[发明专利]一种面向数字取证的异常隐写检测分析方法及系统

说明书

 

技术领域

本发明属于数字取证技术领域，尤其涉及一种面向数字取证的异常隐写检测分析方法及系统。

 

背景技术

数字取证的分析过程是取证的关键步骤，对待取证分析数据的异常隐写检测分析过程在多数情况下是靠取证人员的个人判断和经验积累，还有一部分鉴定人员选择用两个或多个隐写分析工具来进行取证，然而，取证人员的主观判断和分析工具的不规范性很难保障数字取证过程的客观真实性。这样一来，取证鉴定结果的可用性和准确性容易引起各个方面的争议。

作为隐写术的对抗技术，隐写分析的任务是检测隐藏信息的存在性、识别隐藏算法，甚至抽取并恢复隐藏的信息。隐写分祈的最终目标是为了提取出秘密信息以作为呈堂证据，随着信息技术的不断发展，隐写术的技术也在逐步发展和进步中取得了长足的进步。现有的隐写检测分析方法有很多已经比较成熟，如标志特征分析法和统计特征分析法等，一些取证人员已经将其应用于数字取证领域。某些隐写软件在隐秘图像中留下标识特征，可通过分析待检测对象中是否出现该标识特征来实现检测。隐写技术在隐藏信息时改变了载体数据流的一部分，虽然不改变感觉效果，但是往往改变了原始载体数据的统计性质，因此，对信息隐藏情形的判断建立在通判定给定载体的统计性质是否属于非正常情况的前提下。

在进行数字取证时，取证人员需要运用多种异常隐写检测分析方法，多数情况下检测分析对象也是不确定的，因此如何高效精准地实现数字取证分析成为一个亟待解决的问题。异常隐写检测分析技术在信息安全研究领域的应用十分普遍。但是，随着个人计算机和便携式移动终端的与日剧增，利用相关电子设备如计算机或手机直接进行电子犯罪或牵涉到以上电子设备的案件数量也直线上升。

综上所述，如何提出有效的、满足数字取证要求的异常隐写检测分析方案，在提高数字取证中的检测分析结果的精准度方面具有重要的研究意义。

 

发明内容

本发明的目的在于提供一种有效的、满足数字取证要求的异常隐写检测分析方法及系统。

本发明的方法所采用的技术方案是：一种面向数字取证的异常隐写检测分析方法，其特征在于，包括以下步骤：

步骤1：从镜像文件获取待取证分析数据对象；

步骤2：对所述镜像文件的待取证分析数据对象进行异常分析，获得异常分析结果；

步骤3：根据所述异常分析结果判定待取证分析数据对象是否异常；

若存在异常，则生成异常检测报告，并顺序执行下述步骤4；

若不存在异常，则跳转执行下述步骤5；

步骤4：将存在异常的待取证分析数据对象标记为怀疑对象，同时将怀疑对象移动至观察区进行隔离； 

步骤5：对步骤1中获得的所述镜像文件的待取证分析数据对象或步骤4获得的怀疑对象进行隐写检测分析，获得隐写分析结果； 

步骤6：根据所述隐写分析结果判定异常隐写的可能性是否为0；

若隐写可能性为0，则回转执行所述步骤1；

若隐写可能性不为0，则顺序执行下述步骤7； 

步骤7：生成异常隐写检测报告，展现步骤2中获得的异常分析结果和步骤7中生成的异常隐写检测报告。

作为优选，步骤2中所述的对所述镜像文件的待取证分析数据对象进行异常分析，其具体实现过程是，首先按照数字取证规则对所述待取证分析数据对象进行局部标志特征异常分析，对所述待取证分析数据对象的主要特征进行识别并按照在异常检测分析中所起到作用的重要程度进行排序；然后依次对所述待取证分析数据对象的各个局部特征进行检测，检测到某特征存在异常则停止检测；否则，继续检测，直到最后一个特征检测完毕。

作为优选，步骤5中中所述的对步骤1中获得的所述镜像文件的待取证分析数据对象或步骤4获得的怀疑对象进行隐写检测分析，其具体实现过程是参照训练集和特征库中的异常隐写模型对待取证分析数据对象或被怀疑对象用统计特征分析法进行隐写检测分析。

本发明的系统所采用的技术方案是：一种面向数字取证的异常隐写检测分析系统，其特征在于：包括取证数据获取模块、异常检测分析模块、异常判定模块、异常处理模块、隐写检测分析模块、隐写判定模块和异常隐写取证分析展现模块；

所述取证数据获取模块，用于从镜像文件获取待取证分析数据对象；

所述异常检测分析模块，用于对所述镜像文件的待取证分析数据对象用局部标记特征分析法进行异常分析，得到异常分析结果；