一种面向数字取证的异常隐写检测分析方法及系统的制作方法
【专利摘要】本发明公开了一种面向数字取证的异常隐写检测分析方法及系统,方法包括步骤:1:获取检材中待取证分析数据;2:对待取证分析数据进行异常分析;3:判定待取证分析数据是否异常;4:对异常数据标记为怀疑对象,将怀疑对象移动到观察区进行隔离,并生成异常检测报告;5:对待取证分析数据或被怀疑对象进行异常隐写检测分析;6:判定5分析的数据对象存在异常隐写的可能性;7:生成异常隐写评测报告,展现异常分析结果和异常隐写评测报告。本发明联合运用了特征分析法与统计分析法对检材中待取证分析数据进行异常隐写检测分析,能有效的满足数字取证异常隐写检测分析方案,提高了数字取证过程中的隐写分析速度,并提升了隐写分析的精准度。
【专利说明】—种面向数字取证的异常隐写检测分析方法及系统
[0001]
【技术领域】
[0002]本发明属于数字取证【技术领域】,尤其涉及一种面向数字取证的异常隐写检测分析方法及系统。
[0003]【背景技术】
[0004]数字取证的分析过程是取证的关键步骤,对待取证分析数据的异常隐写检测分析过程在多数情况下是靠取证人员的个人判断和经验积累,还有一部分鉴定人员选择用两个或多个隐写分析工具来进行取证,然而,取证人员的主观判断和分析工具的不规范性很难保障数字取证过程的客观真实性。这样一来,取证鉴定结果的可用性和准确性容易引起各个方面的争议。
[0005]作为隐写术的对抗技术,隐写分析的任务是检测隐藏信息的存在性、识别隐藏算法,甚至抽取并恢复隐藏的信息。隐写分祈的最终目标是为了提取出秘密信息以作为呈堂证据,随着信息技术的不断发展,隐写术的技术也在逐步发展和进步中取得了长足的进步。现有的隐写检测分析方法有很多已经比较成熟,如标志特征分析法和统计特征分析法等,一些取证人员已经将其应用于数字取证领域。某些隐写软件在隐秘图像中留下标识特征,可通过分析待检测对象中是否出现该标识特征来实现检测。隐写技术在隐藏信息时改变了载体数据流的一部分,虽然不改变感觉效果,但是往往改变了原始载体数据的统计性质,因此,对信息隐藏情形的判断建立在通判定给定载体的统计性质是否属于非正常情况的前提下。
[0006]在进行数字取证时,取证人员需要运用多种异常隐写检测分析方法,多数情况下检测分析对象也是不确定的,因此如何高效精准地实现数字取证分析成为一个亟待解决的问题。异常隐写检测分析技术在信息安全研究领域的应用十分普遍。但是,随着个人计算机和便携式移动终端的与日剧增,利用相关电子设备如计算机或手机直接进行电子犯罪或牵涉到以上电子设备的案件数量也直线上升。
[0007]综上所述,如何提出有效的、满足数字取证要求的异常隐写检测分析方案,在提高数字取证中的检测分析结果的精准度方面具有重要的研究意义。
[0008]
【发明内容】
[0009]本发明的目的在于提供一种有效的、满足数字取证要求的异常隐写检测分析方法及系统。
[0010]本发明的方法所采用的技术方案是:一种面向数字取证的异常隐写检测分析方法,其特征在于,包括以下步骤: 步骤1:从镜像文件获取待取证分析数据对象;
步骤2:对所述镜像文件的待取证分析数据对象进行异常分析,获得异常分析结果; 步骤3:根据所述异常分析结果判定待取证分析数据对象是否异常;
若存在异常,则生成异常检测报告,并顺序执行下述步骤4 ;
若不存在异常,则跳转执行下述步骤5 ;
步骤4:将存在异常的待取证分析数据对象标记为怀疑对象,同时将怀疑对象移动至观察区进行隔离;
步骤5:对步骤I中获得的所述镜像文件的待取证分析数据对象或步骤4获得的怀疑对象进行隐写检测分析,获得隐写分析结果;
步骤6:根据所述隐写分析结果判定异常隐写的可能性是否为O ;
若隐写可能性为O,则回转执行所述步骤I ;
若隐写可能性不为O,则顺序执行下述步骤7 ;
步骤7:生成异常隐写检测报告,展现步骤2中获得的异常分析结果和步骤7中生成的异常隐写检测报告。
[0011]作为优选,步骤2中所述的对所述镜像文件的待取证分析数据对象进行异常分析,其具体实现过程是,首先按照数字取证规则对所述待取证分析数据对象进行局部标志特征异常分析,对所述待取证分析数据对象的主要特征进行识别并按照在异常检测分析中所起到作用的重要程度进行排序;然后依次对所述待取证分析数据对象的各个局部特征进行检测,检测到某特征存在异常则停止检测;否则,继续检测,直到最后一个特征检测完毕。
[0012]作为优选,步骤5中中所述的对步骤I中获得的所述镜像文件的待取证分析数据对象或步骤4获得的怀疑对象进行隐写检测分析,其具体实现过程是参照训练集和特征库中的异常隐写模型对待取证分析数据对象或被怀疑对象用统计特征分析法进行隐写检测分析。
[0013]本发明的系统所采用的技术方案是:一种面向数字取证的异常隐写检测分析系统,其特征在于:包括取证数据获取模块、异常检测分析模块、异常判定模块、异常处理模块、隐写检测分析模块、隐写判定模块和异常隐写取证分析展现模块;
所述取证数据获取模块,用于从镜像文件获取待取证分析数据对象;
所述异常检测分析模块,用于对所述镜像文件的待取证分析数据对象用局部标记特征分析法进行异常分析,得到异常分析结果;
所述异常判定模块,用于根据所述异常分析结果判定待取证分析数据对象是否异常,若存在异常,生成异常检测报告,执行异常处理模块;若不存在异常,执行隐写检测分析模块;
所述异常处理模块,用于将存在异常的待取证分析数据对象标记为怀疑对象,同时将怀疑对象移动至观察区进行隔离;
所述隐写检测分析模块,用于对异常检测分析模块获得的所述镜像文件的待取证分析数据对象或异常处理模块获得的怀疑对象,用统计特征分析法参照训练集和特征库中的数据进行隐写检测分析;
所述隐写判定模块,用于根据所述隐写检测分析结果判定异常隐写的可能性是否为0,若隐写可能性为0,则控制执行取证数据获取模块;若隐写可能性不为0,则控制执行异常隐写取证分析展现模块;
所述异常隐写取证分析展现模块,用于生成异常隐写检测报告,并展现异常分析结果和异常隐写检测报告。
[0014]作为优选,所述异常检测分析模块,用于按照数字取证规则对所述待取证分析数据对象进行局部标志特征异常分析,对所述待取证分析数据对象的主要特征进行识别并按照在异常检测分析中所起到作用的重要程度进行排序;然后依次对所述待取证分析数据对象的各个局部特征进行检测,检测到某特征存在异常则停止检测;否则,继续检测,直到最后一个特征检测完毕。
[0015]作为优选,所述隐写检测分析模块,用于参照训练集和特征库中的异常隐写模型对异常检测分析模块获得的所述镜像文件的待取证分析数据对象或异常处理模块获得的怀疑对象,用统计特征分析法参照训练集和特征库中的数据进行隐写检测分析。
[0016]本发明的有益效果在于:
本发明的面向数字取证的异常隐写检测分析方法及系统,其联合运用了特征分析法与统计分析法对取证数据进行异常隐写检测分析,能有效的满足数字取证异常隐写检测分析方案,提高了数字取证过程中的隐写分析速度,并提升了隐写分析的精准度。
[0017]
【专利附图】
【附图说明】
[0018]图1:为本发明的方法流程图;
图2:为本发明实施例的系统原理图。
[0019]【具体实施方式】
[0020]为了便于本领域普通技术人员理解和实施本发明,下面结合附图及实施例对本发明作进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
[0021]某些隐写软件在隐秘图像中留下标识特征,可通过分析待检测对象中是否出现该标识特,征来实现检测。面向数字取证的局部特征检测法可以理解为:对取证数据对象的主要特征进行识别并按照在异常检测分析中所起到作用的重要程度进行排序。依次对该数据对象的各个局部特征进行检测,检测到某特征存在异常则停止检测;否则,继续检测,直到最后一个特征检测完毕。
[0022]统计检测法主要根据载体信息某些统计特性的变化进行有效分析,通过判定给定载体的统计性质是否属于非正常情况,就可以判断是否含有隐藏信息。面向数字取证的统计检测法可以理解为:统计分析需要得到原始载体数据的理论期望频率分布,再参照训练集和特征库中的模型与待测数据对象进行对比。
[0023]将局部特征检测法与统计检测法联合运用于数字取证的异常隐写检测分析,利用两种检测方法各自不同的优势进行互补,在一定程度上保证了数字取证过程中隐写检测分析结果的准确性。作为隐写术的对抗技术,隐写分析的任务是检测隐藏信息的存在性、识别隐藏算法,甚至抽取并恢复隐藏的信息。由于隐写分祈的最终目标是为了提取出秘密信息以作为呈堂证据,因此,在数字取证过程中,对待取证分析数据对象进行分析时,如果分析的程度不够彻底或分析方法的选择错误往往会对取证结果的准确性产生负面影响。为了解决这一问题,将局部特征检测法与统计检测法联合运用于数字取证的异常隐写检测分析过程,两种方法联合分析取证数据的方式在一定程度上避免了上述错误的发生,从而提升取证证据的可采性。
[0024]请见图1,本发明的方法所采用的方案是:一种面向数字取证的异常隐写检测分析方法,包括以下步骤:
步骤1:从镜像文件获取待取证分析数据对象。
[0025]步骤2:对镜像文件的待取证分析数据对象进行异常分析,获得异常分析结果;对镜像文件的待取证分析数据对象进行异常分析,其具体实现过程是,首先按照数字取证规则对待取证分析数据对象进行局部标志特征异常分析,对待取证分析数据对象的主要特征进行识别并按照在异常检测分析中所起到作用的重要程度进行排序;然后依次对待取证分析数据对象的各个局部特征进行检测,检测到某特征存在异常则停止检测;否则,继续检测,直到最后一个特征检测完毕。
[0026]步骤3:根据异常分析结果判定待取证分析数据对象是否异常;
若存在异常,则生成异常检测报告,并顺序执行下述步骤4 ;
若不存在异常,则跳转执行下述步骤5 ;
步骤4:将存在异常的待取证分析数据对象标记为怀疑对象,同时将怀疑对象移动至观察区进行隔离。
[0027]步骤5:对步骤I中获得的镜像文件的待取证分析数据对象或步骤4获得的怀疑对象进行隐写检测分析,获得隐写分析结果;对步骤I中获得的镜像文件的待取证分析数据对象或步骤4获得的怀疑对象进行隐写检测分析,其具体实现过程是参照训练集和特征库中的异常隐写模型对待取证分析数据对象或被怀疑对象用统计特征分析法进行隐写检测分析。
[0028]步骤6:根据隐写分析结果判定异常隐写的可能性是否为O ;
若隐写可能性为0,则回转执行步骤I ;
若隐写可能性不为0,则顺序执行下述步骤7 ;
步骤7:生成异常隐写检测报告,展现步骤2中获得的异常分析结果和步骤7中生成的异常隐写检测报告。
[0029]请见图2,是本实施例的系统是基于联动协同原理的Android数字取证分析系统,包括取证数据获取模块、异常检测分析模块、异常判定模块、异常处理模块、隐写检测分析模块、隐写判定模块和异常隐写取证分析展现模块;
取证数据获取模块,用于从镜像文件获取待取证分析数据对象;
异常检测分析模块,用于按照数字取证规则对待取证分析数据对象进行局部标志特征异常分析,对待取证分析数据对象的主要特征进行识别并按照在异常检测分析中所起到作用的重要程度进行排序;然后依次对待取证分析数据对象的各个局部特征进行检测,检测到某特征存在异常则停止检测;否则,继续检测,直到最后一个特征检测完毕。
[0030]异常判定模块,用于根据异常分析结果判定待取证分析数据对象是否异常,若存在异常,生成异常检测报告,执行异常处理模块;若不存在异常,执行隐写检测分析模块; 异常处理模块,用于将存在异常的待取证分析数据对象标记为怀疑对象,同时将怀疑对象移动至观察区进行隔离;
隐写检测分析模块,用于参照训练集和特征库中的异常隐写模型对异常检测分析模块获得的镜像文件的待取证分析数据对象或异常处理模块获得的怀疑对象,用统计特征分析法参照训练集和特征库中的数据进行隐写检测分析;
隐写判定模块,用于根据隐写检测分析结果判定异常隐写的可能性是否为O,若隐写可能性为O,则控制执行取证数据获取模块;若隐写可能性不为O,则控制执行异常隐写取证分析展现模块;
异常隐写取证分析展现模块,用于生成异常隐写检测报告,并展现异常分析结果和异常隐写检测报告。
[0031]应当理解的是,本文未详细阐述的部分均属于现有技术。
[0032]应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。
【权利要求】
1.一种面向数字取证的异常隐写检测分析方法,其特征在于,包括以下步骤: 步骤1:从镜像文件获取待取证分析数据对象; 步骤2:对所述镜像文件的待取证分析数据对象进行异常分析,获得异常分析结果; 步骤3:根据所述异常分析结果判定待取证分析数据对象是否异常; 若存在异常,则生成异常检测报告,并顺序执行下述步骤4 ; 若不存在异常,则跳转执行下述步骤5 ; 步骤4:将存在异常的待取证分析数据对象标记为怀疑对象,同时将怀疑对象移动至观察区进行隔离; 步骤5:对步骤I中获得的所述镜像文件的待取证分析数据对象或步骤4获得的怀疑对象进行隐写检测分析,获得隐写分析结果; 步骤6:根据所述隐写分析结果判定异常隐写的可能性是否为O ; 若隐写可能性为O,则回转执行所述步骤I ; 若隐写可能性不为O,则顺序执行下述步骤7 ; 步骤7:生成异常隐写检测报告,展现步骤2中获得的异常分析结果和步骤7中生成的异常隐写检测报告。
2.根据权利要求1所述的面向数字取证的异常隐写检测分析方法,其特征在于:步骤2中所述的对所述镜像文件的待取证分析数据对象进行异常分析,其具体实现过程是,首先按照数字取证规则对所述待取证分析数据对象进行局部标志特征异常分析,对所述待取证分析数据对象的主要特征进行识别并按照在异常检测分析中所起到作用的重要程度进行排序;然后依次对所述待取证分析数据对象的各个局部特征进行检测,检测到某特征存在异常则停止检测;否则,继续检测,直到最后一个特征检测完毕。
3.根据权利要求1所述的面向数字取证的异常隐写检测分析方法,其特征在于:步骤5中中所述的对步骤I中获得的所述镜像文件的待取证分析数据对象或步骤4获得的怀疑对象进行隐写检测分析,其具体实现过程是参照训练集和特征库中的异常隐写模型对待取证分析数据对象或被怀疑对象用统计特征分析法进行隐写检测分析。
4.一种面向数字取证的异常隐写检测分析系统,其特征在于:包括取证数据获取模块、异常检测分析模块、异常判定模块、异常处理模块、隐写检测分析模块、隐写判定模块和异常隐写取证分析展现模块; 所述取证数据获取模块,用于从镜像文件获取待取证分析数据对象; 所述异常检测分析模块,用于对所述镜像文件的待取证分析数据对象用局部标记特征分析法进行异常分析,得到异常分析结果; 所述异常判定模块,用于根据所述异常分析结果判定待取证分析数据对象是否异常,若存在异常,生成异常检测报告,执行异常处理模块;若不存在异常,执行隐写检测分析模块; 所述异常处理模块,用于将存在异常的待取证分析数据对象标记为怀疑对象,同时将怀疑对象移动至观察区进行隔离; 所述隐写检测分析模块,用于对异常检测分析模块获得的所述镜像文件的待取证分析数据对象或异常处理模块获得的怀疑对象,用统计特征分析法参照训练集和特征库中的数据进行隐写检测分析;所述隐写判定模块,用于根据所述隐写检测分析结果判定异常隐写的可能性是否为O,若隐写可能性为O,则控制执行取证数据获取模块;若隐写可能性不为O,则控制执行异常隐写取证分析展现模块; 所述异常隐写取证分析展现模块,用于生成异常隐写检测报告,并展现异常分析结果和异常隐写检测报告。
5.根据权利要求4所述的面向数字取证的异常隐写检测分析方法,其特征在于:所述异常检测分析模块,用于按照数字取证规则对所述待取证分析数据对象进行局部标志特征异常分析,对所述待取证分析数据对象的主要特征进行识别并按照在异常检测分析中所起到作用的重要程度进行排序;然后依次对所述待取证分析数据对象的各个局部特征进行检测,检测到某特征存在异常则停止检测;否则,继续检测,直到最后一个特征检测完毕。
6.根据权利要求4所述的面向数字取证的异常隐写检测分析方法,其特征在于:所述隐写检 测分析模块,用于参照训练集和特征库中的异常隐写模型对异常检测分析模块获得的所述镜像文件的待取证分析数据对象或异常处理模块获得的怀疑对象,用统计特征分析法参照训练集和特征库中的数据进行隐写检测分析。
【文档编号】G06F21/60GK104021227SQ201410291747
【公开日】2014年9月3日 申请日期:2014年6月26日 优先权日:2014年6月26日
【发明者】麦永浩, 万雪姣, 张俊, 危蓉, 薛琴, 杨静 申请人:麦永浩