基于安卓内存的证据挖掘与关联分析-信息安全专业论文.docxVIP

万方数据 万方数据 南京邮电大学学位论文原创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过 的研究成果，也不包含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 本人学位论文及涉及相关资料若有不实，愿意承担一切相关的法律责任。 研究生签名： 日期： 南京邮电大学学位论文使用授权声明 本人授权南京邮电大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档； 允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索；可以 采用影印、缩印或扫描等复制手段保存、汇编本学位论文。本文电子文档的内容和纸质论文 的内容相一致。论文的公布（包括刊登）授权南京邮电大学研究生院办理。 涉密学位论文在解密后适用本授权书。 研究生签名： 导师签名： 日期： 摘要 随着移动终端市场的蓬勃发展，手机犯罪现象作为高科技犯罪的一种，智能手机的普及 使对手机取证技术的研究迈向新的高度，对移动终端 Android 平台，取证专家大多是通过转 储非易失的安卓物理内存和文件系统，这两种方法虽然可以提取大量隐私数据，但对于加密 和删除的数据往往收效甚微。因此需要采取更加先进有效的取证技术来获取移动终端数据。 与此同时，得益于数据分析技术的发展和研究，将数据挖掘，关联分析等经典理论应用到取 证分析技术中，也慢慢成为趋势。 本文通过对安卓内存的研究，介绍了如何转储安卓的物理内存，主要是易失性内存，并 采用一些方法分析安卓物理内存，主要是罗列进程列表，搜索敏感信息，解析应用聊天记录 等，并利用关联挖掘和聚类分析算法深入挖掘内存数据。最后通过实验分析表明，基于安卓 物理内存分析技术结合数据挖掘算法，可以提取手机大部分重要机密信息并能够关联分析用 户的行为。主要内容包括： (1) 调研分析内存取证技术，总结现阶段安卓内存取证相关研究成果和方法。 (2) 对比安卓内存采集几种方法，采取对内存损失度最小的方法进行内存采集。 (3) 研究安卓内存分析技术，从底层进程信息，上层应用数据等不同角度挖掘数据内容 从而挖掘用户打开的相关进程，端口，网络连接等底层信息，用户在应用程序中输入的账号 口令等敏感信息，以及社交类应用程序中用户与好友间的聊天记录。 (4) 采用具体关联挖掘和聚类分析算法，对安卓内存数据进行深入的挖掘分析，包括对安 卓手机用户在某个时间段的行为关联进行分析，并结合用户与好友的亲密度，对用户的微信 好友进行聚类分析。 在系统模块实现和实验分析阶段，内存分析各模块正确地获取用户敏感信息和微信聊天 记录；同时，通过改进，关联规则挖掘和 K-means 聚类算法都能够有效对内存数据进行深入 分析，从而挖掘出数据背后的信息。 关键词：Android 取证，易失性内存，聊天记录，关联挖掘，亲密度聚类 I Abstract With the popularity of smartphones, various types of mobile crimes emerge endlessly. Evidence from mobile phones is mostly obtained by non-volatile physical memory dump and file system analysis. The two methods can extract lots of private data, but often invalid for encrypted and deleted data. Meanwhile, according to the development of data analysis research, data mining and related analysis applied to forensic analysis also become a trend. Through the research on Android memory, this paper describes how to dump physical memory and adapt some methods on Android memory analysis, listing running processes, searching sensitive information, analyzing application chat logs, using cluster analysis algorithm on mi