[发明专利]面向Android数字取证的用户行为分析方法及系统

说明书

技术领域

本发明涉及数字取证技术领域，特别是一种面向Android数字取证的用户行为分析方法及系统。

背景技术

Android数字取证是指取证人员按照法律规范的方式，对存在于Android移动终端或其他电子设备中的电子证据实施提取、传输、保存、分析和提交的过程。取证人员在用数字取证工具对Android设备进行取证时，可以根据取证工具对设备中数据的分析结果对案件进行推理分析，并在最后要得到一份取证工具生成的取证报告。由于数字取证的目的是从移动电子设备等相关电子设备中收集和发现证据，因此涉及到两个关键技术分别是数据获取技术和数据分析技术。

在实际的犯罪侦查过程中或民事争议案件中通常都会涉及到案件相关人员的移动设备，特定当事人实施了哪些具体行为及其造成的后果往往会是双方争议的焦点。作为电子数据证据鉴定中的一类，用户行为取证分析的作用十分突出。

用户行为是指用户通过对移动设备进行操作，实现通信、系统管理、数据生成、数据处理、数据存储等目标，或多或少会在移动设备或相关系统中留下一些行为痕迹。在数字取证过程中，对用户行为分析的结果对判定用户行为具有支撑作用。

在数字取证过程中，对用户行为的分析工作通常依赖于取证人员凭借经验和个人判断，按照数字取证的法律法规来实现。然而，对于不同的用户行为有不同的鉴定事件，对于不同的鉴定事件又对应不同的鉴定方法。这就使数字取证过程中对用户行为分析的工作变得繁琐，取证人员要花费大量的精力来对取证数据进行分析，又由于人为因素存在的主观性，降低了取证分析结论的可信度及客观性。如果用系统分析代替人工分析，不但能提高工作效率，又能节省宝贵的人力资源，还能提升取证分析结论的可采性。

为了在数字取证过程中实现用户行为分析，需要运用关联分析算法对取证鉴定方法、取证鉴定事件和用户行为确定其关联关系，并且每次关联分析结果都会作为参数运用于下一步的分析中。关联分析是指如果两个或多个事物之间存在一定的关联，那么其中一个事物就能通过其他事物进行预测。它的目的是为了挖掘隐藏在数据间的相互关系。关联分析是研究数据内在联系和数字证据分析的一种方法，用于发现同一时间段内的各种联系，是揭示数字证据与犯罪信息关联模式的关键性技术。关联规则要求数据集中支持度和信任度分别满足阈值，其中最著名的算法是R.Agrawal提出的Apriori，其主要思想是把算法分为两步:第一步是找出所有频繁项集，第二步是由频繁项集产生强关联规则。后来的许多算法都是对此算法的改进研究，如AprioriTid，AprioriHybrid等。

因此如何根据Android取证数据及用户行为的关联关系有效分析用户行为，提出有效的、满足数字取证要求的用户行为分析方案，对规范取证分析流程、提高取证分析效率和准确率以及提升数字取证分析结果的客观性至关重要。研究取证数据与用户行为的关联关系，根据不同的鉴定需求采用不同的用户行为分析方法，对于目前的Android数字取证系统的设计和建设具有重要的研究价值。

发明内容

为达到上述目的，本发明提出一种面向Android数字取证的用户行为分析方法及系统。

本发明的面向Android数字取证的用户行为分析方法，包括以下步骤：

S1、获取Android取证数据；

S2、按数字取证规则及取证鉴定需求确定取证鉴定事件；

S3、将S2确定的取证鉴定事件与数字取证鉴定方法进行关联分析，确定本次数字取证鉴定方法；

S4、用S3确定的本次数字取证鉴定方法分析S1中获取的Android取证数据，得到数字取证鉴定事件分析结果；

S5、将S4得到的数字取证鉴定事件分析结果与用户行为进行关联分析，得到关联分析结果；

S6、根据S5获得的关联分析结果，运用数据挖掘方法对用户行为进行取证分析，获得Android数字取证用户行为分析结果；

S7、展现S6获得的Android数字取证用户行为分析结果。

进一步的，在步骤S2中，用以Apriori为核心的关联分析算法对取证鉴定需求与数字取证规则进行分析，确定取证鉴定事件。

进一步的，在步骤S3中，用以Apriori为核心的关联分析算法对取证鉴定事件与取证鉴定方法进行分析，确定取证鉴定方法。

进一步的，在步骤S4中，运用数据挖掘方法对Android取证数据进行数据分析，并将分析结果与取证鉴定事件进行关联分析。

进一步的，在步骤S5中，用以Apriori为核心的关联分析算法对数字取证鉴定事件分析结果与用户行为进行分析。