arXiv:2503.18542v1 交叉公告类型 摘要：在当今日益增长的电子犯罪背景下，网络取证在数字调查中扮演着至关重要的角色。它有助于理解需要分析哪些系统，并作为补充，支持通过传统的基于计算机的调查发现的证据。然而，现有的网络取证分析工具（NFAT）在提供可用数据方面不如文件系统取证分析工具（FS FAT）。分析通常集中在IP地址上，但这些IP地址并不等同于用户身份，这是调查人员非常关注的问题。本文提出了几种实验，旨在创建一种新颖的NFAT方法，能够在流量保持加密的情况下识别用户并理解他们如何使用基于网络的应用程序。这些实验建立在现有技术的基础上，研究这种方法在分类用户及其行为方面的有效性。利用一个包含5000万个包的数据集，实验包括三个逐步改进的发展阶段，以提高性能。在成功的实验基础上，提出了一种NFAT界面，以展示调查人员能够轻松提出相关问题的能力。在涵盖27名用户的实验中，平均true positive identification rate (TPIR)达到了93.3%，其中41%的用户达到了100%的TPIR。Skype、Wikipedia和Hotmail服务的表现尤为突出。研究开发并评估了一种通过建模网络流量来更有效地分析加密网络流量的方法，并通过一种新颖的网络取证分析工具可视化这些交互。