基于智能终端电子数据的异常行为分析方法与流程

本发明涉及电子数据取证情报分析领域，具体是适用于公安侦破案件过程应用中的基于智能终端电子数据的异常行为分析方法。

背景技术：

随着电子科学技术的不断发展，各种利用智能终端等电子设备从事的犯罪活动以及涉及智能终端取证的各种刑事案件和行政案件越来越多，犯罪嫌疑人在智能终端能够从事的活动如：发短信、打电话、语音聊天、交易转账等越来越多，该领域的研究与实践受到越来越广泛的关注。

但当前针对智能移动设备中的电子数据的研究与分析手段较为单一，对数据的预处理过程比较少，通常利用通联行为，交易行为等传统的分类学方法进行数据呈现，现如今智能终端内存不断提升，数据量飞速增加，传统分析方法耗时耗力，难以充分利用智能终端中的数据进行对犯罪嫌疑人的可疑行为进行分析。

技术实现要素：

为了解决上述技术问题，本发明的目的在于提供一种基于智能终端电子数据的异常行为分析方法，对电子数据进行进一步的数据预处理，通过预设的战法模型，提炼出犯罪嫌疑人智能终端内可疑的行为，将重要的疑似犯罪行为突出展示，从而不仅帮助办案人员提供了分析的方向，也提升了电子数据分析工作的工作效率。

本发明解决其技术问题所采取的技术方案是：

基于智能终端电子数据的异常行为分析方法，所述的方法包含以下步骤：

s1文件读取：对原始结构化的电子数据文件进行读取操作；

s2数据解析加载：将解析后的数据加载至内存空间中；

s3提取分析异常行为数据：将暂存的数据进行比对分析和规则分析，以抽取其中的异常行为数据，并进行重点标记；

s4结果数据规整入库：对分析过的数据以及分析结果储存至数据库中；

s5前端页面结果展现。

进一步的，所述步骤s1中所述原始结构化电子数据通过redis远程字典服务获取文件路径，然后通过redis储存的文件路径进行并发的文件读取。

进一步的，所述步骤s3将暂存的数据进行比对分析和规则分析，所述暂存的数据为保存在步骤s2服务器内存空间的数据，在步骤s3进行分析后删除。

所述比对分析是通过系统内置的数据与嫌疑人智能终端中的虚拟身份、关键字、app、地址、wifi、文件哈希以及网址进行比对碰撞，分析出可疑行为信息。

所述规则分析是通过对犯罪嫌疑人经常发生的行为特征，总结出一套普适性的分析规则，利用该分析规则对智能终端电子数据进行异常行为分析。

进一步的，所述步骤s5结果展现结果通过web端网页对异常行为进行展示，包括疑似涉毒行为、疑似涉恐行为、疑似涉黄行为、疑似涉赌行为、经济类异常行为和其他异常行为。

本发明的有益效果是：

1.本发明服务于公安、网安等部门，用于电子数据取证情报分析实战，快速形成多种数据情报，使得异常行为的分析和应用更为高效合理。

2.本发明采用多种数据分析模型对嫌疑人的电子设备数据进行分析，针对其通联、交易、轨迹、连接设备行为等多方面的分析，可实现电子数据分析的精准性。

附图说明

图1为本发明所述基于智能终端电子数据的异常行为分析方法总体流程图。

图2为对原始结构化的电子数据文件进行读取流程图。

图3为本发明对异常行为数据进行分析标记流程图。

图4为本发明提取分析数据进行比对分析细分示意图。

图5为本发明提取分析数据进行规则分析细分示意图。

图6为本发明进行结果展现的细分示意图。

图7为分析后异常行为预警的六维雷达示意图。

图8为异常行为分析的详细结果页面描述示意图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的

描述。下面结合附图，对本发明的技术方案进行具体说明。

如图1所示，本发明的具体实施分为如下5个步骤：

s1文件读取：本方法对来源于ftp以及网页上直接上传的原始结构化的电子数据文件进行读取操作如图2所示，具体方法如下：

s11redis远程字典服务通过对ftp的监听和对直传数据文件的路径抓取，获取到文件路径的实际储存路径；

s12本方法通过s11储存的路径，进行并发的对文件执行读取进程，以保证文件读取速度。

s2数据解析加载：将通过s12读取后的数据加载至内存空间中。

s3提取分析异常行为数据：本步骤开始对暂存于s2中的数据进行比对分析和规则分析，以抽取其中的异常行为数据，并进行重点标记，如图3所示，具体操作如下：

s31本方法通过比对分析和规则分析两种分析方法对智能终端电子数据进行可疑行为分析，其中比对分析具体内容如下：

s32比对分析主要的方法如图4，将电子数据中的虚拟身份账号以及昵称与内置可疑账号进行比对，比对聊天记录中出现的犯罪分子常用关键字，例如“冰毒、摇头丸等”，比对犯罪分子常用app安装记录，比对赌场、卖淫窝点出现记录，比对可疑wifi连接记录，比对违法网址访问记录，比对违法文件哈希，并且将以上比对结果进行归纳整理；

s33规则分析主要的方法如图5，分为通联行为分析和经济行为分析；

s34通联行为分析为：通过对犯罪嫌疑人的智能终端电子数据当中的聊天记录、通话记录进行归纳与计算，计算规则为：平均通话时长、短信/彩信只收不发、与未保存过的联系人通联次数、大量存在微信主账号、大量存在具有大量群成员的群组、转发相同内容的次数、大量添加好友却不聊天人数、夜间通联百分比，通过这些规则的约束，将电子数据中符合规则的数据提炼出并进行标记；

s35经济行为分析为：通过对犯罪嫌疑人的智能终端电子数据当中的转账信息、交易记录进行归纳与计算，计算规则为：大额交易次数、大量交易好友数、资金交易收入每月增长率、夜间交易百分比，通过这些规则的约束，将电子数据中符合规则的数据提炼出并进行标记。

s4结果数据规整入库：对分析过的数据以及s3中标记过的分析结果储存至数据库中。

s5前端页面结果展现是通过web端网页对异常行为进行展示，展示的内容如图6，包括涉毒预警、涉恐预警、涉黄预警、涉赌预警、经济类异常行为和其他异常行为。

s51所述前端web端网页展现结果如图7，通过雷达图的形式，将通过s33中描述的规则分析和s32中描述的比对分析，所标记的异常行为数据直观的展示出来，通过每个六大业务线-涉毒、涉黄、涉赌、涉恐、经济类和行为异常，将标记的异常行为数据进行分类展示，提供办案人员可直观、便捷的查看方式；

s52最后通过点击s51雷达图，会弹出预警信息列表，能够展示具体异常行为描述反馈更多、更详细的数据分析结果，如图8所示。

采用了本发明中的的基于智能终端电子数据的异常行为分析方法，可实现从电子数据数据预处理，通过预设的战法模型，提炼出犯罪嫌疑人智能终端内可疑的行为，将重要的疑似犯罪行为突出展示，从而不仅为办案人员提供了分析的方向，同时也提升了电子数据分析工作的工作效率。

在本申请的描述中，尽管在方法权利要求中以一定顺序列出了各个步骤，但是这些步骤并不一定以所列出的步骤来执行，相反在不背离本发明的精神和主旨的情况下可以以相反或并行的方式执行。措词‘包括’并不排除在权利要求未列出的元件或步骤的存在。在相互不同从属权利要求中记载某些措施的简单事实不表明这些措施的组合不能被用于改进。在权利要求中的任何参考符号不应当被解释为限制范围。