| 发明名称 | 一种Web浏览器缓存数据的取证方法 | ||
| 摘要 | 本发明涉及一种Web浏览器缓存数据的取证方法。现有方法很难获取网页的点击操作以及其他需要用户参与才能获取的信息。本发明方法是:输入Web浏览器数据文件和搜索的敏感关键词;对证据文件进行解析和预处理;以Web浏览记录为主线,将每条记录与其他关联的Web证据整合成一个Web对象;选择特殊的Web对象为树根结点,根据页面之间链接引用和页面访问时间来构建Web树,组建Web证据森林;利用输入的关键词对森林进行智能搜索,得到相关的web对象;对相关的Web对象、Web树进行内容分析;生成Web取证报告供用户浏览。本发明方法效率高、可理解性强、对调查人员的熟练度的要求较低。 | ||
| 申请公布号 | CN101369276B | 申请公布日期 | 2011.09.21 |
| 申请号 | CN200810121139.6 | 申请日期 | 2008.09.28 |
| 申请人 | 杭州电子科技大学 | 发明人 | 徐明;杨弘曧;郑宁 |
| 分类号 | G06F17/30(2006.01)I | 主分类号 | G06F17/30(2006.01)I |
| 代理机构 | 杭州求是专利事务所有限公司 33200 | 代理人 | 杜军 |
| 主权项 | 一种Web浏览器缓存数据的取证方法,其特征在于该方法包括以下步骤:(1)输入Web浏览器数据文件和搜索的敏感关键词;具体步骤是:(1‑1)首先分析硬盘上的注册表文件,根据不同操作系统类型获取存放于注册表中的IE主页信息和IE地址栏的最近访问列表的信息,并根据注册表中相关的键值中获取IE历史记录、Cookies、Web缓存文件和IE收藏夹的存放位置;(1‑2)然后取证人员根据取证调查的具体需要,获取指定的浏览器数据文件,即把这些数据分别从原始文件夹中拷贝到特定的目录下;(1‑3)取证机构操作人员输入待搜索的敏感关键词;(2)对证据文件进行解析和预处理,并将结果存入数据库中;具体步骤是:(2‑1)首先根据文件内部格式分别对IE历史记录、Cookies和IE表单这三类浏览器数据进行解析,然后将解析的结果存入数据库中;(2‑2)首先根据文件类型筛选出Web缓存文件中的网页文件,然后通过分析每个网页的html标签,得到网页的标题、正文、锚文本和对应网址以及其他信息,并把这些分析结果存入数据库;(2‑3)将其他浏览器数据的信息存入数据库,即提取IE收藏夹、IE主页信息和IE地址栏的最近访问列表信息这三类数据的属性信息,并分别存入数据库;(3)以Web浏览记录为主线,将每条记录与其他关联的Web证据整合成一个Web对象;具体步骤是:(3‑1)针对数据库中的每条Web浏览记录,查询与它具有相同网址信息的Web缓存文件和IE表单信息,以及具有相同域名的Cookies文件,将这些文件的索引编号和关键属性提取出来,并标注它的网址是否出现在最近访问的网址或收藏夹中,然后将这些信息合并成一条新的记录,并存入数据库;(3‑2)针对数据库中的每条本地文件浏览记录,将它也作为一条记录存入Web对象对应的数据表中;(4)选择特殊的Web对象为树根结点,根据页面之间链接引用和页面访问时间来构建Web树,组建Web证据森林;具体步骤是:(4‑1)首先选取网址出现在IE主页或IE地址栏下拉列表中的Web对象作为一棵Web树的根结点,即Web树的第一个父结点,并标注Web对象已选中;如果网址出现在IE地址栏下拉列表中的Web对象都已选取过,则转到步骤(4‑6);否则转到步骤(4‑2);(4‑2)在所有未被选中的Web对象中,找出一组网址为父节点网页中锚文本对应网址的Web对象;如果找到则转到(4‑3),如果未找到则标记该结点为叶子结点,转到步骤(4‑5);(4‑3)在找到的一组Web对象中选取一个和父结点构成一对Web对象,转到步骤(4‑4),如果都已选取过,则转到步骤(4‑5);(4‑4)根据浏览记录中的页面访问时间先后次序确定这对Web对象中的父子关系,如果两个Web对象的先后访问时间差在设定的时间间隔之内,那么可以确定它们之间的父子关系,即先访问的为父结点,后访问的为子结点,并标注子结点Web对象已被选中;如果先后访问时间差在设定的时间间隔之外,则无法确定父子关系,转到步骤(4‑3);设定的时间间隔为10~300秒;(4‑5)从新生成的子结点中选取一个作为父结点,转到步骤(4‑2),如果全部都已选取过,则返回上一层中再执行步骤(4‑5),如果上一层为0层则转到步骤(4‑6);(4‑6)Web树构建完毕,如果仍存在Web对象未被选中和处理,则根据当前选取的根节点的类型,分别转到步骤(4‑1)、(4‑7)、(4‑8);如果所有的Web对象都已被处理,则转到步骤(4‑9);(4‑7)选取网址出现在收藏夹中的Web对象作为一棵Web树的根结点,即Web树的第一个父结点;如果网址出现在收藏夹中的Web对象都已选取过,则转到步骤(4‑8);如果收藏夹中仍有未处理过的Web对象,则转到步骤(4‑2);(4‑8)选取网址为站点主页的Web对象作为一棵Web树的根结点,即Web树的第一个父结点;如果网址为站点主页的Web对象都已选取过,则转到步骤(4‑9);如果网址为站点主页仍有未处理过的Web对象,则转到步骤(4‑2);(4‑9)Web森林构建完毕;(5)利用输入的关键词对森林进行智能搜索,得到相关的web对象;具体步骤是:(5‑1)首先输入待搜索的关键词或者基于关键词的正则表达式;(5‑2)根据关键词匹配规则对Web对象进行匹配查找,如果是含有网页或IE表单信息的Web对象,则根据网页的文本信息和IE表单信息进行匹配;如果是不含有网页的Web对象,则根据文件名对进行匹配;(5‑3)对每个匹配成功的Web对象,记录关键词的出现位置和出现次数;(6)对相关的Web对象、Web树进行内容分析;具体步骤是:(6‑1)根据步骤(5)中记录的关键词出现位置和出现次数,计算每个Web对象与敏感关键词相关程度,计算公式为co=∑(wi·ni·mi)/∑(ni·mi),其中mi是用户对该web对象的访问次数、ni是关键词在位置区域i处匹配的次数、wi是位置区域i处出现匹配的权重系数;(6‑2)在Web森林中找出包含至少与关键词匹配一次的Web对象节点的Web树,并计算这些Web树的分数,计算公式为ct=(∑ki·coi)/∑ki,其中ki为该web树t中节点i与关键词的匹配次数,coi为web对象节点i与敏感关键词的相关程度;(6‑3)将Web对象和Web树按照分数高低降序排列;(7)生成Web取证报告供用户浏览;具体是将按相关程度排序的web对象和web树整理成规范化的文档。 | ||
| 地址 | 310018 浙江省杭州市江干区下沙高教园区2号大街 | ||