西方主要國家犯罪偵查制度，取得了一些可喜成果。

（二）今后的展望

1998年我國偵查學領域內主要研究的課題應當包括：偵查學基礎理論及其框架；大刑偵體制改革的深入發(fā)展；新刑事訴訟法生效后偵查程序及方法的科學化與合法化；偵查基本觀念與功能轉換；外國犯罪偵查制度；反偵查理論；暴力犯罪案件偵查對策；犯罪案件偵查對策；計算機犯罪案件偵查對策；新刑法確定的新型犯罪案件的特點及偵查對策。

注釋：

篇（8）

Analysis of Relief Algorithm Design in the Application of Electronic Evidence in the Analysis

Fu Lu 1 Huo Yong 2

（1. The Criminal Investigation Unit of Chongqing Public Security Bureau Chongqing 400000；2.The Internet Security Department of New North Zone District Sub-bureau of Chongqing Public Security Bureau Chongqing 400000）

【 Abstract 】 Relief algorithm is the maximum hypothesis based on feature weight calculation interval. This aticle focuses on the Relief algorithm， proposed a kind of electronic evidence analysis algorithm， the algorithm can not only rapidly intensive electronic evidence act， save the processing time， but also for further grasp the suspect's behavior model provides a convenient.

【 Keywords 】 feature weight； electronic evidence； interval hypothesis； feature selection

1 引言

數(shù)據(jù)挖掘是數(shù)據(jù)庫和信息決策領域的前沿研究方向之一，通過從大型數(shù)據(jù)倉庫中提取與需求相關的高維潛在數(shù)據(jù)，為社會各行業(yè)提供了大量的數(shù)據(jù)支持；而新興的電子證據(jù)領域在如何利用數(shù)據(jù)挖掘方法進行犯罪嫌疑人行為特征模式分析方面積極探索。

數(shù)據(jù)挖掘中的特征選擇是從一系列相關或無關的特征中選擇出關聯(lián)性最強的若干特征來表征一個概念或事物。選擇不僅能減少特征提取階段采集、變換等操作的計算壓力，同時也有利于降低噪聲干擾、提高分類的準確性，因此特征選擇是模式識別中的一個重要環(huán)節(jié)。

2 Relief算法及ReliefF算法

2.1 Relief算法

Relief算法是由Kira和Rendell于1992年提出的一種著名多變量過濾式特征選擇算法。該算法主要針對兩類問題進行分類，通過權重值函數(shù)計算方法為每維特征賦予一個權重值，以權重值表征特征與類別的相關性。通過不斷調整權重值逐步凸顯特征的相關度，最后通過確定閥值選擇權重值較大的特征。Relief算法的計算復雜度為O（W*R*N）（其中W為實驗次數(shù)、R為樣本數(shù)、N為特征屬性個數(shù)），相對其他權重值計算方法其計算量大為減少。

假設間隔是Relief算法征相關程度的一種度量，是指為在保持樣本x分類不變的情況下決策面能夠移動的最大距離，可表示為：θ=（|| x-M（x）||）-|| x-H（x）||），其中H（x）、M（x）分別為與樣本x同類和非同類最近鄰點。Relief算法隨機選取訓練樣本，并在同類樣本與非同類樣本中通過計算樣本間所選取特征的假設間隔來選擇參與權重計算的最近鄰點，由于計算間隔涉及到的特征會影響樣本的相對距離，進而影響最近鄰點的選擇，因而最終會影響特征權重的評價作用，因此Relief算法通過考察特征在同類樣本與非同類樣本間的差異來度量特征的區(qū)分能力。

Relief算法從所有的訓練樣本中隨機選擇樣本X，并抽樣選取R次，計算樣本在特征p上的假設間隔，并累加起來作為屬性的權值。樣本X更新特征p的權值可表示為：

w=w-diff（p，X，H（X））/ R+diff（p，X，M（X））/ R，

對于特征p的離散屬性，函數(shù)diff（ ）定義為：

diff（p，X，X'） = 0 XP =X'P

1 XP ≠X'P，

對于特征p的連續(xù)屬性：函數(shù)diff（ ）定義為：

diff（p，X，X'） = ，

其中max（p）和min（p）分別為特征p的上界與下界。

2.2 ReliefF算法

由于Relief算法比較簡單，因此Kononeill于1994年對其進行了擴展，得到了ReliefF作算法，該算法處理多類別問題，處理噪聲數(shù)據(jù)和不完整數(shù)據(jù)。ReliefF算法針對R類種樣本，循環(huán)m次從一類樣本中隨機取出k個距離樣本X的近鄰樣本，與X組成同類的樣本集H，同樣從樣本X的非同類的樣本中找出k個近鄰樣本，與X組成非同類的樣本集M，更新每個特征的權重公式為：

w=w-diff（p，X，Hj（X））/ （m?k）

+

ReliefF算法的出現(xiàn)很大程度上減少了噪聲對特征權重計算的準確判定，它通過選用k個近鄰樣本而非最近鄰點進行計算，經過k個樣本的平均值評價，削弱了噪聲對數(shù)據(jù)的影響。

3 電子證據(jù)的應用

電子證據(jù)中多類別數(shù)據(jù)是在實際問題中較為常見的數(shù)據(jù)。針對不同類別的數(shù)據(jù)，我們所希望得到的是在對同類和非同類數(shù)據(jù)綜合分析的基礎上，利用Relief算法獲得犯罪嫌疑人行為模式的區(qū)分度，該數(shù)據(jù)綜合分析的前提是基于數(shù)量龐大充足的數(shù)據(jù)集合，其中包含著各式各樣無關樣本，對整個識別過程起著重要的作用。例如在犯罪嫌疑人行為模式識別中，我們將需要識別的樣本明確的分成幾類，如詐騙犯類、盜竊犯類、犯類、扒竊犯類等，同時也需要獲取大量其他上述類人員的數(shù)據(jù)樣本。對于這些樣本，只是希望能夠避免與需要識別的樣本混淆。如何標記其類別并應用于特征選擇過程成為主要的問題。

ReliefF聚類算法在求特征權值方面存在不足。

（1）通過公式所計算的權值可能出現(xiàn)負值現(xiàn)象，權值為負數(shù)表示同類近鄰樣本距離比非同類近鄰樣本距離還要大些，但特征權值為負值現(xiàn)象，可能導致某些聚類算法不能收斂。

（2）由于樣本的獲取途徑與來源的不同，對于樣本庫中數(shù)據(jù)集合的各種類別的樣本數(shù)量存在一些差異。尤其對于違法人員行為模式數(shù)據(jù)庫的數(shù)據(jù)量差距更為明顯。例如刑事犯罪人員庫中盜竊人員的數(shù)量遠遠多于其他案件人員數(shù)量，這對于如果選用Relief、ReliefF算法中的隨機選擇樣本策略會使小樣本類別選中進行權值計算的概率較小，甚至可能被完全忽略，而當某類樣本數(shù)量多時，與該類別相關的特征權值積累得就會較高，當根據(jù)權值大小取舍特征時，對分離小樣本有明顯作用的特征往往可能被舍棄，這就會直接影響了特征選擇的結果。

為避免以上問題對特征權值的影響，提出改進方法：從嫌疑人數(shù)據(jù)集合中進行抽樣形成一個樣本集合N，對于小樣本類的樣本按高比例進行抽樣，其他類的樣本按一定比例隨機挑選，從而保證小樣本類別在數(shù)量上能夠得到保證。去掉無關樣本的抽樣。算法流程描述如下：

輸入：嫌疑人樣本集合R，類別集C，取樣次數(shù)m，近鄰個數(shù)k

輸出：特征權重W

Begin：

Wp = 0；//初始化各維權值為0

統(tǒng)計各樣本數(shù)量；按照比例形成一個樣本集合N；

for i=1 to m do

1）從R中隨機選擇樣本x；

2）從X中選擇同類樣本近鄰k個Hj（j=1，2，…k）；從不同類樣本中選擇近鄰k個Mj（C）；

3）for i=1 to N do

w=w-diff（p，X，Hj（X））/ （m?k）

+

End

最后根據(jù)權重選擇若干維權值。

4 結束語

本文嘗試在電子證據(jù)中通過Relief算法對存在數(shù)據(jù)中無關樣本和樣本的數(shù)量分析計算特征權重值，解決電子證據(jù)中行為模式識別中難以抉擇的高維特征選擇問題。通過分析無關樣本、樣本數(shù)量差異對Relief算法的影響，改進拓展一個新的擴展算法，從而使算法的性能得到提高。該算法的改進措施特別有益于改善小樣本類別的存在對相關特征和非相關特征的影響，對于準確取舍特征，提高分類性能有一定的幫助。

參考文獻

[1] 李曉嵐.基于Relief特征選擇算法的研究與應用[EB/OL].2013.6.16.

[2] 吳浩苗，尹中航.Relief算法在筆跡識別中的應用[J].計算機應用，2006.（1）：175-176.

[3] CHENK，LIUH.TowardsanEvolutionaryAlgorithm：ACompar-isonofTwoFeatureSelectionAlgorithms[A].CongressonEvolution-aryComputation[C]，1998.1309-1313.

[4] KIRAK，RENDELLL.Apracticalapproachtofeatureselection[A].Proc.9thInternationalWorkshoponMachineLearning[C]，1992.249-256.

[5] 吳艷文，胡學鋼，陳效軍. 基于Relief算法的特征學習聚類[N].合肥學院學報，2008.5（2）.

篇（9）

計算機網絡的入侵檢測，是指對計算機的網絡及其整體系統(tǒng)的時控監(jiān)測，以此探查計算機是否存在違反安全原則的策略事件。目前的網絡入侵檢測系統(tǒng)，主要用于識別計算機系統(tǒng)及相關網絡系統(tǒng)，或是擴大意義的識別信息系統(tǒng)的非法攻擊，包括檢測內部的合法用戶非允許越權從事網絡非法活動和檢測外界的非法系統(tǒng)入侵者的試探行為或惡意攻擊行為。其運動的方式也包含兩種，為目標主機上的運行來檢測其自身通信的信息和在一臺單獨機器上運行從而能檢測所有的網絡設備通信的信息，例如路由器、hub等。 

1 計算機入侵檢測與取證相關的技術 

1.1 計算機入侵檢測 

入侵取證的技術是在不對網絡的性能產生影響的前提下，對網絡的攻擊威脅進行防止或者減輕。一般來說，入侵檢測的系統(tǒng)包含有數(shù)據(jù)的收集、儲存、分析以及攻擊響應的功能。主要是通過對計算機的網絡或者系統(tǒng)中得到的幾個關鍵點進行信息的收集和分析，以此來提早發(fā)現(xiàn)計算機網絡或者系統(tǒng)中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產品，計算機的入侵檢測系統(tǒng)需要更加多的智能，需要對測得數(shù)據(jù)進行分析，從而得到有用的信息。 

計算機的入侵檢測系統(tǒng)主要是對描述計算機的行為特征，并通過行為特征對行為的性質進行準確判定。根據(jù)計算機所采取的技術，入侵檢測可以分為特征的檢測和異常的檢測；根據(jù)計算機的主機或者網絡，不同的檢測對象，分為基于主機和網絡的入侵檢測系統(tǒng)以及分布式的入侵檢測系統(tǒng)；根據(jù)計算機不同的工作方式，可分為離線和在線檢測系統(tǒng)。計算機的入侵檢測就是在數(shù)以億記的網絡數(shù)據(jù)中探查到非法入侵或合法越權行為的痕跡。并對檢測到的入侵過程進行分析，將該入侵過程對應的可能事件與入侵檢測原則規(guī)則比較分析，最終發(fā)現(xiàn)入侵行為。按照入侵檢測不同實現(xiàn)的原來，可將其分為基于特征或者行為的檢測。 

1.2 計算機入侵取證 

在中國首屆計算機的取證技術峰會上指出，計算機的入侵取證學科是計算機科學、刑事偵查學以及法學的交叉學科，但由于計算機取證學科在我國屬于新起步階段，與發(fā)達國家在技術研究方面的較量還存在很大差距，其中，計算機的電子數(shù)據(jù)的取證存在困難的局面已經對部分案件的偵破起到阻礙作用。而我國的計算機的電子數(shù)據(jù)作為可用證據(jù)的立法項目也只是剛剛起步，同樣面臨著計算機的電子數(shù)據(jù)取證相關技術不成熟，相關標準和方法等不足的窘境。 

計算機的入侵取證工作是整個法律訴訟過程中重要的環(huán)節(jié)，此過程中涉及的不僅是計算機領域，同時還需滿足法律要求。因而，取證工作必須按照一定的即成標準展開，以此確保獲得電子數(shù)據(jù)的證據(jù)，目前基本需要把握以下幾個原則：實時性的原則、合法性的原則、多備份的原則、全面性的原則、環(huán)境原則以及嚴格的管理過程。 

2 基于網絡動態(tài)的入侵取證系統(tǒng)的設計和實現(xiàn) 

信息科技近年來得到迅猛發(fā)展，同時帶來了日益嚴重的計算機犯罪問題，靜態(tài)取證局限著傳統(tǒng)計算機的取證技術，使得其證據(jù)的真實性、及時性及有效性等實際要求都得不到滿足。為此，提出了新的取證設想，即動態(tài)取證，來實現(xiàn)網絡動態(tài)狀況下的計算機系統(tǒng)取證。此系統(tǒng)與傳統(tǒng)取證工具不同，其在犯罪行為實際進行前和進行中開展取證工作，根本上避免取證不及時可能造成德證據(jù)鏈缺失?；诰W絡動態(tài)的取證系統(tǒng)有效地提高了取證工作效率，增強了數(shù)據(jù)證據(jù)時效性和完整性。 

2.1 計算機的入侵取證過程 

計算機取證，主要就是對計算機證據(jù)的采集，計算機證據(jù)也被稱為電子證據(jù)。一般來說，電子證據(jù)是指電子化的信息數(shù)據(jù)和資料，用于證明案件的事實，它只是以數(shù)字形式在計算機系統(tǒng)中存在，以證明案件相關的事實數(shù)據(jù)信息，其中包括計算機數(shù)據(jù)的產生、存儲、傳輸、記錄、打印等所有反映計算機系統(tǒng)犯罪行為的電子證據(jù)。

就目前而言，由于計算機法律、技術等原因限制，國內外關于計算機的取證主要還是采用事后取證方式。即現(xiàn)在的取證工作仍將原始數(shù)據(jù)的收集過程放在犯罪事件發(fā)生后，但計算機的網絡特性是許多重要數(shù)據(jù)的存儲可能在數(shù)據(jù)極易丟失的存儲器中；另外，黑客入侵等非法網絡犯罪過程中，入侵者會將類似系統(tǒng)日志的重要文件修改、刪除或使用反取證技術掩蓋其犯罪行徑。同時，2004年fbi/csi的年度計算機報告也顯示，企業(yè)的內部職員是計算機安全的最大威脅，因職員位置是在入侵檢測及防火墻防護的系統(tǒng)內的，他們不需要很高的權限更改就可以從事犯罪活動。 

2.2 基于網絡動態(tài)的計算機入侵取證系統(tǒng)設計 

根據(jù)上文所提及的計算機入侵的取證缺陷及無法滿足實際需要的現(xiàn)狀，我們設計出新的網絡動態(tài)狀況下的計算機入侵的取證系統(tǒng)。此系統(tǒng)能夠實現(xiàn)將取證的工作提前至犯罪活動發(fā)生之前或者進行中時，還能夠同時兼顧來自于計算機內、外犯罪的活動，獲得盡可能多的相關犯罪信息?；诰W絡動態(tài)的取證系統(tǒng)和傳統(tǒng)的取證系統(tǒng)存在的根本差別在于取證工作的開展時機不同，基于分布式策略的動態(tài)取證系統(tǒng)，可獲得全面、及時的證據(jù)，并且可為證據(jù)的安全性提供更加有效的保障。 

此外，基于網絡動態(tài)的入侵取證系統(tǒng)在設計初始就涉及了兩個方面的取證工作。其一是攻擊計算機本原系統(tǒng)的犯罪行為，其二是以計算機為工具的犯罪行為（或說是計算機系統(tǒng)越權使用的犯罪行為）。系統(tǒng)采集網絡取證和取證兩個方面涉及的這兩個犯罪的電子證據(jù)，并通過加密傳輸?shù)哪K將采集到的電子證據(jù)傳送至安全的服務器上，進行統(tǒng)一妥善保存，按其關鍵性的級別進行分類，以方便后續(xù)的分析查詢活動。并對已獲電子證據(jù)以分析模塊進行分析并生成報告?zhèn)溆?。通過管理控制模塊完成對整個系統(tǒng)的統(tǒng)一管理，來確保系統(tǒng)可穩(wěn)定持久的運行。 

2.3 網絡動態(tài)狀況下的計算機入侵取證系統(tǒng)實現(xiàn) 

基于網絡動態(tài)計算機的入侵取證系統(tǒng)，主要是通過網絡取證機、取證、管理控制臺、安全服務器、取證分析機等部分組成。整個系統(tǒng)的結構取證，是以被取證機器上運行的一個長期服務的守護程序的方式來實現(xiàn)的。該程序將對被監(jiān)測取證的機器的系統(tǒng)日志文件長期進行不間斷采集，并配套相應得鍵盤操作和他類現(xiàn)場的證據(jù)采集。最終通過安全傳輸?shù)姆绞綄⒁勋@電子數(shù)據(jù)證據(jù)傳輸至遠程的安全服務器，管理控制臺會即刻發(fā)送指令知道操作。 

網絡取證機使用混雜模式的網絡接口，監(jiān)聽所有通過的網絡數(shù)據(jù)報。經協(xié)議分析，可捕獲、匯總并存儲潛在證據(jù)的數(shù)據(jù)報。并同時添加“蜜罐”系統(tǒng)，發(fā)現(xiàn)攻擊行為便即可轉移進行持續(xù)的證據(jù)獲取。安全服務器是構建了一個開放必要服務器的系統(tǒng)進行取證并以網絡取證機將獲取的電子證據(jù)進行統(tǒng)一保存。并通過加密及數(shù)字簽名等技術保證已獲證據(jù)的安全性、一致性和有效性。而取證分析機是使用數(shù)據(jù)挖掘的技術深入分析安全服務器所保存的各關鍵類別的電子證據(jù)，以此獲取犯罪活動的相關信息及直接證據(jù)，并同時生成報告提交法庭。管理控制臺為安全服務器及取證提供認證，以此來管理系統(tǒng)各個部分的運行。 

基于網絡動態(tài)的計算機入侵取證系統(tǒng)，不僅涉及本網絡所涵蓋的計算機的目前犯罪行為及傳統(tǒng)計算機的外部網絡的犯罪行為，同時也獲取網絡內部的、將計算機系統(tǒng)作為犯罪工具或越權濫用等犯罪行為的證據(jù)。即取證入侵系統(tǒng)從功能上開始可以兼顧內外部兩方面?；诰W絡動態(tài)的計算機入侵取證系統(tǒng)，分為證據(jù)獲取、傳輸、存儲、分析、管理等五大模塊。通過各個模塊間相互緊密協(xié)作，真正良好實現(xiàn)網絡動態(tài)的計算機入侵取證系統(tǒng)。 

3 結束語 

隨著信息科學技術的迅猛發(fā)展，給人們的生活和工作方式都帶來了巨大的變化，也給犯罪活動提供了更廣闊的空間和各種新手段。而基于網絡動態(tài)的計算機入侵取證系統(tǒng)，則通過解決傳統(tǒng)計算機的入侵取證系統(tǒng)瓶頸技術的完善，在犯罪活動發(fā)生前或進行中便展開電子取證工作，有效彌補了計算機網絡犯罪案件中存在的因事后取證導致的證據(jù)鏈不足或缺失。全面捕獲證據(jù)，安全傳輸至遠程安全服務器并統(tǒng)一妥善保存，且最終分析獲得結論以報告的形式用于法律訴訟中。但是作為一門新興的學科，關于計算機取證的具體標準及相關流程尚未完善，取證工作因涉及學科多且涵蓋技術項目廣，仍需不斷的深入研究。 

參考文獻： 

[1] 魏士靖.計算機網絡取證分析系統(tǒng)[d].無錫:江南大學,2006. 

[2] 李曉秋.基于特征的高性能網絡入侵檢測系統(tǒng)[d].鄭州:中國信息工程大學,2003. 

篇（10）

隨著工業(yè)化、信息化程度的不斷提高，計算機網絡在社會生產、生活各領域發(fā)揮越來越重要的作用。很多行業(yè)在選用網絡相關技術人才時考核學生掌握的網絡基本知識、基本原理掌握程度及網絡規(guī)劃、建設、管理、運維能力，這就為高校應用型人才培養(yǎng)提出明確目標。

1.“計算機網絡”考試改革提出的背景

適應網絡新技術與新應用帶來的新形勢，為維護網絡社會穩(wěn)定、打擊網絡違法犯罪，公安院校需要為網絡警察實戰(zhàn)部門培養(yǎng)后備軍?；ヂ?lián)網是網絡警察執(zhí)法的工作陣地，需要學生在校期間系統(tǒng)、扎實地掌握網絡協(xié)議、工程、應用相關知識和技能，才能勝任日后在網絡環(huán)境下從事公共信息網絡安全監(jiān)管、信息監(jiān)控、攻擊防御、偵查取證等執(zhí)法工作。加強計算機網絡課程教學的課程改革和實戰(zhàn)訓練是實現(xiàn)網絡保衛(wèi)執(zhí)法技術專業(yè)人才培養(yǎng)目標的重要手段。

1.1課程定位

“計算機網絡”是網絡安全保衛(wèi)執(zhí)法技術專業(yè)的專業(yè)基礎課、必修課，在大學二年級春季學期開設。網絡知識的理解和實踐，既為學生繼續(xù)學習網絡安全、信息對抗、網絡犯罪偵查等專業(yè)課提供支撐，又為學生在網絡環(huán)境下從事公共信息網絡安全監(jiān)管、信息監(jiān)控、攻擊防御、偵查取證提供支撐［1］。

1.2教學內容及組織形式

“計算機網絡”課程主要講授互聯(lián)網體系結構、網絡建設及網絡應用。通過課程學習，學生可以系統(tǒng)理解網絡通信協(xié)議，掌握網絡規(guī)劃、設計、建設及運維，精通協(xié)議通信處理過程及相關網絡設備組件特性，靈活利用TCP/IP參考模型知識指導解決網絡安全保衛(wèi)、計算機犯罪偵查工作中碰到的疑難問題。即學生對于計算機網絡的學習，應當理論與實踐并重，理解網絡工作原理和網絡工程項目實踐并重。然而，“計算機網絡”課程的知識體系繁雜、互聯(lián)網協(xié)議工作原理深奧難懂、實踐能力培養(yǎng)對路由器、交換機、服務器等硬件依賴性強。為此，在教學改革過程中提出基于“教學練戰(zhàn)一體化”的計算機網絡教學設計，

2.考試改革的目的

2.1原有考試存在的弊端

考試是檢驗教學質量和效果的重要手段。傳統(tǒng)的“期末閉卷筆試”已經不適應教學練戰(zhàn)一體化教學模式下的計算機網絡課程的考核，原因分析如下：

2.1.1將考試時間安排在期末，即所有教學內容已經完成，考試目的只是檢測“教”與“學”的最終效果，雖然閱卷過程中教師可以統(tǒng)計分析學生對教學重點、難點的掌握程度，但因為課程已經結束，無法及時反饋學生學習效果，不能良性促進課堂教學內容、手段、方法的調整。

2.1.2采用閉卷、筆試考試形式［2］［3］，測試內容偏重理論及理論的運用，導致學生忽視平時積累、考前集中突擊背誦，無法實現(xiàn)“養(yǎng)成素質、掌握知識、精通能力”的培養(yǎng)目標。

2.1.3紙質試卷無法檢驗“練”和“戰(zhàn)”的效果。在教學過程中，學生要借助PacketTracer仿真軟件，Wireshark協(xié)議分析軟件及硬件路由器、交換機等工具積累網絡規(guī)劃設計、運維管理能力。這些知識和技能的掌握程度無法通過一張紙質試卷檢測和評定。

2.2考試改革的目的

考試改革的出發(fā)點在于加強理論與實踐的結合，使學生通過實際動手操作，更深入地理解和掌握理論知識，靈活運用網絡原理解決網絡組建、應用過程中遇到的問題，這一考試改革的出發(fā)點符合公安院校應用型人才要“精于實戰(zhàn)”的培養(yǎng)目標。

3.考試改革的內容與組織形式

為充分發(fā)揮考試的檢驗與反饋作用，“計算機網絡”課程考試改革設置課堂作業(yè)、實驗實訓、期中測試、課程論文、上機測試五個考核環(huán)節(jié)，占比權重分別為10%、10%、20%、10%、40%。具體分析如下：

3.1課堂作業(yè)考評

課堂作業(yè)考評重點檢測學生對單元知識點的理解和掌握程度。教師隨堂布置作業(yè)，題目設計要緊扣教學重點和難點。通過學生的作業(yè)完成情況，教師可以及時調整教學安排，對于作業(yè)中的共性問題通過重點講解，結合案例深入剖析，使學生克服畏難心理，將理論部分扎實掌握。

3.2實驗實訓考評

實驗實訓考評重點檢測學生對軟硬件實驗平臺的熟悉程度，考核學生網絡規(guī)劃、設計、組建、故障診斷與維護網絡的能力。通?！坝嬎銠C”網絡課一學期有四個實驗實訓項目，教師指導完成其中的兩個驗證性實驗。另外一個設計型實驗和一個綜合型實驗列入考試改革考評、教師引導，學生以小組形式根據(jù)設定的網絡情境，進行組網方案設計和故障診斷排除，考評側重于方案設計、團隊組織分工、網絡性能評價等指標。

3.3期中測試

期中測試安排在期中教學檢查周隨堂進行，考核前半學期的教學重點，主要評估學生對基本知識和原理的掌握程度。期中測試以筆試閉卷或開卷形式進行，題目難度應適中或稍微增加難度。增加該環(huán)節(jié)，可以及時有效地反饋學生學習效果，提高學習主動性，堅持預習、學習、復習不間斷。

3.4課程論文

增加課程論文的目的是鼓勵學生在學習掌握現(xiàn)有網絡理論體系的基礎上，跟蹤網絡新技術與新應用的發(fā)展，探討前沿技術及應用在公安信息化、網絡安全保衛(wèi)執(zhí)法領域應用的現(xiàn)狀與趨勢。

3.5上機測試

基于仿真的上機測試是安排在學期末進行的綜合考試，在整個考評環(huán)節(jié)中占比最大，為40%，重點考核案例分析能力、發(fā)現(xiàn)問題解決問題的能力。結合培養(yǎng)方案和教學大綱的要求，上機測試設計三個大的題目，分別考評學生網絡工程、協(xié)議分析、網絡原理及應用的綜合知識和技能。

3.5.1網絡工程題要求學生根據(jù)題目設定的情境，進行局域網組網方案設計、規(guī)劃IP地址；在CiscoPacketTracer仿真平臺上進行路由器、交換機、服務器設備選型，按照規(guī)劃的網絡進行網絡設備聯(lián)網和調試；分析網絡連接狀態(tài)，完成故障診斷；最終在實現(xiàn)網絡連接、設備互聯(lián)互通。測試學生網絡工程實踐能力。

3.5.2協(xié)議分析題是對于特定環(huán)境下的網絡捕包文件進行分析，使用Wireshark軟件對應用層、傳輸層、網絡層、網絡接口層協(xié)議數(shù)據(jù)單元進行還原，從中提取出關鍵信息，測試學生根據(jù)捕獲數(shù)據(jù)流重現(xiàn)通信主機IP地址、使用賬號密碼、使用的軟件名稱、傳輸數(shù)據(jù)內容等網絡行為的能力。

3.5.3網絡原理及應用題目屬于綜合性題目，從網絡應用協(xié)議的工作原理、解釋網絡服務工作過程中遇到的應用現(xiàn)象出發(fā)，內容覆蓋了教學大綱中的多個知識點，這部分題目實際是考查學生理論聯(lián)系實際，并靈活運用理論指導實踐、解決實踐中遇到問題的能力。

4.考試改革實踐

我校2006年建立計算機網絡硬件實驗室，實踐教學增加了交換網絡、路由網絡、服務器搭建、協(xié)議分析等實驗。2010年在教學中引入CiscoPacketTracer仿真工具輔助學生課下自主學習。近年來，在教學練戰(zhàn)一體化教學模式下的“計算機網絡”改革過程中，為科學評價學生的學習質量和效果，不斷調整完善考試改革內容、方法和組織形式，最終形成課堂作業(yè)、實驗實訓、期中測試、課程論文、上機測試五個考核環(huán)節(jié)。根據(jù)連續(xù)兩年實施考試改革的實踐效果，對480名學生進行聽課狀態(tài)、作業(yè)質量、實踐能力、考試分數(shù)，以及學生學習其他專業(yè)課的知識儲備能力方面進行跟蹤評估，可以肯定該考試改革極大地調動了學生學習的主動性、創(chuàng)造性。學生能夠扎實掌握計算機網絡基礎知識和技能，靈活運用網絡知識和技能解決后續(xù)課程學習中遇到的困難。

5.結語

本文提出考試改革，采用多種形式對學生學習階段全過程考核，可以檢驗課程“教”“學”“練”“戰(zhàn)”的效果，理論與實踐相結合，提高學生學習的積極性、主動性，真正提高教學質量。

參考文獻：

［1］黃淑華.網絡仿真工具在警務實訓中的應用研究與實踐.警察技術，2012（4）.