云计算在电子数据取证技术中的应用

关键词：云计算；电子数据取证；数据检测；数据恢复

中图分类号：TP393.0 文献标识码：A

0 引言

传统的电子数据取证方法往往受限于硬件设备的性能、数据处理能力等因素，难以满足大规模、复杂化的电子数据取证需求。如何有效应对上述挑战，提高电子数据取证的效率和准确性，成为当前亟待解决的问题[1]。云计算技术能够将计算任务分布到大量的分布式计算机上，其不仅可以共享资源，而且为协同工作的开展创造有利条件，通过对海量的电子数据进行快速分析和处理，迅速筛选出与案件相关的关键信息，同时提供数据存储和备份功能，确保电子数据的完整性和安全性。因此，探究云计算在电子数据取证技术中的应用具有重要的理论价值与实践意义。

1 云计算在电子数据取证技术中的应用优势

云计算技术因具有数据安全可靠、规模高扩展性、系统虚拟化等特点，在电子数据取证中展现出独特的优势，具体如下：①远程取证。云计算平台允许取证人员通过远程方式对云端数据进行取证，不再需要实地获取硬件设备或者移动存储介质。这种远程取证方式大大减少了取证过程中的人力、物力资源投入，提高了取证的效率[2]。②大规模数据处理。云计算可以将成千上万的计算节点连接起来，形成庞大的计算资源池，以实现对大规模数据的快速处理。这种方式不仅可以大大提高电子数据取证的速度和效率，还可以实现对更多、更复杂的电子数据的处理和分析[3]。③高扩展性与灵活性。高扩展性使得云计算平台能够便捷地存储和管理大量的电子证据，便于用户调取，同时提供了多节点证据分析服务[4]。④数据可靠性。云计算平台可以对证据数据采用数字签名和时间戳等技术手段，以保障证据数据的可信度和完整性。传统取证模式与云计算技术下取证模式比较如表1所示。

2 云计算在电子数据取证技术中的应用流程

在云计算技术支持下，计算机取证操作更加便捷。如图1 所示，应先明确云取证的目的，采用分割、配准法对云取证服务类型进行有效的识别，明确采用的背景技术类型，并且出示证据。电子数据取证识别、检验分析及储存共享是关键环节。

2.1 电子数据取证的识别

在取证工EXplCUhfJjn+iYQNY6mDHrEq/7vs3KlfGuUtBvzV1EA=作开始之前，工作人员应收集案件性质、可能涉及的电子设备类型等相关信息。云计算平台可以根据这些信息，为调查人员提供有针对性的取证工具和建议，提高取证效率。此外，还需要对云计算环境进行深入了解，掌握云服务的提供商、数据存储位置、访问权限等信息，上述准备工作有助于调查人员更好地制定取证策略，明确取证目标，避免在取证过程中迷失方向或遗漏重要信息[5]。在云计算环境下进行电子数据取证识别的过程中，涉及数据的高效处理、存储和分析，具体过程如下。

2.2 电子数据取证的检验分析

完成电子数据取证识别后，需要对数据进行深入的分析与检验，云计算以其高性能计算能力和大数据分析技术来实现对复杂电子数据的分析，这些数据可以帮助取证人员从海量的电子数据中提取有价值的信息，为案件的侦破提供线索。同时，通过对电子数据的深入分析，从中探索数据的关联性，总结规律，揭示犯罪行为的模式和趋势。电子数据取证的检验流程如下。

（1）保护现场和现场勘察。应用云计算技术绘制犯罪现场图，需要注意的是设备在移动、拆卸前均需拍照存档，以便后期进行犯罪现场模拟与还原，确保现场数据的安全性和完整性。通过云存储服务上传至云平台，实现数据的统一管理和备份。

（2）数据采集。云计算提供了高效的数据采集工具和方法，可以帮助取证人员快速、准确地收集现场数据。通过云计算平台，取证人员可以实现对海量数据的快速检索和筛选，提取与案件相关的关键信息。同时，云计算平台还支持多种数据格式的转换和处理，为后续分析提供便利。

（3）数据分析。首先需要确定数据的类别和来源，检查是否存在外设连接记录、是否有恶意访问、是否存在潜在木马程序等，评估系统安全。磁盘的特殊区域往往可能隐藏重要的数据片段，经过空间数据分析处理，恢复被删除、修改或复制前的文件痕迹，这对于追踪数据的历史变化至关重要。通过比较系统当前运行程序与收集程序、数据等的差异性，识别系统中被篡改的数据信息，为进一步理解系统的状态和历史变迁提供有力的证据。

（4）证据呈现。证据呈现是将分析结果以直观、易懂的方式呈现给相关人员的过程。云计算平台提供了丰富的证据呈现工具和方法，使得取证结果更加易于理解和接受。

目前，在电子数据取证检验分析时主要采用k-means 聚类算法（图2），其核心思想是将数据点分成k 类，最小化各类内部数据点之间的距离平方和，对于一个k类聚类，其算法步骤如下。

步骤1：随机选取k个初始中心点m，m，…，m。

步骤2：对于每个数据点x，计算其与各中心点m的距离d=||x-m||²（||·||表示求取欧几里得距离）。

步骤3：将x 分配到距离最近的类别C 中。

步骤4：对于每个类别C，重新计算该类别中所有数据点的中心点m，即m=（x+x+…+x）/n，其中x，x，…，x 表示C 中的所有数据点。

步骤5：重复步骤2 至步骤4，直到满足算法的停止条件。

数据集覆盖4 种攻击类型， 包括正常记录（normal）、拒绝服务（denial of service，DOS）攻击、端口扫描攻击（probing）、远程到本地（remote to local，R2L）攻击，共计400 多万条，其作为特征向量，均进行了明确的标识。其中，DOS攻击、R2L 攻击最为常见，DOS 攻击包括死亡之包（ping of death，POD）、泪滴攻击（teardropattack，TEARDROP）和分布式拒绝服务，表示拒绝服务攻击；R2L 攻击主要对互联网邮件访问协议（internet message access protocol，IMAP）、多跳攻击（multi-hop）、间谍软件（spyware，SPY）、文件传输协议写入（file transfer protocol write，FTPWRITE）、盗版软件客户端以及盗版软件主控端等进行标识，表示远程机器非法访问。

2.3 电子数据取证的储存与共享

采用网络附加存储（network attached storage，NAS）、存储区域网络（storage area network，SAN）等专用的电子数据存储设备，这些设备具有可靠性高、性能强和可扩展性较好等特点，有利于维护电子数据的稳定、安全。对所有电子数据进行加密处理，只有经过授权的人员才能访问，这不仅可以防止未经授权的人员进行访问和篡改，还能确保数据的完整性。建立完善的备份与容灾机制，确保即使在最坏的情况下，电子数据也不会丢失。此外，定期进行数据备份，并在不同的物理位置存储数据，以应对各种可能的风险。在电子数据取证的数据共享方面，应进行严格的权限管理，根据人员的角色和职责，设定不同的访问权限。在对电子数据进行访问前需确认是否获得授权，从而确保数据的安全性，防止信息的滥用。加强对电子数据访问共享的审计与监控。任何对数据的访问和共享行为都会被记录下来，确保数据的使用符合规定。

3 结语

综上，云计算在电子数据取证技术中具有巨大的潜力和价值，其强大的存储和备份能力，使得电子证据的保存更加安全、便捷，这不仅提高了取证的效率和准确性，还为司法机关提供了更加全面、有力的证据支持。通过充分利用云计算的技术优势，助推电子数据取证系统的完善与进步。