浏览器历史记录取证分析
随着计算机犯罪案例的增加,搜集电子证据成为了提供关键线索和破案的关键。恢复受损计算机数据和提供相关电子证据是电子取证的核心任务。在收集电子证据时,首先由提供证据单位的计算机操作人员启动电脑,查找所需证据。当找到证据时,取证人员通过显示器观察确认文件的生成时间,然后操作人员打开文件,取证人员确认文件为所需证据后,采用特定方式提取和固定。在搜索过程中,如遇文件无法找到或打开等问题,应立即通知专业人员协助。为了确保电子证据的原始性、真实性与合法性,收集时应使用专业数据复制备份设备复制文件,确保设备只读设计和自动校准功能。
浏览器历史记录的取证变得越来越重要。通过分析用户的网络行为,浏览器历史记录的分析成为数字调查取证的常见且关键部分。其主要目标在于检查和分析计算机用户通过网络浏览器在互联网上查看了哪些内容。一些关键证据可能隐藏在嫌疑人的在线搜索、电子邮件和网页浏览历史中。在涉及色情和信用卡诈骗等以Web浏览器为主要工具的案件中,浏览器历史记录分析能够锁定或排除犯罪嫌疑人。
分析框架和技术包括以下步骤:首先,利用sqlite3导出Chrome历史记录为CSV文件;其次,按有效二级域名对访问记录进行聚合,获取用户访问的网站域名;接着,挖掘用户频繁访问的网站双站;最后,展示关键词关联分析,按时间窗口展示用户检索的关键词,并将其与访问的网站相关联。
SQLite是一款轻量级关系型数据库管理系统,广泛用于存储和管理浏览器如Chrome、Firefox、Safari等常用浏览器的web访问行为数据。其设计目标为嵌入式,适用于各种操作系统,能与多种编程语言结合,处理速度与Mysql、PostgreSQL等开源数据库管理系统相比更快。
对于时间数据处理,由于Chrome浏览器在sqlite中存储的时间以1601-01-01 00:00:00为起始时间点的微妙计数,与Unix时间戳存在时间间隔。因此,研究人员需要将输入时间转换为Unix时间戳,通过时间间隔补偿得到与Chrome浏览器历史记录相匹配的时间戳格式,从而筛选出对应的记录。
为了实现直观展示,首先采用有效的二级域名对历史记录进行聚合,基于二级域名展示Chrome浏览器历史记录。通过取二级域名,将用户访问的大量URL访问记录转化为用户访问的域名,以便在此基础上进行数据挖掘及关联分析。
频繁项集挖掘使用FP-growth算法和Apriori原理。FP-growth算法采取分治策略,首先压缩代表频繁项集的数据库为一颗频繁模式树,保留项集的关联信息,然后分别挖掘每个条件数据库,显著压缩搜索的数据集大小。Apriori原理指出任一频繁项的所有非空子集也必须是频繁的,因此在生成k项候选集时,可以直接去除非频繁集,减少计算量。
关键词关联分析关注用户检索的关键词,支持按照设定的时间段展示检索关键词,并将用户检索的关键词与搜索引擎相关联。关联分析方法提供时间和空间两个维度的关键词展示方法。
实验过程包括从数据库中提取历史记录信息,如访问URL、网页标题和访问时间。实验结果表明,基于域名聚合与频繁项集挖掘的Chrome浏览器历史记录提取与分析方法能够提供更直观的展示结果,并且实验评估证明了方法的有效性。此方法同样适用于使用SQLite数据库存储和管理历史记录数据的其他浏览器。
网络取证是基于现有法律法规和计算机网络技术,对网络事件进行可靠分析和记录的过程。它涉及到计算机科学与法学领域,随着计算机技术的发展和网络普及,网络取证成为处理计算机犯罪的必要手段。网络取证的特点包括真实性、及时性和有效性。计算机取证,即数据取证、电子取证,是对计算机犯罪过程的重建,包括静态取证和动态取证。静态取证在犯罪发生后获取疑似犯罪设备,分析关键数据或恢复已破坏删除的数据。动态取证针对所有可能犯罪的计算机实时监控网络流、审计日志和系统日志等,提取实时数据,获取更全面的网络犯罪证据。
多重随机标签