基于手机取证电子数据的同话题犯罪组织结构分析方法

摘要

本发明提出基于手机取证电子数据的同话题犯罪组织结构分析方法，包括步骤S100获取至少一个待取证手机中的交互性电子数据信息；S200判断所述交互性电子数据信息是否符合分析要求；S300基于模拟登陆信号打开所述待取证手机的至少一个社交应用；S400通过模拟登陆信号开启所述述待取证手机的日志运行进程；S500:建立日志监测进程；S600获取所述待取证手机基于所述模拟登陆信号打开至少一个社交应用之后的日志变化信息；S700获取符合分析要求的交互性电子数据信息以及S800构建同话题犯罪组织结构可视化图谱。本发明所述的方法能够从手机设备中迅速获取可用电子数据信息并构建犯罪组织结构可视化图谱。

说明书

技术领域

本发明属于电子数据处理技术领域，尤其涉及一种手机取证电子数据的同话题犯罪组织结构分析方法。

背景技术

随着电子终端设备使用频度的提高，自然而然的有许多犯罪证据会以电子形式存贮于相关的电子终端设备存贮介质当中。“电子证据”是存在于电子终端设备及相关外围设备的新证据形式，逐渐成为重要的司法证据之一。我国最高法院相继出台了与之相关的司法解释。电子终端设备取证科学是一门向法庭提供司法实践中可认可的电子证据的学科。电子终端设备取证学是一门综合性、交叉性的学科，涉及到法律、侦察学、计算机科学、计算机工程学、软件工程学、心理学、社会学等学科。公安机关在案件侦查过程中使用电子终端设备取证方法的情况也越来越多。

现有技术中，已经存在许多如何对计算机系统和设备进行取证的技术方案。然而，随着移动互联网技术的快速发展，越多的犯罪活动通过移动设备尤其是手机进行联络，相应的，相关的犯罪证据会以电子形式存贮于相关的手机当中，需要进一步研究在移动互联网形势下电子数据如何获取的问题。

申请号为CN202010496256.1的中国发明专利申请提出一种用于数据取证的通用安卓移动终端驱动系统及方法，主要由USB设备检测模块、安卓移动终端筛选模块、驱动程序加载模块、驱动程序安装模块配合构成，USB设备检测模块用于获取USB设备的运行状态信息，安卓移动终端筛选模块解析获取的USB设备的运行状态信息，筛选过滤出未安装驱动的安卓移动终端；驱动程序加载模块根据安卓移动终端筛选模块所获取未安装驱动的USB设备的信息，为未安装驱动的USB设备分配并加载一个合适的设备驱动程序；驱动程序安装模块运行驱动程序加载模块所分配并加载的驱动程序，完成指定驱动程序的安装。该方案具有简易、快捷、通用等特点，保证了针对安卓移动终端取证工作的稳定高效。

然而，发明人发现，当缴获犯罪现场的嫌疑人设备例如手机后，如果手机上的数据相对完整，则以上现有技术能够发挥作用。但是，如果数据本身不完整（这恰恰是最常见的情况，因为犯罪分子通常会及时删除信息），上述现有技术则无从下手；此外，现有技术中，即使司法机关经常要求数据服务商配合提供数据，但是通常是直接将手机本身提交给数据服务商，使得数据服务商无法明确知晓司法机关需要何种数据，该如何合法的提供数据，无形中增大了数据处理量，并且存在侵犯公民合法隐私权的可能，毕竟即使是犯罪嫌疑人的手机，也可能存在与本次犯罪无关的其他信息，这些信息应当受到保护。如果一味的全部提取，则可能导致本次提取的电子证据无效或者部分无效。

此外，即使提取出信息，如果信息本身是零散的无结构数据，则对侦破案件意义也不大，因此，还需要有一种有效的形式将电子数据通过相同话题、相同关键词、交互性关联信息等可视化的展示，电子数据才能发生应有作用，而现有技术对此并未给出有效的技术方案。

发明内容

为解决上述技术问题，基于手机取证电子数据的同话题犯罪组织结构分析方法，包括步骤S100获取至少一个待取证手机中的交互性电子数据信息；S200判断所述交互性电子数据信息是否符合分析要求；S300基于模拟登陆信号打开所述待取证手机的至少一个社交应用；S400通过模拟登陆信号开启所述述待取证手机的日志运行进程；S500:建立日志监测进程；S600获取所述待取证手机基于所述模拟登陆信号打开至少一个社交应用之后的日志变化信息；S700获取符合分析要求的交互性电子数据信息以及S800构建同话题犯罪组织结构可视化图谱。本发明所述的方法能够从手机设备中迅速获取可用电子数据信息并构建犯罪组织结构可视化图谱。

具体来说，本发明提供的基于手机取证电子数据的涉毒情报挖掘方法包括如下步骤：

S100：获取至少一个待取证手机中的交互性电子数据信息，所述交互性电子数据信息包括文本、图片以及视频信息；

S200：判断所述交互性电子数据信息是否符合分析要求，如果是，则进入步骤S800；否则， 进入步骤S300；

S300：通过外部司法认证终端生成模拟登陆信号，基于所述模拟登陆信号打开所述待取证手机的至少一个社交应用；

S400：通过模拟登陆信号开启所述述待取证手机的日志运行进程，所述日志运行进程管理所述待取证手机的日志读写；

S500：通过所述外部司法认证终端建立日志监测进程；

S600：将所述日志监测进程与所述日志运行进程进行通信连接，获取所述待取证手机基于所述模拟登陆信号打开至少一个社交应用之后的日志变化信息；

S700：将所述日志变化信息发送至所述至少一个社交应用的后台数据库，获取符合分析要求的交互性电子数据信息；

S800：基于所述分析要求的交互性电子数据信息，构建同话题犯罪组织结构可视化图谱。

作为进一步的改进之一，所述步骤S600将所述日志监测进程与所述日志运行进程进行通信连接，具体包括：

通过单向数据管道连接所述日志监测进程与所述日志运行进程，所述单向数据管道使得数据从所述日志运行进程单向传输给所述日志监测进程。

作为进一步的改进之一，所述步骤600获取所述待取证手机基于所述模拟登陆信号打开至少一个社交应用之后的日志变化信息，具体包括：

通过所述日志运行进程识别出所述待取证手机基于所述模拟登陆信号打开至少一个社交应用之后，所述待取证手机的日志记录文件中发生读写的区域；

将所述待取证手机的日志记录文件中发生读写的区域以及读写操作时间通过所述数据管道发送给所述日志监测进程。

作为进一步的改进之一，所述步骤S800基于所述分析要求的交互性电子数据信息，构建同话题犯罪组织结构可视化图谱，具体包括：

从所述分析要求的交互性电子数据信息中提取来自不同终端发送的至少两条同话题文本信息、图片信息或者视频信息构成的多个关联信息组；

分析不同的关联信息组之间的同话题匹配性，生成包含多个关联信息组的同话题犯罪组织结构。

基于至少一种数据可视化方法， 将所述同话题犯罪组织结构转化为可视化图谱；

所述可视化谱图的每一个节点代表所述不同终端或者不同终端对应的用户。

本发明所述方法可以通过计算机系统、可移动终端通过计算机程序指令自动化的执行，因此，在本发明的第二个方面，提供一种非易失性计算机可读存储介质，其上存储有计算机可执行程序指令，通过包含处理器和存储器的终端设备，执行所述可执行程序指令，用于实现前述的基于手机取证电子数据的同话题犯罪组织结构分析方法。

本发明的有益效果至少体现在：

（1）提取的是交互性电子数据信息，避免了提取无关的独立信息（孤证不证是一个重要的证据使用原则）；

（2）即使手机本身大部分信息被删除，也可以通过向数据服务商（相关社交应用的后台数据库）提供精确的与案件有关的日志信息和时间信息来获取足够的符合要求的数据；

（3）采用数据通道（DP：datapipeline，又称数据管道）技术从手机终端中单向获取数据，避免使用其他代理，保证数据采集的客观准确性；

（4）通过可视化图谱展示电子数据信息，以体现其分析价值。

本发明的进一步优点将结合说明书附图在具体实施例部分进一步详细体现。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例的基于手机取证电子数据的同话题犯罪组织结构分析方法的主体流程图

图2是实现图1所述方法的执行系统模块示意图

图3是图2所述系统实现图1所述方法部分步骤的原理示意图

图4是图1所述方法的进一步具体实施步骤的细节实施例

图5是基于本发明所述方法生成的可视化图谱的一个示意性例子。

具体实施方式

下面，结合附图以及具体实施方式，对发明做出进一步的描述。

参见图1，是本发明一个实施例的基于手机取证电子数据的同话题犯罪组织结构分析方法的主体流程图。

图1示出的本发明一个实施例的基于手机取证电子数据的同话题犯罪组织结构分析方法的主体流程图主要包括8个主要步骤S100-S800，各个步骤具体实现如下：

S100：获取至少一个待取证手机中的交互性电子数据信息，所述交互性电子数据信息包括文本、图片以及视频信息；

S200：判断所述交互性电子数据信息是否符合分析要求，如果是，则进入步骤S800；否则， 进入步骤S300；

S300：通过外部司法认证终端生成模拟登陆信号，基于所述模拟登陆信号打开所述待取证手机的至少一个社交应用；

S400：通过模拟登陆信号开启所述述待取证手机的日志运行进程，所述日志运行进程管理所述待取证手机的日志读写；

S500：通过所述外部司法认证终端建立日志监测进程；

S600：将所述日志监测进程与所述日志运行进程进行通信连接，获取所述待取证手机基于所述模拟登陆信号打开至少一个社交应用之后的日志变化信息；

S700：将所述日志变化信息发送至所述至少一个社交应用的后台数据库，获取符合分析要求的交互性电子数据信息；

S800：基于所述分析要求的交互性电子数据信息，构建同话题犯罪组织结构可视化图谱。

在图1基础上，结合图2所述的模块架构图以及图3所述的原理示意图，对本发明上述实施例进一步解释如下：

所述步骤S100获取至少一个待取证手机中的交互性电子数据信息，进一步包括：

获取所述待取证手机中生成时间在预定时间段的交互性电子数据信息。

所述步骤S200判断所述交互性电子数据信息是否符合分析要求，具体包括：

判断所述交互性电子数据信息是否满足交互性分析条件，所述交互性分析条件是指在预定时间段内存在来自不同终端发送的至少两条同话题文本信息、图片信息或者视频信息。

由于本发明的目的在于构建同话题犯罪组织结构，因此，需要根据交互性的电子数据信息，例如不同终端用户对于同一个话题的对话记录，这类交互性的文本记录或者图片记录或者视频信息通常是预定时间段内来自不同终端。

作为优选，案件分析以案件为单位，用于查看、管理系统中的案件。案件分析从关系网络分析、资金流水分析、活动轨迹、同话题识别、历史案件碰撞、交集分析工具、暗语匹配、特征识别、案件分析报告等维度进行案件分析研判和可视化呈现。

更具体的，同话题互动识别，用于发现嫌疑人在同一时段与多人互动相同主题，在侦查办案中，经常用于发现嫌疑人的组织结构，便于办案人员查看带有组织性的消息传播的路径，找到对应上下线人员。

同话题互动分析包括以下功能：

（1）分析和识别嫌疑人即时通信聊天记录、微博、微信朋友圈同话题互动主题；

（2）支持展示同话题互动分析结果，包括同话题互动内容、参与人员账号；

（3）支持对多个同话题互动分析结果的参与人员账号进行交集分析；

（4）支持查看同话题互动上下文。

此外，本实施例所的方法还通过发现多个嫌疑人电子物证中的共同交集，例如多个嫌疑人通话对象之间的共同联系人，即时通信中的共同好友，多个即时通信群组中共同的成员（例如多个诈骗微信群中组织者），包括指定分析集合中共同的对象，通过嫌疑人交集分析，可以帮助侦查人员确定犯罪团伙成员或犯罪关键联络人，交集分析工具功能包括：

（1）支持对多个嫌疑人的通话对象、即时通信共同联系人、即时通信群组、微博联系人进行交集分析，支持对特定分析集合进行交集分析；

（2）可视化展示多个集合中任意组合的交集分析结果，支持展示交集结果详情；

（3）支持导出交集分析结果。

所述步骤S600将所述日志监测进程与所述日志运行进程进行通信连接，具体包括：

通过数据管道连接所述日志监测进程与所述日志运行进程。

更具体的，参见图2-图3所述，通过单向数据管道连接所述日志监测进程与所述日志运行进程，所述单向数据管道使得数据从所述日志运行进程单向传输给所述日志监测进程。

数据管道技术原本是用于不同数据库（数据源）之间的数据转移的技术，例如数据备份、数据还原等，采用数据管道技术，可以避免进程阻塞或者使用第三方代理进行数据传输。例如申请号为CN2020107749026的中国发明专利申请就利用了数据管道技术读取待备份数据进行数据备份，数据管道即是将不同进程连接起来用于数据传输。

本发明中，为了实现从待取证手机中传输的数据仅包含上述取得的与该涉毒案件有关的数据，避免产生损害公民合法权益的事实发生，发明人经过研究，发现采用数据管道技术可以避免其它进程读取数据，并且使得数据读取能够快速进行，避免隐私泄露。

同时，作为进一步改进，可以在日志运行进程中设置阻塞标记，使得使得数据只能从所述日志运行进程单向传输给所述日志监测进程，而不能从日志监测进程回流给所述日志运行进程，即进一步将所述数据管道配置为单向数据管道。

在此基础上，具体参见图3，所述步骤600获取所述待取证手机基于所述模拟登陆信号打开至少一个社交应用之后的日志变化信息，具体包括：

通过所述日志运行进程识别出所述待取证手机基于所述模拟登陆信号打开至少一个社交应用之后，所述待取证手机的日志记录文件中发生读写的区域；

将所述待取证手机的日志记录文件中发生读写的区域以及读写操作时间通过所述单向数据管道发送给所述日志监测进程。

在图3基础上，继续参见图4.

所述步骤S700将所述日志变化信息发送至所述至少一个社交应用的后台数据库，获取符合分析要求的交互性电子数据信息，具体包括：

基于所述待取证手机的日志记录文件中发生读写的区域对应的日志记录文件内容以及读写操作时间，查询所述至少一个社交应用的后台数据库，获取所述后台数据库中对应于所述读写操作时间的所述待取证手机的所述至少一个社交应用的所有交互性电子数据信息。

然后，参见图5，所述步骤S800基于所述分析要求的交互性电子数据信息，构建同话题犯罪组织结构可视化图谱，具体包括：

从所述分析要求的交互性电子数据信息或者所述后台数据库中对应于所述读写操作时间的所述待取证手机的所述至少一个社交应用的所有交互性电子数据信息中提取来自不同终端发送的至少两条同话题文本信息、图片信息或者视频信息构成的多个关联信息组；

分析不同的关联信息组之间的同话题匹配性，生成包含多个关联信息组的同话题犯罪组织结构。

基于至少一种数据可视化方法， 将所述同话题犯罪组织结构转化为可视化图谱；

所述可视化谱图的每一个节点代表所述不同终端或者不同终端对应的用户。

更具体的，参见图5，所述可视化图谱中还包括每一个节点各自的相关属性，例如节点对应的用户的年龄段（或预测年龄段）、性别（或预测性别）以及职业信息（或预测年龄段）；更主要的是，基于该可视化图谱，结合已有的司法案例数据库，可以给出预测的犯罪嫌疑人的更多信息，例如潜在活动轨迹、潜在目标对象等数据，从而提供有价值的案例分析结果。

在上述实施例中，通过查看某个虚拟身份同历史以往涉案人虚拟身份之间的关联关系，帮助侦查人员快速确定虚拟身份信息，获取与已知犯罪嫌疑人之间的关联关系。

此时，上述各个实施例支持的功能点有：

支持查询多个虚拟身份信息；

支持高亮显示查询对象，同时支持在当前关系图中搜索关键字并高亮命中对象；

查询结果以关联关系图展示，支持保存关系图、打开已保存的关系图；

可以看出，本发明的技术方案通过提取交互性电子数据信息，避免了提取无关的独立信息；即使手机本身大部分信息被删除，也可以通过向数据服务商（相关社交应用的后台数据库）提供精确的与案件有关的日志信息和时间信息来获取足够的符合要求的数据；采用数据通道（DP：datapipeline，又称数据管道）技术从手机终端中单向获取数据，避免使用其他代理，保证数据采集的客观准确性；最后通过可视化图谱展示电子数据信息，以体现其分析价值。

本发明所述的方法可以通过应用服务器部署实现，部署结构说明如下：

（1）支持部署在电子取证实验室，也适合用于省、市级电子取证数据管理平台；

（2）支持集群的部署架构；

（3）百亿级数据量承载能力；

（4）取证设备数据上报的无缝对接；

（5）外网到内网数据传输通过单向传输设备单向传输。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。