大數(shù)據(jù)環(huán)境下的電子取證研究

劉衛(wèi)華

摘 要：隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，高科技犯罪正在興起，特別是近年來，云計(jì)算技術(shù)發(fā)展迅速，信息數(shù)據(jù)量劇增、數(shù)據(jù)加密等都給電子取證帶來了新的挑戰(zhàn)，因此大數(shù)據(jù)環(huán)境下的電子取證問題具有重要的科學(xué)研究和實(shí)際應(yīng)用價(jià)值。文章將對傳統(tǒng)電子取證技術(shù)進(jìn)行分析研究，并結(jié)合已有的取證方法，提出了層次化電子取證模型來進(jìn)行海量數(shù)據(jù)的挖掘與處理，從而解決傳統(tǒng)電子取證的局限性，在電子取證工作和案件的偵破方面具有極高的理論和應(yīng)用價(jià)值。

關(guān)鍵詞：電子取證；大數(shù)據(jù)；云計(jì)算；云存儲

中圖分類號：TP181 文獻(xiàn)標(biāo)志碼：A 文章編號：2095-2945（2018）35-0075-02

Abstract： With the rapid development of network information technology， high-tech crime is on the rise， especially in recent years， the rapid development of cloud computing technology， the rapid increase in the amount of information， data encryption and other electronic forensics have brought new challenges. Therefore， the issue of electronic forensics under the environment of big data has important scientific research and practical application value. This paper will analyze and study the traditional electronic forensics technology， and based on the existing forensics methods， propose the hierarchical electronic forensics model to carry on the massive data mining and the processing， thus solves the limitation of the traditional electronic forensics. This has the extremely high theory and the application value in the electronic forensics work and the case detection aspect.

Keywords： electronic forensics； big data； cloud computing； cloud storage

1 概述

隨著大數(shù)據(jù)時(shí)代的到來，“數(shù)據(jù)”越來越受到人們的重視，其價(jià)值也超越了以往其他時(shí)候。預(yù)計(jì)到2020年，全球的數(shù)據(jù)總量將達(dá)到40ZB，而地球上人均數(shù)據(jù)預(yù)計(jì)將達(dá)到5247GB。那么，面對如此巨大的數(shù)據(jù)量，我們?nèi)绾潍@取有效數(shù)據(jù)，并分析利用這龐大的數(shù)據(jù)將成為未來信息化建設(shè)進(jìn)程中亟待解決的問題。特別是近年來，云計(jì)算技術(shù)的迅速發(fā)展，使得信息數(shù)據(jù)量劇增、數(shù)據(jù)的維度增多，這就給電子取證帶來了挑戰(zhàn)同時(shí)也帶來了機(jī)遇。因此，大數(shù)據(jù)環(huán)境下的電子取證具有極其重要的研究價(jià)值。

2 電子取證的基本概念

電子證據(jù)就是信息數(shù)字化過程中形成的以數(shù)字形式存在的能夠證明案件事實(shí)情況的數(shù)據(jù)。隨著計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，電子證據(jù)越來越受到人們的重視。

美英等西方國家是最早設(shè)立電子數(shù)據(jù)取證機(jī)構(gòu)的國家，早在1984年，聯(lián)邦調(diào)查局就已經(jīng)建立了計(jì)算機(jī)分析與響應(yīng)小組；隨后，英國在大都會警察局設(shè)立了計(jì)算機(jī)取證部門。我國的電子取證發(fā)展較晚，2013年1月1日施行的 《中華人民共和國刑事訴訟法》首次將“電子數(shù)據(jù)”正式列入證據(jù)類型中，標(biāo)志著我國電子取證技術(shù)的日益成熟。作為新的證據(jù)種類，電子證據(jù)的作用越來越凸顯。

3 傳統(tǒng)電子取證的局限性

傳統(tǒng)電子取證研究的關(guān)鍵問題是：如何獲取有效的數(shù)據(jù)并將獲得的數(shù)據(jù)關(guān)聯(lián)起來以作為證據(jù)，并且通常采用線性方式處理單個(gè)案件，而在大數(shù)據(jù)環(huán)境下，電子證據(jù)不再局限于單個(gè)機(jī)器，而是存在于不同的物理主機(jī)和服務(wù)器上[1]。由于地理空間的分離，案件處理人員無法及時(shí)分析中間數(shù)據(jù)，無法共享和交換數(shù)據(jù)，因此，無法實(shí)現(xiàn)“傳播”和“共享”通信[2]。

網(wǎng)絡(luò)犯罪形式呈多樣化、高科技化發(fā)展，海量數(shù)據(jù)的存儲逐漸變成本地與云端相結(jié)合，而不再是僅僅存于計(jì)算機(jī)中[3]。云端數(shù)據(jù)因其方便的傳輸也在很多案件中被犯罪分子利用，面對這些改變，傳統(tǒng)的電子取證技術(shù)、工具已不再適用[1，4]。

4 構(gòu)建層次化電子取證模型

為了解決傳統(tǒng)電子取證的難題，并且應(yīng)對數(shù)據(jù)的快速增長，新的電子取證必須解決三大問題：證據(jù)存儲、證據(jù)分析和證據(jù)管理。針對圖1中執(zhí)法部門實(shí)際工作的四個(gè)主要場景[5]，提出構(gòu)建大數(shù)據(jù)環(huán)境下的層次化電子取證模型，模型如圖2所示，分為資源調(diào)度層、公共服務(wù)層、證據(jù)分析層、取證監(jiān)管層、證據(jù)獲取層和基本服務(wù)層，每層模塊都有自己單獨(dú)的作用[6]，下層模塊服務(wù)于上層模塊，上層模塊調(diào)用下層模塊，幾大模塊之間彼此關(guān)聯(lián)組合，能夠從源頭上、流程上、功能上全面解決執(zhí)法工作范圍大、取證環(huán)境復(fù)雜、時(shí)效性強(qiáng)、現(xiàn)有設(shè)備難以滿足證據(jù)管理等需求[7，8]。

基本服務(wù)層：本層是整個(gè)取證過程的基礎(chǔ)服務(wù)層，為整個(gè)平臺提供主機(jī)、服務(wù)器、虛擬化設(shè)備、軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)等基礎(chǔ)物理設(shè)備資源。包括日志服務(wù)、虛擬機(jī)服務(wù)以及平臺管理服務(wù)等。而這里我們將重點(diǎn)放在虛擬機(jī)服務(wù)中，并且必須將相關(guān)的內(nèi)容都進(jìn)行認(rèn)真處理和記錄。

證據(jù)獲取層：證據(jù)獲取層是大數(shù)據(jù)環(huán)境中電子取證的關(guān)鍵層、核心層。傳統(tǒng)的證據(jù)獲取只需要對瀏覽痕跡、日志文件、上網(wǎng)記錄等進(jìn)行證據(jù)的分析提取即可，而這些是屬于物理資源取證。但對于大數(shù)據(jù)環(huán)境下的云計(jì)算電子取證，除了傳統(tǒng)的物理資源取證外，最重要的還需要對虛擬資源取證，需要對虛擬機(jī)進(jìn)行隔離遷移到取證服務(wù)器或者本地，再進(jìn)行取證分析[2]。

取證監(jiān)管層：取證監(jiān)管層的主要任務(wù)是對上面的基礎(chǔ)服務(wù)層和證據(jù)獲取層的所有操作進(jìn)行監(jiān)管、記錄，并生成報(bào)告，以確保數(shù)據(jù)的有效性，而且能成為法律的依據(jù)[1，2]。

證據(jù)分析層：完成證據(jù)的分析與處理是證據(jù)分析層的主要任務(wù)，利用數(shù)據(jù)挖掘技術(shù)對證據(jù)獲取層獲取的數(shù)據(jù)資源進(jìn)行有效的證據(jù)處理分析。在分析過程中，為了保證證據(jù)的安全有效，每一環(huán)節(jié)都要進(jìn)行時(shí)間記錄[1]。

公共服務(wù)層：公共服務(wù)層也可以稱為證據(jù)呈現(xiàn)層，本層主要是根據(jù)取證分析層給出的結(jié)果利用網(wǎng)絡(luò)等為辦案人員呈現(xiàn)出取證結(jié)果。

資源調(diào)度層：根據(jù)整個(gè)系統(tǒng)的資源使用情況，及時(shí)合理的進(jìn)行調(diào)度安排，防止出現(xiàn)網(wǎng)絡(luò)堵塞、速度緩慢等故障，確保系統(tǒng)高效運(yùn)行。

以上各層都既有自己單獨(dú)的功能，又彼此關(guān)聯(lián)，能很好地服務(wù)于電子取證工作，給工作人員提供幫助，減少辦案人員的工作量。

5 結(jié)束語

大數(shù)據(jù)以及云計(jì)算技術(shù)的高速發(fā)展，給電子取證以及案件的偵破帶來了許多困難，但也為偵破人員提供了新技術(shù)和新方法。本文提出層次化電子取證框架，為大數(shù)據(jù)環(huán)境下的電子取證工作提出了取證思路，解決了取證工作中證據(jù)不易于發(fā)現(xiàn)搜集、難存儲等問題。

當(dāng)然，面對著網(wǎng)絡(luò)科技的飛速發(fā)展和網(wǎng)絡(luò)犯罪技術(shù)手段的不斷提高，靠個(gè)人技術(shù)進(jìn)行電子取證已經(jīng)無法滿足需要，取證技術(shù)的發(fā)展趨勢是伴隨著信息科技發(fā)展而同步的，未來單機(jī)版的取證工具將被分布式的綜合取證工具系統(tǒng)代替，結(jié)合人工智能、機(jī)器學(xué)習(xí)等進(jìn)行智能化的自動(dòng)關(guān)聯(lián)、碰撞、比對，獲取各數(shù)據(jù)源之間的關(guān)聯(lián)性，以反映網(wǎng)絡(luò)罪犯的真實(shí)犯罪過程。

參考文獻(xiàn)：

[1]姜鳳燕，姜瑾，姜吉婷.基于大數(shù)據(jù)環(huán)境的電子取證研究[J].信息網(wǎng)絡(luò)安全，2016（9）：60-63.

[2]張昆.云計(jì)算環(huán)境中電子取證技術(shù)研究與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2014：1-5.

[3]許蘭川，盧建明，王新宇，等.云計(jì)算環(huán)境下的電子取證：挑戰(zhàn)及對策[J].刑事技術(shù)，2017（2）.

[4]付忠勇，趙振洲.電子取證現(xiàn)狀及發(fā)展趨勢[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2014：67-70.

[5]付連超.淺談大數(shù)據(jù)下的電子數(shù)據(jù)取證[J].技術(shù)與市場，2014（7）.

[6]楊曉超.大數(shù)據(jù)下電子數(shù)據(jù)取證在職務(wù)犯罪偵查中的應(yīng)用[J].網(wǎng)絡(luò)法務(wù)，2015（413）.

[7]駱虎.信息安全預(yù)見與大數(shù)據(jù)時(shí)代的電子取證[J].中小企業(yè)管理與科技，2016（6）.

[8]王燃.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)視野下的電子取證——以網(wǎng)絡(luò)平臺為視角[J].山東警察學(xué)院學(xué)報(bào)，2015（5）.

[9]楊芳菊.基于云的計(jì)算機(jī)取證系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（5）.