基于时间轨迹实现电子证据数据分析的方法

1.一种基于时间轨迹实现电子证据数据分析的方法，其特征在于，所述的方法包括以下步骤：
(1)抽取所述的电子证据数据中的时间特征；
(2)将所述的电子证据数据基于时间特征进行汇总和统一存储；
(3)确定时间轴上时间窗的窗口大小，使各个时间窗内的电子证据数据的相似度大于阈值；
(4)对每个时间窗所对应的电子证据数据进行过滤和聚类分析以抽取其中的关键特征；
(5)将时间轴上的每个时间窗替代为所对应的关键特征并重绘时间轴。
2.根据权利要求1所述的基于时间轨迹实现电子证据数据分析的方法，其特征在于，所述的电子证据数据包括通信录数据、电话数据、短信数据、任务安排数据、邮件数据、文件数据和位置数据。
3.根据权利要求1所述的基于时间轨迹实现电子证据数据分析的方法，其特征在于，所述的将所述的电子证据数据基于时间特征进行汇总和统一存储，包括以下步骤：
(21)将所述的电子证据数据采取统一的数据取证格式存储；
(22)将所述的电子证据数据进行数据泛化处理；
(23)将经过数据泛化的电子证据数据基于时间特征进行汇总。
4.根据权利要求1所述的基于时间轨迹实现电子证据数据分析的方法，其特征在于，所述的确定时间轴上时间窗的窗口大小，包括以下步骤：
(31)设置初始时间窗的窗口长度为1小时；
(32)将时间轴按照时间窗的窗口长度进行分割；
(33)并行计算每个时间窗之内的相似度并判断其相似度是否低于系统预设相似度值，如果是，则继续步骤(34)，否则继续步骤(35)；
(34)调整本时间段的时间窗的窗口大小，然后继续步骤(32)；
(35)确定时间轴上时间窗的窗口大小。
5.根据权利要求4所述的基于时间轨迹实现电子证据数据分析的方法，其特征在于，所述的系统预设相似度值为0.6。
6.根据权利要求1所述的基于时间轨迹实现电子证据数据分析的方法，其特征在于，所述的对每个时间窗所对应的电子证据数据进行过滤和聚类分析以抽取其中的关键特征，包括以下步骤：
(41)对每个时间窗所对应的电子证据数据进行过滤处理；
(42)抽取每个时间窗所对应的电子证据数据中的文本信息并提取文本信息中的关键特征。

基于时间轨迹实现电子证据数据分析的方法\n技术领域\n[0001] 本发明涉及数据分析领域，尤其涉及电子证据数据分析领域，具体是指一种基于时间轨迹实现电子证据数据分析的方法。\n背景技术\n[0002] 目前，智能移动通讯设备已经普及并广泛应用于生活、办公以及各类实时计算领域中，如今的智能移动通讯设备不仅有传统的通信录、短信功能，还可提供任务安排、邮件、文件、位置等信息，这些信息可以更好的反映使用者的各种信息。\n[0003] 当前针对智能移动通信设备的电子证据分析方法比较单一，对数据的预处理过程比较少，通常将通信录、短信、任务安排、邮件等等数据以列表的方式独立进行展示，如图1所示。而这种电子证据分析方法无法对电子证据数据进行深度挖掘，取证分析时将会造成很多敏感的规律性、特征性的证据数据的遗漏。\n发明内容\n[0004] 本发明的目的是克服了上述现有技术的缺点，提供了一种能够实现基于时间轨迹和数据时间特征的分析对电子证据数据进行更进一步和更加全面地挖掘分析、减少时间轴上的数据干扰、方法应用简便、具有更广泛应用范围的基于时间轨迹实现电子证据数据分析的方法。\n[0005] 为了实现上述目的，本发明的基于时间轨迹实现电子证据数据分析的方法具有如下构成：\n[0006] 该基于时间轨迹实现电子证据数据分析的方法，其主要特点是，所述的方法包括以下步骤：\n[0007] （1）抽取所述的电子证据数据中的时间特征；\n[0008] （2）将所述的电子证据数据基于时间特征进行汇总和统一存储；\n[0009] （3）确定时间轴上时间窗的窗口大小；\n[0010] （4）对每个时间窗所对应的电子证据数据进行过滤和聚类分析以抽取其中的关键特征；\n[0011] （5）将时间轴上的每个时间窗替代为所对应的关键特征并重绘时间轴。\n[0012] 较佳地，所述的电子证据数据包括通信录数据、电话数据、短信数据、任务安排数据、邮件数据、文件数据和位置数据。\n[0013] 较佳地，所述的将所述的电子证据数据基于时间特征进行汇总和统一存储，包括以下步骤：\n[0014] （21）将所述的电子证据数据采取统一的数据取证格式存储；\n[0015] （22）将所述的电子证据数据进行数据泛化处理；\n[0016] （23）将经过数据泛化的电子证据数据基于时间特征进行汇总。\n[0017] 较佳地，所述的确定时间轴上时间窗的窗口大小，包括以下步骤：\n[0018] （31）设置初始时间窗的窗口长度为1小时；\n[0019] （32）将时间轴按照时间窗的窗口长度进行分割；\n[0020] （33）并行计算每个时间窗之内的相似度并判断其相似度是否低于系统预设相似度值，如果是，则继续步骤（34），否则继续步骤（35）；\n[0021] （34）调整本时间段的时间窗的窗口大小，然后继续步骤（32）；\n[0022] （35）确定时间轴上时间窗的窗口大小。\n[0023] 更佳地，所述的系统预设相似度值为0.6。\n[0024] 较佳地，所述的对每个时间窗所对应的电子证据数据进行过滤和聚类分析以抽取其中的关键特征，包括以下步骤：\n[0025] （41）对每个时间窗所对应的电子证据数据进行过滤处理；\n[0026] （42）抽取每个时间窗所对应的电子证据数据中的文本信息并提取文本信息中的关键特征。\n[0027] 采用了该发明中的基于时间轨迹实现电子证据数据分析的方法，可以实现基于时间轨迹和数据时间特征的分析对电子证据数据进行更进一步和更加全面地挖掘分析，极大地减少了时间轴上的干扰数据，使得取证分析人员能够直观的观察到事件的相关规律和特征，更加直观地将设备持有人在指定时间范围内所从事的活动展示出来，更快速地获取各个时间段内电子证据的关键信息，方法应用简便，具有更广泛的应用范围。\n附图说明\n[0028] 图1为现有技术中电子证据数据分析的示意图。\n[0029] 图2为本发明的基于时间轨迹实现电子证据数据分析的方法的流程图。\n[0030] 图3为本发明的确定时间窗口大小和关键特征的流程图。\n[0031] 图4为电子证据数据按时间顺序在时间轴上校准后的示意图。\n[0032] 图5为本发明的加入时间窗后电子证据数据分析的示意图。\n具体实施方式\n[0033] 为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。\n[0034] 本发明的基于时间轨迹实现电子证据数据分析的方法的主要技术步骤如下所述：\n[0035] （1）对电子证据进行预处理，抽取通信录、短信、任务安排、邮件、文件、位置等电子证据数据中隐含的时间特征。\n[0036] （2）采取统一的数据取证格式，将通信录、短信、电话等证据数据统一进行存储，并将时间点作为关键的分析因素。将所有搜集到的电子证据进行数据泛化，并基于时间特征进行汇总。\n[0037] （3）通常由于搜集到的电子证据包含了大量的内容，如果直接将泛化过的电子证据依照时间的先后顺序在时间轴上进行校准，将得到如图4的分析结果。\n[0038] 从图4中可以看到，各类电子证据的排列比较密集且杂乱，取证分析人员无法直接从上图中观察到比较规律的行为和特征。\n[0039] 因此，本方法的方法引入“时间窗”的概念，对时间轴上的数据进行进一步的特征提取。时间窗需要设置一个合适的窗口大小。如果时间窗设置过小则体现不出干扰数据剔除的效果，时间窗过大则会过滤掉过多的有效证据数据。\n[0040] 时间窗的大小调整按照图3中的流程进行。\n[0041] （31）设置初始时间窗的窗口长度为1小时；\n[0042] （32）将时间轴按照时间窗的窗口长度进行分割；\n[0043] （33）并行计算每个时间窗之内的相似度并判断其相似度是否低于系统预设相似度值，如果是，则继续步骤（34），否则继续步骤（35）；\n[0044] （34）调整本时间段的时间窗的窗口大小，然后继续步骤（32）；\n[0045] （35）确定时间轴上时间窗的窗口大小。\n[0046] （4）确定了时间窗口之后，就可以对每个时间窗口中的内容进行过滤和聚类。聚类主要是根据该时间窗中包含的电子证据进行文本信息抽取并提取关键词。例如在某个时间窗内，按照事件持续时间和频率抽取到该时间窗的主要特征是“电话、王晶晶、密码”。\n[0047] （5）最后将时间轴上的每个时间窗都以抽取到的关键特征进行替代，并重绘时间轴。\n[0048] 采用了该发明中的基于时间轨迹实现电子证据数据分析的方法，可以实现基于时间轨迹和数据时间特征的分析对电子证据数据进行更进一步和更加全面地挖掘分析，极大地减少了时间轴上的干扰数据，能使得取证分析人员能够直观的观察到事件的相关规律和特征，更加直观地将设备持有人在指定时间范围内所从事的活动展示出来，更快速地获取各个时间段内电子证据的关键信息，方法应用简便，具有更广泛的应用范围。\n[0049] 在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。