大數(shù)據(jù)背景下的網(wǎng)絡(luò)犯罪電子數(shù)據(jù)取證研究

繆紅

（四川警察學(xué)院 四川省瀘州市 646000）

隨著大數(shù)據(jù)改變?nèi)藗兊男膽B(tài)和生活方式，人們的生活越來越離不開網(wǎng)絡(luò)，從社交媒體到移動支付，從公共交通到生活繳費，從醫(yī)療教育到生態(tài)文化，人們生活的方方面面都和網(wǎng)絡(luò)息息相關(guān)，在物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和5G 技術(shù)的全面應(yīng)用的趨勢下，這種現(xiàn)象將越來越明顯。與此同時，網(wǎng)絡(luò)已成為人類社會的一項重要公共基礎(chǔ)設(shè)施，各種基于網(wǎng)絡(luò)的違法行為也層出不窮，高科技犯罪的比例逐年提高，給經(jīng)濟社會發(fā)展和人民生命財產(chǎn)安全帶來了極大的威脅，預(yù)防和打擊網(wǎng)絡(luò)犯罪是當(dāng)前全世界面臨的一個共同的重要話題。

1 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪電子數(shù)據(jù)取證面臨的問題

1.1 網(wǎng)絡(luò)犯罪取證面臨的挑戰(zhàn)

1.1.1 大數(shù)據(jù)問題

隨著互聯(lián)網(wǎng)和云技術(shù)的不斷發(fā)展，需要分析的數(shù)據(jù)量不斷增加，涉及的設(shè)備多、數(shù)據(jù)量大、分析對象復(fù)雜等問題。在公安機關(guān)實際的辦案過程中，經(jīng)常遇到一個人擁有幾臺、十幾臺網(wǎng)絡(luò)設(shè)備的情況，甚至一個案子需要同時面對數(shù)十臺乃至數(shù)百臺設(shè)備進(jìn)行取證分析的情況，給電子數(shù)據(jù)取證人員帶來了極大挑戰(zhàn)。傳統(tǒng)的離線取證方法在大規(guī)模分布式存儲環(huán)境中已經(jīng)失效，一個完整的文件被分割成若干數(shù)據(jù)塊，并存儲在不同的節(jié)點上，隨著存儲容量的增大，單機無法解決海量數(shù)據(jù)的存儲、分析、檢索等問題，難以實現(xiàn)證據(jù)的完整性和可重現(xiàn)性[1]。

1.1.2 時間戳的問題

大數(shù)據(jù)背景下衍生的時間不匹配，由于日志數(shù)據(jù)可能存儲在不同國家的不同數(shù)據(jù)中心，日志間的時差便不可避免，如何解釋同一個攻擊事件的兩個日志證據(jù)有著不同的時間記錄也是取證人員面臨的挑戰(zhàn)。

1.1.3 反取證技術(shù)的應(yīng)用

多個用戶可能通過同一訪問入口訪問同一個資源，非法訪問者的訪問點可能隨時發(fā)生變化，定位非法訪問者的訪問記錄往往難度極大。很多非法訪問者還可以通過反取證技術(shù)（如隱藏IP、代理跳板等）隱藏蹤跡，導(dǎo)致取證人員無法溯源。

1.1.4 數(shù)據(jù)加密技術(shù)的應(yīng)用

為保證數(shù)據(jù)的隱私及數(shù)據(jù)的安全，一般會使用加密技術(shù)對存儲數(shù)據(jù)、數(shù)據(jù)容器加密，如icloud 存儲的數(shù)據(jù)采用了ios 設(shè)備相關(guān)的硬件信息進(jìn)行數(shù)據(jù)存儲加密，具備很高的加密強度，且偵查人員在犯罪現(xiàn)場對云環(huán)境下的存儲服務(wù)器進(jìn)行物理扣押后，若無法取得私有云用戶的帳號和密碼則很難進(jìn)行電子數(shù)據(jù)固定。

1.2 專業(yè)知識匱乏致使數(shù)據(jù)效果不佳

電子數(shù)據(jù)的科技成分決定了參與案件審理的人員具備法律、電子信息學(xué)、計算機技術(shù)等領(lǐng)域的各種專業(yè)知識，因此偵查人員在參與網(wǎng)絡(luò)犯罪取證時，必須具有很強的收集、提取、修復(fù)重要電子數(shù)據(jù)的能力，網(wǎng)絡(luò)犯罪取證往往由于方法不當(dāng)，甚至有可能損壞電子數(shù)據(jù)，給網(wǎng)絡(luò)犯罪的偵查工作增加了難度。同時，電子數(shù)據(jù)的使用本身也是專業(yè)人員之間的競爭，在這場比賽中，調(diào)查人員必須擁有比嫌疑人更高的技能[3]。偵查人員面對龐大的原始數(shù)據(jù)，傳統(tǒng)的網(wǎng)絡(luò)取證難以適應(yīng)。比如云端的服務(wù)器上結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)并存，取證人員要先找到邏輯數(shù)據(jù)與物理數(shù)據(jù)的關(guān)聯(lián)，再從分散的存儲介質(zhì)上提取數(shù)據(jù)，取證分析需要大量的計算和資源存儲，大數(shù)據(jù)的特點導(dǎo)致固定證據(jù)所需要的時間拉長，給現(xiàn)場取證帶來困難，而且此期間有導(dǎo)致數(shù)據(jù)變化的風(fēng)險，導(dǎo)致取證過程難以重現(xiàn)，大數(shù)據(jù)分析的可靠性受到質(zhì)疑。從海量數(shù)據(jù)中發(fā)掘有效的線索和證據(jù)，需要大數(shù)據(jù)處理專業(yè)知識，特別是數(shù)據(jù)挖掘、關(guān)聯(lián)分析能力，這對取證人員的專業(yè)能力和取證工具的技術(shù)要求提出了新的挑戰(zhàn)。

2 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪取證及分析技術(shù)

2.1 網(wǎng)絡(luò)犯罪電子數(shù)據(jù)證據(jù)分析

為了有效獲取網(wǎng)絡(luò)犯罪電子證據(jù)信息，提高網(wǎng)絡(luò)案件破案率，應(yīng)著重加強電子數(shù)據(jù)功能性取證、行為性取證和智能手機取證等方面的研究。

（1）電子數(shù)據(jù)功能性取證。重點對惡意程序的運行機制、危害后果等進(jìn)行分析和鑒定；開展針對惡意網(wǎng)址識別的反釣魚系統(tǒng)檢測引擎機制研究。

（2）電子數(shù)據(jù)行為性取證。重點進(jìn)行黑客行為模式識別構(gòu)建，通過計算機、網(wǎng)絡(luò)運行過程中產(chǎn)生的行為痕跡和記錄內(nèi)容來證明與案件相關(guān)的行為事實。

（3）智能手機系統(tǒng)取證技術(shù)。智能手機系統(tǒng)取證技術(shù)是運用取證設(shè)備和智能手機取證技術(shù)，從獲取的證據(jù)素材中，挖掘案件線索和證據(jù)。手機取證技術(shù)的深入研究對于打擊網(wǎng)絡(luò)犯罪具有極大迫切性。

2.2 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪取證分析技術(shù)

從本地取證到網(wǎng)絡(luò)追蹤取證的研究，實現(xiàn)的是從“單點取證采集”到“全域、多層次海量數(shù)據(jù)證據(jù)鏈信息的挖掘推理”的躍變，只有綜合運用大數(shù)據(jù)分析、犯罪信息分析、Web 信息處理、數(shù)據(jù)挖掘等技術(shù)才能有效地開展網(wǎng)絡(luò)犯罪信息分析。

2.2.1 大數(shù)據(jù)取證分析方法

對大數(shù)據(jù)取證分析方法的研究，主要是為了實現(xiàn)在海量數(shù)據(jù)中快速精準(zhǔn)地發(fā)現(xiàn)與案件相關(guān)的有效線索或證據(jù)，降低取證人員的工作量。該技術(shù)目前需要解決在數(shù)據(jù)量大、數(shù)據(jù)種類多的情況下，仍進(jìn)行數(shù)據(jù)檢查，并對檢查結(jié)果進(jìn)行分析，找出各個數(shù)據(jù)源中潛在的關(guān)聯(lián)，以及提高檢查分析的準(zhǔn)確性等問題。大數(shù)據(jù)取證分析方法主要包括兩個方面，一方面是使機器掌握傳統(tǒng)的電子數(shù)據(jù)取證過程中利用各種取證工具和技術(shù)進(jìn)行取證調(diào)查的方法，從而提高數(shù)據(jù)檢查效率。另一方面，對異構(gòu)數(shù)據(jù)處理后得到的數(shù)據(jù)檢查結(jié)果，通過模式匹配、數(shù)據(jù)挖掘、數(shù)據(jù)篩選等操作后，以可視化的形式輸出分析結(jié)果，同時，分析結(jié)果是否有效，經(jīng)過用戶反饋回傳到專家系統(tǒng)，添加到知識庫中用于系統(tǒng)訓(xùn)練，不斷提高大數(shù)據(jù)取證分析的準(zhǔn)確性。

2.2.2 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪取證關(guān)鍵技術(shù)

（1）異構(gòu)數(shù)據(jù)處理技術(shù)。為了有效的打擊網(wǎng)絡(luò)犯罪，執(zhí)法人員需要根據(jù)各種形式的電子數(shù)據(jù)，如計算機日志文件、電子郵件、電子表格、網(wǎng)頁記錄、手機、監(jiān)控以及已刪除的文件等數(shù)據(jù)中尋找犯罪痕跡，最終將電子數(shù)據(jù)作為有效的證據(jù)提供給法庭以打擊犯罪。此外，除了被動地收集已經(jīng)發(fā)生的案件的電子數(shù)據(jù)并進(jìn)行固定外，還可以通過網(wǎng)絡(luò)嗅探、入侵檢測、邊界進(jìn)入、蜜阱技術(shù)等主動進(jìn)行收集，從而分析得到有效的電子數(shù)據(jù)用于預(yù)防、打擊網(wǎng)絡(luò)犯罪。而這些各種各樣的數(shù)據(jù)來自不同的數(shù)據(jù)源，其數(shù)據(jù)類型、數(shù)據(jù)結(jié)構(gòu)有著巨大的差異，無法直接用于大數(shù)據(jù)分析，需將其根據(jù)電子取證的需求進(jìn)行標(biāo)準(zhǔn)化處理，轉(zhuǎn)化為可用于大數(shù)據(jù)處理的結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，才能進(jìn)行后續(xù)的大數(shù)據(jù)取證分析工作。因此異構(gòu)數(shù)據(jù)處理方法的研究是實現(xiàn)大數(shù)據(jù)取證分析的基礎(chǔ)。

（2）多源日志信息的融合與關(guān)聯(lián)分析技術(shù)。以維護(hù)數(shù)據(jù)安全，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施為目的，研究不同系統(tǒng)平臺下審計日志、應(yīng)用程序日志和網(wǎng)絡(luò)日志等細(xì)粒度數(shù)據(jù)采集，準(zhǔn)確定位黑客電腦的物理位置，勾畫黑客設(shè)備移動軌跡圖，從海量監(jiān)控攝像數(shù)據(jù)中迅速找到黑客的面部特征。

（3）網(wǎng)絡(luò)黑客攻擊追蹤溯源技術(shù)。網(wǎng)絡(luò)取證中的相關(guān)性分析研究主要因為網(wǎng)絡(luò)攻擊行為往往是分布、多變的，因此對結(jié)果的認(rèn)定需要將各個取證設(shè)施和取證手法得到的數(shù)據(jù)結(jié)合起來進(jìn)行關(guān)聯(lián)分析以了解其中的相關(guān)性以及對結(jié)果產(chǎn)生的因果關(guān)系和相互確證，才可以重構(gòu)過程。通過溯源圖構(gòu)建，存儲，查詢和可視化，實現(xiàn)網(wǎng)絡(luò)攻擊調(diào)查取證與攻擊重建，解決攻擊語義鴻溝等問題。

（4）網(wǎng)絡(luò)流量分析技術(shù)。針對廣域網(wǎng)、園區(qū)有線網(wǎng)、無線網(wǎng)等不同網(wǎng)絡(luò)目標(biāo)，截獲各級各類網(wǎng)絡(luò)流量，分析黑客的通信要素和信息內(nèi)容，追蹤黑客在網(wǎng)絡(luò)中的運動軌跡。

3 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的應(yīng)用對策

3.1 應(yīng)遵循的基本原則

網(wǎng)絡(luò)犯罪電子數(shù)據(jù)是指網(wǎng)絡(luò)犯罪電子信息的收集、提取、固化和存儲，通過法律規(guī)定的各種技術(shù)手段收集大量數(shù)據(jù)。與傳統(tǒng)的數(shù)據(jù)收集、提取、固定和保全不同，網(wǎng)絡(luò)犯罪電子數(shù)據(jù)由于其特殊性，不僅要嚴(yán)格遵循數(shù)據(jù)法定化的一般原則，而且要遵循一些特殊的原則，保障電子數(shù)據(jù)收集的客觀性、完整性和合法性，關(guān)系到網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的收集[4]。

3.1.1 合法性原則

罪刑法定原則是偵查人員獲取網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的基本原則，如果沒有這類數(shù)據(jù)，就不能以網(wǎng)絡(luò)犯罪電子數(shù)據(jù)作為判斷依據(jù)，更不能重新認(rèn)定網(wǎng)絡(luò)犯罪事實。合法性原則主要包括人員、取證裝備和取證流程。取證程序是否合法、規(guī)范、嚴(yán)格，決定了電子證據(jù)的可靠性和最終能否被采信，合法性原則是保護(hù)證據(jù)的需要，也是保護(hù)自身的需要。對于取證主體必須合法，偵查人員偵查某些網(wǎng)絡(luò)犯罪，如重大貪污賄賂案件，可以通過電子監(jiān)控、電子攔截等技術(shù)偵查措施，根據(jù)調(diào)查要求依法移交國家安全機關(guān)。因此，在收集、提取電子數(shù)據(jù)實施網(wǎng)絡(luò)犯罪的情況下，在需要使用電子監(jiān)控、電子攔截等偵查手段時，監(jiān)察機關(guān)無權(quán)直接使用技術(shù)偵查措施，應(yīng)當(dāng)委托有關(guān)機關(guān)進(jìn)行技術(shù)偵查，如公安機關(guān)未經(jīng)批準(zhǔn)擅自取得相應(yīng)的電子數(shù)據(jù)，所取得的數(shù)據(jù)因主體的違法性而喪失其效力。

3.1.2 統(tǒng)一性原則

一致性原則是保證數(shù)據(jù)收集過程的一致性，采取書面記錄的形式，并同步錄像。根據(jù)法律規(guī)定，調(diào)查人員必須提交書面記錄并簽字，取證過程必須與錄音錄像帶同步，并與案卷同步。因此，可以避免因視聽記錄不全而對電子數(shù)據(jù)的證明能力和證明能力產(chǎn)生不利影響，并對數(shù)據(jù)收集情況、證人在場情況、陳述和行為進(jìn)行記錄，以保證案件偵查的進(jìn)一步進(jìn)展。值得注意的是，為了統(tǒng)一檢查機關(guān)收集的網(wǎng)絡(luò)犯罪電子數(shù)據(jù)，需要專門機構(gòu)的專家意見來確定電子數(shù)據(jù)的資格。這種識別還包括在使用電子數(shù)據(jù)時需要轉(zhuǎn)換的特征，這也表明電子數(shù)據(jù)通常是保密的。

3.2 完善的具體路徑

3.2.1 加強對取證行為的規(guī)范引導(dǎo)

加強數(shù)據(jù)管理，主要包括：規(guī)范不同的數(shù)據(jù)方法，建立完善的安全管理體系。首先，規(guī)則采用不同的證明方法。大數(shù)據(jù)所包含的網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的一個顯著特點是:其性質(zhì)多種多樣，可以通過不同的方法獲取。因此，獲取電子數(shù)據(jù)的方法應(yīng)分為一般方法和特殊方法。同時，考慮到數(shù)據(jù)方法的復(fù)雜性，應(yīng)根據(jù)情況的需要采用不同的數(shù)據(jù)方法。一般方法是在電子數(shù)據(jù)未被篡改、損壞的情況下，采用與傳統(tǒng)數(shù)據(jù)方法類似的數(shù)據(jù)方法，包括打印、拍照、復(fù)制、扣押等，電子形式的特殊證明方法建議，網(wǎng)絡(luò)犯罪電子數(shù)據(jù)被篡改、損壞時，由專業(yè)技術(shù)人員結(jié)合相關(guān)數(shù)據(jù)進(jìn)行維護(hù)、分析和提取，對工作人員的專業(yè)水平提出了更高的要求。其特殊方法包括：一是當(dāng)數(shù)據(jù)因人為隱瞞而無法呈現(xiàn)、讀取或丟失時，對數(shù)據(jù)進(jìn)行恢復(fù)，破壞介質(zhì)或設(shè)備、操作系統(tǒng)本身的故障等未讀數(shù)據(jù)的恢復(fù)和恢復(fù)技術(shù)。數(shù)據(jù)檢索，涉及在更廣泛的數(shù)據(jù)背景下運用檢索技術(shù)選擇和提取電子數(shù)據(jù)，網(wǎng)絡(luò)犯罪取證的必要條件包括數(shù)據(jù)庫檢索、網(wǎng)絡(luò)數(shù)據(jù)檢索和存儲介質(zhì)的電子數(shù)據(jù)檢索[5]。

3.2.2 加強調(diào)查人員取證能力建設(shè)

網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的收集涉及面廣、知識面廣，加強偵查人員取證能力，必須從軟硬件兩方面入手。通過建立培訓(xùn)機制，培訓(xùn)調(diào)查人員大數(shù)據(jù)技術(shù)基礎(chǔ)和電子數(shù)據(jù)取證綜合能力，訓(xùn)練網(wǎng)絡(luò)犯罪偵查思維，使他們能夠?qū)厔葑鞒龇e極的反應(yīng)，實現(xiàn)從傳統(tǒng)辦案方式向以大數(shù)據(jù)技術(shù)與取證技術(shù)相結(jié)合的網(wǎng)絡(luò)犯罪偵查模式的轉(zhuǎn)變。

4 結(jié)論

綜上所述，在大數(shù)據(jù)時代，電子數(shù)據(jù)是處理網(wǎng)絡(luò)犯罪的“輔助工具”，網(wǎng)絡(luò)犯罪電子數(shù)據(jù)具有拓展案件信息來源的功能，應(yīng)保持正確的偵查方向，迅速打破僵局，有效整合偵查資源，還原事實。目前各界對大數(shù)據(jù)技術(shù)的研究較多，而對大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)取證技術(shù)和方法的研究較少，目前尚無成熟的相關(guān)技術(shù)方案。實際上，沒有一個全面和系統(tǒng)的行動程序來指導(dǎo)和管理取證調(diào)查人員的行動。因此，在更廣泛的數(shù)據(jù)和《數(shù)據(jù)安全法》背景下，更體現(xiàn)出此項研究的重要意義和在國家戰(zhàn)略中的政治意義。