基于大数据架构的电子数据取证技术研究

◆陈云云 梁达鹏

基于大数据架构的电子数据取证技术研究

◆陈云云1梁达鹏2

（1.山西警察学院 山西 030401；2.邮储银行山西省分行 山西 030001）

由于大数据的发展，电子数据取证对象的变化给电子数据取证带来了极大的挑战。针对此问题，本文提出基于大数据架构的电子数据取证技术研究。通过对目前电子数据取证面临海量数据、数据多样性、取证准确度、数据存储安全性等多个方面的问题进行研究分析，运用Hadoop、可视化、层次化等基于大数据架构的方法进行电子数据取证分析，并与传统电子取证技术进行对比分析，发现基于大数据架构的电子数据取证技术具有较高的准确度，取证效率高，安全性有较大提升。

大数据；电子数据取证；取证技术

1 引言

根据《2020-2024年中国电子取证市场可行性研究报告》显示，我国在加大对大数据的政策支持，同时大数据应用模式的发展环境也在逐步成熟，在政策和环境的驱动下，我国大数据市场在保持着快速增长的趋势，发展到2018年已经增长至325亿元以上，同上一年市场规模相比，大约增长了38.3%。面对增值如此快的数据量，传统电子数据取证技术手段遭遇巨大的困境，因此，研究基于大数据架构的电子数据取证技术具有重要的价值。

本文主要研究基于大数据架构的电子数据取证技术，通过对大数据环境进行分析，利用大数据环境的特征进行电子数据取证，降低电子数据取证难度，提高电子数据取证准确度及安全性。

2 电子数据取证的定义

2.1 电子数据取证

电子数据取证，是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。在一些利用计算机进行犯罪的案件中，犯罪嫌疑人在毁灭犯罪证据的情况下，需要用数据恢复软件将丢失的数据进行恢复。获取丢失数据的过程就是电子数据取证的过程。主要包括四个方面，现场勘查、分析数据、追踪数据和提交结果。

2.2 电子数据取证技术

电子数据取证技术就是经过资格认定的专业人员按照法律规定的程序对电子设备中存储的电子证据进行取证过程中运用的各种技术，主要包括数字时间、浏览器、移动终端、网络电子、密码破解、数据库等方面的取证技术，同时也包括部分计算机取证软件，比如TCT和Encase等。任何计算机犯罪都会留在计算机和互联网上留下痕迹，电子数据取证技术的宗旨就是准确辨别并提取犯罪者留下的痕迹信息，从而揭露其犯罪事实。

3 大数据时代电子数据取证面临的挑战

2010年以来，随着大数据等技术的发展，各国都把网络隐私设为立法保护范围，电子数据取证迎来了巨大挑战。面对大数据等技术手段，传统电子数据取证技术遭遇巨大困难。

3.1 取证难度大

大数据时代对于数据的采集、存储以及处理相较于传统的小数据都有更高要求，且大数据技术与云计算技术更是密不可分。这使传统的计算机取证工具面对大数据时显得无能为力或者效率极低。其一，大数据是基于云计算的，而云计算又是基于网络平台，大数据环境下取证工具应该支持网络连接和分布式计算。然而，现在的取证工具即取证软件和取证硬件基本都不支持网络连接。这已经不适应大数据环境下的取证要求了。再者，大数据时代数据的海量性对数据的处理能力提出更高的要求。现有的取证工具在取证效率上更是捉襟见肘。因此，大数据时代对取证工具的兼容性和高效性都有更进一步的要求。现有的取证工具需要进行功能上的及时更新。

3.2 云安全问题

大数据技术应用是建立在互联网基础上，很多数据都存储在互联网的云端，所以大数据和云计算是分不开的。云环境本身的特性，导致云安全在数据取证方面存在一定挑战。一是云端共享，云端的数据处于离散状态；二是云服务厂商采用基于动态伸缩的存储技术，导致释放出来的空间被其他服务器重新使用，释放掉的数据难以找回。这些特性，致使在电子数据取证中，难以使用静态分析技术对数据进行准确分析，且对云安全提出了挑战。

4 基于大数据架构的取证研究

4.1 大数据架构

大数据架构的核心思想是将大量数据源收集的数据接入到数据处理模块中，这些处理模块能够处理各种类型和格式的数据，并将它们存储在一起。其实此处理模块就是一个master/worker机制。一个master分配多个任务给worker系统，master的职责是负责协调和管理各个计算任务并确保worker计算系统能够正常完成任务。

4.2 基于大数据架构的取证

大数据架构的出现彻底改变了电子数据取证的要求。传统的电子数据取证的核心步骤包括从包含潜在的证据源的计算机中移除硬盘驱动器等存储设备，计算MD5/SHA-1校验、为获取所有元数据而进行物理收集等。大数据取证是对大数据系统中的电子数据证据进行识别、收集、分析和展示，目标是从大数据架构里的分布式系统、数据库和应用程序里收集数据。

大数据取证系统是一个大型复杂的系统，系统里有成千上万块硬盘驱动器，当系统关机时会丢失数据，所以为了保证取证的准确性，系统需要一直保持开机状态。大数据取证系统采集数据的方法为逻辑文件取证备份和基于查询的收集等。

5 基于大数据架构的电子数据取证新技术

5.1 云环境电子数据取证技术

随着大数据的快速发展，越来越多的犯罪分子在云服务器上搭建网站和应用进行第四方支付、网络诈骗、网络赌博等违法犯罪活动，如何对这些违法网站进行快速固定和存证，如何对涉案云服务器进行远程勘查取证成为执法人员面临的新难题。

云环境电子数据取证技术是指从云基础设施采集数字取证数据。同时可以对远程服务器及云服务器取证，让取证、调查人员可以对远程服务器上的基础信息、网站连接信息、网站信息以及数据库信息等进行快速调查取证，还可以对数据重构进行深入的分析。还可以基于Windows平台针对网站、网页邮箱等的取证、存证及出证。可以页面截图（附带URL）、屏幕录像、实时哈希计算、生成取证报告等，所获取证据文件无缝对接第三方电子数据存证云平台进行哈希值存证，当需司法鉴定报告时，可在线提交申请并由具有法定资质的司法鉴定机构出具司法鉴定报告。

5.2 Hadoop电子数据取证技术

大数据取证不是取证人员简单地从某个物理介质里获取所需要的数据，而是从海量的数据及其跨站点的存储方式里获得数据。Hadoop技术解决了此问题。作为Apache基金会框架解决方案，Hadoop是目前使用最广泛的大数据电子取证技术，Hadoop是一个可靠的系统，具有丰富的大数据分层解决方案和工具系统。此系统是由Java语言编写，而Java语言是一种高级语言，具有跨平台性可以在不同的操作系统上运行。

5.3 可视化远程视频电子数据取证技术

由于大数据的出现，对于跨区域犯罪，特别是电信网络诈骗等受害人遍布全国各地的案件，可提高办案效率，减少民警路途奔波，降低了提解在押人员的执法风险。

可视化远程视频取证技术是通过采用互联网技术，并结合显示屏、摄像头、电子签名、打印机等辅助设备，进行远程视频取证，且对视频资料进行保存，并作为证据的一种技术，通过该技术可以解决远程办理案件的询问难、辨认难等问题，实现远程协作办案，取证过程智能留痕，结果自动传输，解决远程办案及取证的问题。

5.4 层次化电子数据取证技术

为了应对数据的快速增长，新的电子数据取证必须在传统的取证流程上进行改变，层次化取证技术就是来解决此问题的，层次化取证模型自下而上分为六个层次，分别为物理层、数据链路层、取证监管层、证据分析层、公共服务层和资源调度层。

层次化取证模型的思想类似OSI模型的七层分层思想，每一层都有独立的功能，下层为上层提供服务，上层调用上层的功能，上下层之间的交流通过接口来完成。物理层主要为证据提供来源，包括服务器、虚拟化设备和物理主机等。数据链路层是对证据进行获取。数据监管层主要任务是对下面的物理层和数据链路层所有的操作进行监督、记录，并生成报告，以确保数据的有效性，而且能成为法律依据[7]。数据分析层主要完成证据的分析和处理。应用服务层主要为办案人员提供取证结果。资源调度层主要为系统的高效运行提供保障。

6 结论

本文提出了基于大数据架构的电子数据取证技术研究，采用可视化获取更多的电子证据，并将电子证据分为支持信息证据、记录证据、用户和应用程序证据三类。采用Hadoop分布式技术进行取证分析，同时基于层次化取证技术，将电子数据分层取证，逐层分析。通过对比分析，大数据架构下的电子数据取证技术，取证准确度高，取证效率高，取证安全性得以解决。

[1]范寇艳.数据环境中的电子证据规则[J].档案学研究，2017（S1）：101-107.

[2]张妍，邵淼，等.基于数字签名技术的电子数据证据取证研究.计算机科学[J]，2015，42（10A）.

[3]李毅.电子数据取证发展概况[J].中国信息安全，2019（5）：44-47.

[4]SREMACK J.Big data forensics-learning hadoop investigations[M]. Livery Place：Packt Publishing Ltd，2015.

[5]朱彬，张文桥，何泓林.大数据环境下的数据安全研究[J].信息通信，2019.

[6]周国民，刘昱成，陈光宣，等.面向Hadoop的大数据取证研究[J].中国人民公安大学学报（自然科学版），2020.

[7]刘卫华.大数据环境下的电子取证研究[J].科技创新与应用，2018（35）：75-76.

山西省“1331工程”重点学科建设计划经费资助（英文缩写为“1331KSC”）；公安部重点实验室2020开放课题：基于大数据架构的公安信息化应用；山西省哲学社会科学规划课题（2020YY280）；新工科背景下公安院校网络安全与执法专业实践教学改革研究