電子政務郵件取證分析技術研究

導語：電子政務郵件取證分析技術研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

【摘要】電子郵件系統已經成為我國電子政務中信息交換的重要載體，如何準確、快速地對電子政務郵件系統中敏感郵件的擴散進行追蹤溯源，已經成為當前核查工作的重點。本文針對電子政務系統郵件取證中用戶關系挖掘困難的問題，基于Louvain算法對電子政務郵件網絡中潛在的社區進行發現并與郵件數據分析相結合，挖掘出郵件網絡內部的人物關系網絡并對郵件網絡進行可視化分析，可支撐電子政務郵件取證工作的開展。

【關鍵詞】郵件取證;關系挖掘;可視化分析;擴散追蹤

1引言

隨著計算機技術和互聯網的高速發展，電子郵件在多個行業特別是電子政務系統中得到廣泛使用。電子郵件在便利人們生活的同時，也被犯罪分子所利用，使用電子郵件進行垃圾郵件傳播等活動，這些行為可能使受害者遭受嚴重損失。為了打擊電子政務系統中的郵件犯罪行為，必須依靠電子郵件取證技術[1]。傳統的電子郵件取證過程一般包括原始數據的獲取、郵件相關數據提取、郵件恢復、文件轉換和信息提取、查詢和關鍵字查找、得出相關結論等6個步驟，取證人員通過關鍵字查找的方式挖掘郵件之間可能存在的聯系，從人物、事件、時間3個維度對郵件數據進行分析，最終得出案件相關人員之間的人物關系網絡、事件關系網絡等。在小數據集的情況下，這種傳統的關鍵字查找方式較為適用，但是當需要取證的郵件數據龐大、相關人員關系復雜時，一次關鍵字查找將會獲得大量冗余結果，獲取人員之間的人物關系網絡將會變得極為困難，不僅消耗大量的資源，分析結果也往往不盡如人意。在這種現狀下，本文對郵件取證中的人物關系網絡挖掘進行了研究和改進。本文使用Louvain算法對郵件網絡中的潛在社區進行發現，結合對特定郵件傳播軌跡的可視化，分析比較特定郵件在郵件用戶社區中的傳播情況和擴散范圍，通過對擴散范圍和社區邊界的比對來發現郵件系統存在的其他有害郵件，挖掘出郵件網絡內部的人物關系網絡。從計算學的觀點來看，社交關系挖掘的研究主要包括3個方面[2]：關系鏈接預測，即預測和推薦未知的鏈接，如Liben-Nowell和Kleinberg[3]系統地研究了推斷用戶之間新鏈接的問題；關系類型預測，即自動地識別與每一個社交關系相關聯的語義，如Leskovec[4]等人使用Logistic回歸模型預測在線社交網絡中的正/負關系，Diehl[5]等人通過學習排序函數識別“經理—下屬”關系等；關系交互預測，即研究單向的社交關系怎樣發展成雙向的社交關系及其產生的原因，如Lou[6]等人研究了社交關系如何發展成三元閉包等。從這類角度來看，本文對人物關系網絡的研究屬于關系挖掘研究中的關系鏈接預測，即預測和推薦未知的鏈接（發現郵件系統存在的其他有害郵件）；相比于傳統的關鍵字查找方式，這種方法結合了郵件社區劃分和郵件擴散可視化，大大減少了取證人員的工作量，更加直觀地展示了郵件用戶之間的關系，更準確地挖掘出人物關系網絡，從而提高了電子郵件取證工作的質量和效率。實驗證明，本文提出的方法在追蹤特定郵件附件擴散范圍的場景下應用效果良好。

2郵件取證

電子郵件取證的原始數據一般來自多個數據源，包括發件人或收件人使用的終端、郵件傳遞服務器上的存儲介質等，如果是Web端郵件則需要檢查用戶瀏覽器的相關信息，如緩存、日志等。這些數據較為原始，提取需要較強的專業知識且一般不能直接理解，同時這些數據一般包含著大量的無關信息，需要進一步篩選；獲取原始數據后，需要使用一定的技術手段來獲取與郵件證據相關的數據，這一步直接決定了之后要處理數據的規模和質量，因而是整個電子郵件取證過程中較為關鍵的一步；通過上一步的篩選，得到所有與郵件相關的數據，但是這些數據仍然處于取證人員很難理解的形式，需要進行數據恢復和格式重組來得到可讀性更高的原始郵件內容；根據重組后的郵件格式進行文件轉換及信息提取后，可以將郵件內容轉化為可以直接閱讀的文本、圖片等形式；到了這一步，郵件數據已經完全可讀，此時根據傳統的辦法對所有郵件數據進行關鍵字查找等處理，進而得出人物關系網絡、事件關系網絡等，以及得出有效的電子證據；分析完成后，根據確定的關系網絡、電子證據等對案件的過程進行還原，從時間、事件、人物3個維度對原始場景進行構建并得出最終結論。在查詢和關鍵字查找步驟中，已經獲得了所有與案件相關且直接可讀的郵件數據，此時傳統的方法會對所有郵件數據進行關鍵字查找等分析處理，進而挖掘出人物關系網絡、事件關系網絡等結構性信息，這種方法在面對數據總量龐大、涉及人員眾多、人員關系錯綜復雜的情況時效果將會顯著下降。這正是本文主要研究和解決的問題。

3基于Louvain算法的郵件網絡人物關系

網絡挖掘方法現實網絡中存在著大量的社區結構，這些結構表現為社區內部節點聯系緊密，而外部節點聯系稀疏。Louvain算法是Vincent等提出的一種進行快速社區發現的算法，該算法在面對大型網絡時能夠取得較好的效果，如圖1所示。在郵件取證中有一種重要場景追蹤特定郵件附件的擴散范圍，即通過對所有相關郵件數據的分析來確定一個或多個特定郵件附件在郵件網絡中的傳播情況，包括原始郵件的發送者、郵件的所有接收者、郵件的轉發情況、是否有其他的來源等。在這種場景下，僅考慮查詢郵件附件hash是不夠的，因為作為分析依據的郵件數據可能存在缺失，因此，需要結合郵件用戶的社區劃分情況對可能存在的附件傳遞進行推測。已知的附件傳播鏈與郵件用戶的社區劃分存在以下兩種可能的關系，如圖2所示。圖2(a)中，已知的附件傳播鏈所有部分屬于同一個社區，此時可以認為指定的郵件附件僅在此社區內傳播，該社區即為郵件網絡人物關系網絡；圖2(b)中，已知的附件傳播鏈各部分分屬兩個或多個社區，即指定的郵件附件從初始社區傳播到多個社區當中，每個社區都有全部或者部分用戶參與了附件傳播的過程，此時認為附件傳播鏈跨過的所有社區共同組成郵件網絡人物關系網絡。為了更好地對比附件的轉發鏈與郵件用戶社區分布的關系，筆者對原始郵件數據進行了可視化，整個過程的數據處理流程如圖3所示。最終將郵件數據的顯示形式由原始的{發件人；收件人；時間；附件hash}轉換為更直觀的網絡拓撲形式，在可視化界面中可以清晰地觀察附件擴散范圍和郵件用戶社區分布，進而發現郵件系統存在的其他有害郵件，挖掘出郵件網絡內部的人物關系網絡。

4實驗與結果分析

4.1實驗數據實驗使用的數據分為2個部分。（1）美國全國委員會（DNC）郵件。2016年7月22日，維基解密網站公布了美國全國委員會內部的一批絕密郵件，這些郵件真實記錄了希拉里在郵件門事件爆發之前與高層的通信情況，共包含19252封郵件，時間跨度從2015年5月14日直到2016年5月25日。（2）鑒于全國委員會郵件數據未包含郵件附件信息，自行構建了一組包含15個用戶23封郵件的測試郵件數據。4.2實驗環境使用本文提出的方法對部分DNC郵件數據進行了展示，如圖4所示。然后在追蹤特定郵件附件擴散范圍的場景下對基于Louvain算法的郵件網絡人物關系網絡挖掘方法進行了實驗，從郵件附件hash、時間和郵件用戶3個維度對郵件數據進行了可視化處理。實驗場景如下：郵件用戶U0~U14在2018年3月9日到2018年3月20日時間段內的郵件數據被作為取證分析目標，現對hash為588f7fba9060d7c9c436032a6417b43c的文件進行追蹤，希望獲取原始郵件的發送者、郵件的所有接收者、是否有其他的來源等信息。使用基于Louvain算法的郵件網絡人物關系網絡挖掘方法對郵件數據進行處理后，得到結果如圖5所示。4.3結果分析從圖4可以看出，選取的部分DNC郵件數據被分為8個社區，其中處于整個區域最中心位置的用戶是BonoskyGarret。由于數據沒有包含附件信息，所以未能顯示出指定附件的擴散軌跡。從圖5可以看出，所有的郵件用戶被分為紫色和綠色代表的2個社區，攜帶指定附件的郵件最初由用戶U0在2018年3月11日發送給處于同一社區的用戶U4，U4于2018年3月15日將郵件跨社區發送給用戶U10，U10于2018年3月19日將郵件進行了一次群發，同時發送給了同一社區的用戶U11~14。從上述結果可以分析得出：原始郵件的發送者為U0，郵件的所有接收者為U4，U10，U11，U12，U13，U14，且根據目前已知的數據，沒有其他附件來源。可能的郵件網絡人物關系網絡由紫色代表的社區以及綠色代表的社區共同組成，下一步取證應該對郵件的原始發件人U0、完成附件信息跨社區傳播的用戶U4和U10進行重點調查。本方法使用郵件數據可視化的方式直觀地展示了郵件用戶之間的關系，更準確地挖掘出人物關系網絡，縮小了取證調查的范圍，提高了電子郵件取證工作的質量和效率。

5結語

本文針對電子政務系統郵件取證中郵件用戶關系挖掘困難的問題，結合郵件用戶社區劃分與郵件數據分析，提出一種電子政務系統郵件網絡人物關系網絡挖掘方法。實驗證明，該方法在追蹤特定郵件附件擴散范圍的場景下應用效果良好，具有較好的應用價值。下一步工作將研究減小社區發現效果對網絡挖掘結果的影響。

參考文獻：

[1]危蓉.鎖屏Android智能手機取證方法的研究[J].中國司法鑒定,2015(01):67~70.

[2]王即墨.Android智能手機鎖屏密碼及破解方法研究[J].刑事技術,2015,40(02):142~145.

[3]石穗東.運用第三方recovery破解安卓手機屏幕鎖[J].刑事技術,2015,40(02):327~329.

[4]張笑魯.Android移動設備的數字取證關鍵問題研究[D].吉林大學:吉林大學,2016:21.

[5]SonN,LeeY,KimD,etal.AstudyofuserdataintegrityduringacquisitionofAndroiddevices[J].DigitalInvestigation,2013,10(08):S3~S11.

[6]KimK,HongD,RyouJC,etal.ForensicDataAcquisitionfromCellPhonesusingJTAGInterface[C].SecurityandManagement.2008:410~414.

作者:楊群領 喻民 姜建國 劉超 單位:1.中國科學院信息工程研究所 2.中國科學院大學網絡空間安全學院