《基于联动协同原理的ANDROID数字取证分析方法及系统.pdf》由会员分享,可在线阅读,更多相关《基于联动协同原理的ANDROID数字取证分析方法及系统.pdf(11页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103942423 A (43)申请公布日 2014.07.23 CN 103942423 A (21)申请号 201410145982.3 (22)申请日 2014.04.11 G06F 19/00(2011.01) (71)申请人 北京工业大学 地址 100124 北京市朝阳区平乐园 100 号 (72)发明人 何泾沙 万雪姣 黄娜 刘公政 赵斌 (74)专利代理机构 北京汇信合知识产权代理有 限公司 11335 代理人 翟国明 (54) 发明名称 基于联动协同原理的 Android 数字取证分析 方法及系统 (57) 摘要 本 发 明 提 供 一 种 基 于 联。
2、 动 协 同 原 理 的 Android 数字取证分析方法及系统, 其中方法包 括以下步骤 : S1、 获取 Android 取证数据 ; S2、 进 行数据预处理 ; S3、 判定取证分析过程是否先进 行协同分析 ;S4、 基于联动协同原理进行取证分 析得到协同取证分析数据, 然后执行 S5 ; S5、 对取 证预处理数据或协同取证分析数据, 参照模型库 和特征库中数据之间相互关联的特征及属性, 联 动检测并分析异常数据得到异常联动检测分析结 果 ; S6、 对异常联动检测分析结果运用联动检测 分析方法进行检测和分析, 得到行为联动检测分 析结果 ; S7、 展现异常联动检测分析结果和行为 。
3、联动检测分析结果。本发明实现了基于联动协同 原理的 Android 数字取证。 (51)Int.Cl. 权利要求书 2 页 说明书 5 页 附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书5页 附图3页 (10)申请公布号 CN 103942423 A CN 103942423 A 1/2 页 2 1. 一种基于联动协同原理的 Android 数字取证分析方法, 包括以下步骤 : S1、 从 Android 移动终端获取 Android 取证数据 ; S2、 对所述 Android 取证数据进行数据预处理, 得到取证预处理数据, 其中, 所述数据。
4、 预处理包括特征化、 标准化和离散化 ; S3、 根据所述取证预处理数据判定取证分析过程是否先进行协同分析, 若需先进行协 同分析, 执行 S4 ; 若不需先进行协同分析, 执行 S5; S4、 基于联动协同原理对 S2 中的所述取证预处理数据进行取证分析, 得到协同取证分 析数据, 然后执行 S5 ; S5、 对S2获得的所述取证预处理数据或S4获得的协同取证分析数据, 参照模型库和特 征库中数据之间相互关联的特征及属性, 联动检测并分析异常数据, 得到异常联动检测分 析结果 ; S6、 对所述异常联动检测分析结果运用联动检测分析方法进行检测和分析, 得到行为 联动检测分析结果 ; S7、 。
5、展现 S5 获得的异常联动检测分析结果和 S6 获得的行为联动检测分析结果。 2. 根据权利要求 1 的基于联动协同原理的 Android 数字取证分析方法, 其特征在于, 在 S2 中基于粗糙集和模糊集理论按照数字取证规则对所述 Android 取证数据进行标准化 预处理, 对所述 Android 取证数据中的关系型数据按照数据逻辑结构做特征化处理, 对所 述 Android 取证数据中的系统不能识别的数据进行数据格式转换或数据离散化处理。 3.根据权利要求1的基于联动协同原理的Android数字取证分析方法, 其特征在于, 在 S5 中参照异常数据模型库中数据之间互相关联的特征来联动检测是。
6、否存在异常数据, 根据 异常数据特征库中数据之间互相关联的属性来联动分析异常数据。 4.根据权利要求1的基于联动协同原理的Android数字取证分析方法, 其特征在于, 在 S6 中参照行为模型库中数据之间互相关联的特征来联动检测用户行为, 根据行为特征库中 指定数据之间互相关联的属性来联动分析用户行为。 5. 一种基于联动协同原理的 Android 数字取证分析系统, 其特征在于, 包括 : 取证数据获取模块, 用于获取来自 Android 移动终端的 Android 取证数据 ; 数据预处理模块, 用于对所述取证数据获取模块获取的 Android 取证数据进行数据预 处理, 得到取证预处理。
7、数据, 所述数据预处理包括特征化、 标准化和离散化 ; 判定模块, 用于根据所述取证预处理数据判定取证分析过程是否先进行协同分析, 若 需先进行协同分析, 执行联动协同分析模块 ; 若不需先进行协同分析, 执行异常检测联动模 块 ; 联动协同分析模块, 基于联动协同原理对数据预处理模块处理后的取证预处理数据进 行取证分析, 得到协同取证分析数据, 然后执行异常检测联动模块 ; 异常检测联动模块, 对联动协同分析模块得到的协同取证分析数据或者是数据预处理 模块得到的取证预处理数据, 参照模型库和特征库中数据之间相互关联的特征及属性, 联 动检测并分析异常数据, 得到异常联动检测分析结果 ; 行为。
8、检测联动模块, 对异常检测联动模块得到的异常联动检测分析结果运用联动检测 分析方法进行检测和分析, 得到行为联动检测分析结果。 取证分析展现模块, 展现异常检测联动模块获得的异常联动检测分析结果和行为检测 权 利 要 求 书 CN 103942423 A 2 2/2 页 3 联动模块获得的行为联动检测分析结果。 6.根据权利要求5中的基于联动协同原理的Android数字取证分析系统, 其特征在于, 在所述数据预处理模块中, 基于粗糙集和模糊集理论按照数字取证规则对所述 Android 取 证数据进行标准化预处理, 对所述 Android 取证数据中的关系型数据按照数据逻辑结构做 特征化处理, 。
9、对所述 Android 取证数据中的系统不能识别的数据进行数据格式转换或数据 离散化处理。 7. 根据权利要求 5 中的基于联动协同原理的 Android 数字取证分析系统, 其特征在 于, 在所述异常检测联动模块中, 参照异常数据模型库中数据之间互相关联的特征来联动 检测是否存在异常数据, 根据异常数据特征库中数据之间互相关联的属性来联动分析异常 数据。 8.根据权利要求5中的基于联动协同原理的Android数字取证分析系统, 其特征在于, 在所述行为检测联动模块中, 参照行为模型库中数据之间互相关联的特征来联动检测用户 行为, 根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。。
10、 权 利 要 求 书 CN 103942423 A 3 1/5 页 4 基于联动协同原理的 Android 数字取证分析方法及系统 技术领域 0001 本发明涉及数字取证技术领域, 尤其涉及一种基于联动协同原理的 Android 数字 取证分析方法及系统。 背景技术 0002 在数字取证过程中, 对取证数据的分析过程往往依赖于取证人员个人经验和思考 判断来选择恰当的分析方法来实现对取证数据的检测及分析, 因为取证人员对取证数据的 分析往往会涉及到多种分析方法, 例如文件系统分析、 日志分析及本地用户数据分析等。 这 种对取证分析方法主观的选择不但不利于对取证数据的充分有效利用, 还对取证效率产。
11、生 了负面影响。 0003 现有的数据分析方法有很多已经比较成熟, 有许多已经被取证人员熟练运用于数 字取证领域。然而, 在一次数字取证分析时需要运用多种分析方法或所需分析方法未知的 情况下, 就要考虑如何高效精准地实现数字取证分析了。而且异常数据检测及分析技术在 网络入侵检测研究领域的应用较为普遍。在数字取证领域, 通常运用于对计算机犯罪的侦 查方向。但是, 随着 Android 移动终端用户的爆炸式增长, 利用 Android 移动终端进行犯罪 或涉及到 Android 移动终端设备的案件数量也在与日俱增。由此看出, 异常数据检测及分 析技术亟需灵活运用于 Android 数字取证过程中。。
12、 0004 行为分析在数字取证过程中是必不可少的关键环节。 数字取证的主要作用就是通 过取证数据来推断用户的行为或证明假设成立。取证人员在对用户行为进行分析时, 必须 考虑大量数据之间的复杂关系, 同时使用多种分析方法对数据进行分析, 再凭借经验来判 断用户行为, 这样取证人员的工作效率会降低, 影响分析结果的客观性, 从而降低了取证证 据的可采性。 0005 综上所述, 如何基于联动协同原理提出有效的、 满足取证要求的数字取证分析方 案, 在分析过程中提高对取证数据的利用率和提升取证分析的精准度方面扮演着重要角 色。 研究数字取证分析方法之间、 数据属性之间及数据特征的联动性, 将联动协同原。
13、理运用 于对 Android 取证数据的分析过程, 对于如今的 Android 数字取证系统的设计和建设具有 重要的研究意义。 发明内容 0006 针对上述问题中存在的不足之处, 本发明提供一种基于联动协同原理的 Android 数字取证分析方法及系统。 0007 为实现上述目的, 本发明的基于联动协同原理的 Android 数字取证分析方法, 包 括以下步骤 : 0008 S1、 从 Android 移动终端获取 Android 取证数据 ; 0009 S2、 对所述 Android 取证数据进行数据预处理, 得到取证预处理数据, 其中, 所述 数据预处理包括特征化、 标准化和离散化 ; 说。
14、 明 书 CN 103942423 A 4 2/5 页 5 0010 S3、 根据所述取证预处理数据判定取证分析过程是否先进行协同分析, 若需先进 行协同分析, 执行 S4 ; 若不需先进行协同分析, 执行 S5; 0011 S4、 基于联动协同原理对 S2 中的所述取证预处理数据进行取证分析, 得到协同取 证分析数据, 然后执行 S5 ; 0012 S5、 对S2获得的所述取证预处理数据或S4获得的协同取证分析数据, 参照模型库 和特征库中数据之间相互关联的特征及属性, 联动检测并分析异常数据, 得到异常联动检 测分析结果 ; 0013 S6、 对所述异常联动检测分析结果运用联动检测分析方法。
15、进行检测和分析, 得到 行为联动检测分析结果 ; 0014 S7、 展现 S5 获得的异常联动检测分析结果和 S6 获得的行为联动检测分析结果。 0015 进一步的, 在S2中基于粗糙集和模糊集理论按照数字取证规则对所述Android取 证数据进行标准化预处理, 对所述 Android 取证数据中的关系型数据按照数据逻辑结构做 特征化处理, 对所述 Android 取证数据中的系统不能识别的数据进行数据格式转换或数据 离散化处理。 0016 进一步的, 在 S5 中参照异常数据模型库中数据之间互相关联的特征来联动检测 是否存在异常数据, 根据异常数据特征库中数据之间互相关联的属性来联动分析异常。
16、数 据。 0017 进一步的, 在 S6 中参照行为模型库中数据之间互相关联的特征来联动检测用户 行为, 根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。 0018 本发明还提供一种基于联动协同原理的 Android 数字取证分析系统, 其包括 : 0019 取证数据获取模块, 用于获取来自 Android 移动终端的 Android 取证数据 ; 0020 数据预处理模块, 用于对所述取证数据获取模块获取的 Android 取证数据进行数 据预处理, 得到取证预处理数据, 所述数据预处理包括特征化、 标准化和离散化 ; 0021 判定模块, 用于根据所述取证预处理数据判定取证分。
17、析过程是否先进行协同分 析, 若需先进行协同分析, 执行联动协同分析模块 ; 若不需先进行协同分析, 执行异常检测 联动模块 ; 0022 联动协同分析模块, 基于联动协同原理对数据预处理模块处理后的取证预处理数 据进行取证分析, 得到协同取证分析数据, 然后执行异常检测联动模块 ; 0023 异常检测联动模块, 对联动协同分析模块得到的协同取证分析数据或者是数据预 处理模块得到的取证预处理数据, 参照模型库和特征库中数据之间相互关联的特征及属 性, 联动检测并分析异常数据, 得到异常联动检测分析结果 ; 0024 行为检测联动模块, 对异常检测联动模块得到的异常联动检测分析结果运用联动 检测。
18、分析方法进行检测和分析, 得到行为联动检测分析结果。 0025 取证分析展现模块, 展现异常检测联动模块获得的异常联动检测分析结果和行为 检测联动模块获得的行为联动检测分析结果。 0026 进一步的, 在所述数据预处理模块中, 基于粗糙集和模糊集理论按照数字取证规 则对所述 Android 取证数据进行标准化预处理, 对所述 Android 取证数据中的关系型数据 按照数据逻辑结构做特征化处理, 对所述 Android 取证数据中的系统不能识别的数据进行 数据格式转换或数据离散化处理。 说 明 书 CN 103942423 A 5 3/5 页 6 0027 进一步的, 在所述异常检测联动模块中。
19、, 参照异常数据模型库中数据之间互相关 联的特征来联动检测是否存在异常数据, 根据异常数据特征库中数据之间互相关联的属性 来联动分析异常数据。 0028 进一步的, 在所述行为检测联动模块中, 参照行为模型库中数据之间互相关联的 特征来联动检测用户行为, 根据行为特征库中指定数据之间互相关联的属性来联动分析用 户行为。 0029 本发明的有益效果在于 : 0030 本发明的基于联动协同原理的 Android 数字取证分析方法及系统, 其基于在 Android 数字取证过程中基于联动协同原理, 用多维联动分析方法对 Android 取证数据进 行协同分析, 能有效的满足 Android 数字取证。
20、分析方案, 提高了取证数据在分析过程中的 利用率并提升了取证分析的精准度。 附图说明 0031 图 1 为本发明的基于联动协同原理的 Android 数字取证分析方法流程图 ; 0032 图 2 为本发明的联动协同分析方法示意图 ; 0033 图 3 为本发明的基于联动协同原理的 Android 数字取证分析系统示意图。 具体实施方式 0034 联动, 是指若干个相关联的事物, 一个运动或变化时, 其他的也跟着运动或变化, 即联合行动。基于联动原理的数字取证可以理解为 : 由于数字取证中的取证数据之间是相 互关联的, 取证分析方法与分析结果也是密切相关的, 因此在数字取证过程中, 联动原理是 。
21、必不可少的技术理论基础。 0035 协同, 是指协调两个或者两个以上的不同资源或者个体, 协同一致地完成某一目 标的过程或能力。对数字取证获取的数据进行分析时, 如果分析的程度不够彻底或分析方 法的选择错误往往会对取证结果的准确性产生负面影响。为了解决这一问题, 将协同原理 运用于数字取证分析过程, 多种联动分析方法协同分析取证数据的方式在一定程度上避免 了上述错误的发生。由此看出, 协同原理在数字取证分析过程中扮演着重要角色。 0036 在进行数字取证时, 由于各种各样原因, 经常会遇到取证数据不完整或取证数据 无法识别等情况。 对取证数据做预处理可以解决上述问题, 其方式包括数据特征化、 。
22、数据标 准化和数据离散化等操作。 同时, 基于粗糙集理论, 可以从小样本数据中寻找规律的系统方 法, 可找到描述正常模型的最小预测规则集, 有利于提高数据预处理速度。 0037 基于联动协同原理, 可以运用关联算法使各种分析方法之间形成关联关系, 这样 就能使各种分析方法之间具有联动性, 从而实现多种分析方法协同分析取证数据。数据有 不同的属性, 在很多情况下, 不同属性之间会存在不同的关联关系, 异常数据也不例外。建 立异常数据的模型库和特征库, 根据属性之间、 特征之间以及属性和特征之间的联动关系 能检测出异常数据并加以分析。如果基于联动原理, 参照行为模型库和行为特征库来联动 分析用户行。
23、为, 就会大大提高取证人员的工作效率及分析结果的客观性, 从而提升取证证 据的可采性。如图 2 所示, 图2 为本发明的联动协同分析方法示意图。 0038 图 1 是本发明的基于联动协同原理的 Android 数字取证分析方法流程示意图。如 说 明 书 CN 103942423 A 6 4/5 页 7 图 1 所示, 本发明的基于联动协同原理的 Android 数字取证分析方法包括以下几个步骤 : 0039 S1、 获取 Android 取证数据 ; 0040 其中, 在步骤 S1 中, 用 AFLogical 技术逻辑获取 Android 数据。 0041 S2、 数据预处理, 包括特征化、。
24、 标准化和离散化 ; 0042 其中, 在步骤 S2 中, 用分箱、 聚类和回归等算法对数据进行预处理。 0043 在步骤 S2 中, 判定数据类型, 基于粗糙集和模糊集理论按照数字取证规则对数据 进行标准化预处理, 对关系型数据按照数据逻辑结构做特征化处理, 对系统不能识别的数 据进行数据格式转换或数据离散化处理。 0044 S3、 判定取证分析过程中是否先进行协同分析 ; 0045 其中, 在步骤 S3 中, 对分析方法进行选择和判断。 0046 S4、 多种分析方法按照不同分析方法之间的联动相关性来协同分析取证数据 ; 0047 其中, 在步骤 S4 中, 基于联动协同原理, 多种分析方。
25、法按照不同分析方法之间的 联动相关性来协同分析取证数据。 0048 S5、 参照模型库和特征库中数据之间相互关联的特征及属性, 联动检测并分析异 常数据 ; 0049 其中, 在步骤 S5 中, 参照异常数据模型库中数据之间互相关联的特征来联动检测 是否存在异常数据, 根据异常数据特征库中数据之间互相关联的属性来联动分析异常数 据。 0050 S6、 参照模型库和特征库中数据之间相互关联的特征及属性, 联动检测并分析用 户行为 ; 0051 其中, 在步骤 S6 中, 参照行为模型库中数据之间互相关联的特征来联动检测用户 行为, 根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。 。
26、0052 S7、 展现 S5 和 S6 获得的取证分析结果。 0053 图 3 是本发明的基于联动协同原理的 Android 数字取证分析系统示意图。如图 3 所示, 本发明的基于联动协同原理的 Android 数字取证分析方法, 其特征在于, 包括 : 0054 取证数据获取模块 101, 用于获取来自 Android 移动终端的取证数据 ; 0055 数据预处理模块 102, 用于对取证数据获取模块 101 获取的 Android 数据做标准 化、 特征化及离散化等分析和预处理, 得到取证预处理数据 ; 0056 判定模块 103, 用于判定取证分析过程中是否先进行协同分析 ; 0057 。
27、联动协同分析模块 104, 基于联动协同原理, 对数据预处理模块 102 处理后的取证 数据运用不同分析方法进行取证分析, 得到协同取证分析数据 ; 0058 异常检测联动模块 105, 对联动协同分析模块 104 得到的协同取证分析数据或者 是数据预处理模块 102 得到的取证预处理数据运用联动检测分析方法进行检测和分析, 得 到异常联动检测分析结果 ; 0059 行为检测联动模块 106, 对异常检测联动模块 105 得到的异常联动检测分析结果 运用联动检测分析方法进行检测和分析, 得到行为联动检测分析结果。 0060 取证分析展现模块107, 展现异常检测联动模块105和行为检测联动模块。
28、106获得 的 Android 数字取证联动协同分析结果。 0061 进一步的, 在数据预处理模块 101 中, 判定数据类型, 基于粗糙集和模糊集理论, 说 明 书 CN 103942423 A 7 5/5 页 8 按照数字取证规则对数据进行标准化预处理, 对关系型数据按照数据逻辑结构进行特征化 处理, 对系统不能识别的数据进行数据格式转换或数据离散化处理。 0062 进一步的, 在联动协同分析模块 104 中, 基于联动协同原理, 多种分析方法按照不 同分析方法之间的联动相关性来协同分析取证数据。 0063 进一步的, 在异常检测联动模块 105 中, 参照异常数据模型库中数据之间互相关 。
29、联的特征来联动检测是否存在异常数据, 根据异常数据特征库中数据之间互相关联的属性 来联动分析异常数据。 0064 进一步的, 在行为检测联动模块 106 中, 参照行为模型库中数据之间互相关联的 特征来联动检测用户行为, 根据行为特征库中指定数据之间互相关联的属性来联动分析用 户行为。 0065 惟以上所述者, 仅为本发明的较佳实施例而已, 举凡熟悉此项技艺的专业人士。 在 了解本发明的技术手段之后, 自然能依据实际的需要, 在本发明的教导下加以变化。 因此凡 依本发明申请专利范围所作的同等变化与修饰, 都应仍属本发明专利涵盖的范围内。 说 明 书 CN 103942423 A 8 1/3 页 9 图 1 说 明 书 附 图 CN 103942423 A 9 2/3 页 10 图 2 说 明 书 附 图 CN 103942423 A 10 3/3 页 11 图 3 说 明 书 附 图 CN 103942423 A 11 。