技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)字取證技術(shù)領(lǐng)域，特別是一種面向Android數(shù)字取證的用戶行為分析方法及系統(tǒng)。

背景技術(shù)

Android數(shù)字取證是指取證人員按照法律規(guī)范的方式，對(duì)存在于Android移動(dòng)終端或其他電子設(shè)備中的電子證據(jù)實(shí)施提取、傳輸、保存、分析和提交的過程。取證人員在用數(shù)字取證工具對(duì)Android設(shè)備進(jìn)行取證時(shí)，可以根據(jù)取證工具對(duì)設(shè)備中數(shù)據(jù)的分析結(jié)果對(duì)案件進(jìn)行推理分析，并在最后要得到一份取證工具生成的取證報(bào)告。由于數(shù)字取證的目的是從移動(dòng)電子設(shè)備等相關(guān)電子設(shè)備中收集和發(fā)現(xiàn)證據(jù)，因此涉及到兩個(gè)關(guān)鍵技術(shù)分別是數(shù)據(jù)獲取技術(shù)和數(shù)據(jù)分析技術(shù)。

在實(shí)際的犯罪偵查過程中或民事爭(zhēng)議案件中通常都會(huì)涉及到案件相關(guān)人員的移動(dòng)設(shè)備，特定當(dāng)事人實(shí)施了哪些具體行為及其造成的后果往往會(huì)是雙方爭(zhēng)議的焦點(diǎn)。作為電子數(shù)據(jù)證據(jù)鑒定中的一類，用戶行為取證分析的作用十分突出。

用戶行為是指用戶通過對(duì)移動(dòng)設(shè)備進(jìn)行操作，實(shí)現(xiàn)通信、系統(tǒng)管理、數(shù)據(jù)生成、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)等目標(biāo)，或多或少會(huì)在移動(dòng)設(shè)備或相關(guān)系統(tǒng)中留下一些行為痕跡。在數(shù)字取證過程中，對(duì)用戶行為分析的結(jié)果對(duì)判定用戶行為具有支撐作用。

在數(shù)字取證過程中，對(duì)用戶行為的分析工作通常依賴于取證人員憑借經(jīng)驗(yàn)和個(gè)人判斷，按照數(shù)字取證的法律法規(guī)來(lái)實(shí)現(xiàn)。然而，對(duì)于不同的用戶行為有不同的鑒定事件，對(duì)于不同的鑒定事件又對(duì)應(yīng)不同的鑒定方法。這就使數(shù)字取證過程中對(duì)用戶行為分析的工作變得繁瑣，取證人員要花費(fèi)大量的精力來(lái)對(duì)取證數(shù)據(jù)進(jìn)行分析，又由于人為因素存在的主觀性，降低了取證分析結(jié)論的可信度及客觀性。如果用系統(tǒng)分析代替人工分析，不但能提高工作效率，又能節(jié)省寶貴的人力資源，還能提升取證分析結(jié)論的可采性。

為了在數(shù)字取證過程中實(shí)現(xiàn)用戶行為分析，需要運(yùn)用關(guān)聯(lián)分析算法對(duì)取證鑒定方法、取證鑒定事件和用戶行為確定其關(guān)聯(lián)關(guān)系，并且每次關(guān)聯(lián)分析結(jié)果都會(huì)作為參數(shù)運(yùn)用于下一步的分析中。關(guān)聯(lián)分析是指如果兩個(gè)或多個(gè)事物之間存在一定的關(guān)聯(lián)，那么其中一個(gè)事物就能通過其他事物進(jìn)行預(yù)測(cè)。它的目的是為了挖掘隱藏在數(shù)據(jù)間的相互關(guān)系。關(guān)聯(lián)分析是研究數(shù)據(jù)內(nèi)在聯(lián)系和數(shù)字證據(jù)分析的一種方法，用于發(fā)現(xiàn)同一時(shí)間段內(nèi)的各種聯(lián)系，是揭示數(shù)字證據(jù)與犯罪信息關(guān)聯(lián)模式的關(guān)鍵性技術(shù)。關(guān)聯(lián)規(guī)則要求數(shù)據(jù)集中支持度和信任度分別滿足閾值，其中最著名的算法是R.Agrawal提出的Apriori，其主要思想是把算法分為兩步:第一步是找出所有頻繁項(xiàng)集，第二步是由頻繁項(xiàng)集產(chǎn)生強(qiáng)關(guān)聯(lián)規(guī)則。后來(lái)的許多算法都是對(duì)此算法的改進(jìn)研究，如AprioriTid，AprioriHybrid等。

因此如何根據(jù)Android取證數(shù)據(jù)及用戶行為的關(guān)聯(lián)關(guān)系有效分析用戶行為，提出有效的、滿足數(shù)字取證要求的用戶行為分析方案，對(duì)規(guī)范取證分析流程、提高取證分析效率和準(zhǔn)確率以及提升數(shù)字取證分析結(jié)果的客觀性至關(guān)重要。研究取證數(shù)據(jù)與用戶行為的關(guān)聯(lián)關(guān)系，根據(jù)不同的鑒定需求采用不同的用戶行為分析方法，對(duì)于目前的Android數(shù)字取證系統(tǒng)的設(shè)計(jì)和建設(shè)具有重要的研究?jī)r(jià)值。

發(fā)明內(nèi)容

為達(dá)到上述目的，本發(fā)明提出一種面向Android數(shù)字取證的用戶行為分析方法及系統(tǒng)。

本發(fā)明的面向Android數(shù)字取證的用戶行為分析方法，包括以下步驟：

S1、獲取Android取證數(shù)據(jù)；

S2、按數(shù)字取證規(guī)則及取證鑒定需求確定取證鑒定事件；

S3、將S2確定的取證鑒定事件與數(shù)字取證鑒定方法進(jìn)行關(guān)聯(lián)分析，確定本次數(shù)字取證鑒定方法；

S4、用S3確定的本次數(shù)字取證鑒定方法分析S1中獲取的Android取證數(shù)據(jù)，得到數(shù)字取證鑒定事件分析結(jié)果；

S5、將S4得到的數(shù)字取證鑒定事件分析結(jié)果與用戶行為進(jìn)行關(guān)聯(lián)分析，得到關(guān)聯(lián)分析結(jié)果；

S6、根據(jù)S5獲得的關(guān)聯(lián)分析結(jié)果，運(yùn)用數(shù)據(jù)挖掘方法對(duì)用戶行為進(jìn)行取證分析，獲得Android數(shù)字取證用戶行為分析結(jié)果；

S7、展現(xiàn)S6獲得的Android數(shù)字取證用戶行為分析結(jié)果。

進(jìn)一步的，在步驟S2中，用以Apriori為核心的關(guān)聯(lián)分析算法對(duì)取證鑒定需求與數(shù)字取證規(guī)則進(jìn)行分析，確定取證鑒定事件。

進(jìn)一步的，在步驟S3中，用以Apriori為核心的關(guān)聯(lián)分析算法對(duì)取證鑒定事件與取證鑒定方法進(jìn)行分析，確定取證鑒定方法。

進(jìn)一步的，在步驟S4中，運(yùn)用數(shù)據(jù)挖掘方法對(duì)Android取證數(shù)據(jù)進(jìn)行數(shù)據(jù)分析，并將分析結(jié)果與取證鑒定事件進(jìn)行關(guān)聯(lián)分析。

進(jìn)一步的，在步驟S5中，用以Apriori為核心的關(guān)聯(lián)分析算法對(duì)數(shù)字取證鑒定事件分析結(jié)果與用戶行為進(jìn)行分析。