基于安卓内存的证据挖掘与关联分析

摘要

随着移动终端市场的蓬勃发展，手机犯罪现象作为高科技犯罪的一种，智能手机的普及使对手机取证技术的研究迈向新的高度，对移动终端Android平台，取证专家大多是通过转储非易失的安卓物理内存和文件系统，这两种方法虽然可以提取大量隐私数据，但对于加密和删除的数据往往收效甚微。因此需要采取更加先进有效的取证技术来获取移动终端数据。与此同时，得益于数据分析技术的发展和研究，将数据挖掘，关联分析等经典理论应用到取证分析技术中，也慢慢成为趋势。
　　本文通过对安卓内存的研究，介绍了如何转储安卓的物理内存，主要是易失性内存，并采用一些方法分析安卓物理内存，主要是罗列进程列表，搜索敏感信息，解析应用聊天记录等，并利用关联挖掘和聚类分析算法深入挖掘内存数据。最后通过实验分析表明，基于安卓物理内存分析技术结合数据挖掘算法，可以提取手机大部分重要机密信息并能够关联分析用户的行为。主要内容包括：
　　(1)调研分析内存取证技术，总结现阶段安卓内存取证相关研究成果和方法。
　　(2)对比安卓内存采集几种方法，采取对内存损失度最小的方法进行内存采集。
　　(3)研究安卓内存分析技术，从底层进程信息，上层应用数据等不同角度挖掘数据内容
　　从而挖掘用户打开的相关进程，端口，网络连接等底层信息，用户在应用程序中输入的账号口令等敏感信息，以及社交类应用程序中用户与好友间的聊天记录。
　　(4)采用具体关联挖掘和聚类分析算法，对安卓内存数据进行深入的挖掘分析，包括对安卓手机用户在某个时间段的行为关联进行分析，并结合用户与好友的亲密度，对用户的微信好友进行聚类分析。
　　在系统模块实现和实验分析阶段，内存分析各模块正确地获取用户敏感信息和微信聊天记录；同时，通过改进，关联规则挖掘和K-means聚类算法都能够有效对内存数据进行深入分析，从而挖掘出数据背后的信息。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1研究背景及意义

1.2国内外研究现状

1.3研究内容

1.4论文组织结构

第二章 Android手机取证与内存介绍

2.1 Android平台系统

2.2 Android手机数据存储机制和安全模型

2.3内存数据分类

2.4本章小结

第三章 Android内存的证据获取

3.1获取安卓易失性内存

3.2提取内存数据

3.3实验分析

3.4本章小结

第四章 基于关联规则和聚类算法的内存取证方法研究

4.1关联规则挖掘

4.2基于手机通讯频率的好友亲密度设计

4.3 K-means聚类算法

4.4本章小结

第五章 系统模块设计与实验分析

5.1安卓内存取证流程

5.2安卓内存采集模块

5.3内存数据分析

5.4数据关联规则挖掘

5.5用户亲密度聚类

5.6本章小结

第六章 总结与展望

6.1总结

6.2研究展望

参考文献

附录 1攻读硕士学位期间撰写的论文

附录 2攻读硕士学位期间申请的专利

附录 3 攻读硕士学位期间参加的科研项目

致谢