一種面向數字取證的異常隱寫檢測分析方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種面向數字取證的異常隱寫檢測分析方法及系統(tǒng)�,方法包括步驟:1:獲取檢材中待取證分析數據;2:對待取證分析數據進行異常分析��;3:判定待取證分析數據是否異常�����;4:對異常數據標記為懷疑對象��,將懷疑對象移動到觀察區(qū)進行隔離���,并生成異常檢測報告�;5:對待取證分析數據或被懷疑對象進行異常隱寫檢測分析�;6:判定5分析的數據對象存在異常隱寫的可能性;7:生成異常隱寫評測報告�,展現(xiàn)異常分析結果和異常隱寫評測報告。本發(fā)明聯(lián)合運用了特征分析法與統(tǒng)計分析法對檢材中待取證分析數據進行異常隱寫檢測分析����,能有效的滿足數字取證異常隱寫檢測分析方案,提高了數字取證過程中的隱寫分析速度,并提升了隱寫分析的精準度����。
【專利說明】—種面向數字取證的異常隱寫檢測分析方法及系統(tǒng)
[0001]
【技術領域】
[0002]本發(fā)明屬于數字取證【技術領域】���,尤其涉及一種面向數字取證的異常隱寫檢測分析方法及系統(tǒng)。
[0003]【背景技術】
[0004]數字取證的分析過程是取證的關鍵步驟�����,對待取證分析數據的異常隱寫檢測分析過程在多數情況下是靠取證人員的個人判斷和經驗積累�����,還有一部分鑒定人員選擇用兩個或多個隱寫分析工具來進行取證���,然而,取證人員的主觀判斷和分析工具的不規(guī)范性很難保障數字取證過程的客觀真實性�����。這樣一來�,取證鑒定結果的可用性和準確性容易引起各個方面的爭議。
[0005]作為隱寫術的對抗技術�����,隱寫分析的任務是檢測隱藏信息的存在性�����、識別隱藏算法,甚至抽取并恢復隱藏的信息�����。隱寫分祈的最終目標是為了提取出秘密信息以作為呈堂證據��,隨著信息技術的不斷發(fā)展����,隱寫術的技術也在逐步發(fā)展和進步中取得了長足的進步。現(xiàn)有的隱寫檢測分析方法有很多已經比較成熟��,如標志特征分析法和統(tǒng)計特征分析法等��,一些取證人員已經將其應用于數字取證領域�。某些隱寫軟件在隱秘圖像中留下標識特征,可通過分析待檢測對象中是否出現(xiàn)該標識特征來實現(xiàn)檢測�。隱寫技術在隱藏信息時改變了載體數據流的一部分,雖然不改變感覺效果�����,但是往往改變了原始載體數據的統(tǒng)計性質����,因此�����,對信息隱藏情形的判斷建立在通判定給定載體的統(tǒng)計性質是否屬于非正常情況的前提下�����。
[0006]在進行數字取證時����,取證人員需要運用多種異常隱寫檢測分析方法�,多數情況下檢測分析對象也是不確定的,因此如何高效精準地實現(xiàn)數字取證分析成為一個亟待解決的問題����。異常隱寫檢測分析技術在信息安全研究領域的應用十分普遍��。但是�����,隨著個人計算機和便攜式移動終端的與日劇增�����,利用相關電子設備如計算機或手機直接進行電子犯罪或牽涉到以上電子設備的案件數量也直線上升。
[0007]綜上所述�,如何提出有效的、滿足數字取證要求的異常隱寫檢測分析方案����,在提高數字取證中的檢測分析結果的精準度方面具有重要的研究意義。
[0008]
【發(fā)明內容】
[0009]本發(fā)明的目的在于提供一種有效的��、滿足數字取證要求的異常隱寫檢測分析方法及系統(tǒng)��。
[0010]本發(fā)明的方法所采用的技術方案是:一種面向數字取證的異常隱寫檢測分析方法�����,其特征在于�,包括以下步驟: 步驟1:從鏡像文件獲取待取證分析數據對象;
步驟2:對所述鏡像文件的待取證分析數據對象進行異常分析���,獲得異常分析結果�; 步驟3:根據所述異常分析結果判定待取證分析數據對象是否異常����;
若存在異常�,則生成異常檢測報告���,并順序執(zhí)行下述步驟4 �;
若不存在異常�,則跳轉執(zhí)行下述步驟5 ;
步驟4:將存在異常的待取證分析數據對象標記為懷疑對象����,同時將懷疑對象移動至觀察區(qū)進行隔離;
步驟5:對步驟I中獲得的所述鏡像文件的待取證分析數據對象或步驟4獲得的懷疑對象進行隱寫檢測分析�,獲得隱寫分析結果;
步驟6:根據所述隱寫分析結果判定異常隱寫的可能性是否為O ;
若隱寫可能性為O���,則回轉執(zhí)行所述步驟I ;
若隱寫可能性不為O�����,則順序執(zhí)行下述步驟7 �;
步驟7:生成異常隱寫檢測報告����,展現(xiàn)步驟2中獲得的異常分析結果和步驟7中生成的異常隱寫檢測報告��。
[0011]作為優(yōu)選,步驟2中所述的對所述鏡像文件的待取證分析數據對象進行異常分析��,其具體實現(xiàn)過程是�,首先按照數字取證規(guī)則對所述待取證分析數據對象進行局部標志特征異常分析,對所述待取證分析數據對象的主要特征進行識別并按照在異常檢測分析中所起到作用的重要程度進行排序�����;然后依次對所述待取證分析數據對象的各個局部特征進行檢測���,檢測到某特征存在異常則停止檢測��;否則��,繼續(xù)檢測�����,直到最后一個特征檢測完畢�����。
[0012]作為優(yōu)選����,步驟5中中所述的對步驟I中獲得的所述鏡像文件的待取證分析數據對象或步驟4獲得的懷疑對象進行隱寫檢測分析,其具體實現(xiàn)過程是參照訓練集和特征庫中的異常隱寫模型對待取證分析數據對象或被懷疑對象用統(tǒng)計特征分析法進行隱寫檢測分析�����。
[0013]本發(fā)明的系統(tǒng)所采用的技術方案是:一種面向數字取證的異常隱寫檢測分析系統(tǒng)���,其特征在于:包括取證數據獲取模塊�����、異常檢測分析模塊�、異常判定模塊�、異常處理模塊、隱寫檢測分析模塊����、隱寫判定模塊和異常隱寫取證分析展現(xiàn)模塊;
所述取證數據獲取模塊�,用于從鏡像文件獲取待取證分析數據對象;
所述異常檢測分析模塊���,用于對所述鏡像文件的待取證分析數據對象用局部標記特征分析法進行異常分析�����,得到異常分析結果�;
所述異常判定模塊��,用于根據所述異常分析結果判定待取證分析數據對象是否異常���,若存在異常��,生成異常檢測報告�,執(zhí)行異常處理模塊�;若不存在異常,執(zhí)行隱寫檢測分析模塊��;
所述異常處理模塊����,用于將存在異常的待取證分析數據對象標記為懷疑對象,同時將懷疑對象移動至觀察區(qū)進行隔離��;
所述隱寫檢測分析模塊���,用于對異常檢測分析模塊獲得的所述鏡像文件的待取證分析數據對象或異常處理模塊獲得的懷疑對象,用統(tǒng)計特征分析法參照訓練集和特征庫中的數據進行隱寫檢測分析��;
所述隱寫判定模塊��,用于根據所述隱寫檢測分析結果判定異常隱寫的可能性是否為0�,若隱寫可能性為0,則控制執(zhí)行取證數據獲取模塊�;若隱寫可能性不為0,則控制執(zhí)行異常隱寫取證分析展現(xiàn)模塊�����;
所述異常隱寫取證分析展現(xiàn)模塊,用于生成異常隱寫檢測報告�,并展現(xiàn)異常分析結果和異常隱寫檢測報告���。
[0014]作為優(yōu)選�����,所述異常檢測分析模塊,用于按照數字取證規(guī)則對所述待取證分析數據對象進行局部標志特征異常分析,對所述待取證分析數據對象的主要特征進行識別并按照在異常檢測分析中所起到作用的重要程度進行排序;然后依次對所述待取證分析數據對象的各個局部特征進行檢測,檢測到某特征存在異常則停止檢測��;否則,繼續(xù)檢測�����,直到最后一個特征檢測完畢��。
[0015]作為優(yōu)選�,所述隱寫檢測分析模塊����,用于參照訓練集和特征庫中的異常隱寫模型對異常檢測分析模塊獲得的所述鏡像文件的待取證分析數據對象或異常處理模塊獲得的懷疑對象,用統(tǒng)計特征分析法參照訓練集和特征庫中的數據進行隱寫檢測分析����。
[0016]本發(fā)明的有益效果在于:
本發(fā)明的面向數字取證的異常隱寫檢測分析方法及系統(tǒng)����,其聯(lián)合運用了特征分析法與統(tǒng)計分析法對取證數據進行異常隱寫檢測分析��,能有效的滿足數字取證異常隱寫檢測分析方案���,提高了數字取證過程中的隱寫分析速度����,并提升了隱寫分析的精準度。
[0017]
【專利附圖】
【附圖說明】
[0018]圖1:為本發(fā)明的方法流程圖��;
圖2:為本發(fā)明實施例的系統(tǒng)原理圖�����。
[0019]【具體實施方式】
[0020]為了便于本領域普通技術人員理解和實施本發(fā)明�����,下面結合附圖及實施例對本發(fā)明作進一步的詳細描述,應當理解,此處所描述的實施示例僅用于說明和解釋本發(fā)明�����,并不用于限定本發(fā)明�����。
[0021]某些隱寫軟件在隱秘圖像中留下標識特征��,可通過分析待檢測對象中是否出現(xiàn)該標識特��,征來實現(xiàn)檢測����。面向數字取證的局部特征檢測法可以理解為:對取證數據對象的主要特征進行識別并按照在異常檢測分析中所起到作用的重要程度進行排序����。依次對該數據對象的各個局部特征進行檢測���,檢測到某特征存在異常則停止檢測�����;否則���,繼續(xù)檢測�,直到最后一個特征檢測完畢�����。
[0022]統(tǒng)計檢測法主要根據載體信息某些統(tǒng)計特性的變化進行有效分析����,通過判定給定載體的統(tǒng)計性質是否屬于非正常情況��,就可以判斷是否含有隱藏信息。面向數字取證的統(tǒng)計檢測法可以理解為:統(tǒng)計分析需要得到原始載體數據的理論期望頻率分布�,再參照訓練集和特征庫中的模型與待測數據對象進行對比�。
[0023]將局部特征檢測法與統(tǒng)計檢測法聯(lián)合運用于數字取證的異常隱寫檢測分析��,利用兩種檢測方法各自不同的優(yōu)勢進行互補��,在一定程度上保證了數字取證過程中隱寫檢測分析結果的準確性����。作為隱寫術的對抗技術�,隱寫分析的任務是檢測隱藏信息的存在性、識別隱藏算法�,甚至抽取并恢復隱藏的信息。由于隱寫分祈的最終目標是為了提取出秘密信息以作為呈堂證據���,因此,在數字取證過程中,對待取證分析數據對象進行分析時,如果分析的程度不夠徹底或分析方法的選擇錯誤往往會對取證結果的準確性產生負面影響。為了解決這一問題�,將局部特征檢測法與統(tǒng)計檢測法聯(lián)合運用于數字取證的異常隱寫檢測分析過程�����,兩種方法聯(lián)合分析取證數據的方式在一定程度上避免了上述錯誤的發(fā)生���,從而提升取證證據的可采性���。
[0024]請見圖1,本發(fā)明的方法所采用的方案是:一種面向數字取證的異常隱寫檢測分析方法�,包括以下步驟:
步驟1:從鏡像文件獲取待取證分析數據對象�。
[0025]步驟2:對鏡像文件的待取證分析數據對象進行異常分析�,獲得異常分析結果;對鏡像文件的待取證分析數據對象進行異常分析��,其具體實現(xiàn)過程是�����,首先按照數字取證規(guī)則對待取證分析數據對象進行局部標志特征異常分析��,對待取證分析數據對象的主要特征進行識別并按照在異常檢測分析中所起到作用的重要程度進行排序��;然后依次對待取證分析數據對象的各個局部特征進行檢測�,檢測到某特征存在異常則停止檢測��;否則�,繼續(xù)檢測�����,直到最后一個特征檢測完畢����。
[0026]步驟3:根據異常分析結果判定待取證分析數據對象是否異常�;
若存在異常���,則生成異常檢測報告�����,并順序執(zhí)行下述步驟4 �;
若不存在異常��,則跳轉執(zhí)行下述步驟5 �;
步驟4:將存在異常的待取證分析數據對象標記為懷疑對象,同時將懷疑對象移動至觀察區(qū)進行隔離�。
[0027]步驟5:對步驟I中獲得的鏡像文件的待取證分析數據對象或步驟4獲得的懷疑對象進行隱寫檢測分析,獲得隱寫分析結果�����;對步驟I中獲得的鏡像文件的待取證分析數據對象或步驟4獲得的懷疑對象進行隱寫檢測分析�,其具體實現(xiàn)過程是參照訓練集和特征庫中的異常隱寫模型對待取證分析數據對象或被懷疑對象用統(tǒng)計特征分析法進行隱寫檢測分析。
[0028]步驟6:根據隱寫分析結果判定異常隱寫的可能性是否為O ;
若隱寫可能性為0��,則回轉執(zhí)行步驟I ;
若隱寫可能性不為0�����,則順序執(zhí)行下述步驟7 ;
步驟7:生成異常隱寫檢測報告��,展現(xiàn)步驟2中獲得的異常分析結果和步驟7中生成的異常隱寫檢測報告���。
[0029]請見圖2�,是本實施例的系統(tǒng)是基于聯(lián)動協(xié)同原理的Android數字取證分析系統(tǒng)����,包括取證數據獲取模塊���、異常檢測分析模塊����、異常判定模塊���、異常處理模塊�、隱寫檢測分析模塊��、隱寫判定模塊和異常隱寫取證分析展現(xiàn)模塊�����;
取證數據獲取模塊,用于從鏡像文件獲取待取證分析數據對象�;
異常檢測分析模塊,用于按照數字取證規(guī)則對待取證分析數據對象進行局部標志特征異常分析����,對待取證分析數據對象的主要特征進行識別并按照在異常檢測分析中所起到作用的重要程度進行排序;然后依次對待取證分析數據對象的各個局部特征進行檢測����,檢測到某特征存在異常則停止檢測;否則�����,繼續(xù)檢測�,直到最后一個特征檢測完畢。
[0030]異常判定模塊����,用于根據異常分析結果判定待取證分析數據對象是否異常,若存在異常�����,生成異常檢測報告,執(zhí)行異常處理模塊�;若不存在異常,執(zhí)行隱寫檢測分析模塊��; 異常處理模塊�����,用于將存在異常的待取證分析數據對象標記為懷疑對象���,同時將懷疑對象移動至觀察區(qū)進行隔離���;
隱寫檢測分析模塊,用于參照訓練集和特征庫中的異常隱寫模型對異常檢測分析模塊獲得的鏡像文件的待取證分析數據對象或異常處理模塊獲得的懷疑對象�����,用統(tǒng)計特征分析法參照訓練集和特征庫中的數據進行隱寫檢測分析��;
隱寫判定模塊��,用于根據隱寫檢測分析結果判定異常隱寫的可能性是否為O�,若隱寫可能性為O�����,則控制執(zhí)行取證數據獲取模塊;若隱寫可能性不為O��,則控制執(zhí)行異常隱寫取證分析展現(xiàn)模塊���;
異常隱寫取證分析展現(xiàn)模塊�����,用于生成異常隱寫檢測報告����,并展現(xiàn)異常分析結果和異常隱寫檢測報告�。
[0031]應當理解的是,本文未詳細闡述的部分均屬于現(xiàn)有技術��。
[0032]應當理解的是����,上述針對較佳實施例的描述較為詳細,并不能因此而認為是對本發(fā)明專利保護范圍的限制���,本領域的普通技術人員在本發(fā)明的啟示下��,在不脫離本發(fā)明權利要求所保護的范圍情況下���,還可以做出替換或變形��,均落入本發(fā)明的保護范圍之內��,本發(fā)明的請求保護范圍應以所附權利要求為準���。
【權利要求】
1.一種面向數字取證的異常隱寫檢測分析方法,其特征在于��,包括以下步驟: 步驟1:從鏡像文件獲取待取證分析數據對象���; 步驟2:對所述鏡像文件的待取證分析數據對象進行異常分析����,獲得異常分析結果�����; 步驟3:根據所述異常分析結果判定待取證分析數據對象是否異常��; 若存在異常�,則生成異常檢測報告,并順序執(zhí)行下述步驟4 �����; 若不存在異常����,則跳轉執(zhí)行下述步驟5 ; 步驟4:將存在異常的待取證分析數據對象標記為懷疑對象���,同時將懷疑對象移動至觀察區(qū)進行隔離���; 步驟5:對步驟I中獲得的所述鏡像文件的待取證分析數據對象或步驟4獲得的懷疑對象進行隱寫檢測分析,獲得隱寫分析結果�����; 步驟6:根據所述隱寫分析結果判定異常隱寫的可能性是否為O ; 若隱寫可能性為O��,則回轉執(zhí)行所述步驟I ; 若隱寫可能性不為O����,則順序執(zhí)行下述步驟7 ; 步驟7:生成異常隱寫檢測報告�,展現(xiàn)步驟2中獲得的異常分析結果和步驟7中生成的異常隱寫檢測報告���。
2.根據權利要求1所述的面向數字取證的異常隱寫檢測分析方法,其特征在于:步驟2中所述的對所述鏡像文件的待取證分析數據對象進行異常分析�,其具體實現(xiàn)過程是,首先按照數字取證規(guī)則對所述待取證分析數據對象進行局部標志特征異常分析����,對所述待取證分析數據對象的主要特征進行識別并按照在異常檢測分析中所起到作用的重要程度進行排序;然后依次對所述待取證分析數據對象的各個局部特征進行檢測���,檢測到某特征存在異常則停止檢測����;否則���,繼續(xù)檢測����,直到最后一個特征檢測完畢����。
3.根據權利要求1所述的面向數字取證的異常隱寫檢測分析方法���,其特征在于:步驟5中中所述的對步驟I中獲得的所述鏡像文件的待取證分析數據對象或步驟4獲得的懷疑對象進行隱寫檢測分析��,其具體實現(xiàn)過程是參照訓練集和特征庫中的異常隱寫模型對待取證分析數據對象或被懷疑對象用統(tǒng)計特征分析法進行隱寫檢測分析��。
4.一種面向數字取證的異常隱寫檢測分析系統(tǒng)����,其特征在于:包括取證數據獲取模塊、異常檢測分析模塊���、異常判定模塊�、異常處理模塊���、隱寫檢測分析模塊�����、隱寫判定模塊和異常隱寫取證分析展現(xiàn)模塊���; 所述取證數據獲取模塊,用于從鏡像文件獲取待取證分析數據對象����; 所述異常檢測分析模塊��,用于對所述鏡像文件的待取證分析數據對象用局部標記特征分析法進行異常分析�����,得到異常分析結果���; 所述異常判定模塊,用于根據所述異常分析結果判定待取證分析數據對象是否異常��,若存在異常����,生成異常檢測報告,執(zhí)行異常處理模塊��;若不存在異常���,執(zhí)行隱寫檢測分析模塊�; 所述異常處理模塊�����,用于將存在異常的待取證分析數據對象標記為懷疑對象,同時將懷疑對象移動至觀察區(qū)進行隔離��; 所述隱寫檢測分析模塊�����,用于對異常檢測分析模塊獲得的所述鏡像文件的待取證分析數據對象或異常處理模塊獲得的懷疑對象����,用統(tǒng)計特征分析法參照訓練集和特征庫中的數據進行隱寫檢測分析�;所述隱寫判定模塊,用于根據所述隱寫檢測分析結果判定異常隱寫的可能性是否為O�����,若隱寫可能性為O��,則控制執(zhí)行取證數據獲取模塊�;若隱寫可能性不為O,則控制執(zhí)行異常隱寫取證分析展現(xiàn)模塊�; 所述異常隱寫取證分析展現(xiàn)模塊,用于生成異常隱寫檢測報告��,并展現(xiàn)異常分析結果和異常隱寫檢測報告�。
5.根據權利要求4所述的面向數字取證的異常隱寫檢測分析方法,其特征在于:所述異常檢測分析模塊,用于按照數字取證規(guī)則對所述待取證分析數據對象進行局部標志特征異常分析�,對所述待取證分析數據對象的主要特征進行識別并按照在異常檢測分析中所起到作用的重要程度進行排序;然后依次對所述待取證分析數據對象的各個局部特征進行檢測�����,檢測到某特征存在異常則停止檢測��;否則�,繼續(xù)檢測,直到最后一個特征檢測完畢�����。
6.根據權利要求4所述的面向數字取證的異常隱寫檢測分析方法�����,其特征在于:所述隱寫檢 測分析模塊�����,用于參照訓練集和特征庫中的異常隱寫模型對異常檢測分析模塊獲得的所述鏡像文件的待取證分析數據對象或異常處理模塊獲得的懷疑對象�����,用統(tǒng)計特征分析法參照訓練集和特征庫中的數據進行隱寫檢測分析。
【文檔編號】G06F21/60GK104021227SQ201410291747
【公開日】2014年9月3日 申請日期:2014年6月26日 優(yōu)先權日:2014年6月26日
【發(fā)明者】麥永浩, 萬雪姣, 張俊, 危蓉, 薛琴, 楊靜 申請人:麥永浩