基于社交網絡的電子證據取證方法探討

◆翟振興 楊仕海

（重慶市公安局江北區分局 重慶 400021）

基于社交網絡的電子證據取證方法探討

◆翟振興 楊仕海

（重慶市公安局江北區分局 重慶 400021）

隨著網絡技術尤其是移動互聯網的快速發展和迅速普及，網絡社交成為當今主要的一種社交方式。然而，以社交網絡為載體或者社交網絡作為入侵客體的犯罪案件頻發，這對電子證據取證技術提出了更高的要求。如何有效提取及固定社交網絡犯罪中留下的“痕跡”，成為刑事訴訟偵查取證的關鍵環節。本文結合社交網絡犯罪及電子證據取證技術的特點，提出了基于社交網絡的云取證和數據挖掘電子證據取證方法，對依法打擊社交網絡犯罪和刑事訴訟具有積極意義。

社交網絡; 電子證據; 取證; 方法

0 前言

社交網絡即社交網絡服務，源自英文SNS（Social Network Service）的翻譯，即提供社會性網絡服務的網站，是人類在互聯網上傳播信息和進行社會交流活動的平臺和載體，其本質是包括硬件、軟件、服務及應用在內的綜合體，其發展經歷了早期社交網絡BBS時代、娛樂化社交網絡時代、信息社交網絡時代和垂直社交網絡應用時代。

社交網絡犯罪是以接入社交網絡的信息系統及其存儲、傳輸的信息為犯罪對象，或者把社交網絡作為犯罪工具所實施的危害社會、依照刑法規定需要追究刑事責任的行為，也即是把社交網絡即作為犯罪對象又作為犯罪工具的犯罪。包括入侵社交網絡網站、在社交網站上傳授犯罪方法、傳播淫穢物品牟利、進行網絡誹謗等非法活動，且構成刑法意義上的社會危害。與傳統的計算機犯罪、網絡犯罪相比，社交網絡犯罪具有鮮明的特點，即犯罪分子將傳統網絡犯罪的技巧與現在的社交工程技術相結合，逐步掌握犯罪所需的全部信息，進而敲詐用戶錢財、冒充好友進行詐騙、誘使用戶下載惡意信息及進行其他的網絡攻擊和侵害。

1 電子證據取證

電子證據是指以應用現代信息技術而產生的，借助電子或者相關電子設備形成的，可以用于證明案件事實或與法律事務有關事實的一切與電子信息相關的材料與信息的總稱[1]。電子證據作為訴訟證據必須具備客觀性、關聯性和合法性的特點。電子證據取證是運用計算機及網絡等技術獲得電子證據的過程。電子證據取證技術是隨著計算機技術、網絡技術和信息安全技術發展而來的新興領域，依據電子證據的載體劃分，分為傳統電子證據取證技術和網絡取證技術。

1.1 傳統電子證據取證技術

傳統電子證據取證對象大多是硬盤、U盤等看得見、摸得著的具有存儲功能的電子設備，取證人員可以通過物理扣押制作磁盤鏡像獲取證據，逐比特的復制鏡像能完整的記錄磁盤上已刪除文件、未分配空間和交換空間的內容。與傳統證據相比，傳統電子證據具有表現形式多樣化、易破壞、易修改等特點，因此要求取證人員擁有相應的知識和技術工具，按照相關的法律、法規，同時遵照取證操作規程，開展提取和固定證據工作。然而，傳統電子證據取證是事后取證，存在取證設備效率低、取證設備標準缺失和不統一及取證設備功能滯后等問題。

1.2 網絡取證技術

網絡取證技術主要針對網絡數據流、網絡設備日志的實時監控和分析，發現網絡系統的入侵行為，自動記錄犯罪證據，對網絡的動態信息進行收集和對網絡攻擊的主動防御[2]。網絡取證的電子證據來源與其他取證不同，網絡取證更專注于網絡流量的監控與分析。網絡取證中電子證據的主要來源有：系統日志、IDS、防火墻、ftp、反病毒軟件日志、系統的審計記錄、網絡流量監控、數據庫的臨時文件及連網設備等[3]。為保證傳輸的可靠性，網絡數據流中不可避免的會有大量的冗余數據。網絡取證是事中取證，常用的網絡取證技術包括入侵檢測取證技術和痕跡取證技術[4]。入侵檢測取證技術是通過計算機網絡或計算機系統中的若干關鍵點手機信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術，簡稱IDS，其可以對網絡數據通信包進行實時的監控和分析，獲取嫌疑人的犯罪信息。痕跡取證技術是指運用專門的工具軟件和技術手段，對犯罪嫌疑人使用過的計算機網絡設備相關記錄和痕跡信息進行分析取證，獲得案件相關的犯罪證據。主要有文件內容、網頁內容、聊天記錄、登錄日志及網絡日志等。

1.3 反取證技術

實際案例中，黑客往往具備專業的計算機和網絡技術知識，因此大多黑客具有較強的反偵查意識，在入侵過程中采用身份隱藏、入侵后采取擦除的方式刪除相應的“痕跡”和電子證據。犯罪分子使用數據隱藏技術、數據刪除技術和數據加密等反取證技術大大削弱取證工作的效果，給取證工作帶來很大的困難。因此，取證人員需要加大對反取證技術的研究力度，深入分析反取證技術的原理，通過專業的知識綜合運用數據恢復、數據解密技術進行取證操作，并嚴格按照取證操作規程，以獲取司法實踐中可信的電子證據。

2 基于社交網絡的電子證據取證

由于社交網絡具有信息多樣、動態（實時）、海量、交互和可信性質疑等特點，相比傳統的電子證據取證和網絡取證具有更大的困難，主要表現在動態實時數據獲取問題、海量數據內容分析問題、復雜交互數據展示問題和證據的可信性問題[5]。結合社交網絡犯罪的特點，綜合云取證及數據挖掘技術的優勢，提出基于社交網絡的云取證和數據挖掘的電子證據取證方法。

2.1 基于社交網絡的云取證方法

社交網絡作為犯罪工具有兩種表現形式，即作為犯罪主體聯系的平臺和犯罪存儲的載體。隨著移動互聯網和云計算的快速發展和普及，社交網絡的載體從PC端逐漸向移動智能終端和云端過渡。社交網絡中的“QQ群”、“微信群”、“朋友圈”讓興趣相同的人緊密聯系在一起，但這也成為滋生犯罪的“溫床”。筆者結合日常取證實例：張某等人傳播隱晦物品和暴恐音視頻案。張某等人利用微信群和云盤傳播淫穢視頻及暴恐音視頻信息，該案中社交網絡既作為犯罪主體聯系的平臺，又作為犯罪存儲的載體。犯罪嫌疑人張某通過加入一些微信“歪群”，通過發紅包付費的方式獲取群成員存儲在云端的隱晦視頻和暴恐音視頻下載權限，然后自己建立微信群，下載到本地再存放到大量（TB級）的淫穢視頻和暴恐視頻的115網盤供他人下載。如何提取和固定不同微信群成員云盤賬號下的電子證據成為取證的一大難點。采取遠程勘驗對每個云盤賬號下的淫穢視頻進行下載固定，不具有可操作性。考慮到不同云賬號下的視頻文件可能是通過最初的一個云賬號進行分享后轉存的，不同云賬號下的同一視頻文件名列表實際指向相同的文件。取證實踐中如能證明每個云賬號中的視頻文件列表實際指向的相同文件，這樣能大大減輕取證的工作量，只需要下載一個云賬號下的視頻文件，同時向云服務提供商及時凍結和調取包括云賬號、索引、文件儲存位置列表在內的證據即可。

2.2 基于社交網絡的數據挖掘取證方法

社交網絡作為犯罪客體是指犯罪分子通過各種技術手段，違反國家規定，侵入各種各樣的大型社交系統，他們可能會竊取賬號密碼獲取公民個人信息，或以破壞系統進行敲詐勒索等犯罪活動。大型社交網絡往往采用了分布式技術和云計算的技術來存儲各類數據的。社交網絡數據的高度復雜性給電子證據取證帶來了巨大的挑戰。同時，社交網絡數據之間的關聯性使得可以綜合利用數據挖掘的思想進行電子證據提取、分類。社交網絡作為犯罪客體，可以利用多線程技術的抓包引擎，依據不同的協議層規則和綜合運用各種數據挖掘技術來分析相應層的可疑數據，提取與案件相關的電子證據，同時通過分析入侵來源和方法，將分析出的新規則存入知識庫，指導下一次的數據挖掘分析和入侵檢測，從而發現證據間的潛內在關聯，重現系統入侵的全過程，提供準確有效的電子證據，解決網絡取證可信性的問題。通過數據挖掘的關聯規則和聚類方法，對提取的海量和交互數據進行分類，從而解決了網絡數據取證對海量數據內容分析和復雜交互數據展示的局限性問題，在實際工作中，技術人員通過合理運用數據挖掘技術，可以在海量的網絡數據中對犯罪行為的諸如文件屬性、IP日志等盡心深入分析，從而及時挖掘各種犯罪行為，進而固定電子證據，為案件的審查移送提供強有力的證據支撐。

3 結論

筆者結合日常取證工作實際，提出了基于社交網絡的云取證和數據挖掘電子證據取證方法，具有較好實用價值。隨著社交網絡向縱深領域發展，必將對現有的電子證據取證方法提出更高的要求。這也將是筆者下一步研究重點。

[1]龐鳳宇.電子證據取證問題研究[J].河北公安警察職業學院學報，2016.

[2]Pilli ES，Joshi RC，Niyogi R.A generic framework for network forensics.Int’l Journal of Computer Applications，2010.

[3]杜威，彭建新，毛莉.網絡電子證據取證技術綜述[J].刑事技術，2011.

[4]楊泉清，許元進.淺談計算機網絡取證技術[J].海峽科學，2010.

[5]吳信東，李亞東，胡東輝.社交網絡取證初探[J].Journal of Software，2014.