CN103942423B - 基于联动协同原理的Android数字取证分析方法及系统 - Google Patents
基于联动协同原理的Android数字取证分析方法及系统 Download PDFInfo
- Publication number
- CN103942423B CN103942423B CN201410145982.3A CN201410145982A CN103942423B CN 103942423 B CN103942423 B CN 103942423B CN 201410145982 A CN201410145982 A CN 201410145982A CN 103942423 B CN103942423 B CN 103942423B
- Authority
- CN
- China
- Prior art keywords
- data
- analysis
- linkage
- android
- forensic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于联动协同原理的Android数字取证分析方法及系统,其中方法包括以下步骤:S1、获取Android取证数据;S2、进行数据预处理;S3、判定取证分析过程是否先进行协同分析;S4、基于联动协同原理进行取证分析得到协同取证分析数据,然后执行S5;S5、对取证预处理数据或协同取证分析数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据得到异常联动检测分析结果;S6、对异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果;S7、展现异常联动检测分析结果和行为联动检测分析结果。本发明实现了基于联动协同原理的Android数字取证。
Description
技术领域
本发明涉及数字取证技术领域,尤其涉及一种基于联动协同原理的Android数字取证分析方法及系统。
背景技术
在数字取证过程中,对取证数据的分析过程往往依赖于取证人员个人经验和思考判断来选择恰当的分析方法来实现对取证数据的检测及分析,因为取证人员对取证数据的分析往往会涉及到多种分析方法,例如文件系统分析、日志分析及本地用户数据分析等。这种对取证分析方法主观的选择不但不利于对取证数据的充分有效利用,还对取证效率产生了负面影响。
现有的数据分析方法有很多已经比较成熟,有许多已经被取证人员熟练运用于数字取证领域。然而,在一次数字取证分析时需要运用多种分析方法或所需分析方法未知的情况下,就要考虑如何高效精准地实现数字取证分析了。而且异常数据检测及分析技术在网络入侵检测研究领域的应用较为普遍。在数字取证领域,通常运用于对计算机犯罪的侦查方向。但是,随着Android移动终端用户的爆炸式增长,利用Android移动终端进行犯罪或涉及到Android移动终端设备的案件数量也在与日俱增。由此看出,异常数据检测及分析技术亟需灵活运用于Android数字取证过程中。
行为分析在数字取证过程中是必不可少的关键环节。数字取证的主要作用就是通过取证数据来推断用户的行为或证明假设成立。取证人员在对用户行为进行分析时,必须考虑大量数据之间的复杂关系,同时使用多种分析方法对数据进行分析,再凭借经验来判断用户行为,这样取证人员的工作效率会降低,影响分析结果的客观性,从而降低了取证证据的可采性。
综上所述,如何基于联动协同原理提出有效的、满足取证要求的数字取证分析方案,在分析过程中提高对取证数据的利用率和提升取证分析的精准度方面扮演着重要角色。研究数字取证分析方法之间、数据属性之间及数据特征的联动性,将联动协同原理运用于对Android取证数据的分析过程,对于如今的Android数字取证系统的设计和建设具有重要的研究意义。
发明内容
针对上述问题中存在的不足之处,本发明提供一种基于联动协同原理的Android数字取证分析方法及系统。
为实现上述目的,本发明的基于联动协同原理的Android数字取证分析方法,包括以下步骤:
S1、从Android移动终端获取Android取证数据;
S2、对所述Android取证数据进行数据预处理,得到取证预处理数据,其中,所述数据预处理包括特征化、标准化和离散化;
S3、根据所述取证预处理数据判定取证分析过程是否先进行协同分析,若需先进行协同分析,执行S4;若不需先进行协同分析,执行S5;
S4、基于联动协同原理对S2中的所述取证预处理数据进行取证分析,得到协同取证分析数据,然后执行S5;
S5、对S2获得的所述取证预处理数据或S4获得的协同取证分析数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据,得到异常联动检测分析结果;
S6、对所述异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果;
S7、展现S5获得的异常联动检测分析结果和S6获得的行为联动检测分析结果。
进一步的,在S2中基于粗糙集和模糊集理论按照数字取证规则对所述Android取证数据进行标准化预处理,对所述Android取证数据中的关系型数据按照数据逻辑结构做特征化处理,对所述Android取证数据中的系统不能识别的数据进行数据格式转换或数据离散化处理。
进一步的,在S5中参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。
进一步的,在S6中参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。
本发明还提供一种基于联动协同原理的Android数字取证分析系统,其包括:
取证数据获取模块,用于获取来自Android移动终端的Android取证数据;
数据预处理模块,用于对所述取证数据获取模块获取的Android取证数据进行数据预处理,得到取证预处理数据,所述数据预处理包括特征化、标准化和离散化;
判定模块,用于根据所述取证预处理数据判定取证分析过程是否先进行协同分析,若需先进行协同分析,执行联动协同分析模块;若不需先进行协同分析,执行异常检测联动模块;
联动协同分析模块,基于联动协同原理对数据预处理模块处理后的取证预处理数据进行取证分析,得到协同取证分析数据,然后执行异常检测联动模块;
异常检测联动模块,对联动协同分析模块得到的协同取证分析数据或者是数据预处理模块得到的取证预处理数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据,得到异常联动检测分析结果;
行为检测联动模块,对异常检测联动模块得到的异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果。
取证分析展现模块,展现异常检测联动模块获得的异常联动检测分析结果和行为检测联动模块获得的行为联动检测分析结果。
进一步的,在所述数据预处理模块中,基于粗糙集和模糊集理论按照数字取证规则对所述Android取证数据进行标准化预处理,对所述Android取证数据中的关系型数据按照数据逻辑结构做特征化处理,对所述Android取证数据中的系统不能识别的数据进行数据格式转换或数据离散化处理。
进一步的,在所述异常检测联动模块中,参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。
进一步的,在所述行为检测联动模块中,参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。
本发明的有益效果在于:
本发明的基于联动协同原理的Android数字取证分析方法及系统,其基于在Android数字取证过程中基于联动协同原理,用多维联动分析方法对Android取证数据进行协同分析,能有效的满足Android数字取证分析方案,提高了取证数据在分析过程中的利用率并提升了取证分析的精准度。
附图说明
图1为本发明的基于联动协同原理的Android数字取证分析方法流程图;
图2为本发明的联动协同分析方法示意图;
图3为本发明的基于联动协同原理的Android数字取证分析系统示意图。
具体实施方式
联动,是指若干个相关联的事物,一个运动或变化时,其他的也跟着运动或变化,即联合行动。基于联动原理的数字取证可以理解为:由于数字取证中的取证数据之间是相互关联的,取证分析方法与分析结果也是密切相关的,因此在数字取证过程中,联动原理是必不可少的技术理论基础。
协同,是指协调两个或者两个以上的不同资源或者个体,协同一致地完成某一目标的过程或能力。对数字取证获取的数据进行分析时,如果分析的程度不够彻底或分析方法的选择错误往往会对取证结果的准确性产生负面影响。为了解决这一问题,将协同原理运用于数字取证分析过程,多种联动分析方法协同分析取证数据的方式在一定程度上避免了上述错误的发生。由此看出,协同原理在数字取证分析过程中扮演着重要角色。
在进行数字取证时,由于各种各样原因,经常会遇到取证数据不完整或取证数据无法识别等情况。对取证数据做预处理可以解决上述问题,其方式包括数据特征化、数据标准化和数据离散化等操作。同时,基于粗糙集理论,可以从小样本数据中寻找规律的系统方法,可找到描述正常模型的最小预测规则集,有利于提高数据预处理速度。
基于联动协同原理,可以运用关联算法使各种分析方法之间形成关联关系,这样就能使各种分析方法之间具有联动性,从而实现多种分析方法协同分析取证数据。数据有不同的属性,在很多情况下,不同属性之间会存在不同的关联关系,异常数据也不例外。建立异常数据的模型库和特征库,根据属性之间、特征之间以及属性和特征之间的联动关系能检测出异常数据并加以分析。如果基于联动原理,参照行为模型库和行为特征库来联动分析用户行为,就会大大提高取证人员的工作效率及分析结果的客观性,从而提升取证证据的可采性。如图2所示,图2为本发明的联动协同分析方法示意图。
图1是本发明的基于联动协同原理的Android数字取证分析方法流程示意图。如图1所示,本发明的基于联动协同原理的Android数字取证分析方法包括以下几个步骤:
S1、获取Android取证数据;
其中,在步骤S1中,用AFLogical技术逻辑获取Android数据。
S2、数据预处理,包括特征化、标准化和离散化;
其中,在步骤S2中,用分箱、聚类和回归等算法对数据进行预处理。
在步骤S2中,判定数据类型,基于粗糙集和模糊集理论按照数字取证规则对数据进行标准化预处理,对关系型数据按照数据逻辑结构做特征化处理,对系统不能识别的数据进行数据格式转换或数据离散化处理。
S3、判定取证分析过程中是否先进行协同分析;
其中,在步骤S3中,对分析方法进行选择和判断。
S4、多种分析方法按照不同分析方法之间的联动相关性来协同分析取证数据;
其中,在步骤S4中,基于联动协同原理,多种分析方法按照不同分析方法之间的联动相关性来协同分析取证数据。
S5、参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据;
其中,在步骤S5中,参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。
S6、参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析用户行为;
其中,在步骤S6中,参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。
S7、展现S5和S6获得的取证分析结果。
图3是本发明的基于联动协同原理的Android数字取证分析系统示意图。如图3所示,本发明的基于联动协同原理的Android数字取证分析方法,其特征在于,包括:
取证数据获取模块101,用于获取来自Android移动终端的取证数据;
数据预处理模块102,用于对取证数据获取模块101获取的Android数据做标准化、特征化及离散化等分析和预处理,得到取证预处理数据;
判定模块103,用于判定取证分析过程中是否先进行协同分析;
联动协同分析模块104,基于联动协同原理,对数据预处理模块102处理后的取证数据运用不同分析方法进行取证分析,得到协同取证分析数据;
异常检测联动模块105,对联动协同分析模块104得到的协同取证分析数据或者是数据预处理模块102得到的取证预处理数据运用联动检测分析方法进行检测和分析,得到异常联动检测分析结果;
行为检测联动模块106,对异常检测联动模块105得到的异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果。
取证分析展现模块107,展现异常检测联动模块105和行为检测联动模块106获得的Android数字取证联动协同分析结果。
进一步的,在数据预处理模块101中,判定数据类型,基于粗糙集和模糊集理论,按照数字取证规则对数据进行标准化预处理,对关系型数据按照数据逻辑结构进行特征化处理,对系统不能识别的数据进行数据格式转换或数据离散化处理。
进一步的,在联动协同分析模块104中,基于联动协同原理,多种分析方法按照不同分析方法之间的联动相关性来协同分析取证数据。
进一步的,在异常检测联动模块105中,参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。
进一步的,在行为检测联动模块106中,参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。
惟以上所述者,仅为本发明的较佳实施例而已,举凡熟悉此项技艺的专业人士。在了解本发明的技术手段之后,自然能依据实际的需要,在本发明的教导下加以变化。因此凡依本发明申请专利范围所作的同等变化与修饰,都应仍属本发明专利涵盖的范围内。
Claims (6)
1.一种基于联动协同原理的Android数字取证分析方法,其特征在于,包括以下步骤:
S1、从Android移动终端获取Android取证数据;
S2、对所述Android取证数据进行数据预处理,得到取证预处理数据,其中,所述数据预处理包括特征化、标准化和离散化;
S3、根据所述取证预处理数据判定取证分析过程是否先进行协同分析,若需先进行协同分析,执行S4;若不需先进行协同分析,执行S5;
S4、基于联动协同原理对S2中的所述取证预处理数据进行取证分析,得到协同取证分析数据,然后执行S5;
S5、对S2获得的所述取证预处理数据或S4获得的协同取证分析数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据,得到异常联动检测分析结果;
S6、对所述异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果;
S7、展现S5获得的异常联动检测分析结果和S6获得的行为联动检测分析结果;
在S2中基于粗糙集和模糊集理论按照数字取证规则对所述Android取证数据进行标准化预处理,对所述Android取证数据中的关系型数据按照数据逻辑结构做特征化处理,对所述Android取证数据中的系统不能识别的数据进行数据格式转换或数据离散化处理。
2.根据权利要求1的基于联动协同原理的Android数字取证分析方法,其特征在于,在S5中参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。
3.根据权利要求1的基于联动协同原理的Android数字取证分析方法,其特征在于,在S6中参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。
4.一种基于联动协同原理的Android数字取证分析系统,其特征在于,包括:
取证数据获取模块,用于获取来自Android移动终端的Android取证数据;
数据预处理模块,用于对所述取证数据获取模块获取的Android取证数据进行数据预处理,得到取证预处理数据,所述数据预处理包括特征化、标准化和离散化;
判定模块,用于根据所述取证预处理数据判定取证分析过程是否先进行协同分析,若需先进行协同分析,执行联动协同分析模块;若不需先进行协同分析,执行异常检测联动模块;
联动协同分析模块,基于联动协同原理对数据预处理模块处理后的取证预处理数据进行取证分析,得到协同取证分析数据,然后执行异常检测联动模块;
异常检测联动模块,对联动协同分析模块得到的协同取证分析数据或者是数据预处理模块得到的取证预处理数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据,得到异常联动检测分析结果;
行为检测联动模块,对异常检测联动模块得到的异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果;
取证分析展现模块,展现异常检测联动模块获得的异常联动检测分析结果和行为检测联动模块获得的行为联动检测分析结果;
在所述数据预处理模块中,基于粗糙集和模糊集理论按照数字取证规则对所述Android取证数据进行标准化预处理,对所述Android取证数据中的关系型数据按照数据逻辑结构做特征化处理,对所述Android取证数据中的系统不能识别的数据进行数据格式转换或数据离散化处理。
5.根据权利要求4中的基于联动协同原理的Android数字取证分析系统,其特征在于,在所述异常检测联动模块中,参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。
6.根据权利要求4中的基于联动协同原理的Android数字取证分析系统,其特征在于,在所述行为检测联动模块中,参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410145982.3A CN103942423B (zh) | 2014-04-11 | 2014-04-11 | 基于联动协同原理的Android数字取证分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410145982.3A CN103942423B (zh) | 2014-04-11 | 2014-04-11 | 基于联动协同原理的Android数字取证分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103942423A CN103942423A (zh) | 2014-07-23 |
| CN103942423B true CN103942423B (zh) | 2017-02-01 |
Family
ID=51190091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410145982.3A Active CN103942423B (zh) | 2014-04-11 | 2014-04-11 | 基于联动协同原理的Android数字取证分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103942423B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103347011A (zh) * | 2013-06-21 | 2013-10-09 | 北京工业大学 | 基于信任机制的Ad hoc网络安全路由方法 |
| CN103347260A (zh) * | 2013-06-21 | 2013-10-09 | 北京工业大学 | 可靠性的Ad hoc网络安全路由设备 |
| CN103475664A (zh) * | 2013-09-18 | 2013-12-25 | 北京工业大学 | 面向Android的数字证据的可信提取方法 |
-
2014
- 2014-04-11 CN CN201410145982.3A patent/CN103942423B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103347011A (zh) * | 2013-06-21 | 2013-10-09 | 北京工业大学 | 基于信任机制的Ad hoc网络安全路由方法 |
| CN103347260A (zh) * | 2013-06-21 | 2013-10-09 | 北京工业大学 | 可靠性的Ad hoc网络安全路由设备 |
| CN103475664A (zh) * | 2013-09-18 | 2013-12-25 | 北京工业大学 | 面向Android的数字证据的可信提取方法 |
Non-Patent Citations (5)
| Title |
|---|
| Android智能手机取证研究;罗会明;《中国优秀硕士学位论文全文数据库-信息科学辑》;20140115(第01期);第19页4-9行,第41页14-16行,图3-1 * |
| Android系统手机取证分析;裴珊珊;《电脑知识与技术》;20120229;第8卷(第5期);第1052-1056页 * |
| 基于Android的BATMAN协议应用框架的研究;刘旭东;《电子设计工程》;20131031;第21卷(第20期);第10-17页 * |
| 基于Android系统的取证分析技术;张辉极;《技术研究》;20120416(第04期);第58-60页 * |
| 网络取证技术研究;张有东;《中国博士学位论文全文数据库-信息科技辑》;20090515(第05期);第27页9-10行,第37页4-5行,第38页21-23行,第55页14-28行,第59页11-18行,第62页16-29行 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103942423A (zh) | 2014-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107391598B (zh) | 一种威胁情报自动生成方法及系统 | |
| CN104536983A (zh) | 一种预测广告点击率的方法和装置 | |
| CN109639734B (zh) | 一种具有计算资源自适应性的异常流量检测方法 | |
| CN102509001B (zh) | 一种自动去除时序数据野值点的方法 | |
| CN108664538A (zh) | 一种输变电设备疑似家族性缺陷的自动辨识方法及系统 | |
| CN105446741B (zh) | 一种基于api比对的移动应用程序辨识方法 | |
| KR20180072167A (ko) | 유사특허 추출 시스템 및 그 방법 | |
| CN113868006A (zh) | 时间序列的检测方法、装置、电子设备及计算机存储介质 | |
| CN113409555B (zh) | 一种基于物联网的实时报警联动方法及系统 | |
| CN116383645A (zh) | 一种基于异常检测的系统健康度智能监测评估方法 | |
| US20150149374A1 (en) | Relationship circle processing method and system, and computer storage medium | |
| CN111488501A (zh) | 一种基于云平台的电商统计系统 | |
| CN105069574A (zh) | 一种业务流程行为相似度分析的新方法 | |
| CN102930158A (zh) | 基于偏最小二乘的变量选择方法 | |
| CN111967003A (zh) | 基于黑盒模型与决策树的风控规则自动生成系统及方法 | |
| CN103942423B (zh) | 基于联动协同原理的Android数字取证分析方法及系统 | |
| CN107247776A (zh) | 一种用于聚类分析中相似度识别的方法 | |
| CN116910753A (zh) | 一种恶意软件检测和模型构建方法、装置、设备及介质 | |
| CN115481183A (zh) | 一种实时数据处理方法和系统 | |
| CN115409541A (zh) | 基于数据血缘的卷烟品牌数据处理方法 | |
| CN114710344A (zh) | 一种基于溯源图的入侵检测方法 | |
| CN114139643A (zh) | 一种基于机器视觉的单甘酯质量检测方法及系统 | |
| CN109754159B (zh) | 一种电网运行日志的信息提取方法及系统 | |
| CN103440537A (zh) | 基于样本相似性排序建模实时评估系统状态的方法 | |
| CN105701157A (zh) | 集成社交网站信息的监控系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210527 Address after: 102600 room 2212, 2 tower, Pope center 3, 2 Xinghua street, Daxing District, Beijing. Patentee after: BEIJING YONGBO TECHNOLOGY Co.,Ltd. Address before: 100124 No. 100 Chaoyang District Ping Tian Park, Beijing Patentee before: Beijing University of Technology |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210624 Address after: No.7, Lane 999, huanke Road, China (Shanghai) pilot Free Trade Zone Patentee after: Shanghai new sunfaith intellectual property services Limited by Share Ltd. Address before: 102600 room 2212, 2 tower, Pope center 3, 2 Xinghua street, Daxing District, Beijing. Patentee before: BEIJING YONGBO TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |