大数据环境下的电子取证研究

刘卫华

摘 要：随着网络信息技术的快速发展，高科技犯罪正在兴起，特别是近年来，云计算技术发展迅速，信息数据量剧增、数据加密等都给电子取证带来了新的挑战，因此大数据环境下的电子取证问题具有重要的科学研究和实际应用价值。文章将对传统电子取证技术进行分析研究，并结合已有的取证方法，提出了层次化电子取证模型来进行海量数据的挖掘与处理，从而解决传统电子取证的局限性，在电子取证工作和案件的侦破方面具有极高的理论和应用价值。

关键词：电子取证；大数据；云计算；云存储

中图分类号：TP181 文献标志码：A 文章编号：2095-2945（2018）35-0075-02

Abstract： With the rapid development of network information technology， high-tech crime is on the rise， especially in recent years， the rapid development of cloud computing technology， the rapid increase in the amount of information， data encryption and other electronic forensics have brought new challenges. Therefore， the issue of electronic forensics under the environment of big data has important scientific research and practical application value. This paper will analyze and study the traditional electronic forensics technology， and based on the existing forensics methods， propose the hierarchical electronic forensics model to carry on the massive data mining and the processing， thus solves the limitation of the traditional electronic forensics. This has the extremely high theory and the application value in the electronic forensics work and the case detection aspect.

Keywords： electronic forensics； big data； cloud computing； cloud storage

1 概述

随着大数据时代的到来，“数据”越来越受到人们的重视，其价值也超越了以往其他时候。预计到2020年，全球的数据总量将达到40ZB，而地球上人均数据预计将达到5247GB。那么，面对如此巨大的数据量，我们如何获取有效数据，并分析利用这庞大的数据将成为未来信息化建设进程中亟待解决的问题。特别是近年来，云计算技术的迅速发展，使得信息数据量剧增、数据的维度增多，这就给电子取证带来了挑战同时也带来了机遇。因此，大数据环境下的电子取证具有极其重要的研究价值。

2 电子取证的基本概念

电子证据就是信息数字化过程中形成的以数字形式存在的能够证明案件事实情况的数据。随着计算机技术以及网络信息技术的快速发展，电子证据越来越受到人们的重视。

美英等西方国家是最早设立电子数据取证机构的国家，早在1984年，联邦调查局就已经建立了计算机分析与响应小组；随后，英国在大都会警察局设立了计算机取证部门。我国的电子取证发展较晚，2013年1月1日施行的 《中华人民共和国刑事诉讼法》首次将“电子数据”正式列入证据类型中，标志着我国电子取证技术的日益成熟。作为新的证据种类，电子证据的作用越来越凸显。

3 传统电子取证的局限性

传统电子取证研究的关键问题是：如何获取有效的数据并将获得的数据关联起来以作为证据，并且通常采用线性方式处理单个案件，而在大数据环境下，电子证据不再局限于单个机器，而是存在于不同的物理主机和服务器上[1]。由于地理空间的分离，案件处理人员无法及时分析中间数据，无法共享和交換数据，因此，无法实现“传播”和“共享”通信[2]。

网络犯罪形式呈多样化、高科技化发展，海量数据的存储逐渐变成本地与云端相结合，而不再是仅仅存于计算机中[3]。云端数据因其方便的传输也在很多案件中被犯罪分子利用，面对这些改变，传统的电子取证技术、工具已不再适用[1，4]。

4 构建层次化电子取证模型

为了解决传统电子取证的难题，并且应对数据的快速增长，新的电子取证必须解决三大问题：证据存储、证据分析和证据管理。针对图1中执法部门实际工作的四个主要场景[5]，提出构建大数据环境下的层次化电子取证模型，模型如图2所示，分为资源调度层、公共服务层、证据分析层、取证监管层、证据获取层和基本服务层，每层模块都有自己单独的作用[6]，下层模块服务于上层模块，上层模块调用下层模块，几大模块之间彼此关联组合，能够从源头上、流程上、功能上全面解决执法工作范围大、取证环境复杂、时效性强、现有设备难以满足证据管理等需求[7，8]。

基本服务层：本层是整个取证过程的基础服务层，为整个平台提供主机、服务器、虚拟化设备、软件、数据库、网络等基础物理设备资源。包括日志服务、虚拟机服务以及平台管理服务等。而这里我们将重点放在虚拟机服务中，并且必须将相关的内容都进行认真处理和记录。

证据获取层：证据获取层是大数据环境中电子取证的关键层、核心层。传统的证据获取只需要对浏览痕迹、日志文件、上网记录等进行证据的分析提取即可，而这些是属于物理资源取证。但对于大数据环境下的云计算电子取证，除了传统的物理资源取证外，最重要的还需要对虚拟资源取证，需要对虚拟机进行隔离迁移到取证服务器或者本地，再进行取证分析[2]。

取证监管层：取证监管层的主要任务是对上面的基础服务层和证据获取层的所有操作进行监管、记录，并生成报告，以确保数据的有效性，而且能成为法律的依据[1，2]。

证据分析层：完成证据的分析与处理是证据分析层的主要任务，利用数据挖掘技术对证据获取层获取的数据资源进行有效的证据处理分析。在分析过程中，为了保证证据的安全有效，每一环节都要进行时间记录[1]。

公共服务层：公共服务层也可以称为证据呈现层，本层主要是根据取证分析层给出的结果利用网络等为办案人员呈现出取证结果。

资源调度层：根据整个系统的资源使用情况，及时合理的进行调度安排，防止出现网络堵塞、速度缓慢等故障，确保系统高效运行。

以上各层都既有自己单独的功能，又彼此关联，能很好地服务于电子取证工作，给工作人员提供帮助，减少办案人员的工作量。

5 结束语

大數据以及云计算技术的高速发展，给电子取证以及案件的侦破带来了许多困难，但也为侦破人员提供了新技术和新方法。本文提出层次化电子取证框架，为大数据环境下的电子取证工作提出了取证思路，解决了取证工作中证据不易于发现搜集、难存储等问题。

当然，面对着网络科技的飞速发展和网络犯罪技术手段的不断提高，靠个人技术进行电子取证已经无法满足需要，取证技术的发展趋势是伴随着信息科技发展而同步的，未来单机版的取证工具将被分布式的综合取证工具系统代替，结合人工智能、机器学习等进行智能化的自动关联、碰撞、比对，获取各数据源之间的关联性，以反映网络罪犯的真实犯罪过程。

参考文献：

[1]姜凤燕，姜瑾，姜吉婷.基于大数据环境的电子取证研究[J].信息网络安全，2016（9）：60-63.

[2]张昆.云计算环境中电子取证技术研究与实现[D].成都：电子科技大学，2014：1-5.

[3]许兰川，卢建明，王新宇，等.云计算环境下的电子取证：挑战及对策[J].刑事技术，2017（2）.

[4]付忠勇，赵振洲.电子取证现状及发展趋势[J].计算机与网络，2014：67-70.

[5]付连超.浅谈大数据下的电子数据取证[J].技术与市场，2014（7）.

[6]杨晓超.大数据下电子数据取证在职务犯罪侦查中的应用[J].网络法务，2015（413）.

[7]骆虎.信息安全预见与大数据时代的电子取证[J].中小企业管理与科技，2016（6）.

[8]王燃.大数据时代个人信息保护视野下的电子取证——以网络平台为视角[J].山东警察学院学报，2015（5）.

[9]杨芳菊.基于云的计算机取证系统研究[J].网络安全技术与应用，2016（5）.