[发明专利]基于LDA模型及中心度算法的邮件网络取证分析方法

权利要求书

1.一种基于LDA模型及中心度算法的邮件网络取证分析方法，其特征在于包括以下步骤：

步骤S1：读取邮件数据，利用Lucene全文检索技术，通过一查询语句Q对所述邮件数据进行基于一犯罪主题的查询，得到查询结果；

步骤S2：根据所述查询结果，构造以邮件用户为节点，以用户通信关系为边的邮件网络图；

步骤S3：对所述查询结果中的每一封邮件，基于LDA模型计算其主题分布；

步骤S4：根据所述查询结果，计算所述查询结果中的每一封邮件基于所述犯罪主题的关联值；

步骤S5：根据所述邮件网络图，计算每条边基于所述犯罪主题的关联值；

步骤S6：根据所述邮件网络图中每条边的关联值，计算每个节点的中心值；

步骤S7：根据步骤S6得到的所有节点的中心值求节点的影响因子，所述影响因子大于一阈值a的即为基于所述犯罪主题的可疑对象。

2.根据权利要求1所述的基于LDA模型及中心度算法的邮件网络取证分析方法，其特征在于：所述步骤S3的具体内容如下:

步骤S31：对邮件m的正文内容进行分词，得到邮件m对应的词集合{w₁,w₂,…,w_i,…,w_n}，其中，词w_i属于第k个主题的概率计算如下：

其中，变量z_i表示词w_i的主题，K表示主题的个数，表示在邮件m中除了词w_i的主题外的其他所有词的主题集合；n(m,k)表示邮件m中属于第k个主题的词的数量；变量α_k表示邮件m中主题k先验分布的参数，表示第k个主题中词w_i的分布概率；

步骤S32：归一化所述步骤S31中所述的词w_i属于第k个主题的概率，得到wt_k，wt_k为词w_i的主题分布WT_i中的分量：

WT_i＝(wt₁,wt₂,…,wt_K)

步骤S33：词w_i的主题从WT_i中抽样得到，从而得出邮件m中属于第k个主题的词的数量n(m,k)，则邮件m的主题分布计算如下：

其中为邮件m中属于第k个主题的概率，所述邮件m的主题分布为

3.根据权利要求2所述的基于LDA模型及中心度算法的邮件网络取证分析方法，其特征在于：所述步骤S4的具体内容如下：

步骤S41：给定一主题概率阈值p_T，将邮件m中的主题分布概率大于等于p_T的所有主题筛选出作为邮件m的高概率主题；

步骤S42：给定一词概率阈值p_W，将所述犯罪主题中词概率大于等于p_W的所有词作为所述犯罪主题的高频词；

步骤S43：将所述邮件m中的所有高概率主题中的高频词的集合作为所述邮件m的特征关键词集Key_m；

步骤S44：根据所述查询语句Q和邮件m的特征关键词集Key_m，计算所述邮件m基于Q的关联值：

其中，表示对所述查询语句Q进行分词后的词集合，集合长度为n_q，n(Q∩Key_m)为集合Q和集合Key_m的交集的元素个数。

4.根据权利要求3所述的基于LDA模型及中心度算法的邮件网络取证分析方法，其特征在于：所述步骤S5的具体内容如下：

其中，e_AB表示邮件用户A到邮件用户B的一条有向通信边，通信方向指向用户B，n_AB表示查询结果中用户A发送给用户B的所有邮件的个数。