CN103853933B - 面向Android数字取证的用户行为分析方法及系统 - Google Patents
面向Android数字取证的用户行为分析方法及系统 Download PDFInfo
- Publication number
- CN103853933B CN103853933B CN201410119651.2A CN201410119651A CN103853933B CN 103853933 B CN103853933 B CN 103853933B CN 201410119651 A CN201410119651 A CN 201410119651A CN 103853933 B CN103853933 B CN 103853933B
- Authority
- CN
- China
- Prior art keywords
- evidence obtaining
- analysis
- user behavior
- android
- digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种面向Android数字取证的用户行为分析方法,其包括:S1获取Android取证数据;S2按数字取证规则及取证鉴定需求确定取证鉴定事件;S3将取证鉴定事件与数字取证鉴定方法进行关联分析,确定本次数字取证鉴定方法;S4用本次数字取证鉴定方法分析Android取证数据,得到数字取证鉴定事件分析结果;S5将数字取证鉴定事件分析结果与用户行为进行关联分析,得到关联分析结果;S6根据关联分析结果运用数据挖掘方法对用户行为进行取证分析,获得Android数字取证用户行为分析结果;S7展现Android数字取证用户行为分析结果。本发明实现了Android数字取证的用户行为分析。
Description
技术领域
本发明涉及数字取证技术领域,特别是一种面向Android数字取证的用户行为分析方法及系统。
背景技术
Android数字取证是指取证人员按照法律规范的方式,对存在于Android移动终端或其他电子设备中的电子证据实施提取、传输、保存、分析和提交的过程。取证人员在用数字取证工具对Android设备进行取证时,可以根据取证工具对设备中数据的分析结果对案件进行推理分析,并在最后要得到一份取证工具生成的取证报告。由于数字取证的目的是从移动电子设备等相关电子设备中收集和发现证据,因此涉及到两个关键技术分别是数据获取技术和数据分析技术。
在实际的犯罪侦查过程中或民事争议案件中通常都会涉及到案件相关人员的移动设备,特定当事人实施了哪些具体行为及其造成的后果往往会是双方争议的焦点。作为电子数据证据鉴定中的一类,用户行为取证分析的作用十分突出。
用户行为是指用户通过对移动设备进行操作,实现通信、系统管理、数据生成、数据处理、数据存储等目标,或多或少会在移动设备或相关系统中留下一些行为痕迹。在数字取证过程中,对用户行为分析的结果对判定用户行为具有支撑作用。
在数字取证过程中,对用户行为的分析工作通常依赖于取证人员凭借经验和个人判断,按照数字取证的法律法规来实现。然而,对于不同的用户行为有不同的鉴定事件,对于不同的鉴定事件又对应不同的鉴定方法。这就使数字取证过程中对用户行为分析的工作变得繁琐,取证人员要花费大量的精力来对取证数据进行分析,又由于人为因素存在的主观性,降低了取证分析结论的可信度及客观性。如果用系统分析代替人工分析,不但能提高工作效率,又能节省宝贵的人力资源,还能提升取证分析结论的可采性。
为了在数字取证过程中实现用户行为分析,需要运用关联分析算法对取证鉴定方法、取证鉴定事件和用户行为确定其关联关系,并且每次关联分析结果都会作为参数运用于下一步的分析中。关联分析是指如果两个或多个事物之间存在一定的关联,那么其中一个事物就能通过其他事物进行预测。它的目的是为了挖掘隐藏在数据间的相互关系。关联分析是研究数据内在联系和数字证据分析的一种方法,用于发现同一时间段内的各种联系,是揭示数字证据与犯罪信息关联模式的关键性技术。关联规则要求数据集中支持度和信任度分别满足阈值,其中最著名的算法是R.Agrawal提出的Apriori,其主要思想是把算法分为两步:第一步是找出所有频繁项集,第二步是由频繁项集产生强关联规则。后来的许多算法都是对此算法的改进研究,如AprioriTid,AprioriHybrid等。
因此如何根据Android取证数据及用户行为的关联关系有效分析用户行为,提出有效的、满足数字取证要求的用户行为分析方案,对规范取证分析流程、提高取证分析效率和准确率以及提升数字取证分析结果的客观性至关重要。研究取证数据与用户行为的关联关系,根据不同的鉴定需求采用不同的用户行为分析方法,对于目前的Android数字取证系统的设计和建设具有重要的研究价值。
发明内容
为达到上述目的,本发明提出一种面向Android数字取证的用户行为分析方法及系统。
本发明的面向Android数字取证的用户行为分析方法,包括以下步骤:
S1、获取Android取证数据;
S2、按数字取证规则及取证鉴定需求确定取证鉴定事件;
S3、将S2确定的取证鉴定事件与数字取证鉴定方法进行关联分析,确定本次数字取证鉴定方法;
S4、用S3确定的本次数字取证鉴定方法分析S1中获取的Android取证数据,得到数字取证鉴定事件分析结果;
S5、将S4得到的数字取证鉴定事件分析结果与用户行为进行关联分析,得到关联分析结果;
S6、根据S5获得的关联分析结果,运用数据挖掘方法对用户行为进行取证分析,获得Android数字取证用户行为分析结果;
S7、展现S6获得的Android数字取证用户行为分析结果。
进一步的,在步骤S2中,用以Apriori为核心的关联分析算法对取证鉴定需求与数字取证规则进行分析,确定取证鉴定事件。
进一步的,在步骤S3中,用以Apriori为核心的关联分析算法对取证鉴定事件与取证鉴定方法进行分析,确定取证鉴定方法。
进一步的,在步骤S4中,运用数据挖掘方法对Android取证数据进行数据分析,并将分析结果与取证鉴定事件进行关联分析。
进一步的,在步骤S5中,用以Apriori为核心的关联分析算法对数字取证鉴定事件分析结果与用户行为进行分析。
本发明还提供一种面向Android数字取证的用户行为分析方法,其包括:
Android数据获取模块,用于获取Android取证数据;
取证鉴定事件关联模块,用于按数字取证规则及取证鉴定需求确定取证鉴定事件;
取证鉴定方法关联模块,用于将取证鉴定事件关联模块确定的取证鉴定事件与数字取证鉴定方法进行关联分析,确定本次数字取证鉴定方法;
鉴定事件分析模块,用取证鉴定方法关联模块确定的本次数字取证鉴定方法分析Android数据获取模块中获取的Android取证数据,得到数字取证鉴定事件分析结果;
用户行为关联模块,将鉴定事件分析模块得到的数字取证鉴定事件分析结果与用户行为进行关联分析,得到关联分析结果;
用户行为取证分析模块,根据用户行为关联模块获得的关联分析结果,运用数据挖掘方法对用户行为进行取证分析,获得Android数字取证用户行为分析结果。
取证结果展现模块,展现用户行为取证分析模块获得的Android数字取证用户行为分析结果。
进一步的,在取证鉴定事件关联模块中,用以Apriori为核心的关联分析算法对取证鉴定需求与数字取证规则进行分析,确定取证鉴定事件。
进一步的,在取证鉴定方法关联模块中,用以Apriori为核心的关联分析算法对取证鉴定事件与取证鉴定方法进行分析,确定取证鉴定方法。
进一步的,在鉴定事件分析模块中,运用数据挖掘方法对Android取证数据进行数据分析,并将分析结果与取证鉴定事件进行关联分析。
进一步的,在用户行为关联模块中,用以Apriori为核心的关联分析算法对数字取证鉴定事件分析结果与用户行为进行分析。
本发明的有益效果在于:
1.本发明提供一种面向Android数字取证的用户行为分析方法,提出了在Android数字取证过程中,用以Apriori为核心的关联分析算法对鉴定事件、鉴定方法和用户行为进行关联分析,用多维关联规则对用户行为进行取证分析。
2.本发明有效的满足了数字取证要求的用户行为分析方案,规范了取证分析流程、提高了取证分析效率和准确率以及提升了数字取证分析结果。
附图说明
图1为本发明的面向Android数字取证的用户行为分析方法流程图;
图2是本发明的面向Android数字取证的用户行为分析系统示意图。
具体实施方式
图1是本发明的面向Android数字取证的用户行为分析方法流程示意图。如图1所示,本发明的面向Android数字取证的用户行为分析方法包括以下几个步骤:
S1、获取Android取证数据;
在步骤S1中,用AFLogical技术逻辑获取Android数据。
S2、按数字取证规则及取证鉴定需求确定取证鉴定事件;
在步骤S2中,在确定取证鉴定事件的过程中,以Apriori为核心将取证鉴定要求与取证鉴定事件及数字取证规则进行关联分析,根据取证鉴定要求与取证鉴定事件的关联关系来选择鉴定事件。
S3、取证鉴定事件与数字取证鉴定方法进行关联分析,确定本次数字取证鉴定方法;
其中,在步骤S3中,在确定取证鉴定方法的过程中,以Apriori为核心将取证鉴定事件与取证鉴定方法进行关联分析,根据取证鉴定事件与鉴定方法的关联关系来确定取证鉴定方法。
S4、用数字取证鉴定方法分析Android取证数据,得到数字取证鉴定事件分析结果;
其中,在步骤S4中,在鉴定事件分析过程中,运用数据挖掘技术对Android取证数据进行数据分析(按照取证鉴定方法对取证数据进行取证分析),并将分析结果与取证鉴定事件进行关联分析性,得出鉴定事件分析结果。
S5、数字取证鉴定事件分析结果与用户行为进行关联分析;
其中,在步骤S5中,在确定用户行为的过程中,以Apriori为核心对取证鉴定事件分析结果与用户行为进行关联分析,初步确定用户行为。
S6、用户行为取证分析;
在步骤S6中,,在分析用户行为过程中,用多维关联规则及以Apriori为核心的关联分析算法,运用数据挖掘方法对用户行为进行分析。
S7、展现Android数字取证用户行为分析结果。
图2是本发明的面向Android数字取证的用户行为分析系统示意图。如图2所示,本发明的面向Android数字取证的用户行为分析方法,其特征在于,包括:
Android数据获取模块101,用于获取Android取证数据;
取证鉴定事件关联模块102,用于按数字取证规则及取证鉴定需求确定取证鉴定事件;
取证鉴定方法关联模块103,用于将取证鉴定事件关联模块102确定的取证鉴定事件与数字取证鉴定方法进行关联分析,确定本次数字取证鉴定方法;
鉴定事件分析模块104,用取证鉴定方法关联模块103确定的本次数字取证鉴定方法分析Android数据获取模块101中获取的Android取证数据,得到数字取证鉴定事件分析结果;
用户行为关联模块105,将鉴定事件分析模块104得到的数字取证鉴定事件分析结果与用户行为进行关联分析,得到关联分析结果;
用户行为取证分析模块106,根据用户行为关联模块105获得的关联分析结果,运用数据挖掘方法对用户行为进行取证分析,获得Android数字取证用户行为分析结果。
取证结果展现模块107,展现用户行为取证分析模块106获得的Android数字取证用户行为分析结果。
进一步的,在取证鉴定事件关联模块中,用以Apriori为核心的关联分析算法对取证鉴定需求与数字取证规则进行分析,确定取证鉴定事件。
进一步的,在取证鉴定方法关联模块中,用以Apriori为核心的关联分析算法对取证鉴定事件与取证鉴定方法进行分析,确定取证鉴定方法。
进一步的,在鉴定事件分析模块中,运用数据挖掘方法对Android取证数据进行数据分析,并将分析结果与取证鉴定事件进行关联分析。
进一步的,在用户行为关联模块中,用以Apriori为核心的关联分析算法对数字取证鉴定事件分析结果与用户行为进行分析。
惟以上者,仅为本发明的较佳实施例而已,举凡熟悉此项技艺的专业人士。在了解本发明的技术手段之后,自然能依据实际的需要,在本发明的教导下加以变化。因此凡依本发明申请专利范围所作的同等变化与修饰,都应仍属本发明专利涵盖的范围内。
Claims (8)
1.一种面向Android数字取证的用户行为分析方法,包括以下步骤:
S1、获取Android取证数据;
S2、按数字取证规则及取证鉴定需求确定取证鉴定事件;
S3、将S2确定的取证鉴定事件与数字取证鉴定方法进行关联分析,确定本次数字取证鉴定方法;
S4、用S3确定的本次数字取证鉴定方法分析S1中获取的Android取证数据,得到数字取证鉴定事件分析结果;
S5、用以Apriori为核心的关联分析算法将S4得到的数字取证鉴定事件分析结果与用户行为进行关联分析,得到关联分析结果;
S6、根据S5获得的关联分析结果,运用数据挖掘方法对用户行为进行取证分析,获得Android数字取证用户行为分析结果;
S7、展现S6获得的Android数字取证用户行为分析结果。
2.根据权利要求1的面向Android数字取证的用户行为分析方法,其特征在于,在步骤S2中,用以Apriori为核心的关联分析算法对取证鉴定需求与数字取证规则进行分析,确定取证鉴定事件。
3.根据权利要求1的面向Android数字取证的用户行为分析方法,其特征在于,在步骤S3中,用以Apriori为核心的关联分析算法对取证鉴定事件与数字取证鉴定方法进行分析,确定数字取证鉴定方法。
4.根据权利要求1的面向Android数字取证的用户行为分析方法,其特征在于,在步骤S4中,运用数据挖掘方法对Android取证数据进行数据分析,并将分析结果与取证鉴定事件进行关联分析。
5.一种面向Android数字取证的用户行为分析系统,其特征在于,包括:
Android数据获取模块,用于获取Android取证数据;
取证鉴定事件关联模块,用于按数字取证规则及取证鉴定需求确定取证鉴定事件;
取证鉴定方法关联模块,用于将取证鉴定事件关联模块确定的取证鉴定事件与数字取证鉴定方法进行关联分析,确定本次数字取证鉴定方法;
鉴定事件分析模块,用取证鉴定方法关联模块确定的本次数字取证鉴定方法分析Android数据获取模块中获取的Android取证数据,得到数字取证鉴定事件分析结果;
用户行为关联模块,用以Apriori为核心的关联分析算法将鉴定事件分析模块得到的数字取证鉴定事件分析结果与用户行为进行关联分析,得到关联分析结果;
用户行为取证分析模块,根据用户行为关联模块获得的关联分析结果,运用数据挖掘方法对用户行为进行取证分析,获得Android数字取证用户行为分析结果;
取证结果展现模块,展现用户行为取证分析模块获得的Android数字取证用户行为分析结果。
6.根据权利要求5中的系统,其特征在于,在取证鉴定事件关联模块中,用以Apriori为核心的关联分析算法对取证鉴定需求与数字取证规则进行分析,确定取证鉴定事件。
7.根据权利要求5中的系统,其特征在于,在取证鉴定方法关联模块中,用以Apriori为核心的关联分析算法对取证鉴定事件与数字取证鉴定方法进行分析,确定数字取证鉴定方法。
8.根据权利要求5中的系统,其特征在于,在鉴定事件分析模块中,运用数据挖掘方法对Android取证数据进行数据分析,并将分析结果与取证鉴定事件进行关联分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410119651.2A CN103853933B (zh) | 2014-03-27 | 2014-03-27 | 面向Android数字取证的用户行为分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410119651.2A CN103853933B (zh) | 2014-03-27 | 2014-03-27 | 面向Android数字取证的用户行为分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103853933A CN103853933A (zh) | 2014-06-11 |
| CN103853933B true CN103853933B (zh) | 2017-02-15 |
Family
ID=50861581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410119651.2A Active CN103853933B (zh) | 2014-03-27 | 2014-03-27 | 面向Android数字取证的用户行为分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103853933B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104021227B (zh) * | 2014-06-26 | 2015-06-17 | 麦永浩 | 一种面向数字取证的异常隐写检测分析方法及系统 |
| CN106599295A (zh) * | 2016-12-27 | 2017-04-26 | 四川中电启明星信息技术有限公司 | 一种用户行为多轨可视化分析取证方法及系统 |
| CN109614203B (zh) * | 2018-12-08 | 2023-10-27 | 公安部第三研究所 | 一种基于应用数据仿真的安卓应用云数据取证分析系统及方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001344259A (ja) * | 2000-05-31 | 2001-12-14 | Toshiba Corp | 情報分析方法および装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080033587A1 (en) * | 2006-08-03 | 2008-02-07 | Keiko Kurita | A system and method for mining data from high-volume text streams and an associated system and method for analyzing mined data |
| CN103475664B (zh) * | 2013-09-18 | 2017-02-15 | 北京工业大学 | 面向Android的数字证据的可信提取方法 |
-
2014
- 2014-03-27 CN CN201410119651.2A patent/CN103853933B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001344259A (ja) * | 2000-05-31 | 2001-12-14 | Toshiba Corp | 情報分析方法および装置 |
Non-Patent Citations (3)
| Title |
|---|
| 关联规则技术在计算机犯罪取证中的应用;张基温;《微计算机应用 》;20070715;第28卷(第7期);全文 * |
| 电子证据的取证规则与提取方法刍探;方中云;《电脑知识与技术 》;20110505;第7卷(第13期);全文 * |
| 计算机网络取证分析系统;魏士靖;《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》;20070115;正文第1页第1行-43页第10行 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103853933A (zh) | 2014-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108428132B (zh) | 欺诈交易识别方法、装置、服务器及存储介质 | |
| KR101772199B1 (ko) | 크라우드 소싱 기반 지식 검증 시스템 | |
| CN106415507B (zh) | 日志分析装置、攻击检测装置、攻击检测方法以及程序 | |
| CN106548343B (zh) | 一种非法交易检测方法及装置 | |
| CN106790019A (zh) | 基于特征自学习的加密流量识别方法及装置 | |
| CN106375339A (zh) | 基于事件滑动窗口的攻击模式检测方法 | |
| KR20200057903A (ko) | 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법 | |
| CN110336838B (zh) | 账号异常检测方法、装置、终端及存储介质 | |
| CN108183956B (zh) | 一种传播网络的关键路径提取方法 | |
| CN103853933B (zh) | 面向Android数字取证的用户行为分析方法及系统 | |
| CN106601243A (zh) | 一种视频文件识别方法及装置 | |
| CN103577404A (zh) | 一种面向微博的全新突发事件发现方法 | |
| CN104636319A (zh) | 一种文本去重方法和装置 | |
| CN110598633A (zh) | 一种摔倒行为识别方法、装置及系统 | |
| CN107153584A (zh) | 异常检测方法及装置 | |
| Sivasangari et al. | Isolating rumors using sentiment analysis | |
| CN103258039A (zh) | 一种微博伪造信息的检测方法 | |
| CN112787984B (zh) | 一种基于相关分析的车载网络异常检测方法及系统 | |
| Tanash et al. | The Decline of Social Media Censorship and the Rise of {Self-Censorship} after the 2016 Failed Turkish Coup | |
| CN105630658B (zh) | 数据处理的方法及装置 | |
| CN107657453B (zh) | 欺诈数据的识别方法及装置 | |
| CN107563204A (zh) | 一种匿名数据的隐私泄露风险评估方法 | |
| US20190018749A1 (en) | Data processing device, data processing method, and program recording medium | |
| CN114499956A (zh) | 一种网络信息安全风险评估系统及其方法 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210207 Address after: 102600 room 2212, 2 tower, Pope center 3, 2 Xinghua street, Daxing District, Beijing. Patentee after: BEIJING YONGBO TECHNOLOGY Co.,Ltd. Address before: 100124 No. 100 Chaoyang District Ping Tian Park, Beijing Patentee before: Beijing University of Technology Effective date of registration: 20210207 Address after: Room 2003, 1801, 1804, No.13-1, Hai'an Road, Tianhe District, Guangzhou, Guangdong 510627 Patentee after: HEYU HEALTH TECHNOLOGY Co.,Ltd. Address before: 102600 room 2212, 2 tower, Pope center 3, 2 Xinghua street, Daxing District, Beijing. Patentee before: BEIJING YONGBO TECHNOLOGY Co.,Ltd. |