基于D_S证据理论的网络异常检测方法_诸葛建伟

ISSN 1000-9825, CODEN RUXUEW E-mail: jos@https://www.sodocs.net/doc/f917203697.html,

Journal of Software, Vol.17, No.3, March 2006, pp.463?471 https://www.sodocs.net/doc/f917203697.html, DOI: 10.1360/jos170463 Tel/Fax: +86-10-62562563

? 2006 by Journal of Softwar e. All rights reserved.

?

基于D-S证据理论的网络异常检测方法

诸葛建伟+, 王大为, 陈昱, 叶志远, 邹维

(北京大学计算机科学技术研究所,北京 100871)

A Network Anomaly Detector Based on the D-S Evidence Theory

ZHUGE Jian-Wei+, WANG Da-Wei, CHEN Yu, YE Zhi-Yuan, ZOU Wei

(Institute of Computer Science and Technology, Peking University, Beijing 100871, China)

+ Corresponding author: Phn: +86-10-82529607, E-mail: zhugejianwei@https://www.sodocs.net/doc/f917203697.html,, https://www.sodocs.net/doc/f917203697.html,

ZhuGe JW, Wang DW, Chen Y, Ye ZY, Zou W. A network anomaly detector based on the D-S evidence

theory. Journal of Software, 2006,17(3):463?471. https://www.sodocs.net/doc/f917203697.html,/1000-9825/17/463.htm

Abstract: Network anomaly detection has been an active research topic in the field of Intrusion Detection for many

years, however, it hasn’t been widely applied in practice due to some issues. The issues include high false alarm rate,

limited types of attacks the approach can detect, and that such approach can’t perform real-time intrusion detection

in high speed networks. This paper presents a network anomaly detector based on Dempster-Shafer (D-S) evidence

theory. The detector fuses multiple features of network traffic to decide whether the network flow is normal, and by

such fusion it achieves low false alarm rate and missing rate. It also incorporates some self-adaptation mechanisms

to yield high accuracy of detection in dynamic networks. Furthermore, light-computation features are used to

develop an efficient fusion mechanism to guarantee high performance of the algorithm. On the 1999

DARPA/Lincoln Laboratory intrusion detection evaluation data set, this detector detects 69% attacks at low false

alarm rate. Such result is better than the 50% detection rate of EMERALD—the winner of 1999 DARPA/Lincoln

Laboratory intrusion detection evaluation, and results from other research projects.

Key words: intrusion detection; anomaly detection; D-S theory; evidence theory; data fusion

摘 要: 网络异常检测技术是入侵检测领域研究的热点内容,但由于存在着误报率较高、检测攻击范围不够全

面、检测效率不能满足高速网络实时检测需求等问题,并未在实际环境中得以大规模应用.基于D-S证据理论,

提出了一种网络异常检测方法,能够融合多个特征对网络流量进行综合评判,有效地降低了误报率和漏报率,并

引入自适应机制,以保证在实时动态变化的网络中的检测准确度.另外,选取计算代价小的特征以及高效的融合

规则,保证了算法的性能满足高速检测的要求.该方法已实现为网络入侵检测原型系统中的异常检测模块.通过

DARPA 1999年IDS基准评测数据的实验评测表明,该方法在低误报率的前提下,达到了69%的良好检测率,这一

结果优于DARPA 1999年入侵检测系统评测优胜者EMERALD的50%检测率和同期的一些相关研究成果.

关键词: 入侵检测;异常检测;D-S理论;证据理论;数据融合

中图法分类号: TP309文献标识码: A

? Supported by the Science-Technology Project of the National “Tenth Five-Year-Plan” of China under Grant No.2001BA802B07 (国

家“十五”科技攻关计划); the “Microsoft Fellow” Plan (微软学者计划); the “IBM Ph.D. Fellowship” Plan (IBM博士生英才计划)

Received 2004-11-04; Accepted 2005-07-11

464 Journal of Software软件学报 V ol.17, No.3, March 2006

入侵检测系统是网络安全防御体系的一个重要组成部分,它的基本原理是:通过对网络和主机上某些关键信息进行收集分析,检测其中是否有违反安全策略的事件或攻击事件发生,并对检测到的事件发出警报.基于机器学习的异常检测是一类重要的入侵检测技术,它是通过各种机器学习方法,建立起正常情况下某些特征的数据轮廓,检测期间则将当前收集到的数据与正常数据轮廓相比较,当两者达到一定的偏移时视为有异常发生,并进行报警.而在网络应用越来越广泛的今天,网络数据流是探测网络攻击行为的最佳数据源.所以,基于网络的入侵检测系统目前是研究最为集中、也是应用最为广泛的检测技术.本文关注于针对网络数据流的异常检测方法.

对网络异常检测方法的研究从1990年的第1个网络入侵检测系统NSM[1]问世开始,迄今为止,提出的方法有概率统计分析方法[2?6]、数据挖掘方法[7]、神经网络方法[8]、模糊数学理论[9]、人工免疫方法[10]、支持向量机方法[11?13]等.其中,基于概率统计分析方法实现了大量能够应用于实时网络流量异常检测的原型系统,包括DARPA 1999年IDS评测[14]优胜者EMERALD项目[15]中的eBayes组件[2],以Snort的第三方异常检测插件发布的Spade[3]等.但这些方法还存在着不足之处,首先,漏报率和误报率都还较高:EMERALD结合了特征检测和异常检测两种方法,虽然是DARPA 1999年评测的优胜者,但检测率仅达到了50%;而Spade仅针对导致网络流量显著异常的扫描和洪水攻击,其误报率也较高;其次,虽然大部分方法使用多种特征来加大检测范围,但没有融合多个特征进行综合评判,或仅根据专家经验给出简单的特征组合公式[6],而没有任何理论根据;另外,大部分的方法[2?6]需要干净的训练数据集,而这一前提在真实的网络环境中并不能够确保;最后,有些方法[4?6]使用了数据包应用负载中的特征进行检测,虽然利用这些特征有助于提高检测率,但由于应用负载的数据量过大,使用这些特征往往导致检测算法不能够满足高速网络的检测需求.

为了克服上述方法的缺点,本文提出了一种基于D-S证据理论[16]的网络异常检测方法,并通过原型实现和实验评测分析、验证了其有效性.D-S证据理论可以看作是有限域上对经典概率推理理论的一般化扩展,其主要特性是支持描述不同等级的精确度和直接引入了对未知不确定性的描述,这些特性在处理某些特征的差异不足以区分正常或攻击的情况时有着较大优势.Dempster证据组合规则也为融合多个网络流特征提供了理论依据.在一些研究工作中,D-S证据理论也已被引入到网络异常检测领域,如融合多个传感器数据进行异常检测[17],但其检测范围仅限于拒绝服务攻击.

本文针对包括探测、拒绝服务攻击及远程到本地攻击等绝大部分网络攻击方法,采用多个计算量小且区分度高的网络流特征,通过概率统计原理建立每个特征的正常数据轮廓,并基于D-S理论融合这多种特征对网络流量进行综合评判,从而确定当前网络流是否异常.同时还引入了自适应机制,以保证本文提出的网络异常检测方法的通用性及检测的准确性.通过DARPA 1999评测数据[14]进行测试获得的实验结果表明,本文提出的网络异常检测方法在保证较低误报率的前提下,达到了69%的较高检测率.

本文第1节介绍D-S证据理论背景.第2节全面阐述基于D-S证据理论的网络异常检测引擎.第3节给出算法原型实现及实验结果,并对实验结果进行分析和对比.第4节给出本文的结论.

1 D-S证据理论背景

D-S证据理论由Dempster于1967年提出[16],其学生Shafer将其发展并整理成一套完整的数学推理理论.D-S证据理论可以看作是有限域上对经典概率推理理论的一般化扩展,其主要特性是支持描述不同等级的精确度和直接引入了对未知不确定性的描述.D-S证据理论可以支持概率推理、诊断、风险分析以及决策支持等,并在多传感器网络、医疗诊断等应用领域内得到了具体应用.

D-S证据理论是建立在非空有限域Θ上的理论,Θ称为辨识框架(frame of discernment,简称FOD),表示有限个系统状态{θ1,θ2,…,θn},而系统状态假设H i为Θ的一个子集,即Θ的幂集P(Θ)的一个元素.D-S证据理论的目标是仅根据一些对系统状态的观察E1,E2,…,E m推测出当前系统所处的状态,这些观察并不能够唯一确定某些系统状态,而仅仅是系统状态的不确定性表现.作为D-S证据理论最底层的概念,首先需要定义对某个证据支持一个系统状态的概率函数,称为信度分配函数(basic probability assignment,简称BPA).

诸葛建伟 等:基于D-S 证据理论的网络异常检测方法

465 定义1. 信度分配函数定义为从Θ的幂集到[0,1]区间的映射:∑∈==→)(1)(,

0)(],1,0[)(:θΦΘP A A m m P m .

D-S 证据理论中还提出了对多个证据的组合规则,即Dempster 规则.

定义2. Dempster 规则形式化定义如下:

设m 1和m 2为两个证据的信度分配函数,则对这两个证据的组合得出组合证据的信度分配函数为

?≠=⊕∑=∩?A C m B m K A m A m A C B when )()()()(211

21 (1) 其中K 为归一化因子,∑≠∩=A C B C m B m K )()(21.

对n 个证据进行组合的Dempster 一般化规则为 ?≠=∑=?A A m A m A m K A m n n A A n

n i i when )(...)()()(22111..1∩,)(...)()(2211n n A A n A m A m A m K i i ∑≠=∩ (2)

2 基于D-S 证据理论的网络异常检测引擎

在网络异常检测领域中,将网络流量的状态定义为正常和攻击两类,而异常检测算法的目标就是根据对网络流量各种特征的观察去评价其是否包含攻击行为.由于网络攻击一般会在多个不同的特征上表现异常,因此,依据D-S 证据理论,融合多个特征上得到的观察作出综合评判,将能够有效地提高异常检测的准确度.

2.1 系统架构

基于D-S 证据理论的思想,本文提出了一种融合多种特征的网络异常检测方法.系统架构如图1所示,选取多个区分度较高且容易计算的网络流量特征,通过概率统计方法对这些特征的正常轮廓进行学习和维护.在检测阶段,首先根据当前流量的特征值与正常轮廓的偏差给出此特征值的信度,然后通过基于D-S 证据理论的多特征融合算法对多个特征值的信度进行组合,给出这多个网路流特征对网络流量是否异常的综合信度,并最终作出当前网络流量是否异常的评判.本文还引入了一些老化和实时更新机制来保证网络异常检测方法对网络流量变化的自适应性.

下面将分别从网络流特征选取与量化、基于D-S 证据推理的检测引擎以及网络流自适应机制3个方面对本文提出的网络异常检测方法进行详细论述.

Fig.1 Architecture of network anomaly detector based on the D-S evidence theory

图1 基于D-S 证据理论的网络异常检测引擎系统架构

Feature quantify Network traffic Flow feature 1

Flow feature n

Profile 2Profile 1Profile n Assign BPA

Assign BPA

Assign BPA D-S fusion engine Assessment Flow feature 2

466

Journal of Software 软件学报 V ol.17, No.3, March 2006

2.2 网络流特征选择与量化 目前,异常检测中的特征选取一般都依赖于专家经验,选取的标准在于:选择的特征对正常及异常的区分度较高,且从网络流量中量化该特征值的计算量较小.本文提出的基于D-S 证据理论的网络异常检测方法对选取特征无任何限制.但出于对检测性能的考虑,在本文所提出方法的实现中,只选取了从应用层以下各层协议头部中的域值通过简单计算即可获得的特征.

我们根据网络流的源、目标IP 地址和IP 协议类型、服务端口对网络流进行分类,以获取网络流统计特征.首先,对网络流量根据源-目标IP 地址对进行分类,形成多个源-目标IP 对节点;然后,再利用服务协议(即IP 协议类型和服务端口号)进行二级分类,对不同的服务协议分别建立对应的服务协议节点;第3层则根据不同的源端口号将源-目标对之间属于同一服务协议的不同网络流区分开;而每个网络流包括一个服务流和一个客户流,构成第4层.每个层次上的节点都维护了不同层次关注的网络流特征.另外,我们维护了两张向量表——源层特征和目标层特征,分别用来记录属于同一源IP 地址和发往同一目标的所有网络流的统计特征.

当入侵检测系统监听到一个数据包时,首先通过此分类模型逐层寻找对应的节点:若不存在,则新建节点并统计网络流特征;若存在,则只需维护更新相关的特征.基于此网络流分类模型,就可以获得在各个层次上的网络流内部特征及统计特征的取值.

2.3 基于D-S 证据理论的检测引擎

由于网络异常检测只需要根据观察到的网络流量特征来判断网络流的状态是否异常,根据D-S 证据理论, 取辨识框架Θ为{N ,A },N 为正常,A 为异常,有?=∩A N .定义信度分配函数0)(],1,0[}),({:=?→m A N P m , m ({N ,A }+m (N )+m (A ))=1.其中m (N )表示当前特征支持正常行为的信度,m (A )则表示支持异常的信度,而m ({N ,A }=1?m (N )?m (A )表示根据该证据不能确定属于正常行为或攻击事件的信度,即支持未知的信度.

定义3. 期望偏差函数:设X 为一个随机变量,若数学期望E (X )与标准差σX 存在,则称X

X E x x σξ|)(|)(?=为X 上的期望偏差函数,即偏离数学期望多少个标准差.

我们基于期望偏差函数来定义信度分配函数,这是因为期望偏差函数比概率分布更能够反映特征异常程

度,期望偏差描述了一个特征值与数学期望的距离,根据切比雪夫不等式21))(|(δ

δξ≤≥x x P ,概率分布随着期望偏差的增大呈平方量级递减,因此使用期望偏差与概率分布也保持了一致性.

图2描述了信度分配函数的基本设计原则,即当特征值的期望偏差较小(ξ<ξ1)时,表明该期望值处于一个

较正常的范围内,因此支持正常流量的信度应较大,同时支

持异常及未知的信度较小;随着期望偏差的增大,该特征值支持正常流量的信度将快速降低,而支持异常和未知的信度将逐渐升高,在一个临界点(ξ=ξ2),支持未知的信度将达到极值,同时支持异常的信度将超过支持正常的信度;在越过此临界点后,支持未知的信度将下降,而支持异常的信度将快速提升,并在ξ>ξ3这段区间内超越支持未知的信度. 在如图2所示的信度分配函数的基本设计原则下,我

们通过从训练数据中计算得出对正常和异常特征值区分最

为适当的ξ1,ξ2,ξ3这3个坐标点,并调整m (N ),m (A ), m (Θ)3

条信度分配函数曲线,从而适应正常轮廓曲线.

使用单个特征,我们很难将攻击事件(特别是隐蔽攻击)

和正常行为完全区分开.因此,如果使用单一特征进行异常

检测,则我们很难保证漏报率和误报率同时很低.而事实上,正常行为很难在几个特征同时呈现较异常的取值.与之相反,攻击动作通常会同时造成多个特征出现异常.因Fig.2

by deviation from expectation 图2 根据期望偏差定义的信度分配函数

m (N )

m (A )

诸葛建伟 等:基于D-S 证据理论的网络异常检测方法 467 此,我们考虑通过对多个观察事件进行融合分析来提高检测的准确性,以期望在降低误报率的前提下尽量检测出全部攻击事件.

Dempster 一般化组合规则已被证明为P 完全难解问题[18],但在本文的应用场景中,即识别框架为只有两个互斥元素时,Dempster 规则的计算代价是O (n ),从而可以证明本文提出的对多个网络流特征信度的融合算法的时间代价为O (n ),其中n 为网络流特征个数.

定理1. Dempster 组合规则在Θ={N ,A },?=∩A N 的情况下的计算时间是O (n ).

首先我们可以证明:在识别框架为两个互斥元素的情况下,Dempster 规则满足结合律,即证明 )()()(1...1...1A m A m A m n n n ⊕=? (3) 证明过程如下:

).

()( )

()()()()()()()()()()

()()()()()( )

()()()()()()()()()()()()()()()( )()()...()()()()...()()()()...()()()()...()()()()...()()()()...()()()()...()()()()...()( )

( )...()()

( )...()()(1...11...11...11...11...11...11...11...11..111...111...111...111...111...111...111...111...111221111221111221111221111221111221111221111221122112211...1A m A m m m m N m N m N m m A m A m A m A m m m A m A m A m m K m m K N m N m K N m m K A m A m K A m A m K m m K A m A m K A m m A m A m A m m A m A m A m N m A m A m A m m A m A m A m A m A m A m A m A m A m A m A m m A m A m A m A m A m A m A m A m A m A m A m A m A m A m n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n n A n n n N A n n n N A n n n A A n n n A A n n n A n n n A A n n n A A n n n n A n n A A n i i i i i i i i i i i i i i i i i i i i ⊕=++++++=++++++=???

?????+???

?????+????????+???

?????+????????????????+???

?????+????????==?????????????????????????Θ=??=??=??=??=??Θ=??=??=???

≠=∑∑∑∑∑∑∑∑∑∑ΘΘΘΘΘΘΘΘΘΘΘΘΘΘΘΘ∩∩∩∩∩∩∩∩∩∩ 在上述结合律的基础上,由数学归纳法容易证得:

)(...)()()(21..1A m A m A m A m n n ⊕⊕⊕= (4) 而两个证据的组合公式可以在常数时间内运算获得.因此,n 个观察证据的组合信度m 1…n (A )的计算可以通过式(4)在n ?1个步骤内完成,代价为O (n ).因此,本文提出的网络异常检测方法符合检测的高性能需求.

根据上述过程对n 个网络流特征值的信度分配进行融合,得到综合信度评价,即m 1…n (A ),m 1…n (N )与 m 1…n (Θ),分别表示n 个网络流特征对攻击事件、正常情况与未知的支持信度.然后,根据这3个值的最大者给 出当前网络流异常、正常或者不能确定是否异常的综合评判.

2.4 网络流自适应机制

网络流量具有实时变化性,即使是同一网络,在不同的时间段也会存在差异.因此,不能总是使用静态不变的系统正常轮廓去检测,而要引入正常轮廓对网络流量变化的自适应机制.

我们实现的自适应机制如图3所示.在初期学习阶段,由于还未从足够多的网络流量学习获得可用的轮廓,将不对特征取值进行异常评定,而仅仅将这些特征取值通过学习机制获得网络流量特征轮廓.由于我们并不依赖于完全干净的训练数据,因此需要根据特征取值的概率分布剔除异常取值点,保证轮廓反映了正常的流量特征取值分布.然后进入在线检测阶段,在线检测阶段进行检测的同时,对当前正常的网络流量也进行学习,将原有的轮廓进行老化,并结合新的特征取值分布,获得新的轮廓,提供给下一时刻异常检测使用.

468 Journal of Software软件学报 V ol.17, No.3, March 2006 引入网络自适应机制,使得本文的网络异常检测方法能够方便地部署在实际网络上,无须完全干净的训练

数据,经过短时间适应训练能够马上发挥效果,并通过对网络流量变化的实时适应能力保证了检测准确性

.

Fig.3 Self-Adaptation mechanism

图3 网络流量自适应机制

3 原型实现及实验分析

本文提出的基于D-S证据理论网络异常检测方法在网络入侵检测原型系统Morpheus上进行了实现,作为它的一个检测模块,称为流异常检测器(flow anomaly detector,简称FAD),并通过基准评测数据集对其进行实验测试.

3.1 测评数据背景

FAD使用MIT林肯实验室开发的DARPA 1999年IDS评测数据集进行了实验测试.DARPA 1999年评测数据包括覆盖了Probe,DoS,R2L,U2R和Data等5大类58种典型攻击方式,是目前最为全面的攻击测试数据集.同时,作为研究领域共同认可及广泛使用的基准评测数据集,DARPA 1999年评测数据为新提出的入侵检测算法和技术与其他算法之间的比较提供了可能.DARPA 1999评测数据给出了5周的模拟数据,其中前两周是提供给参于评测者的训练数据:第1周为不包含任何攻击的正常数据;第2周中插入了属于18种类型的43次攻击实例.后3周的数据则用于评测:第3周为正常数据;第4周、第5周中包含了属于58种类型的201次攻击实例,其中40种攻击类型并没有在前两周的训练数据中出现,属于新的攻击类型.

18个研究中的IDS系统参与了1999年的评测,优胜者为SRI International提交的EMERALD系统,在其检测范围内的169个攻击实例中检测出85个,检测率为50%.此外,58种攻击类型中有21种类型共计77个攻击实例被划分为Poor Detected,参与测评的系统最多也仅能检测其中的15个攻击实例.

3.2 实验结果

在我们对FAD的评测实验中,使用了Mahoney实现的报警结果评测工具[4],其所采用的评测标准完全按照DARPA在1999年对各个参与系统进行评测的方案.我们在FAD的实现中采取了如下8个网络流特征: ? TGT_SVCNT:一台主机同时被访问的服务类型数量;

? TGT_CLTRSTCNT:一台主机同时被客户端Reset的网络流数量;

? PEER_TCPANCNT:一对主机间同时违反TCP协议规范的次数;

? SV_SVTYPE:内部网的服务器IP及其服务类型;

? SV_FLOWCNT:对一个服务同时发起的网络流数目;

? SV_REQCNT:一个服务中客户端发出的请求包数量;

诸葛建伟等:基于D-S证据理论的网络异常检测方法469

? TCPFLAG:TCP的标志位;

? IPFRAG:IP协议分片长度和分片位.

在FAD的一次运行中,我们首先使用第1周和第3周共10天的内部网监听数据文件作为训练数据,之后对

第4周和第5周的内部网监听数据和外部网监听数据都进行检测,得到的检测结果见表1.

Table 1Results of FAD evaluation (Based on 1999 DARPA IDS evaluation dataset)

表1FAD实验结果(DARPA 1999 IDS评测数据集)

Attack type Detection rate (false alarm below 10 per day)

Probe 34/37(92%)

DoS 44/65(68%)

R2L 31/56(55%) U2R/Data 11/43(26%)

New 26/62(42%)

Stealthy 21/36(58%)

All 119/201(59%) In scope (Probe+DoS+R2L) 109/158(69%)

Poor detected 40/77(52%)

3.3 与相关工作的比较

与本文同样关注于网络异常检测的研究工作较多,本节仅列出使用DARPA 1999基准IDS评测数据进行测

评并公布结果的相关检测系统,并将FAD获得的实验结果与它们进行比较.DARPA 1999评测中获得优胜的EMERALD[15]系统采用了eBayes异常检测部件[2],eBayes的基本思想是:基于贝叶斯网络模型,通过学习获得各

种特征对所属攻击类的条件概率,然后据此对网络流进行分类,判断其是否属于某种攻击.PHAD,ALAD和NETAD是Mahoney[4]的博士论文中提出的异常检测方法:PHAD仅关注包头字段特征;ALAD则使用了应用协

议负载中的命令及参数信息进行异常检测;而NETAD则结合了包头字段特征和有效负载特征.PAYL方法[5]则

仅对各种应用协议负载中的字符分布进行建模,根据字符的异常分布情况对攻击进行检测.以上3种方法虽然

都使用了多种特征,但未能将其进行融合评判.同时,使用应用协议负载中的特征,将使得异常检测过程需要处

理数据量庞大的负载,其计算代价往往不能适应高速网络流量检测的性能需求.

表2给出了FAD的实验结果以及与一些同类研究工作的评测结果之间的比较.

Table 2The comparison of FAD and related work

表2FAD与相关工作实验结果的对比

System Detection method Detection rate Detection rate

in the scope

Detection rate of poor

detected attacks

EMERALD

Expert system &

anomaly detection

85/201(42%) 85/169(50%) 15/77(19%)

PHAD Anomaly detection using

packet header fields

54/201(27%)

46/102(45%)

(Probe+DoS)

17/77(22%)

ALAD

application payload 60/201(30%)

(R2L+U2R+Data)

14/77(18%)

NETAD Combine

PHAD

with

ALAD 132/201(66%)132/201(66%) 44/77(57%)

PAYL

Anomaly detection based on

application payload distribution

No data 57/97(59%) No Data

FAD Anomaly detection based on D-S

fusion of multiple flow features

119/201(59%)

109/158(69%)

(Probe+DoS+R2L)

40/77(52%)

可以看到,FAD在只使用传输层以下特征.不涉及应用层有效负载的情况下,达到了较高的检测率,总共检测率超过了DARPA 1999年的优胜者EMERALD,而检测范围内的检测率也略优于结合了包头字段特征和有效负载特征的NETAD[4].此外,PHAD和NETAD检测攻击中的一大部分依赖于源IP地址特征(PHAD:11/54, NETAD:72/132),而Adamic等人通过对网站访问源IP地址的实验统计数据研究[19]发现,无论训练周期有多长,观察到的新客户源IP地址总是会以常数速度增长.因此,源IP地址属于异常非一致性特征,不宜用其进行异常评估.PHAD和NETAD对用源IP地址特征检测到的大部分攻击无法进行解释,与测评数据中仅包含少量源IP 地址有关.而在用插入真实背景流量的DARPA 1999测评数据进行评测的结果中,也发现了此特征的检测攻击

470 Journal of Software软件学报 V ol.17, No.3, March 2006

数量大为减少[4].另外,FAD对DARPA 1999年测评中检测最不理想的几类攻击(隐蔽的portsweep,ipsweep,queso 等)的检测率也达到了52%,比测评中最好的19%的结果有较大提高,仅略低于总共检测率.这也说明FAD对大部分隐蔽攻击的检测是理想的.

4 结论

D-S证据理论作为一种新兴的不确定性推理理论,已经被用于多传感器网络、医学诊断等领域.本文探讨了其在网络异常检测领域中的应用,提出了一种基于D-S证据理论的网络异常检测方法,并使用DARPA 1999年IDS基准评测数据进行了实验,得出的实验结果表明,该算法在较低误报率的基础上达到了理想的检测率,与相关研究工作的实验结果的对比分析也说明该算法具有相当的优势.随着多源异构分布式入侵检测系统的发展,可以预见D-S证据理论在入侵检测领域内的应用将越来越广泛.

本文提出的网络异常检测方法还需要在某些方面做进一步的研究,包括:扩展数据源,使其能够融合主机上获取的一些特征;在能够获取部分攻击数据的前提下,研究如何学习获得每个特征的区分度和覆盖率,并据此确定在多特征融合时其所占的权重大小等.

References:

[1] Heberlein L, Dias GV, Levitt KN, Mukherjee B, Wood J, Wolber D. A network security monitor. In: Proc. of the IEEE Computer

Society Symp. Research in Security and Privacy. 1990. 296?304. https://www.sodocs.net/doc/f917203697.html,/papers/pdfs/th-gd-90.pdf

[2] Valdes A, Skinner K. Adaptive, model-based monitoring for cyber attack detection. In: Debar H, Mé L, Wu SF, eds. Proc. of the

3rd Int’l Workshop on the Recent Advances in Intrusion Detection (RAID 2000). LNCS 1907, Heidelberg: Springer-Verlag, 2000.

80?92.

[3] Staniford S, Hoagland JA, McAlerney JM. Practical automated detection of stealthy portscans. Journal of Computer Security,

2002,10(1/2):105?136.

[4] Mahoney VM. A machine learning approach to detecting attacks by identifying anomalies in network traffic [Ph.D. Thesis].

Melbourne: Florida Institute of Technology, 2003.

[5] Wang K, Stolfo SJ. Anomalous payload-based network intrusion detection. In: Jonsson E, Valdes A, Almgren M, eds. Proc. of the

7th Int’l Symp. on Recent Advances in Intrusion Detection (RAID 2004). LNCS 3224, Heidelberg: Springer-Verlag, 2004.

203?222.

[6] Krugel C, Toth T, Kirda E. Service specific anomaly detection for network intrusion detection. In: Lamont GB, Haddad H,

Papadopoulos G, Panda B, eds. Proc. of the 2002 ACM Symp. on Applied Computing. New York: ACM Press, 2002. 201?208.

[7] Lee W, Stolfo SJ. A framework for constructing features and models for intrusion detection systems. ACM Trans. on Information

and System Security, 2000,3(4):227?261.

[8] Manikopoulos C, Papavassiliou S. Network intrusion and fault detection: A statistical anomaly approach. IEEE Communications

Magazine, 2002,40(10):76?82.

[9] Zhang J, Gong J. An anomaly detection method based on fuzzy judgment. Journal of Computer Research and Development,

2003,40(6):776?783 (in Chinese with English abstract).

[10] Aickelin U, Greensmith J, Twycross J. Immune system approaches to intrusion detection—A review. In: Nicosia G, et al., eds. Proc.

of the 3rd Int’l Conf. on Artificial Immune Systems. LNCS 3239, Heidelberg: Springer-Verlag, 2004. 316?329.

[11] Rao X, Dong CX, Yang SQ. An intrusion detection system based on support vector machine. Journal of Software, 2003,14(4):

798?803 (in Chinese with English abstract). https://www.sodocs.net/doc/f917203697.html,/1000-9825/14/798.htm

[12] Li KL, Huang HK, Tian SF, Liu ZP, Liu ZQ. Fuzzy multi-class support vector machine and application in intrusion detection.

Chinese Journal of Computers, 2005,28(2):274?280 (in Chinese with English abstract).

[13] Xiao Y, Han CH, Zheng QH, Wang Q. Network intrusion detection method based on multi-class support vector machine. Journal of

Xi’an Jiaotong University, 2005,39(6):562?565 (in Chinese with English abstract).

[14] McHugh J. Testing intrusion detection systems: A critique of the 1998 and 1999 DARPA offline intrusion detection system

evaluation as performed by lincoln laboratory. ACM Trans. on Information and System Security, 2000,3(4):262?294.

诸葛建伟 等:基于D-S 证据理论的网络异常检测方法

471

[15] Porras PA, Neumann PG. EMERALD: Event monitoring enabling responses to anomalous live disturbances. In: Proc. of the 20th

National Information Systems Security Conf. Baltimore. 1997. 353?365. https://www.sodocs.net/doc/f917203697.html,/papers/emerald-niss97/

[16] Dempster A. Upper and lower probabilities induced by multivalued mapping. Annals of Mathematical Statistics, 1967,38(2):

325?339.

[17] Siaterlis C, Maglaris B. Towards multisensor data fusion for DoS detection. In: Haddad HM, Omicini A, Wainwright RL, Liebrock

LM, eds. Proc. of the 2004 ACM Symp. on Applied Computing. New York: ACM Press, 2004. 439?446.

[18] Orponen P. Dempster’s rule of combination is #P-complete. Artificial Intelligence, 1990,44(1-2):245?253.

[19] Adamic LA, Huberman BA. Zipf’s law and the Internet. Glottometrics 3, 2002. 143?150.

附中文参考文献:

[9] 张剑,龚俭.一种基于模糊综合评判的入侵异常检测方法.计算机研究与发展,2003,40(6):776?783.

[11] 饶鲜,董春曦,杨绍全.基于支持向量机的入侵检测系统.软件学报,2003,14(4):798?803. https://www.sodocs.net/doc/f917203697.html,/1000-9825/14/

798.htm

[12] 李昆仑,黄厚宽,田盛丰,刘振鹏,刘志强.模糊多类支持向量机及其在入侵检测中的应用.计算机学报,2005,28(2):274?280.

[13] 肖云,韩崇昭,郑庆华,王清.一种基于多分类支持向量机的网络入侵检测方法.西安交通大学学报,2005,39(6):562?565.

诸葛建伟(1980－),男,浙江瑞安人,博士

生,主要研究领域为入侵检测与关联分

析,蜜罐与蜜网技术,网络攻防技术.

叶志远(1963－),男,高级工程师,主要研究领域为网络与信息安全.

王大为(1977－),女,硕士生,主要研究领

域为入侵检测.

邹维(1964－),男,研究员,主要研究领域为网络与信息安全.

陈昱(1966－),男,副研究员,主要研究领

域为入侵检测与关联分析,模式识别.

2018年10月自考00370刑事证据学试题和答案

2018年10月高等教育自学考试全国统一命题考试 刑事证据学试卷和答案 (课程代码00370) 本试卷共4页，满分l00分，考试时间l50分钟。 考生答题注意事项： 1．本卷所有试题必须在答题卡上作答。答在试卷上无效，试卷空白处和背面均可作草稿纸。 2．第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。 3．第二部分为非选择题。必须注明大、小题号，使用0．5毫米黑色字迹签字笔作答。 4．合理安排答题空间，超出答题区域无效。 第一部分选择题 一、单项选择题：本大题共10小题，每小题l分，共10分。在每小J题列出的备选项中只有一项是最符合题目要求的，请将其选出。 1．法定证据制度产生于 A．原始社会 B．奴隶社会 C．封建社会 D．资本主义社会 2．从立法上来看，最早确立自由心证的国家是 A．德国 B．日本 C．法国 D．意大利 3．经人民法院通知，鉴定人拒不出庭作证的鉴定意见 A．由检察院重新收集证据 B．不可以作为定案依据 C．由法院裁量是否作为定案依据 D．视案件而定是否作为定案依据 4．检查的对象是 A．案件现场 B．犯罪嫌疑人 C．物品 D．尸体 5．如果缺少刑事证明，审判将失去 A．原则和方向 B．标准和动力 C．依据和根基 D．准则和目的 6．传统广义的“大证明”观，将当事人承担的责任称之为 A．证明责任 B. 举证责任 C．收集责任 D．鉴定责任 7．无可争议的、审判人员履行职务都应当知晓的事实是 A．司法认知 B．预决的事实 C．程序事实 D. 众所周知事实 8．被告人能够承担证明责任的案件是

A．自诉案件 B．公诉案件 C．反诉案件 D．追诉案件 9．当没有相反证据出现时，法律推定推出的事实就成为 A．已知爵实 B．基础事实 C．案件事实 D．法律事实 10．非法证据排除规则的确立须通过一系列 A．事实 B．政策 C．判例 D．制度 二、多项选择题：本大题共l0小题，每小题2分，共20分。在每小题列出的备选项中 至少有两项是符合题目要求的，请将其选出。错选、多选或少选均无分。 11．对神示证据制度的评价正确的有 A，结果无科学性、可靠性 B．以“神灵显示”作为标志 C．与古代实行的弹劾式诉讼制度相适应 D．与古代生产力发展水平相适应，带有一定的科学性 E．适应了奴隶主阶级借助神威巩固其统治地位的需要 12．在证据法的价值体系中，最基本的价值包括 A．自由 B．法治 C．秩序 D．公正 E．效率 13．广义证明观的刑事证明主体包括 A．公安机关 B．检察院 C．法院 D．当事人 E．证人 14．刑事证明对象的客观方面主要包括 A．时间 B．地点 C．手段 D. 行为 E．后果 15．“谁主张、谁负责”规则的基本要求包括 A. 主张方举出证据 B. 证明后的实证 C. 证据符合证明程度要求 D．承担责任方承担败诉责任 E．举证责任在于举 16．逮捕需具备的条件包括 A．立案条件 B．证据条件 C．罪贲条件 D．供述条件 E．社会危险条件 17．我国原始证据优先规则适用于 A．物证 B．人证 C．鉴定意见 D．勘验笔录 E．书证 18．非法证据排除的作用有 A．保障宪法性权利 B．阻吓违法取证 C．维护司法纯洁 D．维护司法程序正义 E．避免冤假错案

浅议网络证据保全公证一般质证要点

浅议网络证据保全公证一般质证要点 近年来，我国涉及网络著作权纠纷、交易服务纠纷、侵害他人隐私权、名誉权或商业秘密纠纷，以及网络域名归属纠纷等案件呈不断上升趋势。尤其是涉及网络著作权纠纷案件急剧增加。据山东法院统计，2010年上半年，山东法院共新收网络著作权纠纷案件与去年同期相比增幅达234％，呈现出“集中爆发、高幅增长”的态势，重点集中于“视频分享网站”传播影视作品、网吧传播影视作品、网络侵犯录音制品和文字作品著作权等三类纠纷。由于网络侵权具有即时性、多重性、易被篡改性等特性，绝大多数网络侵权案件的当事人只能借助网络证据保全公证，来主张、维护自己的合法权益。 网络证据保全公证，又称“涉网公证”，它有别于“网络公证”。中国人民大学法学院刘品新副教授在2004年2月24日《揭开“网络公证”的面纱》一文中指出：“涉网公证”是指公证程序中的某个步骤或环节通过互联网来实现，或者公证的对象与网络有关，它既没有突破传统公证的业务框架，也没有改变传统公证的性质和流程，仍属于传统公证的形式；而“网络公证”则是一个全新的概念，它要求有特定的网络公证机构，利用计算机和互联网技术，对互联网上的电子身份、电子交易行为、数据文件等提供增强的认证和证明，以及证据保全等的公证行为。由于我国立法尚未明确规定电子证据的法律效力，“网络公证”还处于

研讨时期、真正投入实践有待于技术和法律两个方面的完善，“涉网公证”就当然成为保全网络侵权证据最常见、最有效的方式。但是，由于目前我国“涉网公证”亦处于起步阶段，“涉网公证”的制度、规范和队伍、物质建设尚不能适应网络的飞速发展，“涉网公证”存有瑕疵的现象难以避免，给司法实践带来一些困惑。因此，当律师作为网络侵权案件一方的代理人参与到诉讼中时，熟悉把握“涉网公证”庭审一般质证要点，对于保证案件审判质量，乃至促进“涉网公证”制度、规范和队伍建设，维护网络版权环境，推动我国互联网的健康发展，都有着一定意义。 传统公证主要有五个方面的特征：⑴公证是由专门的机构和专职法律人员进行的一种特殊的证明活动；⑵公证机构要依照法律规定的程序进行公证活动；⑶公证证明的对象是法律行为、有法律意义的文书和事实；⑷公证的标准是真实性、合法性；⑸公证证明具有特殊的法律效力。既然“涉网公证”属于传统公证的形式，它就应当具有上述传统公证的基本特征。根据有关法律、法规和各地公证机关办理“涉网公证”的经验，以及个人办理“涉网公证”案件的体会，“涉网公证”庭审一般质证内容应以传统公证的基本特征为指导，主要把握以下几点： 1、公证步骤是否严密 我国公证实行的是实质性审查，不但要对事实的真实性做出证明，还负有对行为的合法性进行审核的责任。公证步骤严密是保证严格进行真实性、合法性审查的前提。因此，在对“涉网公

如何完善网络电子证据保全以及注意事项

遇到诉讼问题？赢了网律师为你免费解惑！访问>> https://www.sodocs.net/doc/f917203697.html, 如何完善网络电子证据保全以及注意事项 随着我国经济的不断发展，电子技术和信息技术飞速突起，截止2009年12月，根据(CNNIC)发布《第25次中国互联网络发展状况统计报告》，我国网民规模已到达3.84亿，互联网普及率进一步提升，达到28.9%，我国手机网民首超1.2亿，手机上网已成为我国互联网用户的新增长点。目前电子技术和信息技术已经成为人们生活中的一个重要内容，但是互联网领域的道德体系和法律制度建设相对滞后，不和谐的现象时有发生;电子商务中的违约或者商业欺诈现象泛滥;公民的名誉权、隐私权、肖像权等通过网络被侵犯;知识产权更是成为网络侵权的重灾区等，一旦发生纠纷，它具有易被删除性、易被修改性和能被无限复制性的特点。网络证据其是否具有证据效力、是否能在讼诉中被采纳，是一个亟待解决的问题。 一、电子证据的概念与特征 网络证据实质上即为电子证据，也称为计算机证据，是指以数字的形式保存在计算机存储器或外部存储介质中，能够证明案件真实情况的数据或信息。例如一些企业的日常业务和商务往来都实现了“无

纸文书管理”，存储在计算机硬盘或软盘中的有关文件利用电脑打印出来，或者通过法律对网络证据办理证据保全公证。 目前电子证据是现代高科技术发展的重要产物，是现代科学技术的发展在诉讼证据上的体现，它有以下特征： 第一，技术含量高。电子证据也称为“计算机证据”，电子证据以计算机技术、存储技术甚至网络技术为基础，如果没有外界蓄意篡改或伪造，它具有较高的证明力。因此，电子证据的收集需要计算机专家来进行。 第二，易删除性、易修改。电子证据是以电子形式存储在各种电子介质上的，这些新型的信息介质由于具有很高的技术含量，往往存储的数据量或信息量大。信息本身就是看不见、摸不着的，不法分子作案也通常采用那些无形的电子数据和信息，这使得不法分子很容易转移或毁灭罪证。在日益普及的网络环境下，数据的通信传输又为操纵计算机提供了更便利的机会，而行为人往往具有各种便利条件，更易变更软件资料，随时可以毁灭证据。而且计算机操作人员的差错或供电系统、通信网络的故障等环境和技术方面的原因都会使电子证据无法反映真实的情况。 第三、复合性。由于多媒体技术的出现，信息在计算机屏幕上的

DS证据理论

一.D-S证据理论引入 诞生 D-S证据理论的诞生：起源于20世纪60年代的哈佛大学数学家A.P. Dempster利用上、下限概率解决多值映射问题，1967年起连续发表一系列论文，标志着证据理论的正式诞生。 形成 dempster的学生G.shafer对证据理论做了进一步发展，引入信任函数概念，形成了一套“证据”和“组合”来处理不确定性推理的数学方法 D-S理论是对贝叶斯推理方法推广，主要是利用概率论中贝叶斯条件概率来进行的，需要知道先验概率。而D-S证据理论不需要知道先验概率，能够很好地表示“不确定”，被广泛用来处理不确定数据。 适用于：信息融合、专家系统、情报分析、法律案件分析、多属性决策分析

二.D-S证据理论的基本概念 定义1 基本概率分配（BPA） 设U为以识别框架，则函数m:2u→*0,1+满足下列条件： (1)m(?)=0 (2)∑A?U m(A)=1时 称m(A)=0为A的基本赋值，m(A)=0表示对A的信任程度也称为mass函数。 定义2 信任函数（Belief Function） Bel:2u→*0,1+ Bel(A)=∑B?A m(B)=1(?A?U) 表示A的全部子集的基本概率分配函数之和

ｍ个mass函数的Dempster合成规则 其中K称为归一化因子，1?K即∑A1?...?A n=?m1(A1)?m2(A2)???m n(A n)反映了证据的冲突程度

四.判决规则 设存在A1,A2?U ,满足 m(A1)=max{m(A i),A i?U} m(A2)=max{m(A i),A i?U且A i≠A1} 若有： m(A1)?m(A2)>ε1 m(Θ)<ε2 m(A1)>m(Θ) 则A1为判决结果，ε1，ε2为预先设定的门限，Θ为不确定集合五.D-S证据理论存在的问题

《刑事证据学》历年真题全套试题

2.1 00370刑事证据学真题及答案（2004年4月份） 一、单项选择题 1．刑事证据的基本属性是[ D ] A．客观性、关联性、直接性B．主观性、直接性、合法性 C．主观性、关联性、合法性D．客观性、关联性、合法性 2．下列选项中，不能作为证人的是[ B] A．生理上、精神上有缺陷的人B．承办本案的司法人员 C．年幼的人D．本案当事人的近亲属 3．以下关于被害人陈述的表述中，正确的是[ ] A．被害人陈述都是直接证据 B．被害人死亡的，其法定代理人可以代替他提供被窖人陈述 C．被害人陈述作为诉讼证据，可以包括严惩犯罪分子的要求 D．被害人陈述是一种独立的证据 4．有权指定医院对精神病进行医学鉴定的是[ ] A．省级人民政府B．省级公安机关C．省级人民检察院D．省级人民法院 5．为了查明案情，在必要的时候可以进行侦查实验。有权批准侦查实验的是[ ] A．公安局长B．刑警队长C．派出所所长D．检察长 6．在侦查阶段，有权依法主持勘验、检查工作的人员应当是[ ] A．鉴定人B．侦查人员C．法医D．侦查机关聘请的专家 7．依法扣押犯罪嫌疑人的邮件、电报，经查明确实与案件无关的，侦查机关将其退还邮电部门的时限是[ ] A．7天以内B．5天以内C．3天以内D．24小时以内 8．某项证据可以证明被告人没有作案时间或不具有作案的条件，该项证据属于[ ] A．“法定减免型”辩护证据B．“酌情减免型”辩护证据 C．“直接否定式”辩护证据D．“釜底抽薪式”辩护证据 9．在以下关于言词原则的各项表述中，正确的是[ ] A．言词原则即直接原则 B．言词原则的实质是要求定案时必须具有言词证据 C．言词原则是我国刑事诉讼法明确规定的诉讼原则 D．言词原则要求诉讼必须以言词方式进行 10．下列各事项中，属于刑事诉讼中无须证明的事项的是[ ] A．证据材料B．程序法方面的事实 C．预决的事实D．实体法方面的事实 二、多项选择题(本大题共10小题，每小题2分，共20分)在每小题列出的五个备选项中有二个至五个是符合题目要求的，请将其代码填写在题后的括号内。错选、多选、少选或未选均无分。 11．英美证据法中的证据可采性规则包括[ ] A．相似事件或类似事件，不能作为证据使用 B．当事人的品格通常不得作为认定案情的证据 C．以非法方法获取的证据材料，不具有可采性 D．传闻证据不具有可采性 E．证人对案情所发表的“意见”，一般不得采用为证据 12．下列各项证据中属于物证的有[ ]

网络证据保全公证之异地取证

网络证据保全公证之异地取证－－槐荫公证处李法东 2010-11-21 15:14:33 作者：admin浏览次数：98 网络证据保全公证之异地取证 济南市槐荫公证处-李法东 内容摘要：我国《国家知识产权战略纲要》将“修订惩处侵犯知识产权行为的法律法规，加大司法惩处力度。提高权利人自我维权的意识和能力。降低维权成本，提高侵权代价，有效遏制侵权行为。”做为加强知识产权保护的战略重点，同时将“有效应对互联网等新技术发展对版权保护的挑战。妥善处理保护版权与保障信息传播的关系，既要依法保护版权，又要促进信息传播。”列为版权之专项任务。我国于2001年修订《中华人民共和国著作权法》时增设了“信息网络传播权”这一新颖的、独立的权利，标志着我国著作权法进入了网络时代。随后，国家版权局和信息产业部（现为“工业与信息化部”）于2005年联合出台了《互联网著作权行政保护办法》，国务院于2006年正式颁布了《信息网络传播保护条例》。由此，我国旨在保护网络著作权的信息网络传播权规范体系已初步建立起来。在信息网络传播领域，怎样调整权利人、网络服务商和作品使用者之间的利益关系，是我们不得不面对的问题。本文力争从公证理论与实务的角度探讨证据保全所遇到的问题及解决方案，以期引起有兴趣的朋友对于侵权证据的进一步关注，目的以利于维护信息网络传播权的权利人、作品使用者、网络服务商之间利益的平衡，促进信息网络传播权保护与公众信息获得权之间的和谐发展。 关键词：对侵权证据的保全、受托人名义申请公证、异地取证 在信息网络传播中，公证机构保全证据可以有效地防止证据灭失，为人民法院和行政机关及时解决纠纷提供可靠的事实依据，对于保护自然人、法人的合法权益具有重要意义。就公证层面上来说，“保全证据是指公证机构对于日后可能灭失或者难以取得的证据，依法事先加以提取、收存、固定、描述，以保持该证据的真实性和证明力的措施”①。保全证据公证由当事人住所地、行为或者事实发生地的公证机构受理。公证机构办理保全证据公证，可以根据具体情况采取绘图、照相、录像、录音、复制、封存、非专业性鉴定和勘验、制作笔录等方法和措施，并制作详细的工作记录。保全证据过程中涉及到专业技术鉴定、评估的事项，应当由当事人委托专业机构办理，或者征得当事人的同意由公证机构代为委托。办理保全互联网上实时数据证据的公证，应当使用公证机构的计算机或者无利害关系的第三人的计算机进行。公证人员或者当事人应当按照当事人提供的书面操作程序进行操作。公证人员应当按照操作

浅析法定证据制度

浅析法定证据制度 证据制度是诉讼制度的灵魂，是法制建设的重要环节之一。其基本涵义是指关于证据概念，种类及运用证据之规则的总和。证据制度具体体现在各类诉讼法典和其他法律之中，包括证据的分类制度，证据的收集、查证、认证及证据保全等制度。证据制度作为一国诉讼制度的重要内容之一，其重要性是显而易见的。 首先，证据制度决定着实体公正的实现程度。通过证据制度的各项规则，明确应受追诉者，保护无辜者。因此，完善证据制度对于实现法律的最终目的，即实体正义与程序正义，具有极其重要的意义。 其次，证据制度决定着一国司法制度先进与否。司法制度先进与否关键在于其程序制度能否有效地保证实体公正的实现。证据制度作为一国诉讼制度的核心必然决定着实体公正的实现程度。因此，要较大程度地实现实体公正，即诉讼最终结果必须以先进的证据制度为保障。由此可见，一国司法制度先进与否，最终决定于该国证据制度的发展状况。 在国外，证据制度作为诉讼法的一项基础制度，广受关注。相较而言，我国的证据立法尚不完善，证据理论研究也还处于初步阶段。我国实行实事求是的证据制度。其主要内容是司法人员办理刑事、民事、行政诉讼案件，必须坚持从实际出发，采取调查研究的方法，以充分，可靠的证据为根据，准确地查明案件的真实情况。具体情况具体分析，实事求是，是我国证据制度的基本精神 .我国现行的证据制度对于维护我国的社会秩序起过非常重要的作用。但是随着我国社会、经济、政治条件的逐步转变，公民的权利观念日趋增强，尤其是我国庭审方式逐渐由职权主义向当事人主义转换，我国现行证据制度已不适目前司法实践的需要。 首先，随着社会主义市场经济有序地发展。市场观念、个人本位已深入人心。在此情况下，人们对行为的判断更为理性，从而对诉讼结果的可预测性要求更高。因此，司法实践迫切需要以科学、完备的证据规范排除诉讼过程中的意外因素。我国原则的证据立法根本无法适应这种新情况。 其次，现行证据制度的滞后已经在很大程度上阻碍了我国诉讼制度的进一步发展。改革开放以后，我国的诉讼制度有了较大的改善，形成了较为完备的诉讼法体系。它以各诉讼法典为基础，辅以大量的司法解释及个案批复，各诉讼法律制度大多处于良性发展之中。但我国现行证据制度的滞后，明显阻碍了我国诉讼制度的进一步发展。要想使我国诉讼制度改革取得进一步推进，必须对作为诉讼制度核心的证据制度进行改革。 证据制度的改革迫在眉睫。为此，我们必须搞清楚我国现行证据制度存在的问题，通过分析其存在的问题进而谋求解决问题的途径。 一、我国现行证据制度存在的问题分析 （一）首先从宏观上加以分析 第一，我国证据制度的立法过于原则。

证据理论的广泛应用和不足(仅供参考)

在现实生活中，国家、政府、企业和个人都离不开决策，决策是人类社会的 一项基本活动，小到个人选择上班路线，大到国家分配有限的社会资源，都是一 个决策的过程。决策存在于社会经济系统、生产系统、工程系统，乃至生活的各 个方面，决策结果对于整个工作或全局行动的成败起着至关重要的作用。任何决 策都是人对事物的评价和选择，都是建立在人类对客观事物的认识和人类改造客 观世界的实践基础之上，由于客观世界的不确定性、模糊性、变化性、多样性等， 导致人们主观认识上的种种不足与误差，加上决策过程中时间的有限性和决策者 认识的局限性，决定了决策的复杂性。因此，在现实决策中，决策者获得的信息 往往是不完整的、不精确的，甚至是矛盾的。根据人们获得的决策信息的完整性， 决策可以分为确定性决策和不确定性信息决策[1]。 证据理论是对概率论的一种扩展，在不需要得知先验概率分配的前提下，以 简单的形式推出较好的融合结果，因此采用证据理论进行决策的关键在于两点： 一是构造一个合适的基本概率分配函数；而是选择一个合理的证据合成公式和方 案排序准则。 证据理论广泛的应用于不完全信息决策领 域，如图像识别、模式识别、故障诊断、专家系统、风险评估等。国内外学者的 研究已经证明，证据理论能够有效地解决属性值不完全、属性权重信息不完全或 者效用函数未知的不完全信息多属性决策问题。 目前关于证据理论的研究，主要集中在以下几个方面：理论研究，如冲突证 据的合成问题，相关证据的合成问题等；证据理论的扩展问题，主要是把证据理论引入不完全信息多属性决策中，如证据理论与其他决策方法的结合使用，如与 神经网络网络方法的结合使用，与AHP方法的结合使用等；实践应用研究，如 证据理论在面相识别、故障诊断、遥感分类、水质监测、决策评价、信用评估中 的应用研究等。本文将重点研究冲突证据的处理问题和证据理论在不完全信息多 属性决策中的应用问题。 用基于证据理论的信息融合方法，进行目标识别、检测和分类有很多优点。 它不需要任何先验信息和条件概率，能成功地将“不确定”、“未知”等认知学 上的重要概念引入到融合模型中。证据理论“将基本概率赋值分配给鉴别框架 中的命题，这和传统的概率分布有着本质的不同。特别是，通过给整个鉴别框 架分配基本概率赋值，反映了缺少足够的可用信息来进行决策”[3]。 尽管利用证据理论处理不确定信息有着独特的优点，但仍存在不少问题， 主要有以下四个方面。其一，组合条件苛刻，要求证据之间相互独立。其 二，现有的证据组合规则无法处理冲突证据，且无法分辨证据所在子集的大小 。其三，证据理论会引起焦元“爆炸”，焦元以指数形式递增。其四， 基本概率赋值获取困难，如何根据实际情况构造基本概率赋值函数，是实际应 用中的一难题川。本章针对证据组合规则无法处理冲突证据的问题，在分析现 有的证据组合方法的基础上，对证据理论进行研究和改进，并将改进后新的证 据组合方法应用于工件类型的识别中。

科学证据的概念

科学证据的概念 科学证据1并非法定证据2的一种，而是学理上对证据进行的一种分类。“分类是一种把握事物共性同时辨识事物特性的逻辑手段。分类不仅能使人的认识条理化，而且能实现处置上的目的性与有效性。正是出于这样的认识目的和行为目的，证据法对不同形态的证据在形式上进行分类。”3按照是否具有高科技含量为标准，可以将证据划分为科学证据和经验证据。其中，不具有科技含量的证据称为经验证据；具有科技含量的证据称为科学证据。如此划分，目的在于更好地认识科学证据的特征和属性，更好地理解、把握和运用科学证据。由于视角不同，国内外学者关于科学证据内涵与外延的界定很不一致。概括起来，主要有以下几种。 （1）以属性特征为视角。这种观点将科学证据视为一类具有科技含量的专家意见（鉴定意见），属言词证据中的意见证据，并以此为出发点界定科学证据。如英国学者保罗·罗伯茨认为科学证据就是在案件中的科学或技术问题超出了律师、法官和陪审团的知识和专业 1关于科学证据的称谓存在一定的分歧。陈学权等人将此类证据称为“科技证据”，认为科学证据中的科学不仅指“科学”，而且包括“技术”，用“科技证据”更加符合汉语习惯；张斌等使用“科学证据”指称该类证据，认为从词源上讲“科学证据”更加符合英文“scientific evidence”的汉译并且从理论上讲“科学证据”也具备科学哲学上的依据。出于法律语言的统一性、规范性要求，本文在论述中一律采用“科学证据”的称谓。参见陈学权.科技证据论——以刑事诉讼为视角[M]. 北京:中国政法大学出版社, ，张斌. 论科学证据的概念[J]. 中国刑事法杂志,2006, 8(6):48－52，陈永佳.关于科学证据的几个基本理论问题探析[J]. 新疆警官高等专科学校学报, 2009(2):36 2我国三大诉讼法关于证据的分类基本一致。《刑事诉讼法》第42条将证据分为七种类型，即：“（一）物证、书证；（二）证人证言；（三）被害人陈述；（四）犯罪嫌疑人、被告人供述和辩解；（五）鉴定结论；（六）勘验、检查笔录；视听资料。”《民事诉讼法》第63条规定：“证据有下列几种：（一）书证；（二）物证；（三）视听资料；（四）证人证言；（五）当事人的陈述；（六）鉴定结论；（七）勘验笔录、现场笔录。”《行政诉讼法》第31条规定的证据种类有“（一）书证；（二）物证；（三）视听资料；（四）证人证言；（五）当事人的陈述；（六）鉴定结论；（七）勘验笔录、现场笔录。”民事诉讼和行政诉讼关于证据的分类基本一致，与刑事诉讼的差异主要是因为诉讼性质的不同。关于我国现行法律证据的分类，学界存在较大的争议。参见裴苍玲. 论证据的种类[J]. 法学研究, 2003,25(5):45－50，龙宗智. 证据分类制度及其改革[J]. 法学研究, 2005, 27(5):86－95，裴苍玲. 再论证据的种类[J]. 中国刑事法杂志, 2009, 11(11):49－59 3龙宗智. 证据分类制度及其改革[J]. 法学研究,2005, 27(5):86

浅议刑事证据法在刑事诉讼活动中的功能

浅议刑事证据法在刑事诉讼活动中的功能 姓名：陈开梅（贵州瓮安邮编：550400 ） 刑事证据法是研究司法机关在刑事诉讼活动中调查和运用证据证明案件事实的方法、规律以及证据法律规范的学科。刑事证据法的核心问题是解决证据的客观真实性、合法性和关联性，及如何借助司法机关司法人员的主观认识如实的反映和再现案件实施的发生过程。本文旨在研究刑事证据法的构成及其体系，进而揭示刑事证据法在刑事诉讼活动中的功能作用。 一、刑事证据法的构成及其体系 作为刑事诉讼法的有机组成部分，刑事证据法所规范的对象主要是刑事法庭在控、辩双方的参与下认定案件事实的全部过程。从广义上看，无论是证据的出示、审查和采纳以及控、辩双方的举证、质证和辩论，还是整个司法证明的范围、责任和标准等事项，几乎都属于证据法所规范的内容。 通常意义上的“证据规则”与“程序规则”是有区分的。这是确定刑事证据法之规范体系的关键所在。一般来说，法律有实体法与程序法之基本分类。凡是规范各种法律主体之实体权利、义务和责任的法律，都可归入实体法的范围；而那些为实施实体法而确立的程式、方法、步骤则构成程序法的主要内容。刑事证据法作为刑事诉讼程序规范的有机组成部分，自然应具有广义上的“刑事程序法”的性质。不过，上述有关实体法与程序法分类的说法也不能绝对化，在刑事诉讼法所确立的诉讼程序中就可能包含着一些特定的“实体要素”和“程序要素”。其中，前者所确定的是特定诉讼行为的标准、范围、条件、法律后果等，后者则涉及实施该项诉讼行为的主体、方式、期限、裁决方式以及救济途径等事项。 在刑事证据法所包含的证据规则中，有些就属于这种带有“实体要素”的规则（以下简称“实体性规则”）。这主要是指两种证据规则：（1）有关证据能力的规则；（2）有关司法证明的范围、责任和标准的规则。还有些证据规则属于带有“程序要素”的规则（以下简称“程序性规

网络证据保全公证中需要注意的问题

网络证据保全公证中需 要注意的问题 Company number：【0089WT-8898YT-W8CCB-BUUT-202108】

网络证据保全公证中需要注意的问题 浅议网络证据保全公证中需要注意的问题 互联网产生40多年来已成为世界上最迅捷、最广泛的信息传播媒介，已越来越多地影响和改变了我们日常生活。随之而来的，各种基于网络的纠纷也层出不穷。基于网络的不稳定、易破坏、可修改等特性，通过公证方式保全网络证据正被越来越多的作为预防和解决网络纠纷的有效法律途径之一。 根据《公证法》及相关规定，保全证据公证是指公证机构根据自然人、法人或者其他组织的申请，依法对与申请人权益有关的、有法律意义的证据、行为过程加以提取、收存、固定、描述或者对申请人的取证行为的真实性予以证明的活动。《公证法》规定：“经公证的民事法律行为、有法律意义的事实和文书，应当作为认定事实的根据，但有相反证据足以推翻该项公证的除外。”同时，我国《民事诉讼法》规定：“经过法定程序公证证明的法律行为、法律事实和文书，人民法院应当作为认定事实的依据。但有相反证据足以推翻公证证明的除外。”最高人民法院《最高人民法院关于民事诉讼证据的若干规定》也有类似规定，即已为有效公证文书所证明的事实，当事人无需举证证明。由此可见，经公证保全的证据凭借法定的公信力，以令人信服的证明力，能有效地预防纠纷，更有利于保护被侵权人的合法权益。 由于网络环境的复杂性和多元性，网络信息的易更改、删除、复制等特点，传统公证视野中“眼见为实”的观点已不再那么可靠，加之网络技术较强的专业性，往往使得通过传统作业模式制作的公证书受到强烈地质疑，严重影响了公证公信力。结合工作实践，笔者认为应注意以下问题： 注意办理网络保全公证的地点。 为最大程度的避免公证处外出保全取证所导致的利害关系人对网络证

信息与计算科学论文 证据理论在就业选择决策中的应用

证据理论在就业选择决策中的应用 摘要 本论文从证据理论的角度出发，着重研究大学生在就业选择问题上应如何做决策，提出了一种基于证据理论的就业选择决策方法。针对大学毕业生就业选择时可能考虑到的因素，通过问卷调查列出大部分毕业生就业选择时较为重视的五个因素，并结合毕业生对所考虑因素的偏重度进行综合考虑及分析。基于D-S 证据理论，建立以不同的就业公司即A，B，C，D，E组成的识别框架，构建以录用率、工资、假期、工作环境、交通满意度为证据体的融合决策模型。利用多属性决策和D-S 证据理论建立的大学生就业选择决策模型，不仅可以尽可能的考虑到了大学毕业生就业时重视的一些条件，进而帮助大学毕业生顺利就业。通过一个简单的大学生就业选择实例分析，充分说明了该模型在处理大学生就业选择决策方面的效性和可行性。 关键字：证据理论；多属性决策；焦元；决策矩阵；mass 函数

Abstract From the perspective of evidence theory, this paper focuses on college students should be how to make decisions on employment selection problem, this paper proposes a employment choice decision-making method based on evidence theory. For college graduates employment may consider when the choice of factors, most of the graduate employment options listed by questionnaire more attention to the five factors, combined with the graduates by consideration of the degree of lay particular stress on comprehensive consideration and analysis. Based on D - S evidence theory, set up in different jobs the company A, B, C, D, E of recognition framework, build to employment rate, salary, vacation, work environment, traffic satisfaction decision model for the integration of body of evidence. Use of multiple attribute decision making and D - S evidence theory to establish a model for university students' employment choice, not only can be considered as possible when the attention of some university graduates employment conditions, to help university graduates employment. Through a simple example analysis of university students' employment choice, fully illustrates the model in dealing with the effectiveness and feasibility of university students' employment choice decisions.

D-S证据理论在目标识别中的应用

科技信息 ＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹＩＮＦＯＲＭＡＴＩＯＮ2013年第7期※基金项目：此文为西安工业大学校长科研基金项目研究成果，项目编号XAGDXJJ1042。 作者简介：马颖（1979—），男，西安工业大学，工程师，研究方向为量子信息、信号处理等。 在现代电子战中，依靠单传感器提供信息已无法满足战争的需要，必须运用包括雷达、声纳、电视、红外、激光、电子支援措施(ESM)以及电子情报技术(ELINT)等多种传感器，来提供多种观测数据。多传感器数据融合对来自多个传感器的数据进行多级别、多方面、多层次的综合处理，以更好地进行状态、属性估计，并完全和适时地进行态势和威胁评估[1-2]。在多传感器信息融合系统中，各传感器提供的信息一般是不完整、不精确、模糊甚至可能是矛盾的，即包含着大量的不确定性。信息融合中心不得不根据这些不确定性信息进行推理，以得到目标身份识别和属性判决的目的[3-7]。 D-S 证据理论具有较强的理论基础，既能处理随机性所导致的不确定性，又能处理模糊性所导致的不确定性。它可以不需要先验概率和条件概率密度，依靠证据的积累，不断地缩小假设集，能将不知道和不确定区分开来。本文应用D-S 证据理论对多传感器雷达目标信息进行识别，计算结果证实了该方法的有效性。 1D-S 证据理论简介 Dempster 和Shafer 在20世纪70年代提出了D-S 证据理论。该 理论在概率的基础上对概率论的概念进行了扩展。把概率论中的事件扩展成了命题，把事件的集合扩展成了命题的集合，并提出了基本概率赋值、信任函数和似真度函数的概念,建立了命题和集合之间的一一对应关系，从而把命题的不确定性问题转化为集合的不确定性问题。 1.1识别框架 设U 表示X 所有可能取值的一个论域集合，且所有在U 内的元素是互不相容的，则称U 为X 的识别框架。U 可以是有限也可以无限，在专家系统的应用中是无限的。1.2基本概率赋值 设U 为一识别框架，若函数m ：2U →0，→→ 1满足：A 奂U ∑m （A ）＝1 m （准）＝0 则称m （A ）为A 的基本概率赋值。m （A ）表示对命题A 的精确信任度，表示了对A 的直接支持。1.3信任函数 设U 为一识别框架，m ：2U →0，→∑ 1是U 上的基本概率赋值，定义函数： BEL ：2U →0，→∑ 1BEL （A ）＝ B 奂A ∑ m （B ） （坌A 奂U ） 称该函数是U 上信任函数。 BEL （A ）＝B 奂A ∑m （B ）表示A 的所有子集的可能性度量之和，即表示 对A 的总信任，从而可知：BEL （准）＝0，BEL （U ）＝11.4似真度函数 设U 为一识别框架，定义PL ：2U →0，→∑ 1为：PL （A ）＝1－BEL （A ）＝ ∑B ∩A ≠准 m （B ） PL 称为似真度函数。PL （A ）表示不否定A 的信任度，是所有与A 相交的集合的基本概率赋值之和。 信任度和似真度概括了证据对具体的命题A 的关系。它们之间的关系如图1所示，它构成了一个完整的证据空间。 在证据理论中，［BEL （A ），PL （A ）］称为命题A 的信任度区间，［0，BEL （A ）］表示命题A 支持证据区间，［0，PL （A ）］表示命题A 的似真区间，［PL （A ），1］表示命题A 的拒绝证据区间，PL （A ）-BEL （A ）为命题A 的不确定度，其值反映了对命题A 的“未知”信息，该差值越小，则表明“未知”成分越小，证据对假设的支持越明确。 图1证据区间示意图 1.5D-S 合并规则 证据理论中的组合规则提供了组合两个证据的规则。设BEL 1和 BEL 2是同一个识别框架U 上的两个信任函数，m 1和m 2分别是其对应的基本概率赋值，焦元分别为A 1，A 2，…，A k 和B 1，B 2，…，B r ，又设： K 1＝∑ A i ，j i ∩B j ≠准 m 1（A i ）m 2（B j ）＜1 则： m （C ） ∑ A i ，j i ∩B j =C m 1（A i ）m 2（B j ）1－K 1 坌C 奂U C ≠准 0， C ＝≠ ≠≠≠≠≠≠≠≠≠≠ 准 在式中，若K 1≠1，则m 确定一个基本概率赋值；若K 1=1，则认为 m 1、m 2矛盾，不能对基本概率赋值进行组合。对于多个证据的组合，可采用组合规则对证据进行两两综合。1.6决策准则 基于证据理论的决策方法主要有三种：基于信任函数的决策、基于基本概率赋值的决策和基于最小风险的决策。本文实例采用基于基本概率赋值的决策，其定义如下。 设埚A 1，A 2奂U ，满足： m （A 1）＝max m （A i ），A i 奂奂 奂U ，m （A 2）＝max m （A i ），A i 奂U ，且A i ≠A 1奂奂，若有 m （A 1）－m （A 2）＞ε1m （U ）＜ε2m （A 1）＞m （U 奂 ） 则A 1即为判决结果，其中ε1，ε2为预先设定的门限。 2 识别系统设计 2.1 融合原理图 图2是利用D-S 证据理论对多传感器身份数据进行融合的原理框图。每个传感器把观测数据从空间变换到证据空间，对每一个命题或每个传感器所给出的“粗糙”的身份报告分配一个证据，即对每一个 Ｄ－Ｓ证据理论在目标识别中的应用 马颖1马健2 （1.西安工业大学电子信息工程学院，陕西西安710032；2.中国人民解放军空军工程大学，陕西西安710000） 【摘要】分析了D-S 证据理论用于多传感器数据融合的基本概念和理论,构造了融合结构，该结构通过预处理先对单一传感器在时域上融合，再对预处理后的数据进行多传感器数据融合，实验结果证明了目标识别的基本概率赋值有了明显提高，验证了这一结构的正确性和有效性。 【关键词】D-S 证据理论；数据融合；目标识 别○本刊重稿○50

证据法的概述

专题一证据法的概述 一、政治法学的概念与其研究的基本内容 证据法学形成的时间是十九世纪的中期，在英国 已经形成了一个专门政治法学体系。这个体系是专门研究如何运用诉讼证据，和与诉讼证据有关的法律规范的学科。它的具体内容包括以下五个方面： （一）三大诉讼。特别是刑事诉讼、民事诉讼当中运用证据的经验。 （二）和证据有关的各种理论基础。 （三）法律规范当中有关证据的规定。 （四）研究古今中外的证据历史、理论和实践。 （五）研究在司法和执法的过程中调产证据，运用证据认定案件事实的证据规则。 二、证据制度的概念与内容 一般情况下国家的政治制度要解决五个问题： （一）首先要明确证据的概念 （二）什么样的事实才能作为最后定案的根据 （三）调查证据的程序 （四）审查、判断证据的真实性 （五）要规定如何进行证明 三、证据法证据制度形成的背景 研究一个国家的整治制度要考虑以下几个因素形成背景：

（一）要考虑其政治经济背景 （二）要考虑文化传统的背景 （三）要考虑诉讼制度的背景 四、证据法学的科学体系和内容 当今世界有两个有关证据法科学体系和内容的代表性的著作。一个是由美国著名的证据法学家华尔兹教授所著的刑事证据大全。这本书主要是讲究适用，从应用的角度来安排证据法律体系。这本书的证据法学的体系共有十九章。 第一章，证据法的渊源。 第二章，审判程序和证据的种类 第三章，审判的记录，包括审判笔录的功能、内容和制作。特别是在法庭上对各种人证的调查、讯问的方法和规则。 第四章，关于证据的相关性 第五章，排除传闻证据的规则 第六章，排除传闻证据的例外 第七章，证人可靠性的质疑 第九章，用不恰当的方法所收集到的证据，特别是辨认证据的排除。 第十章，武力搜查，没有理由的搜查、扣押以及意思权证据的保护。 第十一章，供述证据 第十二章，面证权 第十三章，证明责任和特定的规则 第十四章，司法认知 第十五章，证人能力 第十六章，各种文字材料和文字证据

最新全国年4月自考刑事证据学真题

绝密★考试结束前 全国2014年4月高等教育自学考试 刑事证据学试题 课程代码：00370 请考生按规定用笔将所有试题的答案涂、写在答题纸上。 选择题部分 注意事项： 1.答题前，考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。 2.每小题选出答案后，用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动，用橡皮擦干净后，再选涂其他答案标号。不能答在试题卷上。 一、单项选择题(本大题共10小题，每小题1分，共10分) 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。未涂、错涂或多涂均无分。 1.刑事证据的基本属性中最早被重视起来的是 A.客观性 B.相关性 C.科学性 D.合法性 2.按照《唐律》的规定，运用证据的基本原则是 A.“察言观色” B.“罪从供定” C.“众证定罪” D.“疑罪听赎” 3.《证据法》上的程序公正所具有的内容或标准中并不包括 A.当事人平等参与 B.直接言词原则 C.最高的证明标准 D.非法证据排除规则 4.下列有关自由评价原则与我国刑事证据制度的认识，正确的是 A.我国刑事证据的证明力由法律预先规定 B.我国刑事证据的证明力交由法官进行评价与判断 C.自由评价原则在我国历来广为接受 D.自由评价原则在我国难于适用 5.根据反对强迫自证其罪原则，对于警察的讯问，犯罪嫌疑人无权 A.保持沉默 B.作有利于自己的陈述 C.作不利于自己的陈述 D.要求警方公开所有已经掌握的证据 6.根据2012年修订的《刑事诉讼法》的有关规定，非必要的时候，侦查人员询问证人的场所不应在 A.案发现场 B.证人单位 C.证人住处 D.公安机关或人民检察院 7.下列属于实体法事实的是 A.万能钥匙常用于盗窃的事实 B.被告人的行为动机非常复杂的事实 C.案件应由甲地进行管辖的事实 D.乙法官应该回避的事实 8.下列不属于司法认知的是 A.常识性事实 B.自然规律 C.国内法律的规定 D.元旦的日期 9.有关刑事证明责任与举证责任区别的表述，正确的是 A.二者为同一概念 B.后者包含前者 C.二者并不交叉 D.前者包含后者

证据保全的条件和方法

证据保全的条件和方法 1.条件 由于证据保全的目的在于防止因证据灭失或难以取得给当事人举证、质证和法庭调查带来困难，因此证据保全应符合以下条件： （1）证据可能灭失或以后难以取得。这是法院决定采取证据保全措施的原因。“证据可能灭失”，是指证人可能因病死亡，物证和书证可能会腐烂、销毁。所谓证据“以后难以取得”，是指虽然证据没有灭失，但如果不采取保全措施，以后取得该证据可能会成本过高或者难度很大，如证人出国定居或留学。造成证据可能灭失或以后难以取得的，既有自然原因，也有人为原因。前者如物证的腐烂，后者如书证被销毁。 （2）证据保全应在开庭审理前提出。这是对证据保全在时间上的要求。在开庭后，由于已经进入证据调查阶段，就没有实施证据保全的必要。 2.方法 法院采取证据保全措施时，应当根据不同证据的特点，采取不同的方法。对证人证言，应．当采取作笔录或录音的方法；对书证的保全，应当采取拍照、复制的方法；对物证的保全，可以采取通过现场勘验，制作笔录、绘图、拍照、录像、保存原物的方法等，客观真实地反映证据 证据保全措施，一般是法院根据申请人申请采取的。但在法院认为必要时，也可以由法院依职权主动采取证据保全措施。申请采取证据保全措施的人，一般是当事人，但在某些情况下，也可以是利害关系人。例如根据2002年1月9日最高人民法院颁布的《关于诉前停止侵犯注册商标专用权行为和保全证据适用法律问题的解释》的规定，商标注册人或者利害关系人可以向人民法院提出保全证据的申请。 证据保全措施，不仅可以在起诉时或法院受理诉讼后、开庭审理前采取，而且也可以在起诉前采取。在前一种情况下，法院既可以根据申请人的申请采取，也可以在认为必要时，依职权主动采取。在后一种情况下，申请人既可以向有管辖权的法院提出，也可以向被保全证据所在地的公证机关提出。但此时，无论是法院，还是公证机关，都只能根据申请人的申请采取保全措施，不能依职权主动采取证据保全措施。 证据保全申请，如果是向法院提出的，应当提交书面申请状，该申请状应当载明：(1)当事人及其基本情况；(2)申请保全证据的具体内容、范围、所在地点；(3)请求保全的证据能够证明的对象；(4)申请的理由，包括证据可能灭失或者以后难以取得，且当事人及其诉讼代理人因客观原因不能自行收集的具体说明。如果是向公证机关提出，应当提交公证申请表。该公证申请表应当包括以下内容：(1)申请证据保全的目的和理由；(2)申请证据保全的种类、名称地点和现存状况；(3)证据保全的方式；(4)其他应当说明的内容。 保全证据的范围，应当限于申请人申请的范围。申请人申请诉前保全证据可能涉及被申请人财产损失的，人民法院可以责令申请人提供相应的担保。 法院收到申请后，如果认为符合采取证据保全措施条件的，应裁定采取证据保全措施，如果认为不符合条件的，应裁定驳回。申请人在人民法院采取保全证据的措施后15日内不起诉的，人民法院应当解除裁定采取的措施。