本发明专利技术提供一种基于联动协同原理的Android数字取证分析方法及系统,其中方法包括以下步骤:S1、获取Android取证数据;S2、进行数据预处理;S3、判定取证分析过程是否先进行协同分析;S4、基于联动协同原理进行取证分析得到协同取证分析数据,然后执行S5;S5、对取证预处理数据或协同取证分析数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据得到异常联动检测分析结果;S6、对异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果;S7、展现异常联动检测分析结果和行为联动检测分析结果。本发明专利技术实现了基于联动协同原理的Android数字取证。
【技术实现步骤摘要】
基于联动协同原理的Android数字取证分析方法及系统
本专利技术涉及数字取证
,尤其涉及一种基于联动协同原理的Android数字取证分析方法及系统。
技术介绍
在数字取证过程中,对取证数据的分析过程往往依赖于取证人员个人经验和思考判断来选择恰当的分析方法来实现对取证数据的检测及分析,因为取证人员对取证数据的分析往往会涉及到多种分析方法,例如文件系统分析、日志分析及本地用户数据分析等。这种对取证分析方法主观的选择不但不利于对取证数据的充分有效利用,还对取证效率产生了负面影响。现有的数据分析方法有很多已经比较成熟,有许多已经被取证人员熟练运用于数字取证领域。然而,在一次数字取证分析时需要运用多种分析方法或所需分析方法未知的情况下,就要考虑如何高效精准地实现数字取证分析了。而且异常数据检测及分析技术在网络入侵检测研究领域的应用较为普遍。在数字取证领域,通常运用于对计算机犯罪的侦查方向。但是,随着Android移动终端用户的爆炸式增长,利用Android移动终端进行犯罪或涉及到Android移动终端设备的案件数量也在与日俱增。由此看出,异常数据检测及分析技术亟需灵活运用于Android数字取证过程中。行为分析在数字取证过程中是必不可少的关键环节。数字取证的主要作用就是通过取证数据来推断用户的行为或证明假设成立。取证人员在对用户行为进行分析时,必须考虑大量数据之间的复杂关系,同时使用多种分析方法对数据进行分析,再凭借经验来判断用户行为,这样取证人员的工作效率会降低,影响分析结果的客观性,从而降低了取证证据的可采性。综上所述,如何基于联动协同原理提出有效的、满足取证要求的数字取证分析方案,在分析过程中提高对取证数据的利用率和提升取证分析的精准度方面扮演着重要角色。研究数字取证分析方法之间、数据属性之间及数据特征的联动性,将联动协同原理运用于对Android取证数据的分析过程,对于如今的Android数字取证系统的设计和建设具有重要的研究意义。
技术实现思路
针对上述问题中存在的不足之处,本专利技术提供一种基于联动协同原理的Android数字取证分析方法及系统。为实现上述目的,本专利技术的基于联动协同原理的Android数字取证分析方法,包括以下步骤:S1、从Android移动终端获取Android取证数据;S2、对所述Android取证数据进行数据预处理,得到取证预处理数据,其中,所述数据预处理包括特征化、标准化和离散化;S3、根据所述取证预处理数据判定取证分析过程是否先进行协同分析,若需先进行协同分析,执行S4;若不需先进行协同分析,执行S5;S4、基于联动协同原理对S2中的所述取证预处理数据进行取证分析,得到协同取证分析数据,然后执行S5;S5、对S2获得的所述取证预处理数据或S4获得的协同取证分析数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据,得到异常联动检测分析结果;S6、对所述异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果;S7、展现S5获得的异常联动检测分析结果和S6获得的行为联动检测分析结果。进一步的,在S2中基于粗糙集和模糊集理论按照数字取证规则对所述Android取证数据进行标准化预处理,对所述Android取证数据中的关系型数据按照数据逻辑结构做特征化处理,对所述Android取证数据中的系统不能识别的数据进行数据格式转换或数据离散化处理。进一步的,在S5中参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。进一步的,在S6中参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。本专利技术还提供一种基于联动协同原理的Android数字取证分析系统,其包括:取证数据获取模块,用于获取来自Android移动终端的Android取证数据;数据预处理模块,用于对所述取证数据获取模块获取的Android取证数据进行数据预处理,得到取证预处理数据,所述数据预处理包括特征化、标准化和离散化;判定模块,用于根据所述取证预处理数据判定取证分析过程是否先进行协同分析,若需先进行协同分析,执行联动协同分析模块;若不需先进行协同分析,执行异常检测联动模块;联动协同分析模块,基于联动协同原理对数据预处理模块处理后的取证预处理数据进行取证分析,得到协同取证分析数据,然后执行异常检测联动模块;异常检测联动模块,对联动协同分析模块得到的协同取证分析数据或者是数据预处理模块得到的取证预处理数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据,得到异常联动检测分析结果;行为检测联动模块,对异常检测联动模块得到的异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果。取证分析展现模块,展现异常检测联动模块获得的异常联动检测分析结果和行为检测联动模块获得的行为联动检测分析结果。进一步的,在所述数据预处理模块中,基于粗糙集和模糊集理论按照数字取证规则对所述Android取证数据进行标准化预处理,对所述Android取证数据中的关系型数据按照数据逻辑结构做特征化处理,对所述Android取证数据中的系统不能识别的数据进行数据格式转换或数据离散化处理。进一步的,在所述异常检测联动模块中,参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。进一步的,在所述行为检测联动模块中,参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。本专利技术的有益效果在于:本专利技术的基于联动协同原理的Android数字取证分析方法及系统,其基于在Android数字取证过程中基于联动协同原理,用多维联动分析方法对Android取证数据进行协同分析,能有效的满足Android数字取证分析方案,提高了取证数据在分析过程中的利用率并提升了取证分析的精准度。附图说明图1为本专利技术的基于联动协同原理的Android数字取证分析方法流程图;图2为本专利技术的联动协同分析方法示意图;图3为本专利技术的基于联动协同原理的Android数字取证分析系统示意图。具体实施方式联动,是指若干个相关联的事物,一个运动或变化时,其他的也跟着运动或变化,即联合行动。基于联动原理的数字取证可以理解为:由于数字取证中的取证数据之间是相互关联的,取证分析方法与分析结果也是密切相关的,因此在数字取证过程中,联动原理是必不可少的技术理论基础。协同,是指协调两个或者两个以上的不同资源或者个体,协同一致地完成某一目标的过程或能力。对数字取证获取的数据进行分析时,如果分析的程度不够彻底或分析方法的选择错误往往会对取证结果的准确性产生负面影响。为了解决这一问题,将协同原理运用于数字取证分析过程,多种联动分析方法协同分析取证数据的方式在一定程度上避免了上述错误的发生。由此看出,协同原理在数字取证分析过程中扮演着重要角色。在进行数字取证时,由于各种各样原因,经常会遇到取证数据不完整或取证数据无法识别等情况。对取证数据做预处理本文档来自技高网...
【技术保护点】
一种基于联动协同原理的Android数字取证分析方法,包括以下步骤:S1、从Android移动终端获取Android取证数据;S2、对所述Android取证数据进行数据预处理,得到取证预处理数据,其中,所述数据预处理包括特征化、标准化和离散化;S3、根据所述取证预处理数据判定取证分析过程是否先进行协同分析,若需先进行协同分析,执行S4;若不需先进行协同分析,执行S5;S4、基于联动协同原理对S2中的所述取证预处理数据进行取证分析,得到协同取证分析数据,然后执行S5;S5、对S2获得的所述取证预处理数据或S4获得的协同取证分析数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据,得到异常联动检测分析结果;S6、对所述异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果;S7、展现S5获得的异常联动检测分析结果和S6获得的行为联动检测分析结果。
【技术特征摘要】
1.一种基于联动协同原理的Android数字取证分析方法,其特征在于,包括以下步骤:S1、从Android移动终端获取Android取证数据;S2、对所述Android取证数据进行数据预处理,得到取证预处理数据,其中,所述数据预处理包括特征化、标准化和离散化;S3、根据所述取证预处理数据判定取证分析过程是否先进行协同分析,若需先进行协同分析,执行S4;若不需先进行协同分析,执行S5;S4、基于联动协同原理对S2中的所述取证预处理数据进行取证分析,得到协同取证分析数据,然后执行S5;S5、对S2获得的所述取证预处理数据或S4获得的协同取证分析数据,参照模型库和特征库中数据之间相互关联的特征及属性,联动检测并分析异常数据,得到异常联动检测分析结果;S6、对所述异常联动检测分析结果运用联动检测分析方法进行检测和分析,得到行为联动检测分析结果;S7、展现S5获得的异常联动检测分析结果和S6获得的行为联动检测分析结果;在S2中基于粗糙集和模糊集理论按照数字取证规则对所述Android取证数据进行标准化预处理,对所述Android取证数据中的关系型数据按照数据逻辑结构做特征化处理,对所述Android取证数据中的系统不能识别的数据进行数据格式转换或数据离散化处理。2.根据权利要求1的基于联动协同原理的Android数字取证分析方法,其特征在于,在S5中参照异常数据模型库中数据之间互相关联的特征来联动检测是否存在异常数据,根据异常数据特征库中数据之间互相关联的属性来联动分析异常数据。3.根据权利要求1的基于联动协同原理的Android数字取证分析方法,其特征在于,在S6中参照行为模型库中数据之间互相关联的特征来联动检测用户行为,根据行为特征库中指定数据之间互相关联的属性来联动分析用户行为。4.一种基于联动协同原理的Android数字取证分析系统,其特征在于,包括:取证数据获取模块,用于获取来自Android移动终端的A...
【专利技术属性】
技术研发人员:何泾沙,万雪姣,黄娜,刘公政,赵斌,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。