一种可视化取证分析系统的制作方法
【专利摘要】本发明公开了一种可视化取证分析系统,所述系统包括设置在计算机内的数据分析模块,数据分析模块通过通信模块分别与QQ数据统计模块、微信数据统计模块、微博数据统计模块、通话数据统计模块、邮件数据统计模块和网页浏览数据统计模块连接,所述数据分析模块通过CPU采集各统计模块的数据,数据分析模块通过CPU分析处理后生成查询数据,所述计算机通过输入键输入搜索查询指令,数据分析模块通过CPU、通讯模块接受查询指令,再通过CPU及视听设备输出查询结构。采用本该可视化取证分析系统,解决了电子取证技术人员在冗长繁复的证据结果中查找证据,非专业用户通过用户手册在15分钟内就能掌握和使用,无需进行任何专业培训,节省了大量时间和培训费用。
【专利说明】一种可视化取证分析系统
【技术领域】
[0001]本发明涉及信息安全【技术领域】,具体涉及一种可视化取证分析系统。
【背景技术】
[0002]计算机取证技术先于手机取证发展起来。早在30年前,电子证据就出现在了美国的法庭上。但是直到1991年才在国际计算机会议上首次提出计算机取证学这一术语,标志着计算机取证学的诞生。目前国际上,尤其在网络技术发达国家大力推动计算机取证技术发展的过程中,美国为信息产业大国,以瞩目的成就引领该领域的发展。美国至少70%的法律部门拥有自己的计算机取证实验室,并开发出了一批具有代表性,现在仍在一线使用的计算机取证产品。例如:由美国Guidance公司开发的用于证据收集和分析的Encase ;由美国计算机取证公司开发的用于数据镜像备份的DIBS系统;在特定的逻辑分区上搜索未分配或空闲空间的FREESECS系统等。
[0003]在中国,公安部门有关计算机取证方面的研宄和实践才开始不久。虽有几个公司推出了计算机取证和手机取证设备,但其证据挖掘能力和分析能力尚不及国外的优秀取证产品,电子取证相关理论和技术也还在成长和追赶的阶段。在这种环境下,可视化分析是实现与国际技术接轨,创造中国特色取证分析方式的突破口。
[0004]可视化分析,多年前在国际上已提出并广泛应用,却一直未曾被中国国内取证分析系统良好的吸收采纳。抽取、集中异源异构数据,建立横向情报共享平台,以丰富的布局工具进行人性化地证据展现,为重要案件或场景提供高级的可视化分析工具,以快速定位情报、挖掘关系、综合分析、生成报告。这一分析方式早已为FBI等先进刑侦、情报部门长期采用,其相关技术历经锤炼已相当成熟。将这一方式应用于中国的取证环境,研发基于可视化的取证分析平台,对引领中国取证技术,增强中国取证分析的整体实力具有很大意义。可视化取证分析平台研宄不仅能奠定在取证分析领域的中的先进地位,也能产生重要的经济效益。
【发明内容】
[0005]本发明目的在于,克服现有技术中的缺陷,提供一种可视化取证分析系统,该系统能够以丰富的布局方式和分析工具直观地展现证据间的关系,敏捷地寻找到案件的突破口,可直观、根本地解决证据分析这一难题,电子取证系统是提高效率的关键。可视化分析意味着广泛研宄多类型证据源中蕴含的证据内容,广泛综合案件相关有效数据,深入研宄先进的分析工具,深入剖析证据中的逻辑关系和社会关系,人性化地展现取证结果,敏捷地提高取证分析效率。本系统面向大数据量、高复杂度的取证需求,开展取证和分析技术研宄,为静态证据文件和动态数据资源提供直观、敏捷的可视化分析方法,提高电子取证的可靠性和高效性,以达到节约警力、物力,减小取证分析阶段对案件的延迟影响,提高破案的效率,以打击犯罪、维护公民正当权益,借此取得良好的社会效益和经济效益。
[0006]为实现上述目的,本发明的技术方案是:提供一种可视化取证分析系统,所述系统包括设置在计算机内的数据分析模块,数据分析模块通过存储模块分别与QQ数据统计模块、微信数据统计模块、微博数据统计模块、通话数据统计模块、邮件数据统计模块和网页浏览数据统计模块双向连接,所述数据分析模块通过CPU采集各统计模块的数据,数据分析模块通过CPU分析处理后生成查询数据再存入存储模块,所述计算机通过输入键输入搜索查询指令,数据分析模块通过CPU及存储模块接受查询指令,再通过视听设备输出查询结果数据,所述视听设备例如为视听播放器、投影仪、手机、平板电脑。
[0007]优选的技术方案是,所述计算机内还设有通信模块,通信模块通过CPU与远端计算机连接。
[0008]优选的技术方案还有,所述QQ数据统计模块包括QQ通信频次时间分析子模块、QQ通信频次日分析子模块、QQ通信频次周分析子模块、QQ通信共同联系人分析子模块和QQ集群分析子模块。
[0009]优选的技术方案还有,所述微信数据统计模块包括微信通信频次时间分析子模块、微信通信频次日分析子模块、微信通信频次周分析子模块、微信通信共同联系人分析子模块和微信集群分析子模块;所述微博数据统计模块包括微博通信频次时间分析子模块、微博通信频次日分析子模块、微博通信频次周分析子模块、微博通信共同联系人分析子模块和微博集群分析子模块。
[0010]优选的技术方案还有,所述通话数据统计模块包括通话频次时间分析子模块、通话频次日分析子模块、通话频次周分析子模块、通话集群分析子模块和通话共同联系人分析子模块。
[0011]优选的技术方案还有,所述邮件数据统计模块包括邮件频次时间分析子模块、邮件频次日分析子模块、邮件频次周分析子模块。
[0012]优选的技术方案还有,所述网页浏览数据统计模块包括网页浏览频次时间分析子模块、网页浏览频次日分析子模块、网页浏览频次周分析子模块。
[0013]优选的技术方案还有,所述查询数据包括关系分析数据与行为分析数据,关系分析数据包括链接关系分析数据、社会关系分析数据、社交网络分析数据和可以对相应的匹配分析数据;行为数据包括实体对象分析数据和时序模式分析数据。
[0014]本发明的优点及有益效果是:
[0015](I)在本发明之前,电子取证技术人员需要在海量的数据中抽丝剥茧发现关系,在冗长繁复的证据结果中找到关键,在错综复杂的关系网中寻找突破口,一直以来耗费了大量的警力、物力,甚至延误了破案的时机。采用本发明的电子取证系统,解决了电子取证技术人员在冗长繁复的证据结果中查找证据,非专业用户通过用户手册在15分钟内就能掌握和使用,无需进行任何专业培训,节省了大量时间和培训费用。
[0016](2)本发明之前,进行一项常规电子数据提取和分析工作,需要2-3名人员花费1-2天时间,使用本发明电子取证系统后只需要I名人员花费I天就能完成。用户只需携带一台设备即可进行电子数据的提取和分析工作,极大提高了用户使用的便捷性和方便性。
【专利附图】
【附图说明】
[0017]图1为本发明可视化取证分析系统的框图;
[0018]图2为本发明可视化取证分析系统的查询结构页面图。
【具体实施方式】
[0019]如图1、2所示,本发明是一种可视化取证分析系统,所述系统包括设置在计算机内的数据分析模块,数据分析模块通过存储模块分别与QQ数据统计模块、微信数据统计模块、微博数据统计模块、通话数据统计模块、邮件数据统计模块和网页浏览数据统计模块双向连接,所述数据分析模块通过CPU采集各统计模块的数据,数据分析模块通过CPU分析处理后生成查询数据再存入存储模块,所述计算机通过输入键输入搜索查询指令,数据分析模块通过CPU及存储模块接受查询指令,再通过视听设备输出查询结果数据。
[0020]本发明优选的实施方案是,所述计算机内还设有通信模块,通信模块通过CPU与远端计算机连接。用于远端计算机查询数据分析结果数据。
[0021]本发明优选的实施方案还有,所述QQ数据统计模块包括QQ通信频次时间分析子模块、QQ通信频次日分析子模块、QQ通信频次周分析子模块、QQ通信共同联系人分析子模块和QQ集群分析子模块。
[0022]本发明优选的实施方案还有,所述微信数据统计模块包括微信通信频次时间分析子模块、微信通信频次日分析子模块、微信通信频次周分析子模块、微信通信共同联系人分析子模块和微信集群分析子模块;所述微博数据统计模块包括微博通信频次时间分析子模块、微博通信频次日分析子模块、微博通信频次周分析子模块、微博通信共同联系人分析子模块和微博集群分析子模块。
[0023]本发明优选的实施方案还有,所述通话数据统计模块包括通话频次时间分析子模块、通话频次日分析子模块、通话频次周分析子模块。
[0024]本发明优选的实施方案还有,所述邮件数据统计模块包括邮件频次时间分析子模块、邮件频次日分析子模块、邮件频次周分析子模块。
[0025]本发明优选的实施方案还有,所述网页浏览数据统计模块包括网页浏览频次时间分析子模块、网页浏览频次日分析子模块、网页浏览频次周分析子模块。
[0026]本发明优选的实施方案还有,所述查询数据包括关系分析数据与行为分析数据,关系分析数据包括链接关系分析数据、社会关系分析数据、社交网络分析数据和可以对相匹配分析数据;行为数据包括实体对象分析数据和时序模式分析数据。
[0027]实施例
[0028]本发明可视化取证分析系统的发明目标是高效地筛选海量数据,深并入分析证据之间的逻辑关系,可直观展示分析结果,便于公安系统办案人员迅速找到案件的突破口。主要通过查询、统计、关联扩展、战法分析等方法对各类数据进行直观的图形化展现,步骤为先查询再后关联、最后展示。本发明通过数据分析模块的自带的战法进行挖掘,如频次分析数据、共同关系数据、群集分析数据等方法进行的挖掘,一般通过已知的条件或线索进行统计分析、查询扩展,从海量数据中找出与已知线索相关的信息进行可视化展示。可视化地直观展现数据信息,充分挖掘业务数据的价值,实现对稀疏数据和模糊关系数据的深入解析,如查询、关联、可视化分析方法解析数据。通过一层层的关联分析数据,运用可视化的社会网络分析数据、路径分析数据、集群分析数据等方法进行解析数据,深入分析个体相关多层次的关联关系数据,可视化追溯嫌疑人的行为轨迹,并进行多布局的结果表达。
[0029]本发明采用的技术手段:
[0030]本发明的关键技术是针对已提取的数据进行深层次分析,系统的开发建设主要应用的技术是图形化分析技术,由于现在图形化技术日益成熟,已经能够满足各种海量业务数据的分析,而正是由于这种技术的成熟,使用者在平常的研判中通过图形化技术转化的工具获取相关数据并进行展现,通过关联分析数据将所有信息贯穿起来,主要包括对稀疏数据及模糊关系数据进行内容辨别和筛滤,通过对已有的数据进行查询、分析进行辨别和筛滤。采用固定资源、固定分析的方式进行,本系统根据不同的数据建立了相应的分析模块如群集分析子模块、频次日分析子模块、频次时间分析子模块等。对多形态、多类别、多维度的数据进行整合关系分析和行为分析,采用图形化的展现方式将信息进行展示。分析方法包括群集分析、频次日分析、频次小时分析等,实现多形式的证据展示布局。分析人员可以针对不同的分析场景采用不同的布局展现方式,布局分为以下几种:分组、圆形、时间、网络等。
[0031]A.稀疏内容辨别和筛滤:
[0032]围绕某个对象或事件的多维数据信息往往是稀疏的、不均匀的,数据往往分布不平衡而具有重复性。在针对多维数据进行分析时,需要分析数据与对象的联系度,滤清模糊关系。本发明的关键技术之一,就是对海量的数据进行统计、查询、关联分析。通过已知的模糊条件或者精确条件进行查询、关联分析、然后采用图表合并(信息碰撞)的方式把相关联的线索进行实体合并。分析数据与事件的关联度和关系,将数据信息进行稠密集中,而不只是简单的信息整合。从未知模糊的信息查找内部关联关系,确认、分析、研判具体对象,对对象进行深层次解析,从海量数据中挖掘出有价值可操作的线索条件,通过内容辨别和筛滤的预运算,减少后期的分析和运算量,避免了重复运算和无序运算造成的硬件资源浪费,实现将强大的分析功能集中于计算机设备之上。
[0033]B.关系分析和行为分析:
[0034]将各类信息主要包括手机通讯录通话记录、腾讯QQ好友聊天纪录、邮箱往来信息、微信、微博关注信息、上网信息等以可视化方式直观展现,清晰地表现其结构和分布以夕卜,还需实现对各类信息的深层次分析,本发明能够实现对数据关联关系分析和行为分析。其中关联分析里定义了五大类信息的关联查询,包括电话号码信息查询、腾讯QQ号码信息查询、邮箱往来信息查询、社交网络信息分析、上网个体行为查询等。在每个大类下面又分为几个相关的小类。能够直观的分析个体或组群的关联关系、人际关系和行为关系。通过对各类数据的汇集,以各数据的关联项作为节点绘制地理位置图,将数据间的联系以可视化形式清晰展现,本发明的深层内容要求实现:
[0035]对通信记录的深入关系分析,包括通过通话记录数据中记录了联系人电话号码,通话时间,主叫方、是否删除、被叫方等信息,进行查询、统计、关联分析。具体包括:①实现对通话记录、邮件往来等的综合分析,匹配个体的多种联系方式和虚拟身份;②实现对通信记录的可疑行为分析,如周期通信、批量通信实现对通信记录的匹配搜索,搜索关键字,过滤无关数据和对象;④实现对通信记录的关联分析,寻找组织关系、案件关联等隐含关系;?实现对通信记录的路径分析,寻找隐含组织成员或交接点;?实现对数据的集群分析,通过汇聚结构和亲疏联系判明个体社会关系层次。
[0036]社会网络分析是研宄一组行动者的关系的研宄方法。一组行动者可以是人、社区、群体、组织、国家等,他们的关系模式反映出的现象或数据是网络分析的焦点。从社会网络的角度出发,人在社会环境中的相互作用可以表达为基于关系的一种模式或规则,而基于这种关系的有规律模式反映了社会结构,这种结构的量化分析是社会网络分析的出发点。本发明将复杂的运算方法如节点影响力、间接影响力、节点流量等进行封装整合,采用下拉列表的方式对已经建立关联关系的图表进行一键式分析。对社交网络的关系分析实现对新浪微博、腾讯微博的关系分析,可获取用户的关注对象、粉丝对象、好友关系及分组信息。
[0037]本发明通过研宄此类深层次的分析工具,以可视化形式展现分析结果,以助调查员清楚数据后的隐含信息,减少手动分析、列表式查询耗费的精力。
[0038]C.布局展示工具:
[0039]分析各类数据的特点、关系和展示方式后,需要多种的布局展示工具实现多种类数据的展示。例如,同是通话记录数据,采用时间序列布局可以展示其行为序列,采用网络布局可以展示其通信联系。本发明公开了各类布局方式,并探索同类数据的多布局方式、不同数据的联合布局方式等混合情况。通过优化布局方式和布局工具,通过智能计算以更人性化的方式展示证据信息和分析结果,便于调查员清楚地了解案件的分析状态,图形化展现支持多种展示方式:包括层次布局、分组布局、圆形布局、时间序列布局等多种布局方式,并可在不同布局间进行灵活切换。
[0040]本发明采用的技术方案:
[0041]本发明采取综合集成先行,深层分析、布局工具等关键技术引导,面向实际需求设计开发原型系统以实验验证结果的思路实施技术路线。
[0042]I)多证据源集成研宄
[0043]证据数据的集成、综合获取是深入分析的前提。取证环境多样而多变,不能获取多平台的证据数据,分析工作也会受到局限。无选择的获取数据,而不分析数据的稀疏性和关联性,只会为后期分析统计增加无益的计算量,浪费有限的硬件资源。本发明提供各类型证据源的接口,以提取案件相关的各类数据信息,并通过智能化的预处理过滤稀疏数据和模糊关系,聚合关联数据,为后续的分析打下基础。
[0044]2)多类型证据数据研宄
[0045]在取证分析过程中,对数据关系和展示的前提是对数据的特点和关联权重有深入的分析。本发明深入通信数据、系统日志的数据特点和关联权重,有偏重的进行分析和展示,并针对不同的数据类型提供不同的可视化展示方式,以便于调查员直观的了解数据信息,做出初步判断。
[0046]3)多布局展示工具研宄
[0047]多布局展不工具的研宄是本发明研宄的核心之一,若没有一个多样化的布局工具,本发明涉及的各类数据和分析结果将不能灵活、直观的可视化表达,也难以实现敏捷的取证分析。本发明在充分调研异构数据特点和关联权重的基础上,把握社会形态和社会关系的发展趋势,结合用户实际取证工作的习惯和需求,人性化地设计和实现多种布局方式和布局工具。
[0048]其布局方式主要包括:
[0049]a.网络布局:网状揭示数据信息和数据关系,通常面对复杂的数据类型;
[0050]b.分组布局:根据数据信息进行分组排布,便于用户根据数据特征锁定对象;
[0051]c.组织结构布局:展示关系对象的组织结构,通过密集性和流向直观锁定组织中心;
[0052]d.时间序列布局:时间序列形式展示行为规律,可灵活适用于多种案件环境;
[0053]e.主题行为布局:围绕主题进行数据排布,以进行强逻辑性和自由性的数据分析。
[0054]本发明将为同类型数据搭配多种布局方式,并能够实现对异构数据的集成布局,通过灵活有效的布局工具可视化展示数据信息,令调查员能够从多个角度查看数据间的关联关系。
[0055]4)深层分析工具研宄
[0056]在数据信息进行可视化展示的基础之上,本发明对多数据进行深入分析和联合分析,实现多样的智能化分析工具,并将分析结果搭配多布局方式清晰地展示给调查员。
[0057]分析工具主要包括以下种类:
[0058]a.实体对象解析:解析实体对象的内容、行为等相关信息;
[0059]b.间接关系分析:分析多对象的间接关系,分析其关联关系;
[0060]c.社会关系分析:通过多个体的通信数据等内容,分析其关系和社会网络地位;
[0061]d.社交网络分析:通过对个体的社交网络信息获取,分析其好友关系及关系联系;
[0062]e.时序模式分析:通过对个体或行为的时序分析,寻找其行为规律;
[0063]f.可疑对象匹配:通过数据信息和分析结果,匹配已知可疑参数,锁定可疑对象。
[0064]上述分析工具可基于可视化布局工具实现,其中更为深入的分析功能要求掌握事件和社会的一般规律,具备较高的智能化案件分析能力,需调研大量实例资料并进行较多的实践。可视化分析工具不同于将数据以图像化方式简单呈现,其主要应用是以多维地分析数据间的联系、分析对象间的关系、分析个体的轨迹。本发明在把握分析规律后,结合证据数据特性进行分析运算,以适当人性化地可视化形式进行表达,并进一步实现分析工作的资源精简,提尚分析和运算效率。
[0065]本发明不限于上述实施方式,本领域技术人员所做出的对上述实施方式任何显而易见的改进或变更,都不会超出本发明的构思和所附权利要求的保护范围。
【权利要求】
1.一种可视化取证分析系统,所述系统包括设置在计算机内的数据分析模块,数据分析模块通过存储模块分别与QQ数据统计模块、微信数据统计模块、微博数据统计模块、通话数据统计模块、邮件数据统计模块和网页浏览数据统计模块双向连接,所述数据分析模块通过CPU采集各统计模块的数据,数据分析模块通过CPU分析处理后生成查询数据再存入存储模块,所述计算机通过输入键输入搜索查询指令,数据分析模块通过CPU及存储模块接受查询指令,再通过视听设备输出查询结果数据。
2.如权利要求1所述的可视化取证分析系统,其特征在于,所述计算机内还设有通信模块,通信模块通过CPU与远端计算机连接。
3.如权利要求1所述的可视化取证分析系统,其特征在于,所述QQ数据统计模块包括QQ通信频次时间分析子模块、QQ通信频次日分析子模块、QQ通信频次周分析子模块、QQ通信共同联系人分析子模块和QQ集群分析子模块。
4.如权利要求1所述的可视化取证分析系统,其特征在于,所述微信数据统计模块包括微信通信频次时间分析子模块、微信通信频次日分析子模块、微信通信频次周分析子模块、微信通信共同联系人分析子模块和微信集群分析子模块;所述微博数据统计模块包括微博通信频次时间分析子模块、微博通信频次日分析子模块、微博通信频次周分析子模块、微博通信共同联系人分析子模块和微博集群分析子模块。
5.如权利要求1所述的可视化取证分析系统,其特征在于,所述通话数据统计模块包括通话频次时间分析子模块、通话频次日分析子模块、通话频次周分析子模块。
6.如权利要求1所述的可视化取证分析系统,其特征在于,所述邮件数据统计模块包括邮件频次时间分析子模块、邮件频次日分析子模块、邮件频次周分析子模块。
7.如权利要求1所述的可视化取证分析系统,其特征在于,所述网页浏览数据统计模块包括网页浏览频次时间分析子模块、网页浏览频次日分析子模块、网页浏览频次周分析子模块。
8.如权利要求1所述的汽车安全带割刀应急伞,其特征在于,所述查询数据包括关系分析数据与行为分析数据,关系分析数据包括间接关系分析数据、社会关系分析数据、社交网络分析数据和可以对相匹配分析数据;行为数据包括实体对象分析数据和时序模式分析数据。
【文档编号】G06Q10/06GK104516954SQ201410777831
【公开日】2015年4月15日 申请日期:2014年12月15日 优先权日:2014年12月15日
【发明者】沈孝东, 蒋勇, 湛高峰, 周纪, 张彬彬, 温万造, 刘志宇, 李静 申请人:公安部第一研究所, 北京中盾安全技术开发公司