淺析手機(jī)取證中的文本分類

徐紅

淺析手機(jī)取證中的文本分類

徐紅

（四川警察學(xué)院，四川 瀘州 646000）

如今，智能手機(jī)已不只是一個(gè)通話工具，還是一個(gè)綜合處理的平臺(tái)，存儲(chǔ)著大量信息。公安機(jī)關(guān)在調(diào)查取證時(shí)，有越來越多從智能手機(jī)中獲取電子證據(jù)的需求，所以手機(jī)取證得到了廣泛的關(guān)注和研究。對(duì)手機(jī)取證進(jìn)行了簡要分析，重點(diǎn)探討了手機(jī)取證中的文本分類的操作流程和相關(guān)算法。

電子證據(jù)；手機(jī)取證；文本分類；分類算法

1 引言

自智能手機(jī)誕生以來，在中國逐步得到了普及應(yīng)用，使用智能手機(jī)的人數(shù)不斷增加，據(jù)調(diào)查數(shù)據(jù)顯示，2018年中國的智能手機(jī)用戶數(shù)量達(dá)到了13億。

智能手機(jī)的廣泛應(yīng)用極大地改變了人們的工作和生活方式，給社會(huì)創(chuàng)造了新的需求，給各行各業(yè)帶來了新的思維，促進(jìn)了經(jīng)濟(jì)和社會(huì)的發(fā)展。然而，另一方面，不法分子使用智能手機(jī)進(jìn)行犯罪的活動(dòng)也不時(shí)發(fā)生，為了打擊這類犯罪，必須進(jìn)行手機(jī)取證，以獲取犯罪證據(jù)。此外，公安機(jī)關(guān)在調(diào)查其他類型案件時(shí)，也常常需要通過手機(jī)取證以獲得與案件相關(guān)的證據(jù)。

所謂手機(jī)取證，就是對(duì)保存在手機(jī)中和案件相關(guān)的信息進(jìn)行提取，獲得具有法律效力的證據(jù)。這些信息包含多種數(shù)據(jù)，例如手機(jī)通訊錄、瀏覽器瀏覽記錄、微信記錄、地理數(shù)據(jù)、手機(jī)通話記錄等等。

智能手機(jī)屬于高科技產(chǎn)品，要想順利開展手機(jī)取證，必須有強(qiáng)大的技術(shù)手段來支撐。智能手機(jī)存儲(chǔ)容量在不斷攀升，往往從中取證得到的數(shù)據(jù)量相當(dāng)大，此時(shí)已不可能依靠人工進(jìn)行證據(jù)的分析，而需要采用智能的方法進(jìn)行證據(jù)的自動(dòng)分析，而文本分類方法就是其中之一。

本文對(duì)手機(jī)取證進(jìn)行簡要介紹，分析相關(guān)的手機(jī)取證技術(shù)，重點(diǎn)探討手機(jī)取證中涉及到的文本分類方法。

2 手機(jī)取證簡介

2.1 手機(jī)取證的數(shù)據(jù)來源和種類

手機(jī)取證的數(shù)據(jù)來源主要是SIM卡和存儲(chǔ)卡。SIM卡中存儲(chǔ)的信息主要有手機(jī)用戶數(shù)據(jù)，如通訊錄、通話記錄和短信息。手機(jī)固化數(shù)據(jù)，如語音加密秘鑰等。存儲(chǔ)卡中存儲(chǔ)的信息主要有操作系統(tǒng)、APP、用戶數(shù)據(jù)以及操作系統(tǒng)和APP運(yùn)行產(chǎn)生的臨時(shí)數(shù)據(jù)等。

對(duì)手機(jī)取證而言，感興趣的數(shù)據(jù)種類主要有通話記錄、短信息、QQ、微信，從中可以分析當(dāng)事人社交關(guān)系；從GPS、地圖中可以分析當(dāng)事人的行為軌跡；從瀏覽器中可以分析當(dāng)事人的興趣偏好；另外還可以從短信息、QQ、微信中分析當(dāng)事人的思想及行為狀態(tài)。

2.2 手機(jī)取證的基本原則

手機(jī)取證必須在法律許可的條件下進(jìn)行，取證過程必須恪守如下原則：①合法取證原則。對(duì)手機(jī)的取證權(quán)必須得到法律的允許；手機(jī)取證所使用的取證技術(shù)必須可靠，不得篡改和損壞手機(jī)數(shù)據(jù)；取證程序必須嚴(yán)格按照法律規(guī)定執(zhí)行。②及時(shí)取證原則。手機(jī)上電運(yùn)行就會(huì)產(chǎn)生新的數(shù)據(jù)，可能會(huì)造成新數(shù)據(jù)覆蓋原來的數(shù)據(jù)，所以取證應(yīng)及時(shí)。③全面取證原則。盡可能保證取證的數(shù)據(jù)是完整的，特別是確保重要數(shù)據(jù)的完整性。④無損取證原則。確保取證的數(shù)據(jù)維持原來的真實(shí)狀態(tài)。

2.3 手機(jī)取證的工作過程

手機(jī)取證過程按美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的要求可以分為下列幾個(gè)階段。

2.3.1 證據(jù)保全

證據(jù)保全階段工作的目的是保護(hù)手機(jī)中的數(shù)據(jù)。具體操作步驟是記錄當(dāng)前手機(jī)的狀態(tài)，如系統(tǒng)時(shí)間、圖標(biāo)、電量狀況等；將手機(jī)與外部通信完全隔離，可通過將手機(jī)放入屏蔽容器等方法實(shí)現(xiàn)。

2.3.2 證據(jù)獲取

證據(jù)獲取階段利用物理獲取、邏輯獲取和手工獲取的方法來獲得手機(jī)中的數(shù)據(jù)。物理獲取通過與手機(jī)芯片直接交互提取數(shù)據(jù)；邏輯獲取將手機(jī)與計(jì)算機(jī)建立連接，通過軟件工具提取數(shù)據(jù)；手工獲取通過人工操作手機(jī)原有的APP提取數(shù)據(jù)。其中，物理獲取優(yōu)于邏輯獲取，而邏輯獲取又優(yōu)于人工獲取。

2.3.3 證據(jù)分析

證據(jù)分析是手機(jī)取證的關(guān)鍵環(huán)節(jié)，該階段的主要工作是對(duì)提取得到的數(shù)據(jù)進(jìn)行分析，以得到有力的證據(jù)。該階段涉及多種分析方法，文本分類就是其中之一。

2.3.4 生成報(bào)告

生成報(bào)告階段將取證過程中的全部操作和結(jié)論進(jìn)行總結(jié)并形成報(bào)告，它代表手機(jī)取證過程的完結(jié)。

3 手機(jī)取證中的文本分類簡析

3.1 文本分類簡介

文本分類是利用相應(yīng)的算法將文本劃分成不同的類別。它首先要建立訓(xùn)練文本集，經(jīng)訓(xùn)練得到文本特征和類別的關(guān)系模型，然后用這個(gè)關(guān)系模型來判斷待測(cè)文本的類別。

具體的文本分類操作步驟如下：①預(yù)處理。文本的形式是多種多樣的，必須進(jìn)行預(yù)處理。如果待分析的文本是非結(jié)構(gòu)化的中文文本，這就需要進(jìn)行分詞和去停用詞處理。②文本表示。將文本變換成計(jì)算機(jī)可理解和計(jì)算的形式——通常表示為向量，這是通過文本表示模型實(shí)現(xiàn)的。布爾模型、向量空間模型和概率模型是常用的文本表示模型。③文本特征提取。文本轉(zhuǎn)換為計(jì)算機(jī)可理解的形式后，往往得到的向量具有較高的維數(shù)，不便于處理，需要提取最能體現(xiàn)文本的特征，常見的特征選擇算法有信息增益、互信息和2統(tǒng)計(jì)量。④訓(xùn)練。對(duì)訓(xùn)練數(shù)據(jù)使用分類器進(jìn)行訓(xùn)練，分類器常用的分類算法有貝葉斯算法、K鄰近算法和支持向量機(jī)算法。⑤分類。將待分類數(shù)據(jù)完成上述處理后，輸入分類器可以得到分類結(jié)果。

3.2 適用于手機(jī)取證的文本分類

不同于普通的文本分類，智能手機(jī)中的信息多以短文本為主，例如短信息、通訊錄、備忘錄和聊天記錄等，對(duì)這樣的文本進(jìn)行分類時(shí)，往往面臨著特征不足的問題，這會(huì)造成文本分類的效果較差。所以，對(duì)手機(jī)取證的文本進(jìn)行分類，其操作步驟雖然和上述的文本分類方法相同，但是在實(shí)踐操作中需要有針對(duì)性進(jìn)行適應(yīng)性改進(jìn)。因?yàn)槎涛谋镜奶卣鞑蛔悖倪M(jìn)的思路簡言之就是擴(kuò)展特征。將訓(xùn)練用的短文本進(jìn)行擴(kuò)展特征后，用于分類器的訓(xùn)練，以訓(xùn)練出適應(yīng)于手機(jī)短文本的分類器。

對(duì)短文本擴(kuò)展特征可行的做法是利用知識(shí)庫來擴(kuò)展特征。例如，手機(jī)取證文本只包含一兩個(gè)詞，可以通過知識(shí)庫查找針對(duì)它們的解釋，解釋中的相關(guān)詞匯和原詞具有邏輯相關(guān)性，所以可以用這些詞匯來擴(kuò)展原有文本的特征。實(shí)踐中知識(shí)庫通常選取維基百科。得到維基百科對(duì)于手機(jī)取證文本詞匯的解釋文本后，將解釋文本轉(zhuǎn)換成向量，選取與原文本相關(guān)度最高的部分作為新增的特征項(xiàng)，然后和原文本生成的特征一起組成最終特征向量，進(jìn)行后續(xù)的計(jì)算。

3.3 手機(jī)取證文本分類算法

構(gòu)造分類器是文本分類的核心，所采用的分類算法直接決定了文本分類的效果。

K鄰近算法的思路是計(jì)算待分類文本與訓(xùn)練集中各文本的相似度和樣本類別權(quán)重，找到個(gè)相似度最高的樣本，合并屬于相同類別的樣本類別權(quán)重，根據(jù)權(quán)重判斷待分類文本所屬類別。該方法思想簡單，無需事先訓(xùn)練樣本，但是當(dāng)訓(xùn)練集大時(shí)，計(jì)算量會(huì)很大。

支持向量機(jī)算法的思路簡言之就是在樣本空間中尋找最優(yōu)的超平面以分隔不同類別的樣本，實(shí)踐表明支持向量機(jī)具有較好的分類效果。

4 結(jié)論

手機(jī)取證是獲取電子證據(jù)、打擊犯罪的重要手段。本文對(duì)手機(jī)取證進(jìn)行了討論，介紹了手機(jī)取證的數(shù)據(jù)來源和種類、基本原則、工作過程，重點(diǎn)分析了手機(jī)取證中的文本分類的操作過程和相關(guān)的分類算法。

［1］楊雪.Android手機(jī)取證技術(shù)研究綜述［J］.計(jì)算機(jī)時(shí)代，2015（6）：7-9.

［2］秦玉梅，孫奕.智能手機(jī)取證［M］.北京：清華大學(xué)出版社，2014.

［3］羅會(huì)明.Android智能手機(jī)取證研究［D］.北京：北京化工大學(xué)，2013.

［4］陳德俊，丁紅軍.手機(jī)取證研究概述［J］.中國公共安全（學(xué)術(shù)版），2012（3）：100-102.

［5］劉洋洋.手機(jī)取證技術(shù)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（5）：31-33.

TP391

A

10.15913/j.cnki.kjycx.2019.22.031

2095－6835（2019）22－0087－02

〔編輯：嚴(yán)麗琴〕