公开(公告)号：CN111596926B

公开(公告)日：2023-02-07

申请号：CN202010291071.7

申请日：2020-04-14

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 李炳龙 ,  张宇 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F8/53 ,  G06F16/901

Abstract: 本申请公开一种数据取证分析方法、装置及电子设备，涉及网络安全领域。其中，数据取证分析方法包括：对应用程序进行反编译得到所述应用程序中包含的各组件；构建各所述组件分别对应的数据流图以及控制流图；预测各组件中包括的用于组件间通信的通信字段，根据所述通信字段对各所述组件进行排序；根据各所述组件的排序结果，以及与各所述组件对应的数据流图、控制流图构建所述应用程序对应的程序间数据流图和程序间控制流图；基于所述程序间数据流图和程序间控制流图生成数据取证分析报告，以用于数据库解密。

公开(公告)号：CN112486922B

公开(公告)日：2022-12-06

申请号：CN202011389437.0

申请日：2020-12-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC: G06F16/16 ,  G06F16/17 ,  G06F16/18

Abstract: 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN112732903A

公开(公告)日：2021-04-30

申请号：CN202010990656.8

申请日：2020-09-19

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  张宇 ,  王懿 ,  周振宇 ,  李媛芳 ,  孙怡峰 ,  唐慧林 ,  常朝稳

IPC: G06F16/35 ,  G06F40/284 ,  G06F40/30 ,  H04L12/58

Abstract: 本发明属于数据处理技术领域，特别涉及一种即时通信信息取证过程中证据分类方法及系统，包含：收集原始聊天记录，将其划分为训练集和测试集，并分别对训练集和测试集中数据进行预处理，过滤非文本数据；针对训练集中文本数据，利用动态语义表示模型捕获语义层次信息，为每个文本词汇生成对应词向量，将词向量中语义词收入词库；针对测试集中文本数据利用稀疏约束建立新语义词；通过词向量拼接组成文本向量矩阵；利用双向门控循环模型提取文本向量矩阵的文本特征，通过分类筛选出与取证证据有关的文本信息。本发明将文本分类技术应用到聊天记录去筛选与犯罪有关的文本，通过更新文本特征表示和文本特征提取来提高分类性能、取证效率和准确度。

公开(公告)号：CN111596926A

公开(公告)日：2020-08-28

申请号：CN202010291071.7

申请日：2020-04-14

Applicant: 中国人民解放军战略支援部队信息工程大学

Inventor： 李炳龙 ,  张宇 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F8/53 ,  G06F16/901

Abstract: 本申请公开一种数据取证分析方法、装置及电子设备，涉及网络安全领域。其中，数据取证分析方法包括：对应用程序进行反编译得到所述应用程序中包含的各组件；构建各所述组件分别对应的数据流图以及控制流图；预测各组件中包括的用于组件间通信的通信字段，根据所述通信字段对各所述组件进行排序；根据各所述组件的排序结果，以及与各所述组件对应的数据流图、控制流图构建所述应用程序对应的程序间数据流图和程序间控制流图；基于所述程序间数据流图和程序间控制流图生成数据取证分析报告，以用于数据库解密。

公开(公告)号：CN112486922A

公开(公告)日：2021-03-12

申请号：CN202011389437.0

申请日：2020-12-02

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  开封市科学技术情报研究所 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  周振宇 ,  王懿 ,  张宇 ,  李媛芳 ,  张和禹 ,  孙怡峰 ,  胡浩 ,  常朝稳

IPC: G06F16/16 ,  G06F16/17 ,  G06F16/18

Abstract: 本发明属于电子取证技术领域，特别涉及一种基于结构链逆向的内存碎片文件重建方法及系统，扫描并分析内存介质映像，建立碎片集合到文件碎片子集的映射，获取文件碎片子集中的碎片元素；基于操作系统结构逆向分析，构建文件碎片子集中碎片元素的连接关系及逻辑位置，重构内存碎片文件。本发明利用基于结构链逆向的内存碎片文件雕刻重建来满足电子(数字)犯罪取证实际应用，能够适合于正在运行的基于Windows不同版本操作系统的物理内存中网络入侵行为的数据文件的恢复与分析，具有较强的实用性。

公开(公告)号：CN111881447A

公开(公告)日：2020-11-03

申请号：CN202010594720.0

申请日：2020-06-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  张宇 ,  李媛芳 ,  佟金龙 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明属于数字取证技术领域，特别涉及一种恶意代码片段智能取证方法及系统，通过提取存储介质底层数据特征，构建用于训练和测试的代码片段训练集和代码片段测试集；利用代码片段训练集中数据对设置的全连接神经网络模型进行训练，其中，输入是特征向量，输出是正常或恶意预测结果；针对代码片段测试集，利用训练后的全连接神经网络模型进行测试输出，以判断模型输入是否为恶意代码片段；将目标代码片段进行特征提取后输入经训练测试生成的全连接神经网络模型，获取其恶意代码智能识别结果。本发明能够针对计算机手机平板等存储介质以及RAW、E01、AFF等证据容器中恶意代码片断识别，在犯罪事件证据底层数据自动分析等数字取证领域具有较好应用前景。

公开(公告)号：CN111881447B

公开(公告)日：2022-12-06

申请号：CN202010594720.0

申请日：2020-06-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  河南云眼科技有限公司

Inventor： 李炳龙 ,  张宇 ,  李媛芳 ,  佟金龙 ,  孙怡峰 ,  常朝稳 ,  王清贤

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明属于数字取证技术领域，特别涉及一种恶意代码片段智能取证方法及系统，通过提取存储介质底层数据特征，构建用于训练和测试的代码片段训练集和代码片段测试集；利用代码片段训练集中数据对设置的全连接神经网络模型进行训练，其中，输入是特征向量，输出是正常或恶意预测结果；针对代码片段测试集，利用训练后的全连接神经网络模型进行测试输出，以判断模型输入是否为恶意代码片段；将目标代码片段进行特征提取后输入经训练测试生成的全连接神经网络模型，获取其恶意代码智能识别结果。本发明能够针对计算机手机平板等存储介质以及RAW、E01、AFF等证据容器中恶意代码片段识别，在犯罪事件证据底层数据自动分析等数字取证领域具有较好应用前景。