1.一種基于聯(lián)動(dòng)協(xié)同原理的Android數(shù)字取證分析方法，包括以下步驟：

S1、從Android移動(dòng)終端獲取Android取證數(shù)據(jù)；

S2、對(duì)所述Android取證數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，得到取證預(yù)處理數(shù)據(jù)，其中，所述數(shù)據(jù)預(yù)處理包括特征化、標(biāo)準(zhǔn)化和離散化；

S3、根據(jù)所述取證預(yù)處理數(shù)據(jù)判定取證分析過程是否先進(jìn)行協(xié)同分析，若需先進(jìn)行協(xié)同分析，執(zhí)行S4；若不需先進(jìn)行協(xié)同分析，執(zhí)行S5;

S4、基于聯(lián)動(dòng)協(xié)同原理對(duì)S2中的所述取證預(yù)處理數(shù)據(jù)進(jìn)行取證分析，得到協(xié)同取證分析數(shù)據(jù)，然后執(zhí)行S5；

S5、對(duì)S2獲得的所述取證預(yù)處理數(shù)據(jù)或S4獲得的協(xié)同取證分析數(shù)據(jù)，參照模型庫和特征庫中數(shù)據(jù)之間相互關(guān)聯(lián)的特征及屬性，聯(lián)動(dòng)檢測(cè)并分析異常數(shù)據(jù)，得到異常聯(lián)動(dòng)檢測(cè)分析結(jié)果；

S6、對(duì)所述異常聯(lián)動(dòng)檢測(cè)分析結(jié)果運(yùn)用聯(lián)動(dòng)檢測(cè)分析方法進(jìn)行檢測(cè)和分析，得到行為聯(lián)動(dòng)檢測(cè)分析結(jié)果；

S7、展現(xiàn)S5獲得的異常聯(lián)動(dòng)檢測(cè)分析結(jié)果和S6獲得的行為聯(lián)動(dòng)檢測(cè)分析結(jié)果。

2.根據(jù)權(quán)利要求1的基于聯(lián)動(dòng)協(xié)同原理的Android數(shù)字取證分析方法，其特征在于，在S2中基于粗糙集和模糊集理論按照數(shù)字取證規(guī)則對(duì)所述Android取證數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化預(yù)處理，對(duì)所述Android取證數(shù)據(jù)中的關(guān)系型數(shù)據(jù)按照數(shù)據(jù)邏輯結(jié)構(gòu)做特征化處理，對(duì)所述Android取證數(shù)據(jù)中的系統(tǒng)不能識(shí)別的數(shù)據(jù)進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換或數(shù)據(jù)離散化處理。

3.根據(jù)權(quán)利要求1的基于聯(lián)動(dòng)協(xié)同原理的Android數(shù)字取證分析方法，其特征在于，在S5中參照異常數(shù)據(jù)模型庫中數(shù)據(jù)之間互相關(guān)聯(lián)的特征來聯(lián)動(dòng)檢測(cè)是否存在異常數(shù)據(jù)，根據(jù)異常數(shù)據(jù)特征庫中數(shù)據(jù)之間互相關(guān)聯(lián)的屬性來聯(lián)動(dòng)分析異常數(shù)據(jù)。

4.根據(jù)權(quán)利要求1的基于聯(lián)動(dòng)協(xié)同原理的Android數(shù)字取證分析方法，其特征在于，在S6中參照行為模型庫中數(shù)據(jù)之間互相關(guān)聯(lián)的特征來聯(lián)動(dòng)檢測(cè)用戶行為，根據(jù)行為特征庫中指定數(shù)據(jù)之間互相關(guān)聯(lián)的屬性來聯(lián)動(dòng)分析用戶行為。

5.一種基于聯(lián)動(dòng)協(xié)同原理的Android數(shù)字取證分析系統(tǒng)，其特征在于，包括：

取證數(shù)據(jù)獲取模塊，用于獲取來自Android移動(dòng)終端的Android取證數(shù)據(jù)；

數(shù)據(jù)預(yù)處理模塊，用于對(duì)所述取證數(shù)據(jù)獲取模塊獲取的Android取證數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，得到取證預(yù)處理數(shù)據(jù)，所述數(shù)據(jù)預(yù)處理包括特征化、標(biāo)準(zhǔn)化和離散化；

判定模塊，用于根據(jù)所述取證預(yù)處理數(shù)據(jù)判定取證分析過程是否先進(jìn)行協(xié)同分析，若需先進(jìn)行協(xié)同分析，執(zhí)行聯(lián)動(dòng)協(xié)同分析模塊；若不需先進(jìn)行協(xié)同分析，執(zhí)行異常檢測(cè)聯(lián)動(dòng)模塊；

聯(lián)動(dòng)協(xié)同分析模塊，基于聯(lián)動(dòng)協(xié)同原理對(duì)數(shù)據(jù)預(yù)處理模塊處理后的取證預(yù)處理數(shù)據(jù)進(jìn)行取證分析，得到協(xié)同取證分析數(shù)據(jù)，然后執(zhí)行異常檢測(cè)聯(lián)動(dòng)模塊；

異常檢測(cè)聯(lián)動(dòng)模塊，對(duì)聯(lián)動(dòng)協(xié)同分析模塊得到的協(xié)同取證分析數(shù)據(jù)或者是數(shù)據(jù)預(yù)處理模塊得到的取證預(yù)處理數(shù)據(jù)，參照模型庫和特征庫中數(shù)據(jù)之間相互關(guān)聯(lián)的特征及屬性，聯(lián)動(dòng)檢測(cè)并分析異常數(shù)據(jù)，得到異常聯(lián)動(dòng)檢測(cè)分析結(jié)果；

行為檢測(cè)聯(lián)動(dòng)模塊，對(duì)異常檢測(cè)聯(lián)動(dòng)模塊得到的異常聯(lián)動(dòng)檢測(cè)分析結(jié)果運(yùn)用聯(lián)動(dòng)檢測(cè)分析方法進(jìn)行檢測(cè)和分析，得到行為聯(lián)動(dòng)檢測(cè)分析結(jié)果。

取證分析展現(xiàn)模塊，展現(xiàn)異常檢測(cè)聯(lián)動(dòng)模塊獲得的異常聯(lián)動(dòng)檢測(cè)分析結(jié)果和行為檢測(cè)聯(lián)動(dòng)模塊獲得的行為聯(lián)動(dòng)檢測(cè)分析結(jié)果。

6.根據(jù)權(quán)利要求5中的基于聯(lián)動(dòng)協(xié)同原理的Android數(shù)字取證分析系統(tǒng)，其特征在于，在所述數(shù)據(jù)預(yù)處理模塊中，基于粗糙集和模糊集理論按照數(shù)字取證規(guī)則對(duì)所述Android取證數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化預(yù)處理，對(duì)所述Android取證數(shù)據(jù)中的關(guān)系型數(shù)據(jù)按照數(shù)據(jù)邏輯結(jié)構(gòu)做特征化處理，對(duì)所述Android取證數(shù)據(jù)中的系統(tǒng)不能識(shí)別的數(shù)據(jù)進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換或數(shù)據(jù)離散化處理。

7.根據(jù)權(quán)利要求5中的基于聯(lián)動(dòng)協(xié)同原理的Android數(shù)字取證分析系統(tǒng)，其特征在于，在所述異常檢測(cè)聯(lián)動(dòng)模塊中，參照異常數(shù)據(jù)模型庫中數(shù)據(jù)之間互相關(guān)聯(lián)的特征來聯(lián)動(dòng)檢測(cè)是否存在異常數(shù)據(jù)，根據(jù)異常數(shù)據(jù)特征庫中數(shù)據(jù)之間互相關(guān)聯(lián)的屬性來聯(lián)動(dòng)分析異常數(shù)據(jù)。

8.根據(jù)權(quán)利要求5中的基于聯(lián)動(dòng)協(xié)同原理的Android數(shù)字取證分析系統(tǒng)，其特征在于，在所述行為檢測(cè)聯(lián)動(dòng)模塊中，參照行為模型庫中數(shù)據(jù)之間互相關(guān)聯(lián)的特征來聯(lián)動(dòng)檢測(cè)用戶行為，根據(jù)行為特征庫中指定數(shù)據(jù)之間互相關(guān)聯(lián)的屬性來聯(lián)動(dòng)分析用戶行為。