CN112445870A - 基于手机取证电子数据的知识图谱串并案分析方法 - Google Patents
基于手机取证电子数据的知识图谱串并案分析方法 Download PDFInfo
- Publication number
- CN112445870A CN112445870A CN202011164432.8A CN202011164432A CN112445870A CN 112445870 A CN112445870 A CN 112445870A CN 202011164432 A CN202011164432 A CN 202011164432A CN 112445870 A CN112445870 A CN 112445870A
- Authority
- CN
- China
- Prior art keywords
- information
- mobile phone
- forensics
- case
- electronic data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 33
- 238000001514 detection method Methods 0.000 claims abstract description 15
- 230000000007 visual effect Effects 0.000 claims abstract description 11
- 238000000034 method Methods 0.000 claims description 45
- 230000002452 interceptive effect Effects 0.000 claims description 30
- 238000004891 communication Methods 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 14
- 230000000694 effects Effects 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 4
- 238000004088 simulation Methods 0.000 claims description 4
- 238000003012 network analysis Methods 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000008520 organization Effects 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 238000007405 data analysis Methods 0.000 description 3
- 239000012776 electronic material Substances 0.000 description 3
- 230000002688 persistence Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 210000001503 joint Anatomy 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 229920001872 Spider silk Polymers 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/288—Entity relationship models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/18—Legal services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Tourism & Hospitality (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Economics (AREA)
- Software Systems (AREA)
- Technology Law (AREA)
- Probability & Statistics with Applications (AREA)
- Fuzzy Systems (AREA)
- Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提出基于手机取证电子数据的知识图谱串并案分析方法,所述方法包括步骤S100:获取来自多个手机的有效电子数据;S200:提取第一特征信息;S300:输入待分析案件的第二特征信息;S400:将所述第一特征信息与所述第二特征信息在历史案件资料库中进行碰撞检测和匹配识别;S500:基于所述碰撞检测,生成与所述待分析案件相关的暗语列表;S600:基于所述匹配识别结果,生成对应于所述多个手机的多个可视化结构图;S700:将所述暗语列表以及多个可视化结构图进行融合,得到所述待分析案件的并案知识图谱。本发明可从关系网络分析、暗语匹配、特征识别等维度进行案件分析研判和可视化呈现。
Description
技术领域
本发明属于电子证据处理与可视化技术领域,尤其涉及一种基于手机取证电子数据的知识图谱串并案分析方法。
背景技术
随着智能手机功能的扩展,智能手机已逐渐成为人们生活及其工作的一部分。同样智能手机也给一些犯罪分子的通信带来了很多便利,犯罪分子将智能手机作为高科技犯罪的工具,利用用户移动智能终端中的隐私信息和生活数据进行诈骗等高科技犯罪也愈发严重。因此,可以为案件侦破提供电子证据的相关取证技术,一直都是处于前沿的研究热点。
在案件侦查中,办案人员最重要的工作就是掌握犯罪嫌疑人的关系网络和组织结构,而嫌疑人的社交沟通渠道多种多样,包括通过电话、短信、即时通信、微博等,犯罪嫌疑人关系网络和犯罪组织结构隐藏在各种不同类型的取证数据中,执法办法人员如何根据掌握的线索片段,串联不同的渠道沟通联系人,找出嫌疑人的社交关系网络和犯罪组织结构,需要大量的分析工作。
通过对移动终端的数字取证,可以得到设备内部储存的用户私人信息,例如短信、联系人以及通话记录等等,再与智能设备应用程序中的数据相结合,找出不法分子在犯罪过程中留下的蛛丝马迹。这些记录,在取证人员的提取与分析中得到潜在的证据,从而为其工作的解决提供便捷路径。
例如,公开号为CN108804280A的中国发明专利申请公开一种智能终端在线电子证据追溯系统及方法,系统包括存留追溯数据上报终端、电子证据链追溯数据上报终端、服务器、可视化平台和追溯平台;服务器接收存留追溯数据上报终端和电子证据链追溯数据上报终端的存留追溯数据和电子证据链追溯数据,生成追溯数据池,对其中的数据进行串并处理,再将串并处理后的数据推送给可视化平台和追溯平台。该发明将电子证据提供方及相关用户拉到一个信息共享平台,打破“信息孤岛”,通过可视化平台查详细内容,及时进行分析鉴定工作;通过追溯平台追溯出所有的环节追溯和推送信息,用户通过溯源结果可立刻判断如何进行相关证据链的处置,使之形成更能为公检法司认可的证据。
申请号为CN201810333605.0中国发明专利申请公开一种智能终端电子证据库管理训练系统及方法,包括客户端管理模块、管理服务器模块和存储服务器模块,客户端管理模块用于专家用户或学员用户的账户注册、账户管理及案件操作;管理服务器模块用于获取目标智能终端中的原始数据镜像,推送原始数据镜像和模拟终端环境至客户端管理模块,并为客户端管理模块分配对应的内存空间,以供学员用户进行动态仿真取证和生成取证报告,推送学员用户的取证报告至客户端管理模块,以供专家用户进行在线评分反馈及生成评分报告;存储服务器模块用于生成电子证据库,存储原始数据镜像及镜像备份数据;解决了案例场景少、训练缺乏系统化,批量培训难度大的技术问题。
然而,一方面,仅仅依靠取证设备是无法满足数据分析要求的。手机的存储空间越来越大,移动智能终端上存储的数据越来越多,在一部手机中存储的微信聊天记录多达几十万甚至上百万条记录,案件中的证据线索淹没在大量无效的数据中;同时犯罪嫌疑人的关系网络错综复杂,移动智能终端上的通话、短信、即时通信、微博、地理信息、电子商务等应用数据之间存在关联关系,如何在复杂的关系网络中快速定位犯罪线索路径,需要分析软件支撑才能实现;另一个方面,取证设备重点在于手机本地存储数据的提取、恢复和呈现,数据分析能力较弱,不能支持团伙类案件数据之间的关联分析;最后,即使司法机关经常要求数据服务商配合提供数据,但是通常是直接将手机本身提交给数据服务商,使得数据服务商无法明确知晓司法机关需要何种数据,该如何合法的提供数据,无形中增大了数据处理量。
因此,执法办案单位需要一套分析系统,汇聚基层办案单位的智能终端取证电子数据,构建涉案人员电子物证数据资源库,结合实际技战法,实现案件多维度关联分析,快速定位和发现线索,为案件提供决策支撑。
发明内容
为解决上述技术问题,本发明提出基于手机取证电子数据的知识图谱串并案分析方法。
一方面,本发明的技术方案在社交关系网络分析中,引入知识图谱技术,将嫌疑人、证据、银行卡、身份证、电话、即时通信账号、微博账号等虚拟身份和物理身份,组织成一张巨大的关系网络,每个节点代表一个虚拟或物理身份或案件相关实体,节点与节点表示相互之间的关系,通过一张图串联不同沟通渠道、不同类型身份之间的关联关系,通过图形化的方式直观体现嫌疑人的涉案关系网络。
另一方面,本发明的技术方案能够通过基于模拟登陆信号获取日志变化信息以及相关时间段后,将所述数据发给数据服务商,使得数据服务商能够精准的提供与本次案件有关的电子证据信息,即使在本地数据被删除的情况下,也能保障信息的完整性。
具体来说,在本发明的第一个方面,提供一种基于手机取证电子数据的知识图谱串并案分析方法,所述方法包括如下步骤:
S100:获取来自多个手机的有效电子数据;
S200:提取所述多个手机的所述有效电子数据中的第一特征信息;
S300:输入待分析案件的第二特征信息;
S400:将所述第一特征信息与所述第二特征信息在历史案件资料库中进行碰撞检测和匹配识别;
S500:基于所述碰撞检测,生成与所述待分析案件相关的暗语列表;
S600:基于所述匹配识别结果,生成对应于所述多个手机的多个可视化结构图;
S700:将所述暗语列表以及多个可视化结构图进行融合,得到所述待分析案件的并案知识图谱。
更具体的,所述步骤S100获取来自多个手机的有效电子数据,具体包括如下子步骤:
S101:获取至少一个待取证手机中的多条电子数据信息,所述电子数据信息至少包括通讯录信息、通话记录信息、社交文本信息之一;
S102:通过外部取证终端与所述待取证手机进行数据通信,向所述待取证手机提交模拟登陆信号,所述模拟登陆信号用于模拟开启所述待取证手机的交互式界面,所述交互式界面包括打开通讯录、拨打电话、发送短信、打开社交应用、发送信息;S103:开启日志监测进程获取所述待取证手机的日志变化,所述日志监测进程位于外部监测终端;
S104: 基于所述日志变化定位所述待取证手机中与所述交互式界面有关的日志信息;
S105:基于所述日志信息,连接所述待取证手机的所述社交应用的后台数据库以及所述待取证手机的服务商数据库,获取满足有效性要求的电子数据信息。
所述步骤S103进一步包括:
S1031:基于所述模拟登陆信号模拟开启所述待取证手机的交互式界面之后,识别出所述待取证手机的日志进程;
S1032:基于所述待取证手机的日志进程,获取所述待取证手机的日志记录文件中,所述待取证手机的交互式界面被模拟开启后的日志记录信息;
S1033:将所述日志监测进程与所述待取证手机的日志进程进行通信连接,获取所述待取证手机的交互式界面被模拟开启后的日志记录信息。
更具体的,所述将所述第一特征信息与所述第二特征信息进行碰撞检测,具体包括:
获取每一个手机对应的第一特征信息中所述交互性信息对应的日志文件,将所述日志文件与所述第二特征文件在历史案件资料库中进行扩展比对。
所述将所述第一特征信息与所述第二特征信息进行匹配识别,具体包括:
获取每一个手机对应的第一特征信息中所述通讯录信息、通话记录信息以及所述交互性信息对应的交互双方ID,
将所述所述通讯录信息、通话记录信息以及所述交互性信息对应的交互双方ID与所述案件特征信息在历史案件资料库中进行匹配识别。
本发明所述方法可以通过计算机系统、可移动终端通过计算机程序指令自动化的执行,因此,在本发明的第三个方面,提供一种非易失性计算机可读存储介质,其上存储有计算机可执行程序指令,通过包含处理器和存储器的终端设备,执行所述可执行程序指令,用于实现前述的基于手机取证电子数据的知识图谱串并案分析方法。
总体来说,本发明通过汇聚基层办案单位的智能终端取证电子数据,构建涉案人员电子物证数据资源库,应用人工智能技术、知识图谱技术和数据挖掘算法,构建嫌疑人物理和虚拟身份关系网络,从时间、空间、社交、资金等多维度实现案件可视化,全方位重构人物画像,实现案件之间的关联碰撞分析,解决执法单位办案面临的数据量大、取证数据碎片化等数据分析难题,为案前、案中、案后提供全方位的数据和决策支撑。
本发明的进一步优点将结合说明书附图在具体实施例部分进一步详细体现。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例的基于手机取证电子数据的知识图谱串并案分析方法的主体流程图。
图2是基于图1所述方法生成与所述待分析案件相关的暗语列表的示意图
图3是基于图1所述方法生成与所述待分析案件相关的嫌疑人关系网络的示意图
图4是基于图1所述方法生成与所述待分析案件相关的活动轨迹热点图的示意图
图5是图1所述方法获取来自多个手机的有效电子数据的流程示意图
具体实施方式
下面,结合附图以及具体实施方式,对发明做出进一步的描述。
参见图1,是本发明一个实施例的基于手机取证电子数据的知识图谱串并案分析方法的主体流程图。
图1所述基于手机取证电子数据的知识图谱串并案分析方法主要包括7个步骤S100-S700,各个步骤具体实现功能如下:
S100:获取来自多个手机的有效电子数据;
S200:提取所述多个手机的所述有效电子数据中的第一特征信息;
S300:输入待分析案件的第二特征信息;
S400:将所述第一特征信息与所述第二特征信息在历史案件资料库中进行碰撞检测和匹配识别;
S500:基于所述碰撞检测,生成与所述待分析案件相关的暗语列表;
S600:基于所述匹配识别结果,生成对应于所述多个手机的多个可视化结构图;
S700:将所述暗语列表以及多个可视化结构图进行融合,得到所述待分析案件的并案知识图谱。
在本实例中,最终要基于知识图谱技术对关键要素建立嫌疑人关系图谱,实现一张图展示嫌疑人、证据、手机、微信账号、QQ账号、微博账号、银行卡、身份证等各种虚拟身份之间的关联关系网络;
此外,还需要提取嫌疑人短信、微信中的银行交易流水信息、微信红包、微信转账数据,从而获知嫌疑人收入/支出情况、消费习惯、交易对方以及异常的交易行为,为破案提供侦查方向和线索来源。
同时,嫌疑人在使用手机期间,会在手机应用中记录用户的位置轨迹信息,例如嫌疑人使用导航APP、出行类APP、即时通信的位置消息、微信朋友圈、手机拍照/视频等,都会记录嫌疑人的位置信息。
本事实例中,通过提取并解析手机应用中记录的位置信息,可以判断嫌疑人频繁活动的地点以及是否出现在特定位置。
因此,在本实施例中,所述第一特征信息包括通讯录信息、通话记录信息以及交互性信息,所述交互性信息包括社交网络通信信息、短信信息以及本地文本信息;
所述第二特征信息包括所述待分析案件已有的案件特征信息,所述案件特征信息包括身份证号码、电话号码、银行卡号、车牌号码、火车票、飞机票、文档文件之一或者其组合。
作为优选,特征识别分析,包括识别采集证据中出现的身份证号码、电话号码、银行卡号、车牌号码、火车票、飞机票、文档文件,这些特征属于案件侦查中的敏感信息,系统基于智能模板匹配技术,快速识别并可视化呈现证据中出现的特殊特征及其频次。
特殊号码分析包括:从采集证据的短信正文、彩信正文、微信聊天消息、微博内容智能匹配特殊特征信息并格式化存储;
统计特殊特征出现的频次,支持查看特殊特征匹配的原始记录信息;
查看特殊特征匹配记录的上下文。
具体的, 所述将所述第一特征信息与所述第二特征信息进行碰撞检测,具体包括:
获取每一个手机对应的第一特征信息中所述交互性信息对应的日志文件,将所述日志文件与所述第二特征文件在历史案件资料库中进行扩展比对。
作为优选,案件关联碰撞分析,是基于历史案件电子物证数据和本地已有的犯罪群体特征数据,建立本地化的涉案群体电子物证资源库,实时刻画当前案件嫌疑人与历史案件嫌疑人的关联关系,发现多起案件之间的关联关系,帮助侦查人员发现并案、串案、新案情和新线索,为案件侦查提供新的突破口,案件关联碰撞分析包括:
(1)实时分析当前案件与历史案件的关联关系,并统计匹配结果数据;
(2)分析当前案件嫌疑人是否存在涉案历史;
(3)分析当前案件嫌疑人是否与历史案件嫌疑人存在直接关联关系;
(4)分析当前案件嫌疑人是否与历史案件嫌疑人存在共同的通联对象;
(5)可视化展示案件关联碰撞结果,支持查看碰撞结果详情及上下文。
进一步的,所述将所述第一特征信息与所述第二特征信息进行匹配识别,具体包括:
获取每一个手机对应的第一特征信息中所述通讯录信息、通话记录信息以及所述交互性信息对应的交互双方ID,
将所述所述通讯录信息、通话记录信息以及所述交互性信息对应的交互双方ID与所述案件特征信息在历史案件资料库中进行匹配识别。
作为优选,可通过交集分析工具,发现多个嫌疑人电子物证中的共同交集,例如多个嫌疑人通话对象之间的共同联系人,即时通信中的共同好友,多个即时通信群组中共同的成员(例如多个诈骗微信群中组织者),包括指定分析集合中共同的对象,通过嫌疑人交集分析,可以帮助侦查人员确定犯罪团伙成员或犯罪关键联络人,交集分析工具功能包括:
(1)支持对多个嫌疑人的通话对象、即时通信共同联系人、即时通信群组、微博联系人进行交集分析,支持对特定分析集合进行交集分析;
(2)可视化展示多个集合中任意组合的交集分析结果,支持展示交集结果详情;
(3)支持导出交集分析结果;
综合以上两者,还可以实现串并案分析,发现案件与案件之间的串并关系,帮助办案人员找出案件与案件之间的联系,实现案件资源和线索共享,将多起案件并案处理,节省警力资源投入。
在本实施例中,支持串并类型有:证件号码、资金账号、电话号码、聊天账号、应用账号、涉案物证;支持通过串并类型、串并条件、案件名称进行筛选查询;支持导出串并案分析结果;支持查看分析结果所涉及案件详情。
进一步的,所述生成与所述待分析案件相关的暗语列表包括暗语标签、匹配暗语、嫌疑人、来源、发现时间、发送方、接收方、消息原文以及对应可操作选项。
发明人发现,针对不同类型的犯罪,在犯罪群体的日常沟通中,都会存在一些行话或暗语,用于表示某些犯罪活动、违法行为或违法物品,执法办案人员,基于办案中积累的行话和暗语特征库,对采集证据进行智能匹配,刻画嫌疑人的犯罪特征,快速定位和查阅暗语出现的上下文,本实施例所述方法还包括
(1)对采集的短信、即时通信聊天内容、微博内容,与暗语特征库进行碰撞;
(2)查询和展示碰撞结果,并查看碰撞结果记录的上下文信息;
(3)根据暗语特征类型统计碰撞结果数量;
(4)管理暗语特征库。
在上述介绍基础上,参见图2-图4。
图2是基于图1所述方法生成与所述待分析案件相关的暗语列表的示意图,图3是基于图1所述方法生成与所述待分析案件相关的嫌疑人关系网络的示意图,图4是基于图1所述方法生成与所述待分析案件相关的活动轨迹热点图的示意图。
在上述实施例中,虽然未示出,但是所述可视化界面上,支持如下功能:
支持解析并结构化手机证据应用中记录的位置信息;
支持按出现的频率在地图上展示位置轨迹,位置出现的统计频率区分为:频繁、经常、偶尔、路过;
支持分析多个嫌疑人的碰面位置信息,并在地图上展示;
支持分析多个嫌疑人出现的交叉位置信息,并在地图上展示;
支持展示位置轨迹的详情信息,展示位置详情并查看上下文内容;
支持绘制嫌疑人的活动轨迹。
接下来参见图5,图5示出了本发明的另一个改进方向,即精确与快速获取来自多个手机的有效电子数据的流程示意图。
在图5中,示出图1所述步骤S100获取来自多个手机的有效电子数据,具体包括如下子步骤:
S101:获取至少一个待取证手机中的多条电子数据信息,所述电子数据信息至少包括通讯录信息、通话记录信息、社交文本信息之一;
S102:通过外部取证终端与所述待取证手机进行数据通信,向所述待取证手机提交模拟登陆信号,所述模拟登陆信号用于模拟开启所述待取证手机的交互式界面,所述交互式界面包括打开通讯录、拨打电话、发送短信、打开社交应用、发送信息;
S103:开启日志监测进程获取所述待取证手机的日志变化,所述日志监测进程位于外部监测终端;
S104: 基于所述日志变化定位所述待取证手机中与所述交互式界面有关的日志信息;
S105:基于所述日志信息,连接所述待取证手机的所述社交应用的后台数据库以及所述待取证手机的服务商数据库,获取满足有效性要求的电子数据信息。
所述步骤S103进一步包括:
S1031:基于所述模拟登陆信号模拟开启所述待取证手机的交互式界面之后,识别出所述待取证手机的日志进程;
S1032:基于所述待取证手机的日志进程,获取所述待取证手机的日志记录文件中,所述待取证手机的交互式界面被模拟开启后的日志记录信息;
S1033:将所述日志监测进程与所述待取证手机的日志进程进行通信连接,获取所述待取证手机的交互式界面被模拟开启后的日志记录信息。
在此基础上,可以将所述待取证手机的交互式界面被模拟开启后的日志记录信息发送给所述待取证手机的所述社交应用的后台数据库以及所述待取证手机的服务商数据库,获取满足有效性要求的电子数据信息。
基于上述改进方式,使得数据服务商能够精准的提供与本次案件有关的电子证据信息,即使在本地数据被删除的情况下,也能保障信息的完整性。
作为更进一步的优选,将所述日志监测进程与所述待取证手机的日志进程通过单向数据管道技术进行通信连接
数据管道技术原本是用于不同数据库(数据源)之间的数据转移的技术,例如数据备份、数据还原等,采用数据管道技术,可以避免进程阻塞或者使用第三方代理进行数据传输。例如申请号为CN2020107749026的中国发明专利申请就利用了数据管道技术读取待备份数据进行数据备份,数据管道即是将不同进程连接起来用于数据传输。
本实施例进一步将其限定为单向数据管道,使得数据只能从所述待取证手机的日志进程向所述日志监测进程发送,而不能反向传输,避免了数据污染。
实践证明,本发明的优点至少包括:
(1) 和主要取证设备无缝对接,基于公安部数据接入标准,支持主流取证厂商数据对接,主流厂商HTML报告接入;
(2) 以“线索挖掘”为中心,深度析构关键特征数据,多维度线索分析研判,提供实时检索比对;
(3) 应用知识图谱实现动态关系研判,构建嫌疑关系网络,智能动态研判犯罪组织结构,多案件嫌疑人实时关联碰撞;
(4) 交互好,取证数据可查看检索,可视化呈现分析结果,电子数据可查看、可检索,数据和功能衔接有序。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种基于手机取证电子数据的知识图谱串并案分析方法,所述方法包括如下步骤:
S100:获取来自多个手机的有效电子数据;
S200:提取所述多个手机的所述有效电子数据中的第一特征信息;
S300:输入待分析案件的第二特征信息;
S400:将所述第一特征信息与所述第二特征信息在历史案件资料库中进行碰撞检测和匹配识别;
S500:基于所述碰撞检测,生成与所述待分析案件相关的暗语列表;
S600:基于所述匹配识别结果,生成对应于所述多个手机的多个可视化结构图;
S700:将所述暗语列表以及多个可视化结构图进行融合,得到所述待分析案件的并案知识图谱。
2.如权利要求1所述的一种基于手机取证电子数据的知识图谱串并案分析方法,其特征在于:
所述第一特征信息包括通讯录信息、通话记录信息以及交互性信息,所述交互性信息包括社交网络通信信息、短信信息以及本地文本信息;
所述第二特征信息包括所述待分析案件已有的案件特征信息,所述案件特征信息包括身份证号码、电话号码、银行卡号、车牌号码、火车票、飞机票、文档文件之一或者其组合。
3.如权利要求2所述的一种基于手机取证电子数据的知识图谱串并案分析方法,其特征在于:
所述将所述第一特征信息与所述第二特征信息进行碰撞检测,具体包括:
获取每一个手机对应的第一特征信息中所述交互性信息对应的日志文件,将所述日志文件与所述第二特征文件在历史案件资料库中进行扩展比对。
4.如权利要求2所述的一种基于手机取证电子数据的知识图谱串并案分析方法,其特征在于:
所述将所述第一特征信息与所述第二特征信息进行匹配识别,具体包括:
获取每一个手机对应的第一特征信息中所述通讯录信息、通话记录信息以及所述交互性信息对应的交互双方ID,
将所述所述通讯录信息、通话记录信息以及所述交互性信息对应的交互双方ID与所述案件特征信息在历史案件资料库中进行匹配识别。
5.如权利要求2所述的一种基于手机取证电子数据的知识图谱串并案分析方法,其特征在于:
所述生成与所述待分析案件相关的暗语列表包括暗语标签、匹配暗语、嫌疑人、来源、发现时间、发送方、接收方、消息原文以及对应可操作选项。
6.如权利要求2所述的一种基于手机取证电子数据的知识图谱串并案分析方法,其特征在于:
所述生成的对应于所述多个手机的多个可视化结构图包括活动轨迹热点图、嫌疑人关系网络;
所述嫌疑人关系网络图由多个节点构成,每个节点至少与其他一个节点通过关系线段连接。
7.如权利要求6所述的一种基于手机取证电子数据的知识图谱串并案分析方法,其特征在于:
所述嫌疑人关系网络图的所述多个节点带有不同的社交网络标签及其ID。
8.如权利要求1所述的一种基于手机取证电子数据的知识图谱串并案分析方法,其特征在于:
所述步骤S100获取来自多个手机的有效电子数据,具体包括如下子步骤:
S101:获取至少一个待取证手机中的多条电子数据信息,所述电子数据信息至少包括通讯录信息、通话记录信息、社交文本信息之一;
S102:通过外部取证终端与所述待取证手机进行数据通信,向所述待取证手机提交模拟登陆信号,所述模拟登陆信号用于模拟开启所述待取证手机的交互式界面,所述交互式界面包括打开通讯录、拨打电话、发送短信、打开社交应用、发送信息;
S103:开启日志监测进程获取所述待取证手机的日志变化,所述日志监测进程位于外部监测终端;
S104: 基于所述日志变化定位所述待取证手机中与所述交互式界面有关的日志信息;
S105:基于所述日志信息,连接所述待取证手机的所述社交应用的后台数据库以及所述待取证手机的服务商数据库,获取满足有效性要求的电子数据信息。
9.如权利要求8所述的一种基于手机取证电子数据的知识图谱串并案分析方法,其特征在于:
所述步骤S103进一步包括:
S1031:基于所述模拟登陆信号模拟开启所述待取证手机的交互式界面之后,识别出所述待取证手机的日志进程;
S1032:基于所述待取证手机的日志进程,获取所述待取证手机的日志记录文件中,所述待取证手机的交互式界面被模拟开启后的日志记录信息;
S1033:将所述日志监测进程与所述待取证手机的日志进程进行通信连接,获取所述待取证手机的交互式界面被模拟开启后的日志记录信息。
10.一种非易失性计算机可读存储介质,其上存储有计算机可执行程序指令,通过包含处理器和存储器的终端设备,执行所述可执行程序指令,用于实现权利要求1-9任一项所述的基于手机取证电子数据的知识图谱串并案分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011164432.8A CN112445870B (zh) | 2020-10-27 | 2020-10-27 | 基于手机取证电子数据的知识图谱串并案分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011164432.8A CN112445870B (zh) | 2020-10-27 | 2020-10-27 | 基于手机取证电子数据的知识图谱串并案分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112445870A true CN112445870A (zh) | 2021-03-05 |
| CN112445870B CN112445870B (zh) | 2022-07-08 |
Family
ID=74736496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011164432.8A Active CN112445870B (zh) | 2020-10-27 | 2020-10-27 | 基于手机取证电子数据的知识图谱串并案分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112445870B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709296A (zh) * | 2021-08-26 | 2021-11-26 | 四川效率源信息安全技术股份有限公司 | Android手机用户异常使用行为的分析及可视化方法 |
| CN115550926A (zh) * | 2022-10-08 | 2022-12-30 | 杭州市公安局刑事科学技术研究所 | 一种电子取证方法、系统、装置、设备及存储介质 |
| CN116881577A (zh) * | 2023-07-18 | 2023-10-13 | 南京拓界信息技术有限公司 | 一种手机取证中分析重点人物的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105243588A (zh) * | 2015-10-28 | 2016-01-13 | 王帅 | 一种证券市场内幕交易行为分析方法 |
| CN107342987A (zh) * | 2017-06-20 | 2017-11-10 | 深圳安巽科技有限公司 | 一种网络反电信诈骗系统 |
| CN109787971A (zh) * | 2019-01-08 | 2019-05-21 | 重庆市千将软件有限公司 | 基于电子物证快速提取的数据分析系统 |
| US20190362012A1 (en) * | 2018-05-22 | 2019-11-28 | International Business Machines Corporation | Providing Relevant Evidence or Mentions for a Query |
| CN110609908A (zh) * | 2019-09-17 | 2019-12-24 | 北京明略软件系统有限公司 | 案件串并方法及装置 |
-
2020
- 2020-10-27 CN CN202011164432.8A patent/CN112445870B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105243588A (zh) * | 2015-10-28 | 2016-01-13 | 王帅 | 一种证券市场内幕交易行为分析方法 |
| CN107342987A (zh) * | 2017-06-20 | 2017-11-10 | 深圳安巽科技有限公司 | 一种网络反电信诈骗系统 |
| US20190362012A1 (en) * | 2018-05-22 | 2019-11-28 | International Business Machines Corporation | Providing Relevant Evidence or Mentions for a Query |
| CN109787971A (zh) * | 2019-01-08 | 2019-05-21 | 重庆市千将软件有限公司 | 基于电子物证快速提取的数据分析系统 |
| CN110609908A (zh) * | 2019-09-17 | 2019-12-24 | 北京明略软件系统有限公司 | 案件串并方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 侯林: "手机支付信息在刑事案件侦查中的应用", 《电脑与电信》 * |
| 郑冬亚: "基于Android平台的手机取证方法研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709296A (zh) * | 2021-08-26 | 2021-11-26 | 四川效率源信息安全技术股份有限公司 | Android手机用户异常使用行为的分析及可视化方法 |
| CN113709296B (zh) * | 2021-08-26 | 2023-03-07 | 四川效率源信息安全技术股份有限公司 | Android手机用户异常使用行为的分析及可视化方法 |
| CN115550926A (zh) * | 2022-10-08 | 2022-12-30 | 杭州市公安局刑事科学技术研究所 | 一种电子取证方法、系统、装置、设备及存储介质 |
| CN115550926B (zh) * | 2022-10-08 | 2024-02-20 | 杭州市公安局刑事科学技术研究所 | 一种电子取证方法、系统、装置、设备及存储介质 |
| CN116881577A (zh) * | 2023-07-18 | 2023-10-13 | 南京拓界信息技术有限公司 | 一种手机取证中分析重点人物的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112445870B (zh) | 2022-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112445870B (zh) | 基于手机取证电子数据的知识图谱串并案分析方法 | |
| CN109816397B (zh) | 一种欺诈判别方法、装置及存储介质 | |
| CN107798541B (zh) | 一种用于在线业务的监控方法及系统 | |
| US20110125746A1 (en) | Dynamic machine assisted informatics | |
| CN112417477A (zh) | 一种数据安全监测方法、装置、设备及存储介质 | |
| Al-Dhaqm et al. | Digital forensics subdomains: the state of the art and future directions | |
| CN106713579B (zh) | 一种电话号码识别方法及装置 | |
| CN111741472B (zh) | 一种GoIP诈骗电话识别方法、系统、介质及设备 | |
| CN108205575B (zh) | 数据处理方法和装置 | |
| EP3828732A2 (en) | Method and apparatus for processing identity information, electronic device, and storage medium | |
| CN112417274A (zh) | 一种消息推送方法、装置、电子设备及存储介质 | |
| Ganiron Jr et al. | Development of an online crime management & reporting system | |
| CN110163013A (zh) | 一种检测敏感信息的方法和设备 | |
| CN114840519A (zh) | 一种数据打标签的方法、设备及存储介质 | |
| CN113518075A (zh) | 网络诈骗预警方法、装置、电子设备、及存储介质 | |
| CN113595886A (zh) | 即时通讯消息的处理方法、装置、电子设备及存储介质 | |
| CN112667875A (zh) | 一种数据获取、数据分析方法、装置、设备及存储介质 | |
| CN117151736A (zh) | 反电诈管理预警方法及系统 | |
| CN109388648B (zh) | 一种在电子笔录中提取人员信息及关系人的方法 | |
| CN113904828B (zh) | 接口的敏感信息检测方法、装置、设备、介质和程序产品 | |
| CN115296892A (zh) | 数据信息服务系统 | |
| CN114265759A (zh) | 一种数据信息泄露后的溯源方法、系统及电子设备 | |
| CN106649343B (zh) | 一种网络数据信息处理方法及设备 | |
| CN112328679B (zh) | 基于手机取证电子数据的同话题犯罪组织结构分析方法 | |
| CN112925971A (zh) | 一种基于多源分析的诈骗话题检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |