◆陳云云 梁達鵬

基于大數據架構的電子數據取證技術研究

◆陳云云1梁達鵬2

（1.山西警察學院 山西 030401；2.郵儲銀行山西省分行 山西 030001）

由于大數據的發(fā)展，電子數據取證對象的變化給電子數據取證帶來了極大的挑戰(zhàn)。針對此問題，本文提出基于大數據架構的電子數據取證技術研究。通過對目前電子數據取證面臨海量數據、數據多樣性、取證準確度、數據存儲安全性等多個方面的問題進行研究分析，運用Hadoop、可視化、層次化等基于大數據架構的方法進行電子數據取證分析，并與傳統(tǒng)電子取證技術進行對比分析，發(fā)現基于大數據架構的電子數據取證技術具有較高的準確度，取證效率高，安全性有較大提升。

大數據；電子數據取證；取證技術

1 引言

根據《2020-2024年中國電子取證市場可行性研究報告》顯示，我國在加大對大數據的政策支持，同時大數據應用模式的發(fā)展環(huán)境也在逐步成熟，在政策和環(huán)境的驅動下，我國大數據市場在保持著快速增長的趨勢，發(fā)展到2018年已經增長至325億元以上，同上一年市場規(guī)模相比，大約增長了38.3%。面對增值如此快的數據量，傳統(tǒng)電子數據取證技術手段遭遇巨大的困境，因此，研究基于大數據架構的電子數據取證技術具有重要的價值。

本文主要研究基于大數據架構的電子數據取證技術，通過對大數據環(huán)境進行分析，利用大數據環(huán)境的特征進行電子數據取證，降低電子數據取證難度，提高電子數據取證準確度及安全性。

2 電子數據取證的定義

2.1 電子數據取證

電子數據取證，是指利用計算機軟硬件技術，以符合法律規(guī)范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。在一些利用計算機進行犯罪的案件中，犯罪嫌疑人在毀滅犯罪證據的情況下，需要用數據恢復軟件將丟失的數據進行恢復。獲取丟失數據的過程就是電子數據取證的過程。主要包括四個方面，現場勘查、分析數據、追蹤數據和提交結果。

2.2 電子數據取證技術

電子數據取證技術就是經過資格認定的專業(yè)人員按照法律規(guī)定的程序對電子設備中存儲的電子證據進行取證過程中運用的各種技術，主要包括數字時間、瀏覽器、移動終端、網絡電子、密碼破解、數據庫等方面的取證技術，同時也包括部分計算機取證軟件，比如TCT和Encase等。任何計算機犯罪都會留在計算機和互聯(lián)網上留下痕跡，電子數據取證技術的宗旨就是準確辨別并提取犯罪者留下的痕跡信息，從而揭露其犯罪事實。

3 大數據時代電子數據取證面臨的挑戰(zhàn)

2010年以來，隨著大數據等技術的發(fā)展，各國都把網絡隱私設為立法保護范圍，電子數據取證迎來了巨大挑戰(zhàn)。面對大數據等技術手段，傳統(tǒng)電子數據取證技術遭遇巨大困難。

3.1 取證難度大

大數據時代對于數據的采集、存儲以及處理相較于傳統(tǒng)的小數據都有更高要求，且大數據技術與云計算技術更是密不可分。這使傳統(tǒng)的計算機取證工具面對大數據時顯得無能為力或者效率極低。其一，大數據是基于云計算的，而云計算又是基于網絡平臺，大數據環(huán)境下取證工具應該支持網絡連接和分布式計算。然而，現在的取證工具即取證軟件和取證硬件基本都不支持網絡連接。這已經不適應大數據環(huán)境下的取證要求了。再者，大數據時代數據的海量性對數據的處理能力提出更高的要求。現有的取證工具在取證效率上更是捉襟見肘。因此，大數據時代對取證工具的兼容性和高效性都有更進一步的要求?，F有的取證工具需要進行功能上的及時更新。

3.2 云安全問題

大數據技術應用是建立在互聯(lián)網基礎上，很多數據都存儲在互聯(lián)網的云端，所以大數據和云計算是分不開的。云環(huán)境本身的特性，導致云安全在數據取證方面存在一定挑戰(zhàn)。一是云端共享，云端的數據處于離散狀態(tài)；二是云服務廠商采用基于動態(tài)伸縮的存儲技術，導致釋放出來的空間被其他服務器重新使用，釋放掉的數據難以找回。這些特性，致使在電子數據取證中，難以使用靜態(tài)分析技術對數據進行準確分析，且對云安全提出了挑戰(zhàn)。

4 基于大數據架構的取證研究

4.1 大數據架構

大數據架構的核心思想是將大量數據源收集的數據接入到數據處理模塊中，這些處理模塊能夠處理各種類型和格式的數據，并將它們存儲在一起。其實此處理模塊就是一個master/worker機制。一個master分配多個任務給worker系統(tǒng)，master的職責是負責協(xié)調和管理各個計算任務并確保worker計算系統(tǒng)能夠正常完成任務。

4.2 基于大數據架構的取證

大數據架構的出現徹底改變了電子數據取證的要求。傳統(tǒng)的電子數據取證的核心步驟包括從包含潛在的證據源的計算機中移除硬盤驅動器等存儲設備，計算MD5/SHA-1校驗、為獲取所有元數據而進行物理收集等。大數據取證是對大數據系統(tǒng)中的電子數據證據進行識別、收集、分析和展示，目標是從大數據架構里的分布式系統(tǒng)、數據庫和應用程序里收集數據。

大數據取證系統(tǒng)是一個大型復雜的系統(tǒng)，系統(tǒng)里有成千上萬塊硬盤驅動器，當系統(tǒng)關機時會丟失數據，所以為了保證取證的準確性，系統(tǒng)需要一直保持開機狀態(tài)。大數據取證系統(tǒng)采集數據的方法為邏輯文件取證備份和基于查詢的收集等。

5 基于大數據架構的電子數據取證新技術

5.1 云環(huán)境電子數據取證技術

隨著大數據的快速發(fā)展，越來越多的犯罪分子在云服務器上搭建網站和應用進行第四方支付、網絡詐騙、網絡賭博等違法犯罪活動，如何對這些違法網站進行快速固定和存證，如何對涉案云服務器進行遠程勘查取證成為執(zhí)法人員面臨的新難題。

云環(huán)境電子數據取證技術是指從云基礎設施采集數字取證數據。同時可以對遠程服務器及云服務器取證，讓取證、調查人員可以對遠程服務器上的基礎信息、網站連接信息、網站信息以及數據庫信息等進行快速調查取證，還可以對數據重構進行深入的分析。還可以基于Windows平臺針對網站、網頁郵箱等的取證、存證及出證?？梢皂撁娼貓D（附帶URL）、屏幕錄像、實時哈希計算、生成取證報告等，所獲取證據文件無縫對接第三方電子數據存證云平臺進行哈希值存證，當需司法鑒定報告時，可在線提交申請并由具有法定資質的司法鑒定機構出具司法鑒定報告。

5.2 Hadoop電子數據取證技術

大數據取證不是取證人員簡單地從某個物理介質里獲取所需要的數據，而是從海量的數據及其跨站點的存儲方式里獲得數據。Hadoop技術解決了此問題。作為Apache基金會框架解決方案，Hadoop是目前使用最廣泛的大數據電子取證技術，Hadoop是一個可靠的系統(tǒng)，具有豐富的大數據分層解決方案和工具系統(tǒng)。此系統(tǒng)是由Java語言編寫，而Java語言是一種高級語言，具有跨平臺性可以在不同的操作系統(tǒng)上運行。

5.3 可視化遠程視頻電子數據取證技術

由于大數據的出現，對于跨區(qū)域犯罪，特別是電信網絡詐騙等受害人遍布全國各地的案件，可提高辦案效率，減少民警路途奔波，降低了提解在押人員的執(zhí)法風險。

可視化遠程視頻取證技術是通過采用互聯(lián)網技術，并結合顯示屏、攝像頭、電子簽名、打印機等輔助設備，進行遠程視頻取證，且對視頻資料進行保存，并作為證據的一種技術，通過該技術可以解決遠程辦理案件的詢問難、辨認難等問題，實現遠程協(xié)作辦案，取證過程智能留痕，結果自動傳輸，解決遠程辦案及取證的問題。

5.4 層次化電子數據取證技術

為了應對數據的快速增長，新的電子數據取證必須在傳統(tǒng)的取證流程上進行改變，層次化取證技術就是來解決此問題的，層次化取證模型自下而上分為六個層次，分別為物理層、數據鏈路層、取證監(jiān)管層、證據分析層、公共服務層和資源調度層。

層次化取證模型的思想類似OSI模型的七層分層思想，每一層都有獨立的功能，下層為上層提供服務，上層調用上層的功能，上下層之間的交流通過接口來完成。物理層主要為證據提供來源，包括服務器、虛擬化設備和物理主機等。數據鏈路層是對證據進行獲取。數據監(jiān)管層主要任務是對下面的物理層和數據鏈路層所有的操作進行監(jiān)督、記錄，并生成報告，以確保數據的有效性，而且能成為法律依據[7]。數據分析層主要完成證據的分析和處理。應用服務層主要為辦案人員提供取證結果。資源調度層主要為系統(tǒng)的高效運行提供保障。

6 結論

本文提出了基于大數據架構的電子數據取證技術研究，采用可視化獲取更多的電子證據，并將電子證據分為支持信息證據、記錄證據、用戶和應用程序證據三類。采用Hadoop分布式技術進行取證分析，同時基于層次化取證技術，將電子數據分層取證，逐層分析。通過對比分析，大數據架構下的電子數據取證技術，取證準確度高，取證效率高，取證安全性得以解決。

[1]范寇艷.數據環(huán)境中的電子證據規(guī)則[J].檔案學研究，2017（S1）：101-107.

[2]張妍，邵淼，等.基于數字簽名技術的電子數據證據取證研究.計算機科學[J]，2015，42（10A）.

[3]李毅.電子數據取證發(fā)展概況[J].中國信息安全，2019（5）：44-47.

[4]SREMACK J.Big data forensics-learning hadoop investigations[M]. Livery Place：Packt Publishing Ltd，2015.

[5]朱彬，張文橋，何泓林.大數據環(huán)境下的數據安全研究[J].信息通信，2019.

[6]周國民，劉昱成，陳光宣，等.面向Hadoop的大數據取證研究[J].中國人民公安大學學報（自然科學版），2020.

[7]劉衛(wèi)華.大數據環(huán)境下的電子取證研究[J].科技創(chuàng)新與應用，2018（35）：75-76.

山西省“1331工程”重點學科建設計劃經費資助（英文縮寫為“1331KSC”）；公安部重點實驗室2020開放課題：基于大數據架構的公安信息化應用；山西省哲學社會科學規(guī)劃課題（2020YY280）；新工科背景下公安院校網絡安全與執(zhí)法專業(yè)實踐教學改革研究