[发明专利]一种基于社群特征分析的电子邮件取证分析方法

摘要

本发明设计提出了一种基于社群网络分析和文件内容分析的海量电子邮件取证分析方案。目前还没有利用邮件的收发地址进行社群结构分析并领用文本和附件内同对社群进行取证分析的方案。本发明对Outlook、OE和Foxmail客户端的邮件数据文件进行自动解析，提取其中包含的收发地址、附件、正文、主题、发送方式等信息，并提取出的根据邮件收发地址和收发次数构建的邮件通联关系网络，然后利用WCMN算法对通联关系网络进行社群结构提取，最后实现了一种可疑度计算算法根据邮件和附件内容对社群可疑度进行分析计算。本发明方案充分利用了邮件的地址信息和内容信息，不仅提取出了邮件地址间所包含的社群结构并给出了社群可疑度供办案人员参考。

主权项

1.一种基于社群特征分析的电子邮件取证分析方法，其特征在于该方法包括以下步骤：1）Email文件分析提取，主要针对Pst、Dbx、Box和Eml格式的邮件存储文档，从中提取已收发邮件的收发账户的邮件地址、主题、发送时间、邮件内容和附件信息，并将得到的邮件信息存入到邮件信息数据库中；对存在附件的邮件，要对邮件的附件进行解析，如果附件为压缩文件，首先要对附件解压缩后再进行分析；主要对一些常见文档进行分析，包括PDF、DOC、XLS、PPT、TXT，将这些文档进行格式转换，统一存储为文本格式；再对Email文件提取分析的过程中会根据邮件地址的黑、白名单和基于主题字段的关键字匹配，对一些广告垃圾邮件和订阅邮件进行过滤，只提取具有取证价值的邮件地址和邮件；2）通联关系网络构建，根据提取出的邮件的通信地址关系，构建邮件通联关系网络，利用图代表邮件通联关系网络，其中是通联关系中所有出现的邮件地址的集合，即；为有向边的集合，即，接下来，计算每一条边的权重，邮件通信次数的高低则体现了邮件地址之间关系的紧密程度，同时，邮件中收件人和抄送人的数量也会影响到收件地址与发件地址之间的紧密程度；因此综合考虑通信次数和收件地址个数两个因素来定义邮件地址和邮件地址之间的权重为：其中权重调整系数，为邮件地址发送给邮件地址的邮件中收件地址和抄送地址的个数；最后通过邻接矩阵对图进行描述和存储；3）社群提取分析，通过寻找最佳社群结构的凝聚算法对邮件通联关系网络进行社群划分；社群划分完成后，提取社群内的所有通联邮件进行分析；首先，对邮件主题、邮件内容和附件内容进行分词，与敏感词库进行智能匹配，提取出邮件中所出现的敏感词的次数，则定义该邮件含有的犯罪信息为：其中为邮件的总长度，为邮件中敏感词的权重，为邮件中敏感词出现的次数；设定一个阀值，当邮件中含有的犯罪信息大于阀值时，认为该邮件为是犯罪成员间通信的敏感邮件，对所有的邮件分析完成后，统计计算出该社群内所有的敏感邮件的数量，社群可能为犯罪组织的可疑度为：其中为社群成员间敏感邮件的数量，为社群成员间的邮件总数。