Forensic Data Mining

Aus IT-Forensik Wiki

Data Mining ist Teil des interdisziplinären Feldes der Informationsverarbeitung bzw. gezielten Recherche in Datenbanken. Datenrecherche im Sinne des Data Mining begann in den 1980er Jahren und nahm in den 1990er Jahren rasant zu. Spezifische Techniken die entwickelt wurden, in Bereichen wie künstliche Intelligenz, maschinelles Lernen und Mustererkennung, wurden erfolgreich in Data Mining eingesetzt. Data Mining wurde in den verschiedensten Feldern erfolgreich eingeführt. Ein wichtiges Anwendungsgebiet für Data Mining Techniken ist das World-Wide-Web, aber auch in der kriminellen Forensik, speziell in der digitalen Forensik. Beispiele hierfür sind das Erkennen verschleierter krimineller Identitäten und das Erkennen von kriminellen Tätergruppen, die sich durch die verschiedensten illegalen Aktivitäten kennzeichnen, etc. Data Mining Techniken zielen in der Regel darauf ab, Erkenntnisse aus sehr großen Datenmengen zu gewinnen. Strafverfolgungs- und Militärorganisationen verlassen sich heute in hohem Maße auf die digitale Forensik. Im Informationszeitalter mit immer größer werdenden Datenmengen und deren immer schnelleren Verarbeitung der Daten, ist die Hauptproblematik, die Filterung, das Auffinden und die Auswertung der relevanten Daten. Nur mit den Techniken der digitalen Forensik, im speziellen des Data Mining, kann dieses Problem effizient angegangen werden. Die Techniken müssen ständig angepasst, weiterentwickelt und effizienter werden. Nur damit kann den Ermittlern eine wirksame „digitale“ Strafverfolgung ermöglicht werden und die Aufdeckung von Fällen digitaler Kriminalität erhöht werden. [1] [2] [3]


Speziell Cybercrime Data Mining:

Cyber Crime Data Mining ist die Extraktion von Daten im Zusammenhang mit Computerkriminalität zur Ermittlung von Kriminalitätsmustern. Angesichts der wachsenden Größe von Datenbanken stehen Strafverfolgungs- und Geheimdienstbehörden vor der Herausforderung, große Datenmengen zu analysieren, die mit kriminellen und terroristischen Aktivitäten zu tun haben. Eine geeignete wissenschaftliche Methode für die digitale Forensik ist daher das Data Mining. Crime Data Mining wird wie folgt klassifiziert:

1. Die Entitätsextraktion wurde verwendet, um Person, Login-ID, Passwort, ID-Nr., IP des Systems und persönliche Eigenschaften aus Berichten oder Protokollen automatisch zu identifizieren.

2. Clustering-Techniken wie „Concept Space“ wurden verwendet, um verschiedene Objekte (wie Personen, Organisationen, Hardwaresysteme) automatisch in Tatbeständen zuzuordnen.

3. Die Erkennung von Abweichungen wurde bei der Betrugserkennung, der Erkennung von Netzwerkeinbrüchen und anderen Kriminalitätsanalysen angewendet, bei denen abnormale Aktivitäten aufgespürt werden.

4. Die Assoziationsregel wurde angewendet, um Assoziationen zu finden, und sequentielle Muster zwischen Webtransaktionen basieren auf dem Apriori-Algorithmus. Die Ergebnisse des Data Mining nach der Analyse zeigen Motiv, Muster und Anzahl ähnlicher Angriffe in einer bestimmten Zeit.

  1. /Anwendertag_IT-Forensik/2014/Vortrag_Poppitz.pdf?_=1463500692, Vgl. Fast Detect (2014): Anwendung IT-Forensik „Big Data – Big Evidence?“. URL: https://www.sit.fraunhofer.de/fileadmin/dokumente /Anwendertag_IT-Forensik/2014/Vortrag_Poppitz.pdf?_=1463500692 (Stand: 01.07.2019)
  2. [1], Vgl. M.Nirkhi, R.V.Dharaskar, VM Thakre (2012). Data Mining: A PROSPECTIVE APPROACH FOR DIGITAL FORENSICS. URL: http://aircconline.com/ijdkp/V2N6/2612ijdkp04.pdf (Stand: 01.07.2019)
  3. [2], Vgl. K.K. Sindhu, B.B. Meshram (2012). Digital Forensics and Cyber Crime Datamining. URL: http://www.scirp.org/pdf/JIS20120300002_13729911.pdf (Stand: 01.07.2019)