李俊磊

摘要：在大數(shù)據(jù)時代，如何從容量大、虛擬化存儲的大數(shù)據(jù)中獲取電子證據(jù)是電子取證急需解決的大難題。該文結(jié)合數(shù)據(jù)挖掘的優(yōu)勢，將其處于大數(shù)據(jù)環(huán)境下在電子取證中的應(yīng)用進行了分析。

關(guān)鍵詞：大數(shù)據(jù);數(shù)據(jù)挖掘;電子取證

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）33-0001-02

大數(shù)據(jù)時代的網(wǎng)絡(luò)背景下，數(shù)據(jù)呈現(xiàn)出5V特點，即數(shù)據(jù)量大（volume）、形式多元化（Variety）、時效快（Velocity）、真實性高（Veracity）和價值大（value）。網(wǎng)絡(luò)犯罪呈現(xiàn)樣式多元化、智能化、網(wǎng)絡(luò)化，案件偵破困難重重，傳統(tǒng)單一的電子取證已無法滿足當前勢態(tài)的發(fā)展。將數(shù)據(jù)挖掘技術(shù)應(yīng)用到電子取證中，不但能夠快速獲取網(wǎng)絡(luò)犯罪行為的原始數(shù)據(jù)進行分析并挖掘出有價值的信息，同時也可以獲得可靠的犯罪證據(jù)，呈現(xiàn)犯罪嫌疑人的犯罪事實。有效地提高電子取證的效率，加快了犯罪案件的偵破，打擊網(wǎng)絡(luò)犯罪活動，維護社會安全穩(wěn)定。

1大數(shù)據(jù)時代下的犯罪行為

隨著信息技術(shù)的發(fā)展，全球的電子信息數(shù)量成指數(shù)遞增，互聯(lián)網(wǎng)上每天都有大量的視頻、日志、圖片、文件多樣化的信息產(chǎn)生，海量的數(shù)據(jù)為人們帶來便利和財富的同時，也讓讓犯罪分子趁機而人，一系列互聯(lián)網(wǎng)犯罪事件在我國逐年涌現(xiàn)，從山東臨沂準大學生徐玉玉被電信詐騙郁結(jié)于心離世，到廣州“1101-黑客”銀行卡盜竊案、江蘇徐州“神馬”網(wǎng)絡(luò)盜竊案涉案金額2000余萬元等這一宗宗觸目驚心，在公安部開展的“凈網(wǎng)2018”專項行動蹤，破獲刑事案件22000余起，抓獲嫌疑人33000余名，網(wǎng)絡(luò)犯罪行為不斷蔓延，給社會造成了極大的損失和危害。

在大數(shù)據(jù)時代的新形勢下，互聯(lián)網(wǎng)的安全性面臨巨大挑戰(zhàn)。網(wǎng)名的個人隱私信息在不知情的情況下被收集造成信息泄露，容易誘發(fā)不法分子竊取個人信息從事電信詐騙、盜取商業(yè)秘密和個人財產(chǎn)等犯罪行為。同時電商時代，人們習慣通過電商平臺瀏覽和購買商品和其他網(wǎng)絡(luò)交易，在用戶安全意識不高的情況下，容易進入不法分子設(shè)計的陷阱，造成虛擬財產(chǎn)的流失等現(xiàn)象。大數(shù)據(jù)時代你網(wǎng)絡(luò)犯罪日益增長，不僅擾亂了人們正常工作和生活、危害了人們的生命和財產(chǎn)安全，同時也破壞了社會的穩(wěn)定。

大數(shù)據(jù)環(huán)境下的犯罪類型復(fù)雜多樣化：

1）通過非法手段，針對網(wǎng)絡(luò)漏洞對網(wǎng)絡(luò)進行技術(shù)入侵，侵入網(wǎng)絡(luò)后，主要以偷窺、竊取、更改或刪除計算機信息為目的的習巳罪行為。

2）通過信息交換和軟件的傳遞過程，將破壞性病毒附帶在信息中進行傳播、在部分免費輔助軟件中附帶木馬和后門等攻擊程序。

3）利用公用信息網(wǎng)絡(luò)侵吞公共財物，以網(wǎng)絡(luò)為傳播媒體在網(wǎng)上傳播反動言語或?qū)嵤┰p騙和教唆犯罪。

4）利用現(xiàn)代網(wǎng)絡(luò)實施色情影視資料、淫穢物品的傳播犯罪。

2大數(shù)據(jù)環(huán)境下電子證據(jù)面臨的挑戰(zhàn)

電子取證就是執(zhí)法人員按照符合法律法規(guī)的方式利用技術(shù)手段進行收集、識別、提取、保存和分析電子數(shù)據(jù)的執(zhí)法行為。電子取證的過程可分為5步：保護現(xiàn)場、現(xiàn)場收集初始電子證據(jù)、固定并驗證電子證據(jù)、電子證據(jù)分析、歸檔以及最終呈堂。電子取證的對象包括電子郵件、聊天記錄、視頻、音頻等一切能夠有助于辦案的電子數(shù)據(jù)。

大數(shù)據(jù)環(huán)境下，數(shù)據(jù)龐大、來源不同、結(jié)構(gòu)不同、形式不同，如何高效地搜集和整理電子證據(jù)是一個極具挑戰(zhàn)性的問題。大數(shù)據(jù)具有以下特征：

1）數(shù)據(jù)量巨大：取證分析需要大量的計算和存儲資源，傳統(tǒng)取證工具難以在可接受范圍內(nèi)完成取證分析;

2）數(shù)據(jù)類型復(fù)雜：由于大量結(jié)構(gòu)化、非結(jié)構(gòu)化的異構(gòu)數(shù)據(jù)并存，傳統(tǒng)取證工具的數(shù)據(jù)處理能力難以適應(yīng);特別要求在秒級時間范圍內(nèi)進行運算處理，并得出對應(yīng)的結(jié)果。

3）數(shù)據(jù)價值密度低：需要從海量混雜數(shù)據(jù)中發(fā)掘出少部分真正有效的線索證據(jù);在數(shù)億的網(wǎng)民中，不法分子只是滄海一粟，在海量的數(shù)據(jù)中僅有一小部分是不法分子進行不法行為所遺留的信息，大多數(shù)是分散的、不集中的。特別大部分不法分子具有反偵查能力，對上網(wǎng)痕跡進行清除、存儲資源給予破壞等，需要通過技術(shù)手段找出相關(guān)聯(lián)的信息，電子證據(jù)在數(shù)據(jù)中所占密度極低。

4）數(shù)據(jù)存儲空間時間跨度大：由于不法分子利用網(wǎng)絡(luò)環(huán)境實施犯罪行為，在大數(shù)據(jù)時代，借助的網(wǎng)絡(luò)平臺繁多，存儲地點跨區(qū)域性較大，方式多樣化，數(shù)據(jù)的搜集難度大。目前的犯罪逐漸將傳統(tǒng)犯罪手法和互聯(lián)網(wǎng)技術(shù)進行高度融合，這種以虛擬空間為犯罪發(fā)生地的犯罪行為，犯罪人員的虛擬化、空間虛擬化、時間的虛擬化等，使得案件偵破難度大。

正是因為大數(shù)據(jù)環(huán)境的復(fù)雜性，在網(wǎng)絡(luò)犯罪案件的偵查中困難重重，不容易取得電子證據(jù)，因此，急需能夠應(yīng)對大數(shù)據(jù)的電子取證技術(shù)來對大數(shù)據(jù)中的犯罪線索和證據(jù)進行取證和分析。

3簡析數(shù)據(jù)挖掘技術(shù)

海量的數(shù)據(jù)分析中常用的技術(shù)是數(shù)據(jù)挖掘技術(shù)，在海量的、不規(guī)則的、復(fù)雜多樣的數(shù)據(jù)中挖掘出潛在有價值的信息。數(shù)據(jù)挖掘的對象是多樣性的，可以包括關(guān)系數(shù)據(jù)庫、面向?qū)ο髷?shù)據(jù)庫、數(shù)據(jù)倉庫、文本數(shù)據(jù)源、多媒體數(shù)據(jù)庫、空間數(shù)據(jù)、時態(tài)數(shù)據(jù)庫、異質(zhì)數(shù)據(jù)庫和WEB數(shù)據(jù)庫等多中信息存儲格式，數(shù)據(jù)挖掘的流程包括：定義問題（數(shù)據(jù)采集）、數(shù)據(jù)準備傲據(jù)清洗、數(shù)據(jù)處理）、數(shù)據(jù)挖掘、結(jié)果分析。其中數(shù)據(jù)挖掘階段可以使用的技術(shù)有關(guān)聯(lián)分析、聚類分析、分類、預(yù)測、時序模式、偏差分析等方法。通過數(shù)據(jù)挖掘可以做到自動預(yù)測趨勢和行為、個體之間的關(guān)聯(lián)分析、異常孤立點的分析等。

關(guān)聯(lián)分析就是找出兩個或兩個以上變量的取值之間存在的規(guī)律，關(guān)聯(lián)可分為簡單關(guān)聯(lián)、時序關(guān)聯(lián)和因果關(guān)聯(lián)。通過調(diào)整支持度和可信度兩個閥值來度量關(guān)聯(lián)規(guī)則的相關(guān)性，使得挖掘結(jié)果符合需求。

聚類分析是把數(shù)據(jù)按照相似性歸納成若干個類別，同一類中的數(shù)據(jù)間是相似的，不同類間的數(shù)據(jù)是相異的。在沒有任何模式和先驗知識的參考下進行分類。聚類分析的目標是在相似的基礎(chǔ)上收集數(shù)據(jù)來分類。

分類就是利用訓(xùn)練數(shù)據(jù)集按照分類算法得到分類規(guī)則，利用規(guī)則建立分類模型，并通過該模型對未來數(shù)據(jù)的種類和特征進行預(yù)測。

4數(shù)據(jù)挖掘技術(shù)在大數(shù)據(jù)環(huán)境下電子取證中的應(yīng)用

數(shù)據(jù)挖掘能從海量數(shù)據(jù)中挖掘出潛在的有價值的信息，所以將數(shù)據(jù)挖掘技術(shù)應(yīng)用到大數(shù)據(jù)環(huán)境下的電子取證是非常有意義的。電子取證工作的關(guān)鍵問題之一是對取證獲得的海量數(shù)據(jù)進行分析，從中審查判斷出與案件相關(guān)的、反映案件客觀事實的電子證據(jù)。

將數(shù)據(jù)挖掘技術(shù)融合到電子取證分析的應(yīng)用框架結(jié)構(gòu)模型如圖1所示：

在電子取證中的數(shù)據(jù)挖掘的流程跟其數(shù)據(jù)挖掘本身流程類似，只不過多了對法律法規(guī)的匹配和建立犯罪信息數(shù)據(jù)庫兩部分。在原始數(shù)據(jù)獲取時需要采用一定的技術(shù)從大數(shù)據(jù)中采集。在數(shù)據(jù)挖掘階段采用不同的技術(shù)提取出有關(guān)的行為特征和規(guī)則，通過對數(shù)據(jù)的挖掘，查找出有關(guān)聯(lián)的數(shù)據(jù)，并對數(shù)據(jù)進行關(guān)聯(lián)性分析、分類分析、聚類分析、時序分析和異常分析。能夠呈現(xiàn)犯罪事實，同時也能預(yù)防犯罪行為的發(fā)生，做到打擊和預(yù)防犯罪。

在網(wǎng)絡(luò)犯罪的電子取證中，數(shù)據(jù)挖掘技術(shù)常用的有：關(guān)聯(lián)分析、演變分析、分類分析等。關(guān)聯(lián)分析用于采取罪犯的犯罪信息，通過利用Apriori算法、FP-Growth算法等關(guān)聯(lián)規(guī)則算法對數(shù)據(jù)處理后的特征進行關(guān)聯(lián)分析，挖掘出罪犯的相關(guān)有用信息，不同犯罪形式之間的聯(lián)系，如罪犯的行為特征、犯罪時間、犯罪的心理情況和犯罪動機等;通過分類分析建立模型，對異常數(shù)據(jù)進行分類預(yù)測，利用當前的大數(shù)據(jù)中的犯罪數(shù)據(jù)，進行訓(xùn)練建立犯罪行為模型，然后對數(shù)據(jù)進行監(jiān)測和對比，有利于對案情的預(yù)測，能夠發(fā)現(xiàn)異常行為，盡快抓獲犯罪嫌疑人，減少犯罪事件發(fā)生。另外在通過數(shù)據(jù)挖掘在電子取證應(yīng)用的模型偵破的案件，可以輸入到犯罪信息系統(tǒng)中，擴展犯罪信息數(shù)據(jù)庫的數(shù)量，建立計算機犯罪信息知識庫。不斷完善和評估該取證系統(tǒng)的機制，使得準確性和高效性越來越好，做到電子證據(jù)的可靠性。

5結(jié)束語

在信息成指數(shù)增長的時代，不法犯罪分子越來越凸顯，技術(shù)手段越來越多元化，并且反偵查能力也越來越強，在大數(shù)據(jù)環(huán)境下，應(yīng)該數(shù)據(jù)挖掘技術(shù)對海量數(shù)據(jù)進行分析挖掘出犯罪線索，促進案件偵破和犯罪預(yù)防，保障人民群眾的生命財產(chǎn)安全，為平安中國增添色彩。