Técnicas de agrupamento de textos aplicadas à computação forense

Dissertação (mestrado)—Universidade de Brasília, Departamento de Engenharia Elétrica, 2011. === Submitted by Jaqueline Ferreira de Souza (jaquefs.braz@gmail.com) on 2012-06-15T13:50:39Z No. of bitstreams: 1 2012_LuisFilipedaCruzNassif.pdf: 2383961 bytes, checksum: da0b72387006c228c284836d695f4629...

Full description

Bibliographic Details
Main Author: Nassif, Luís Filipe da Cruz
Other Authors: Hruschka, Eduardo Raul
Language:Portuguese
Published: 2012
Subjects:
Online Access:http://repositorio.unb.br/handle/10482/10718
Description
Summary:Dissertação (mestrado)—Universidade de Brasília, Departamento de Engenharia Elétrica, 2011. === Submitted by Jaqueline Ferreira de Souza (jaquefs.braz@gmail.com) on 2012-06-15T13:50:39Z No. of bitstreams: 1 2012_LuisFilipedaCruzNassif.pdf: 2383961 bytes, checksum: da0b72387006c228c284836d695f4629 (MD5) === Approved for entry into archive by Jaqueline Ferreira de Souza(jaquefs.braz@gmail.com) on 2012-06-15T13:50:55Z (GMT) No. of bitstreams: 1 2012_LuisFilipedaCruzNassif.pdf: 2383961 bytes, checksum: da0b72387006c228c284836d695f4629 (MD5) === Made available in DSpace on 2012-06-15T13:50:55Z (GMT). No. of bitstreams: 1 2012_LuisFilipedaCruzNassif.pdf: 2383961 bytes, checksum: da0b72387006c228c284836d695f4629 (MD5) === Em análises periciais de computadores, usualmente são examinados centenas de milhares de arquivos. Grande parte dos dados desses arquivos é constituída por texto não estruturado, cuja análise por parte dos peritos é difícil de ser realizada. Nesse contexto, o uso de métodos automatizados de análise baseados na mineração de textos é de grande interesse. Particularmente, algoritmos de agrupamento podem facilitar a descoberta de conhecimentos novos e úteis nos textos sob análise. Este trabalho apresenta uma abordagem para aplicar agrupamento de documentos em análises periciais de computadores apreendidos durante investigações policiais. Para ilustrar tal abordagem, foi realizado um estudo comparativo de seis algoritmos de agrupamento de dados (K-means, K-medoids, Single Link, Complete Link, Average Link e CSPA) aplicados a cinco bases de dados textuais provenientes de investigações reais. Foram realizados experimentos utilizando-se diferentes combinações de parâmetros, totalizando dezoito instanciações diferentes dos algoritmos. Adicionalmente, dois índices de validade relativos (Silhueta e sua versão simplificada) foram utilizados para estimar automaticamente o número de grupos. Estudos relacionados encontrados na literatura se mostram significativamente mais limitados do que o estudo aqui apresentado, especialmente ao se considerar a variedade de algoritmos utilizados e a estimativa automática do número de grupos. Nesse contexto, o presente estudo poderá servir como ponto de partida para aqueles interessados em desenvolver pesquisas neste domínio de aplicação específico. Além disso, os experimentos realizados mostram que os algoritmos hierárquicos Average Link e Complete Link proporcionaram os melhores resultados. Os algoritmos particionais K-means e K-medoids, quando adequadamente inicializados, apresentaram resultados similares àqueles obtidos pelos algoritmos hierárquicos. Este estudo também apresenta e discute diversos resultados práticos mais específicos que podem ser úteis para pesquisadores e praticantes de análises forenses computacionais. ______________________________________________________________________________ ABSTRACT === In computer forensic analysis, hundreds of thousands of files are usually analyzed. Most of the data available in these files consists of unstructured text that are hard to be analyzed by human beings. In this context, the use of automated techniques, based on text mining, is of great relevance. In particular, clustering algorithms can help to find new, useful, and potentially actionable knowledge from text files. This work presents an approach that applies document clustering algorithms to forensic analysis of computers seized in police investigations. It was carried out a comparative study of six clustering algorithms – Kmeans, K-medoids, Single Link, Complete Link, Average Link and CSPA – when applied to five textual databases derived from real cases. A variety of experiments, using different combinations of parameter values, have been performed by running 18 different instantiations of the algorithms under study. In addition, two relative validity indexes for automatically estimating the number of groups – the Silhouette index and its simplified version – have been empirically assessed. To the best of our knowledge, studies of this nature, especially considering a variety of different clustering algorithms and the automatic estimation of the number of clusters, have not been reported in the literature about computer forensics. This study can thus serve as a starting point for researchers interested in developing further research in this particular application domain. In brief, the experiments performed on five real-world datasets show that the hierarchical algorithms known as Average Link and Complete Link provided the best performances. The partitional algorithms K-means and K-medoids, when appropriately initialized, have shown similar performances to those hierarchical algorithms. This study also presents and discusses several practical results for both researchers and practitioners of computer forensic analysis