[发明专利]一种Web浏览器缓存数据的取证方法

权利要求书

1.一种Web浏览器缓存数据的取证方法，其特征在于该方法包括以下步骤：

(1)输入Web浏览器数据文件和搜索的敏感关键词；具体步骤是：

(1-1)首先分析硬盘上的注册表文件，根据不同操作系统类型获取存放于注册表中的IE主页信息和IE地址栏的最近访问列表的信息，并根据注册表中相关的键值中获取IE历史记录、Cookies、Web缓存文件和IE收藏夹的存放位置；

(1-2)然后取证人员根据取证调查的具体需要，获取指定的浏览器数据文件，即把这些数据分别从原始文件夹中拷贝到特定的目录下；

(1-3)取证机构操作人员输入待搜索的敏感关键词；

(2)对证据文件进行解析和预处理，并将结果存入数据库中；具体步骤是：

(2-1)首先根据文件内部格式分别对IE历史记录、Cookies和IE表单这三类浏览器数据进行解析，然后将解析的结果存入数据库中；

(2-2)首先根据文件类型筛选出Web缓存文件中的网页文件，然后通过分析每个网页的html标签，得到网页的标题、正文、锚文本和对应网址以及其他信息，并把这些分析结果存入数据库；

(2-3)将其他浏览器数据的信息存入数据库，即提取IE收藏夹、IE主页信息和IE地址栏的最近访问列表信息这三类数据的属性信息，并分别存入数据库；

(3)以Web浏览记录为主线，将每条记录与其他关联的Web证据整合成一个Web对象；具体步骤是：

(3-1)针对数据库中的每条Web浏览记录，查询与它具有相同网址信息的Web缓存文件和IE表单信息，以及具有相同域名的Cookies文件，将这些文件的索引编号和关键属性提取出来，并标注它的网址是否出现在最近访问的网址或收藏夹中，然后将这些信息合并成一条新的记录，并存入数据库；

(3-2)针对数据库中的每条本地文件浏览记录，将它也作为一条记录存入Web对象对应的数据表中；

(4)选择特殊的Web对象为树根结点，根据页面之间链接引用和页面访问时间来构建Web树，组建Web证据森林；具体步骤是：

(4-1)首先选取网址出现在IE主页或IE地址栏下拉列表中的Web对象作为一棵Web树的根结点，即Web树的第一个父结点，并标注Web对象已选中；如果网址出现在IE地址栏下拉列表中的Web对象都已选取过，则转到步骤(4-6)；否则转到步骤(4-2)；

(4-2)在所有未被选中的Web对象中，找出一组网址为父节点网页中锚文本对应网址的Web对象；如果找到则转到(4-3)，如果未找到则标记该结点为叶子结点，转到步骤(4-5)；

(4-3)在找到的一组Web对象中选取一个和父结点构成一对Web对象，转到步骤(4-4)，如果都已选取过，则转到步骤(4-5)；

(4-4)根据浏览记录中的页面访问时间先后次序确定这对Web对象中的父子关系，如果两个Web对象的先后访问时间差在设定的时间间隔之内，那么可以确定它们之间的父子关系，即先访问的为父结点，后访问的为子结点，并标注子结点Web对象已被选中；如果先后访问时间差在设定的时间间隔之外，则无法确定父子关系，转到步骤(4-3)；设定的时间间隔为10～300秒；

(4-5)从新生成的子结点中选取一个作为父结点，转到步骤(4-2)，如果全部都已选取过，则返回上一层中再执行步骤(4-5)，如果上一层为0层则转到步骤(4-6)；

(4-6)Web树构建完毕，如果仍存在Web对象未被选中和处理，则根据当前选取的根节点的类型，分别转到步骤(4-1)、(4-7)、(4-8)；如果所有的Web对象都已被处理，则转到步骤(4-9)；

(4-7)选取网址出现在收藏夹中的Web对象作为一棵Web树的根结点，即Web树的第一个父结点；如果网址出现在收藏夹中的Web对象都已选取过，则转到步骤(4-8)；如果收藏夹中仍有未处理过的Web对象，则转到步骤(4-2)；

(4-8)选取网址为站点主页的Web对象作为一棵Web树的根结点，即Web树的第一个父结点；如果网址为站点主页的Web对象都已选取过，则转到步骤(4-9)；如果网址为站点主页仍有未处理过的Web对象，则转到步骤(4-2)；

(4-9)Web森林构建完毕；

(5)利用输入的关键词对森林进行智能搜索，得到相关的web对象；具体步骤是：

(5-1)首先输入待搜索的关键词或者基于关键词的正则表达式；

(5-2)根据关键词匹配规则对Web对象进行匹配查找，如果是含有网页或IE表单信息的Web对象，则根据网页的文本信息和IE表单信息进行匹配；如果是不含有网页的Web对象，则根据文件名对进行匹配；

(5-3)对每个匹配成功的Web对象，记录关键词的出现位置和出现次数；

(6)对相关的Web对象、Web树进行内容分析；具体步骤是：

(6-1)根据步骤(5)中记录的关键词出现位置和出现次数，计算每个Web对象与敏感关键词相关程度，计算公式为co＝∑(w_i·n_i·m_i)/∑(n_i·m_i)，其中m_i是用户对该web对象的访问次数、n_i是关键词在位置区域i处匹配的次数、w_i是位置区域i处出现匹配的权重系数；

(6-2)在Web森林中找出包含至少与关键词匹配一次的Web对象节点的Web树，并计算这些Web树的分数，计算公式为c_t＝(∑k_i·co_i)/∑k_i，其中k_i为该web树t中节点i与关键词的匹配次数，co_i为web对象节点i与敏感关键词的相关程度；

(6-3)将Web对象和Web树按照分数高低降序排列；

(7)生成Web取证报告供用户浏览；具体是将按相关程度排序的web对象和web树整理成规范化的文档。