基于大數據架構的電子數據取證技術研究

李海陽

（河南開合電子數據司法鑒定所 河南 鄭州 450000）

0 引言

在大數據時代下，電子數據取證對象發生了巨大變化，從以往的獨立物理實體拓展至IoT、虛擬主機以及云端應用等，這使得電子數據取證面臨更大困難和挑戰。所以，有必要對以大數據架構為基礎的電子數據取證技術展開深入研究。在實際研究中，首先要充分掌握電子數據取證的內涵及發展歷程，確定以大數據為基礎的電子數據取證框架，了解新時期電子數據取證所面臨的困境與挑戰，在此基礎上積極應用新技術支持電子數據取證工作，保證取證具有更高的安全性與準確性。

1 電子數據取證技術的概述

電子數據取證主要指的是通過計算機軟件以及硬件技術，在和法律規范相符的基礎上，對網絡相關犯罪行為包括網絡攻擊、計算機入侵、欺詐以及破壞等進行取證、分析、保存以及出示的過程[1]。通過應用計算機實施犯罪的一些案件，往往犯罪嫌疑人會將計算機當中的犯罪證據毀滅，在此情況下，就可通過數據軟件恢復所丟失或是刪除的信息，而對所刪除或者所丟失數據進行獲取的全過程即為電子數據取證過程，涉及勘查現場、數據分析、數據追蹤以及結果提交等方面。而電子數據取證技術，主要是專業人員嚴格依據法律要求，根據法定程序，通過多種技術對電子設備當中涉及的電子證據進行取證，所用取證技術主要包含數字時間、數據庫、密碼破譯、網絡電子、移動終端以及瀏覽器等。此外，取證期間可能還會用到一些計算機取證軟件，像Encase、TCT等。只要是運用計算機實施的犯罪行為，勢必會在互聯網以及計算機當中留下一定痕跡，研究應用電子數據取證技術，主要目的就是對犯罪者在計算機當中所留下的痕跡信息進行精準辨別，同步加以提取，通過信息取證揭露犯罪者的犯罪事實。

電子數據取證產生于20世紀70年代，目前已經歷了4個階段，分別是1985年至1995年的嬰兒期、1995年至2005年的兒童期、2005年至2010年的青春期以及2010年至今的新時期。在嬰兒期，新出現的網絡和剛剛普及的個人電腦引發了一系列計算機犯罪，此階段取證人員尚不具備系統化、專業化的取證工具，大部分是基于經驗，利用自行開發的取證工具完成取證任務。個人計算機、大型機、公司數據記錄以及計算機輔助欺詐是該階段主要的取證目標，同時此時期取證工作人員很少接受專業訓練，一定程度上制約著取證工作高效開展。隨后，DCFL、IOCE、ICAIS以及FACT等組織逐步成立，這些機構也開始為取證相關工作人員提供職業技能培訓以及經驗分享等。到了兒童期，互聯網開始廣泛普及，并迎來了信息爆炸時代，促使該時期網絡犯罪也呈現出高速發展態勢，此階段的取證目標也開始從原本的個人計算機擴展至專業化領域，包括數據解密、網絡入侵等，同時電子數據取證也逐漸演變成專業技術領域，衍生出ACES、look、FTK、Encase、Expert Witness等基于Windows界面取證工具以及HELEX、SMART、TSK等基于Linux的取證工具，研究領域也開始對內存取證技術以及網絡取證技術等展開深入研究。青春期的取證目標體現出多樣化特征，取證對象除了網絡、文件系統，還涉及PDA、手機、手機游戲平臺、網絡社交系統、商業業務記錄系統以及電子郵件等；而到了新時期，在物聯網、大數據、云計算等新一代技術支持下，使取證對象范圍進一步擴大，與此同時，很多國家開始從立法層面加大網絡隱私保護力度，還涌現出諸多相關學術課程，電子數據取證技術相關的研究也進一步深入[2]。

2 基于大數據框架的電子數據取證

在大數據架構當中，其中心思想就是先通過數據源進行大量數據的收集，隨后在數據處理模塊當中接入相關數據，所構建的各類處理模塊可對不同類型、不同格式的數據實現有效處理，還可將相關數據集中存儲起來。相關處理模塊可看作是master/worker機制，其中一個master能夠為worker系統進行多個任務分配，在此過程中，master主要職責就是對各計算任務進行管理和協調，保證worker計算系統可正常運行，順利完成任務。

綜上所述，鐵路道岔的運行和設備質量關乎著鐵路運行的安全性與長效性，在道岔維修工作中應重點對連接零件、尖軌轉轍部分、鋼軌磨耗和道岔鋪設問題進行分析研究，明確道岔設備維修養護工作的原則與重點。在此基礎上，通過采用多種工作方式實現維修保養、做好重點項目的維修養護和保證鐵路道岔設備的產品和服務質量幾點措施，更加高質高效地做好鐵路道岔設備維修工作。

以往在電子數據取證過程中，手機、計算機以及存儲卡、U盤、移動硬盤等移動存儲介質均屬于重要取證對象，隨著大數據技術的發展，使得電子數據取證對象發生一定變化，在原基礎上增加了客戶端虛擬主機、大數據系統、云備份、大數據庫主計算機以及云客戶端操作等，這種變化使得電子數據取證面臨更大挑戰[4]。

綜上所述，7及9野方案優于5野方案，可使脊髓的最大受量下降，脊髓安全性更高；調強放療脊髓保護區邊界的不同勾畫可統一，使主觀差異性降低。

大數據取證系統屬于高度復雜的大型系統，在該系統當中分布著成千上萬個的硬盤驅動器，如果系統關機，將導致數據丟失，因此為使取證具有更高準確性，要求系統始終為開機狀態。對大數據取證系統進行數據采集，主要方法包括以查詢為基礎的收集以及邏輯文件取證備份等?；诓町惢膽脠鼍耙约皵祿幚眍I域，大數據處理框架被劃分為流式架構、傳統大數據架構、unified架構、Kappa架構、Lambda架構等。立足管理層次角度分析，大數據主要包含存儲層、應用層以及處理層。在其中，處理層主要面向存儲層相關數據實現數據訪問、采集、處理、分析等，具體可將大數據系統視作目前主流操作系統環境當中結合應用虛擬化技術的數據處理集群，該數據系統可根據不同用戶差異化的需求為其提供多種支持服務，比如決策等。所以，以大數據框架為基礎的電子數據取證主要可劃分成物理資源層取證、系統層取證以及應用層取證，具體見圖1。

在我國西南地區的深山野林里，生長著一種草本植物，它開著白色的小花，雖然看上去清新可愛，卻也沒什么特別之處。但是，如果下雨之后你再來看，便會發現原先白色的小花變得晶瑩剔透，就像精心雕琢后的精美藝術品。你知道這種神奇植物的名字嗎？

在大數據取證過程中，工作人員并非只是簡單地在物理介質當中獲得目標數據，而要從海量的數據及其跨站點的存儲方式當中進行目標數據獲取，在此過程中會面臨一系列困難，而通過應用Hadoop技術能夠對相關問題加以解決。Hadoop屬于Apache基金會提出的一種框架解決方案，作為大數據電子取證技術的一種，具有非常廣泛的應用。Hadoop相關系統具有非常高的可靠性，包含諸多大數據分層解決方案以及多元化工具系統。該系統編寫中主要運用的是Java語言，因為Java語言屬于高級語言，體現出跨平臺性屬性，所以能夠滿足多種差異化操作系統提出的運行要求。

3 大數據環境下電子數據取證的困境

在大數據架構下，電子數據取證發生巨大改變，取證要求也與之前有很大差異。在以往電子數據取證中，關鍵環節主要有：（1）計算機在含有潛在數據源情況下，從中移除存儲設備，比如硬盤驅動器等；（2）計算MD5/SHA-1校驗；（3）以獲取全部的源數據，對目標展開物理收集等[3]。其實大數據取證主要是面向大數據系統，對其中涉及的各類電子數據證據加以識別、全面收集、科學分析并實現最終展示，主要目的就是以大數據架構為基礎，從其中的應用程序、數據庫以及分布式系統當中進行有用數據的收集。

3.1 取證對象面臨更大的定位以及提取難度

對于系統層，在取證過程中其對象包括大數據分布式文件系統以及系統訪問日志等，其中日志屬于一個關鍵的證據來源，而目前云服務供應商會提供格式多樣化的日志文件數據，并且相關格式規范也缺乏統一性，既有日志往往混雜著多個用戶的數據，其中還有很多和取證工作沒有關聯的敏感或者是冗余信息。另外在大數據分布式文件系統當中，像部分HDFS、DFS將分割后的塊文件通過數據塊編號加以命名，單看文件名難以掌握文件類型以及具體的歸屬關系，由此使得涉案人員追溯以及案件分析判定面臨較大困難。同時系統當中同時存在結構化、非結構化以及半結構化等數據，且部分云計算其數據格式具有獨特性，這也增加著數據分析難度。

在大數據背景下，很多用戶已經改變了互聯網載體應用習慣，取證對象也從之前的計算機系統拓展至可穿戴設備、智能手機以及云端等多終端設備。另外，在傳感器技術、嵌入式技術、云計算以及大數據等的發展過程中，IoT當中包含的各類信息傳感設備，比如射頻識別裝置、全球定位系統、紅外感應裝置等，還有智能汽車等多類智能設備，無論是數量還是種類都日漸增多，其中所包含的電子數據更加多樣化，所以也會出現更多新取證需求，使現有取證工作面臨更多困境[5]。尤其是面對那些分布在各個角落的各種物聯網傳感器，像烤箱、洗衣機、攝像頭、汽車等智能設備，單純運用既有取證工具產品很難實現電子數據的高效、全方位提取與分析。此外，虛擬化技術應用中，如果用戶完成VM釋放，相應空間就會被收回，在頻繁的資源回收以及再分配過程中，導致一些節點或平臺當中所包含的數據變成易失性數據，此類數據有較大的提取及恢復難度。

3.2 數據分析面臨一定困難

在大數據架構下，大量對涉網操作行為加以記錄的數據逐漸從終端設備遷移至云端，像部分涉案人員會通過云端登錄實現數據操作，或直接在網盤或云端當中存儲數據。另外，隨著大數據技術的發展，很多用戶對于互聯網載體的應用習慣也發生巨大改變，像一些涉案人員會以云存儲的方式將手機內部的圖片以及聊天記錄等數據在網絡中備份。在此背景下，通過應用層開展取證工作，電子數據取證對象將變成以大數據架構為基礎的各類云端操作系統、云存儲以及網盤等。而云存儲技術以及網盤技術是以虛擬化技術為基礎，將涉案數據存儲在多個數據中心，有時候還會跨司法管轄范圍，此時于應用層取證會使數據定位以及提取面臨較大困難，取證人員往往要在云服務提供商的幫助之下完成取證工作。另外，云環境當中用戶所應用的共享云基礎設施其中的數據存儲情況相對復雜，在對用戶數據進行分離過程中也面臨一定困難，往往會在證據收集環節摻入和用戶無關的一些數據，這使得取證人員在證據收集中需要考慮怎樣能夠確保無關用戶數據仍保持較高機密性，并思考如何只提取事件重構所需的電子數據，由此使取證工作面臨巨大挑戰。

3.3 取證對象更加多元化

2.企業與職業經理人的信息不對稱。職業經理人的能力是私人信息，外部很難獲得，所以企業在面試職業經理人或者通過獵頭公司獲得他們信息時，就存在信息不對稱的現象，有時甚至出現獵頭公司幫助職業經理人掩飾不符合企業要求的信息內容。這就使得企業在對人員篩選時，面臨著較大的困難，所以只好通過考察職業經理人的學歷、個人財富、職業背景等來減少風險。但是，這些方式不能從根本上解決企業對職業經理人真實信息的需求。

4 基于大數據框架的新電子數據取證技術

4.1 云環境電子數據取證技術

近年來，在大數據技術快速發展過程中，很多犯罪分子開始利用云服務器實施犯罪，主要是在當中搭建應用以及網站，并開展網絡賭博、網絡詐騙以及第四方支付等多種犯罪活動，要求執法人員快速鎖定相關違法網站，全面展開取證任務，并要遠程地對案件相關云服務器實現勘察取證，相關工作開展中存在諸多難題。在此背景下，逐漸衍生出云環境電子數據取證技術，該技術應用中主要是基于云基礎設施對數字化的取證數據進行采集。此外，在該技術應用下，能對云服務器以及遠程服務器實現取證，幫助調查人員以及取證人員便捷、迅速地對遠程服務器當中涉及的基礎信息、網站信息、網站鏈接信息、數據庫信息等實現調查取證，并深層次地對數據重構展開分析。此外，還可在Windows平臺應用下，針對網頁郵箱以及網站等開展取證、出證以及存證等工作。取證工作中，可通過頁面截圖、實時哈希計算、屏幕錄像、取證報告生成等方式開展，在取得證據文件之后，能夠和第三方的電子數據存證云平臺實現無縫對接，同步完成哈希值存證工作，在提出司法鑒定報告需求情況下，能通過網絡在線進行申請提交，司法鑒定報告將由司法鑒定機構所出具，相關機構應具備法定資質[6]。

4.2 Hadoop電子數據取證技術

根據云南省2017年上半年的發電情況，即便在枯水期，統調機組中水電發電量為87.161 TWh，火電發電量為8.395 TWh，風電發電量為11.583 TWh，太陽能發電量為1.414 TWh?；痣姲l電量不足水電發電量的10%。目前云南省內電力市場為月度市場為主，日前市場交易電量占比很小，價格也難以反映資源的稀缺程度。在現有情況下，如果普遍提高市場價格，會導致枯水期成交價格普遍提高。

4.3 可視化遠程視頻取證技術

針對跨區域犯罪，尤其是受害者分布于全國各地的電信網絡詐騙等案件，通過應用大數據技術，可促使辦案效率更高。通過可視化遠程取證，避免辦案人員長途奔波，并可規避提解在押人員涉及的執法風險。所謂可視化遠程視頻取證技術，其實就是在互聯網技術應用下，結合應用打印機、電子簽名、攝像頭以及顯示屏等多種輔助設備遠程的進行視頻取證，同步保存所獲取的視頻資料，這種證據獲取技術可對遠程辦案面臨的難辨認、難詢問等問題加以解決。在此技術協作下實現遠程辦案，能使取證過程更加高效、便捷，并智能化地保留取證痕跡，取證結果能夠自動化地傳輸，促使遠程辦案效率更高，并解決遠程辦案涉及的一系列問題。

可視化還包括將所提取的數據轉為圖形，促使分析人員通過觀察與分析可視化圖形洞察數據當中包含的各種潛在信息，通過數據可視化幫助工作人員深層次地分析海量復雜數據。同時，可視化能使取證人員對所提取的電子數據產生更直觀的感受，其可通過觀看交互式的圖形界面，并和取證背景專業知識相結合，立足多個層面分析與理解所收集以及所提取的各種電子數據，并對不同電子數據之間存在的關聯及數據內部包含的潛在因素進行深層次的收集和提取，從而發現更多具有隱蔽性的問題。未來電子數據鑒定人根據法律規定出庭將越來越普遍，在此過程中，要以可視且直觀的方式在法庭當中呈現異構多元、抽象化的電子數據，并使數據分析結果更有力地成為呈堂證供，就需要運用可視化電子數據取證技術對其中涉及的問題加以解決。

4.4 層次化電子數據取證技術

隨著數據增長速度不斷加快，在新時期下開展電子數據取證工作有必要適當調整傳統取證流程，層次化取證技術能夠為此提供有效支持。在層次化取證模型當中，從上至下包含6個層次，分別是資源調度層、公共服務層、證據分析層、取證監管層、數據鏈路層以及物理層。對于層次化取證模型，其設計思想和OSI模型七層分層思想相類似，其中涉及的每層均發揮著獨立性的功能，上層可對下層功能加以調用，而下層可為上層提供重要服務，上層和下層之間通過設置接口實現雙向交流。

具體來說，物理層涵蓋有物理主機、虛擬化設備以及服務器等，屬于重要的證據供給來源；對于數據鏈路層，主要功能是獲取相關證據；而數據監管層重點是全程記錄與監督下方數據鏈路層以及物理層所做出的各項操作，同步自動化生成報告，保證相關數據具有更高有效性，其可當作重要的法律依據；對于數據分析層，主要任務就是分析以及處理各項數據；針對應用服務層，主要可將取證結果提供給辦案人員；資源調度層能夠有效保障系統運行的高效性。

5 結語

在大數據時代，越來越多不法分子開始運用多元化的技術手段實施犯罪行為，并具有更強的反偵察能力。在此背景下，需要積極研發并應用基于大數據架構的電子數據取證新技術，在技術支持下促進案件偵破，加大犯罪預防力度，并維護人民群眾財產及生命安全，助力平安中國建設。