彭英杰

(青海民族大学计算机学院青海西宁 810007)

0 引言

当前总线网络取证信息的安全检索成为了未来人们获取取证信息与知识的主要手段［1］。由于信息站的建立，信息发布是大量、自由和无顺序的，且在取证信息的传输存储过程中，常会发生异变风险造成取证信息残缺、被篡改等现象，如果没有有效的风险控制措施，在总线网络中检索有用且安全的取证信息较为困难［2］。总线网络取证信息自动检索风险控制技术主要是搜索引擎风险控制技术，搜索引擎风险控制的实质就是一个专用控制器，该控制器可将总线网络中网站的取证信息组成庞大的取证信息数据库，用户使用关键词就可以在取证信息数据库中进行取证信息的检索，找出匹配的取证信息，同时该控制在检索过程中会对取证信息潜在的检索风险进行判断，将判断出的具有检索风险的取证信息进行过滤，并对其风险进行控制，从而降低取证信息的风险，使其能够实现后续的安全检索。要实现总线网络取证信息自动检索时的风险控制，已经有大部分的相关专家和学者对其进行研究，但至今仍未找到比较有效的风险控制途径［3-4］。现有的总线网络取证信息自动检索风险控制系统采用众包的方法进行设计。基于众包模式，利用架构设计总线网络取证信息自动检索风险控制系统，该系统主要包括服务端、客户端以及存储系统和主题系统4个模块。通过主题系统的分布式信息节点向服务器请求上传取证信息数据，利用分布式系统对取证信息数据进行快速处理并将处理的结果进行存储，然后进行检索风险控制软件设计。实验结果表明，该总线网络取证信息自动检索风险控制系统的配置较为简单，支持功能扩展，虽然具有较高的信息检索效率，但无法准确过滤出具有潜在检索风险的取证信息，致使风险控制效果差［5］。

针对上述问题，提出设计一种总线网络取证信息自动检索风险控制系统。实验结果证明，所提系统能有效地对总线网络取证信息自动检索的风险进行高精度控制，从而实现取证信息的安全检索。

1 检索风险控制系统整体构造设计

要对总线网络中取证信息的自动检索风险进行控制，需对总线网络取证信息的自动检索系统进行改进，在改进的总线网络取证信息自动检索系统的基础上，设计总线网络取证信息自动检索风险控制系统。对总线网络取证信息自动检索风险控制系统进行设计，需以系统的整体结构为基础。

在设计总线网络取证信息自动检索风险控制系统的过程中，依据取证信息自动检索的功能以及自动检索的要求，建立检索风险控制系统的整体结构，该总线网络取证信息自动检索风险控制系统由取证信息采集模块、检索风险控制模块、电源电路、接口电路和取证信息自动检索模块组成，图1表示总线网络取证信息自动检索风险控制系统的整体结构示意图。

图1 总线网络取证信息自动检索风险控制系统整体结构示意图

图1中，首先从取证信息数据库中输入取整信息数据，将输入的取证信息数据通过取证信息采集模块进行采集，取证信息采集后经过检索风险控制模块对采集后取证信息数据潜在的检索风险进行预测并加以控制，同时检索风险控制模块与电源电路相连接，使得受检索控制后的取证信息数据发送给DSP［6］，经过DSP进行取证信息自动检索，接口电路与取证信息采集模块和取证信息自动检索模块相连接。最终组成了总线网络取证信息自动检索风险控制系统的整体结构。

2 硬件设计

以总线网络取证信息检索风险控制系统的整体结构为依据，对控制系统的硬件部分进行划分设计。总线网络取证信息自动检索系统的硬件部分是由取证信息采集模块、检索风险控制模块、应用 STM32F407［7］完成的接口电路、电源电路和取证信息自动检索模块组成。各模块的具体设计过程如下:

2.1 取证信息采集模块

总线网络取证信息采集模块主要是完成取证信息的采集任务，采集的取证信息直接影响后续对这些取证信息数据进行处理、检索效率以及检索风险控制的效果，因此取证信息采集模块很重要。该取证信息采集模块首先经过数据库，进行取证信息的剥离、取证信息的隔离和取证信息的转换，而采集模块由通信接口和总线接口连接总控制区域，由总控制中心对其采集过程进行有效控制。

图2 取证信息采集模块

2.2 检索风险控制模块

经由取证信息采集模块采集到的取证信息，在进行自动检索前，需对其潜在风险进行过滤和控制，即设计了检索风险控制模块。通过进行全局总线网络中取证信息的搜索，对取证信息是否具有潜在风险进行判断，将有风险的取证信息进行过滤，进而对过滤后的取证信息的检索风险进行控制处理。借鉴过滤规则组织模式，结合该过滤规则具有一定的扩展性对检索风险控制模块进行设计。检索风险控制模块的示意图由图3所示。

图3 检索风险控制模块

检索风险控制模块主要采用控制器风险控制技术，结合过滤规则与基础的关键字过滤技术，经由取证信息过滤子模块对取证信息进行过滤，提高了信息检索风险控制的准确率。控制器链接的取证信息过滤模块在提交过滤后的取证信息前，先对取证信息是否具有潜在检索风险进行判断，不带有潜在检索风险的取证信息则被过滤出来，进行搜索总线网络的检索，亦或是访问总线网络检索，最后到达内部用户。

2.3 接口电路设计

图4表示网络信息自动过滤检索的电源电路图。

图4 电源电路图

电源电路的设计主要选用的型号为ENC28J60，具有PBI接口，符合电路要求。该系统采用 STM32F407结合ENC28J60完成总线网络取证信息的传输，STM32F407透过对芯片控制实现取证信息的收发通信。芯片连接PB11接口，分别连接 PBI进行中断输出，连接 PB12、PB13、PB14、PB15进行信息输入引脚。

2.4 接口电路

接口电路主要用于当总线网络产生故障时，将采集的取证信息数据进行存储，待总线网络恢复正常时，将总线信息传输至STM32F407芯片［8］。连接通过ASS接口进行实现，STM32F407依据服务器工作的情况进行读写，从芯片的CSLK的引脚输入到ID引脚，进行读取取证信息时，由OD引脚输入至STM32F407的SC引脚。取证信息的信号进行同步输入与输出。

2.5 取证信息自动检索模块

取证信息自动检索模块主要为实现对总线网络取证信息基本数据与模糊多条件的自动检索。同时还为实现对总线网络取证信息的数据代码以及取证信息的名称进行自动检索，为检索过程提供自动二次模糊检索功能，以提高检索结果的准确性。取证信息自动检索模块针对总线网络中取证信息间的隶属关系进行自主式查询，能查询出取证信息间的层次关系［9］。此外取证信息自动检索模块还可提供用户检索日志与检索信息量统计，实现动态的统计功能。

根据以上各模块的功能结构设计，整个总线网络取证信息检索风险控制系统主要包括取证信息的采集、取证信息的风险控制、无风险取证信息的过滤以及取证信息的自动检索，信息量检索统计，取证信息的新增以及取证信息的校验等主要功能。由此完成了总线网络取证信息检索风险控制系统硬件部分的设计，为系统软件部分的设计提供了优质的硬件环境。

3 软件设计

总线网络取证信息自动检索风险控制系统软件部分的主要核心问题是对检索过程的风险进行控制，其本质则是怎样有效地选择与检索相关度高的节点，找到检索相关度高的节点即可对检索风险进行有效控制。与检索相关度高的节点主要是指具有较多的与检索相关的文档，节点内的文档与检索相关度高的节点［10］。综合对量和质两个因素的考虑，信息检索的节点公式表示为:

公式 (1)中，rel(q，pj)表示考虑质与量得出的查询q与节点pj的相关度，rel(q，Cj)表示质，1g(|Cj|d)表示量。α与β表示可调的系数，取值决定rel(q，Cj)计算信息的准确性。

总线网络取证信息自动检索系统中的节点构建并维护节点资源描述 (PRD)，PRD包含节点内的词条。对于取证信息词条tn，运用语言模型(p(tn|Mdk))可计算出tn在总线网络取证信息Cj中权重wn:

公式 (2)中，|Cj|d表示pj节点的总线网络取证信息文档集Cj的大小，RAD表示总线网络取证信息文档的索引信息。利用散度计算检索q与总线网络取证信息文档Cj的相关度(rel(q，Cj))可表示为:

由公式 (3)能看出，rel(q，Ci)的值越大，pj与q就越相关。

对于拥有取证信息文档集C，在取证信息文档集C中存在与q相关的信息概率为:

公式 (4)中，R(q，di)表示取证信息文档di与检索的q有关，C包含的取证信息较多，C存在的和检索相关的取证信息概率就越大。

pi依据所在节点与检索的相关度rel(q，pi)，选择部分与q相关度高的节点，令这些取证信息节点进行检索任务，再返回查询的结果。将总线网络取证信息节点按与检索q的相关度进行从大到小排列，选择一部分的总线网络取证信息节点作为真正执行检索任务的节点。

所有和pi在同一总线网络取证信息节点都需要利用rel(q，pj)进行计算。由公式 (1)可知，rel(q，pj)需要计算的量较小，其他计算的开销可以忽略不计。由于pi管理的取证信息节点较少，进行排序的操作量也就较少，同时发送检索与返回结果占用的网络带宽也就较少。总线网络取证信息节点的优点是将检索的任务限定在与检索相关的节点，节省了总线网络取证信息节点的计算资源，还同时提高了总线网络取证信息自动检索结果的查准率，从而降低了取证信息的检索风险，实现对取证信息自动检索过程中检索风险的有效控制。

综合以上步骤，增加检索风险控制模块使得系统硬件结构充分对取证信息的潜在检索风险进行控制，并利用风险控制软件应用于检索风险控制模块，对取证信息的潜在检索风险进行精准控制，以确保后续检索的结果具有较高的准确性。

4 实验结果与分析

为证明总线网络取证信息自动检索风险控制系统的性能，需要进行一次实验。在DSP环境下搭建总线网络取证信息自动检索风险控制实验平台。实验数据来自KDDcup2016取证信息数据集，该数据集中包括150万条取证信息数据。利用改进系统进行实验，观察改进系统的有效性。

4.1 实验参数由来

硬件配置实验平台的CPU为Inter(R)CPUE5－26700，具有16个节点，内存为64G×11节点，存储为8T经过NFS进行共享，网络为千兆的以太网，操作系统为RedHatEnterpriseLinux6.3，Kernel2.6.32。JDKWEI1.7.0－79。总线网络取证信息自动检索风险控制系统具有取证信息过滤转换等设备，可完成取证信息风险过滤等功能。实验的软件平台为BBS2.1，能有效的进行取证信息的检索。利用上述实验数据对总线网络取证信息自动检索风险控制完成实验。

4.2 实验结果对比

表1表示改进系统与文献 ［8］系统、文献 ［9］系统的总线网络取证信息风险过滤效准确率对比。

表1 不同系统取证信息风险过滤准确率对比

分析表1可知，文献［8］系统的对总线网络取证信息潜在检索风险的过滤准确率要高于文献［9］系统对总线网络取证信息潜在检索风险的过滤准确率，是因为文献［8］系统是利用众包的模式对取证信息潜在风险过滤的过程进行分析，利用众包的方法是通过主题系统的分布式节点向服务器请求上传数据，利用分布式系统对取证信息进行快速处理并将处理的结果进行存储，文献［8］系统有效地提高了取证信息潜在检索风险的过滤准确率。文献［9］系统是利用分词算法进行取证信息潜在检索风险的过滤，采用结合主索引与增量索引的方案，该系统包含取证信息采集模块、取证信息风险过滤模块以及存储模块，系统执行的主机主要采用多进程方式，进行总线网络取证信息风险的过滤，并将索引进行合并。但是文献［9］系统的风险顾虑精度较差。改进系统对总线网络取证信息自动检索风险控制系统的硬件方面进行全面的改进设计，以取证信息风险控制为前提，实现取证信息自动检索，其中对取证信息的风险过滤过程提高了取证信息潜在风险过滤的准确率。由此证明该方法具有可行性。

网络带宽利用率的大小同样对风险控制的有效性有直接的影响。为此分别对文献 ［8］系统、文献 ［9］系统改进系统的网络带宽利用率进行测试，图5表示改进系统与文献 ［8］系统、文献 ［9］系统的网络带宽利用率 (%)对比结果。

图5 表示不同系统网络带宽利用率对比

分析图5可知，改进的总线网络取证信息自动检索风险控制系统的网络带宽利用率明显低于文献 ［8］系统基于众包方法的网络带宽利用率，且明显低于文献 ［9］系统基于分词算法的网络带宽利用率。是因为改进系统的取证信息自动检索风险控制是通过选择与检索相关度高的节点，与检索相关度高的节点主要是指具有较多的与检索相关的文档，节点内的文档与检索相关度高的节点。该风险控制过程能有效地降低网络带宽的利用率。而文献［8］系统是通过众包对总线网络的取证信息进行检索风险控制，文献［9］系统是通过分词算法对总线网络取证信息进行检索风险控制，文献［8］系统的带宽利用率相比文献［9］系统的带宽利用率还更低一些，利用率的波动也较明显，由此说明文献 ［8］系统与文献 ［9］系统可行性较低，由此说明改进系统的取证信息自动检索风险控制具有可行性。

CPU空间占用率同样会对风险控制的效果产生直接影响。为此测试不同系统的CPU空间占用率大小。图6表示改进系统与文献 ［9］系统、文献 ［10］系统的CPU空间占用率 (%)对比结果。

图6 不同系统的CPU空间占用率对比

对图6进行分析可知，文献 ［9］系统的取证信息自动检索风险控制的CPU空间占用率明显高于文献 ［10］系统的CPU空间占用率，文献［10］系统采用拓扑特征对总线网络取证信息自动检索风险控制系统进行设计，主要是对各模块的功能进行设计与实现，利用这些功能进行总线网络取证信息的自动检索，然后进行系统的风险控制软件设计完成对取证信息自动检索时的风险进行控制。虽然文献［10］系统相对于文献［9］系统CPU占用空间低一些，但和改进系统相对比CPU空间占用率还是高一些，由此说明改进系统对取证信息自动检索风险的控制有效性较强。

对比不同系统对取证信息自动检索风险的控制效果，图7表示改进系统与文献 ［8］系统、文献 ［10］系统的风险控制精度 (%)对比。

图7 不同系统取证信息自动检索风险控制精度对比

对图7进行分析可知，改进系统的取证信息自动检索风险控制精度明显高于文献 ［8］系统与文献 ［10］系统。文献［8］系统的取证信息自动检索风险的控制精度曲线虽然波动不明显，但和改进系统的控制精度曲线相对还是波动较大一些。而文献 ［10］系统的取证信息自动检索风险的控制精度从信息少时就较低，随着取证信息数据的增加并没有改善。由此说明改进系统能有效得对取证信息自动检索的风险进行控制。

5 结束语

采用当前系统对总线网络取证信息自动检索系统进行检索风险控制时，忽略了对取证细腻潜在检索风险的过滤，致使风险控制效果差，检索效率低和检索误差较高的问题。为此，提出一种总线网络取证信息自动检索风险控制系统。并通过实验进行验证，所提系统能有效地对总线网络取证信息自动检索过程中的潜在检索风险进行控制，满足取证信息的大批量安全检索的需求，提高了风险控制效果，检索效率，降低了检索的误差。随着网络信息检索风险控制的广泛应用和更多的研究者参与到检索风险控制理论与研究中，能够在为用户检索出更有效、更准确、更安全的取证信息方面，发挥巨大的作用。