基于数据溯源模型的智能音箱本地端数字取证系统及方法与流程

技术特征：
1.基于数据溯源模型的智能音箱本地端数字取证系统，其特征在于：包括取证数据收集模块、数据溯源生成模块、取证分析模块和前端显示模块；所述取证数据收集模块用于根据数据类型和来源的不同，使用分布式部署的、目的性不同的数据收集插件从智能音箱系统的本地环境中收集取证原始数据；所述数据溯源生成模块用于处理、分析和归纳取证数据收集模块收集到的取证原始数据，使用数据溯源模型进行封装，并进一步生成溯源数据图，保存到数据库中；所述取证分析模块用于基于定义好的安全策略，利用数据溯源图进行系统安全性分析，判断智能音箱系统中是否存在攻击痕迹和安全隐患；所述前端显示模块用于给用户提供可视化交互接口来配置系统、监测状态、查询结果以及获取通知，向用户可视化展示系统安全性分析的结果，并且在发现攻击痕迹和安全隐患时生成相应的警告并发送给用户。2.根据权利要求1所述的基于数据溯源模型的智能音箱本地端数字取证系统，其特征在于：所述取证数据收集模块用于实现以下功能：a、通过多个自动化脚本从智能音箱系统本地端设备中收集其产生的取证相关原始数据；所述本地端设备至少包括：智能音箱设备和用户的安卓智能手机；所述取证相关原始数据至少来源于：安卓智能手机中智能音箱系统客户端软件保存的数据，至少包含：用户和智能音箱之间的对话信息以及客户端软件的日志文件；网络通信数据，至少包含：智能音箱系统本地端设备之间的网络通信数据以及智能音箱系统本地端设备和云服务器端之间的网络通信数据；b、分析用户和智能音箱之间的对话信息；所述用户和智能音箱之间的对话信息至少既包含了用户对智能音箱所说的内容和智能音箱对用户的反馈内容；c、分析智能音箱系统安卓客户端软件日志文件。3.根据权利要求2所述的基于数据溯源模型的智能音箱本地端数字取证系统，其特征在于：所述用户和智能音箱之间的对话信息以图形用户界面的形式展示给用户，通过以下方式中的至少一种提取：通过使用图形用户界面分析工具解析文件对象模型树并从相关图形用户界面组件的属性中提取对话文本信息；对于使用矢量图进行渲染的智能音箱客户端，对图形用户界面进行截屏，使用光符识别技术从截屏图片中识别文本信息。4.根据权利要求1所述的基于数据溯源模型的智能音箱本地端数字取证系统，其特征在于：所述数据溯源生成模块用于实现以下功能：a、对数据收集阶段收集到的取证原始数据进行处理；使用自然语言处理的技术从文本数据中提取关键信息；b、使用数据溯源模型对处理后的取证原始数据进行封装；基于开放溯源模型定义其使用的数据溯源模型，包含三种数据类别：(1)代理，指智能音箱系统中某一个行为的创建者或者目标；
(2)实体，指某项行为所导致的中间状态或者数据在传输过程中的载体；(3)行为，指代理和实体之间在行为上的关联，即智能音箱系统中发生的一个具体操作，包括代理执行的行为，以及导致实体产生的行为；c、根据溯源数据项生成溯源数据图；溯源数据图是一个有向无环图，其节点是溯源数据项，也就是代理、实体和行为，其边指示节点之间的因果关联；节点之间的因果关联由节点所属场景的上下文信息和时间信息来决定；生成的溯源数据图保存在数据库中。5.根据权利要求1所述的基于数据溯源模型的智能音箱本地端数字取证系统，其特征在于：所述取证分析模块用于实现以下功能：a、安全策略生成；安全策略用于定义智能音箱系统应该如何正确运行，至少包括：(1)智能音箱系统中各个组成部分之间的“触发
‑
条件
‑
操作”规则；(2)敏感数据关键词名单；(3)系统各项状态的阈值；b、执行安全性分析；持续地比对数据溯源图和安全策略，验证数据溯源图中包含的工作流和数据流是否符合安全策略；如果不匹配，将会依据安全策略的要求，生成相应的安全警报；c、利用前后溯追踪解释异常现象的产生原因并确定其影响范围；从溯源数据图中的任一节点出发，通过前溯追踪，能够遍历导致该节点产生的一系列节点，从而解释该节点产生的原因；从溯源数据图中的任一节点出发，通过后溯追踪，能够搜寻该节点导致了哪些节点的产生，对整个智能音箱系统产生了哪些影响；通过结合前后溯追踪，从全局的角度了解整个智能音箱系统的运行状态，并生成相应的安全分析报告。6.根据权利要求1所述的基于数据溯源模型的智能音箱本地端数字取证系统，其特征在于：用户能够通过前端显示模块配置安全策略。7.基于数据溯源模型的智能音箱本地端数字取证方法，其特征在于，包括如下步骤：(1)配置阶段；将工具部署到智能音箱系统的本地环境中；(2)启动阶段：接收到外部的启动命令后，进行工具的初始化操作，并调用取证数据收集模块；(3)数据收集阶段：根据数据类型和来源的不同，使用分布式部署的、目的性不同的数据收集插件从智能音箱系统的本地环境中收集取证原始数据；(4)数据处理阶段：处理、分析和归纳取证数据收集阶段收集到的取证原始数据，使用数据溯源模型进行封装，并进一步生成溯源数据图，保存到数据库中；(5)取证分析阶段：基于定义好的安全策略，利用数据溯源图进行系统安全性分析，判断智能音箱系统中是否存在攻击痕迹和安全隐患；(6)结果展示和通知生成阶段：向用户可视化展示系统安全性分析的结果，并且在发现攻击痕迹和安全隐患时生成相应的警告并发送给用户。8.根据权利要求7所述的基于数据溯源模型的智能音箱本地端数字取证方法，其特征在于，所述数据收集阶段包括如下子步骤：a、通过多个自动化脚本从智能音箱系统本地端设备中收集其产生的取证相关原始数据；
所述本地端设备至少包括：智能音箱设备和用户的安卓智能手机；所述取证相关原始数据至少来源于：安卓智能手机中智能音箱系统客户端软件保存的数据，至少包含：用户和智能音箱之间的对话信息以及客户端软件的日志文件；网络通信数据，至少包含：智能音箱系统本地端设备之间的网络通信数据以及智能音箱系统本地端设备和云服务器端之间的网络通信数据；b、分析用户和智能音箱之间的对话信息；所述用户和智能音箱之间的对话信息至少既包含了用户对智能音箱所说的内容和智能音箱对用户的反馈内容；c、分析智能音箱系统安卓客户端软件日志文件。9.根据权利要求7所述的基于数据溯源模型的智能音箱本地端数字取证方法，其特征在于，数据处理阶段具体包括如下子步骤：a、对数据收集阶段收集到的取证原始数据进行处理；使用自然语言处理的技术从文本数据中提取关键信息；b、使用数据溯源模型对处理后的取证原始数据进行封装；基于开放溯源模型定义其使用的数据溯源模型，包含三种数据类别：(1)代理，指智能音箱系统中某一个行为的创建者或者目标；(2)实体，指某项行为所导致的中间状态或者数据在传输过程中的载体；(3)行为，指代理和实体之间在行为上的关联，即智能音箱系统中发生的一个具体操作，包括代理执行的行为，以及导致实体产生的行为；c、根据溯源数据项生成溯源数据图；溯源数据图是一个有向无环图，其节点是溯源数据项，也就是代理、实体和行为，其边指示节点之间的因果关联；节点之间的因果关联由节点所属场景的上下文信息和时间信息来决定；生成的溯源数据图保存在数据库中。10.根据权利要求7所述的基于数据溯源模型的智能音箱本地端数字取证方法，其特征在于，所述取证分析阶段具体包括如下子步骤：a、安全策略生成；安全策略用于定义智能音箱系统应该如何正确运行，至少包括：(4)智能音箱系统中各个组成部分之间的“触发
‑
条件
‑
操作”规则；(5)敏感数据关键词名单；(6)系统各项状态的阈值；b、执行安全性分析；持续地比对数据溯源图和安全策略，验证数据溯源图中包含的工作流和数据流是否符合安全策略；如果不匹配，将会依据安全策略的要求，生成相应的安全警报；c、利用前后溯追踪解释异常现象的产生原因并确定其影响范围；从溯源数据图中的任一节点出发，通过前溯追踪，能够遍历导致该节点产生的一系列节点，从而解释该节点产生的原因；从溯源数据图中的任一节点出发，通过后溯追踪，能够搜寻该节点导致了哪些节点的产生，对整个智能音箱系统产生了哪些影响；通过结合前后溯追踪，从全局的角度了解整个智能音箱系统的运行状态，并生成相应的安全分析报告。

技术总结
本发明提供基于数据溯源模型的智能音箱本地端数字取证系统及方法，取证数据收集模块用于从智能音箱系统中本地端设备中收集取证原始数据。数据溯源生成模块用于使用数据溯源模型封装收集到的取证原始数据，并且生成数据溯源图。取证分析模块用于利用数据溯源图基于安全策略进行取证分析。前端显示模块用于给用户提供可视化交互接口来配置系统、监测状态、查询结果以及获取通知。基于数据溯源模型和数据溯源图，本发明可以应用到各类智能音箱系统中，兼容常见设备和数据类型，并提供全局上的取证分析视角，从而更准确地对智能音箱系统进行安全性分析，保护智能音箱系统安全。本发明不修改智能音箱系统架构，不需要外部支持，灵活度高，适配性强。适配性强。适配性强。


技术研发人员：伏晓 刘轩宇 李昂 吴天池 骆斌
受保护的技术使用者：南京大学
技术研发日：2021.06.17
技术公布日：2021/10/28