繆紅

（四川警察學(xué)院 四川省瀘州市 646000）

隨著大數(shù)據(jù)改變?nèi)藗兊男膽B(tài)和生活方式，人們的生活越來(lái)越離不開(kāi)網(wǎng)絡(luò)，從社交媒體到移動(dòng)支付，從公共交通到生活繳費(fèi)，從醫(yī)療教育到生態(tài)文化，人們生活的方方面面都和網(wǎng)絡(luò)息息相關(guān)，在物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和5G 技術(shù)的全面應(yīng)用的趨勢(shì)下，這種現(xiàn)象將越來(lái)越明顯。與此同時(shí)，網(wǎng)絡(luò)已成為人類社會(huì)的一項(xiàng)重要公共基礎(chǔ)設(shè)施，各種基于網(wǎng)絡(luò)的違法行為也層出不窮，高科技犯罪的比例逐年提高，給經(jīng)濟(jì)社會(huì)發(fā)展和人民生命財(cái)產(chǎn)安全帶來(lái)了極大的威脅，預(yù)防和打擊網(wǎng)絡(luò)犯罪是當(dāng)前全世界面臨的一個(gè)共同的重要話題。

1 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪電子數(shù)據(jù)取證面臨的問(wèn)題

1.1 網(wǎng)絡(luò)犯罪取證面臨的挑戰(zhàn)

1.1.1 大數(shù)據(jù)問(wèn)題

隨著互聯(lián)網(wǎng)和云技術(shù)的不斷發(fā)展，需要分析的數(shù)據(jù)量不斷增加，涉及的設(shè)備多、數(shù)據(jù)量大、分析對(duì)象復(fù)雜等問(wèn)題。在公安機(jī)關(guān)實(shí)際的辦案過(guò)程中，經(jīng)常遇到一個(gè)人擁有幾臺(tái)、十幾臺(tái)網(wǎng)絡(luò)設(shè)備的情況，甚至一個(gè)案子需要同時(shí)面對(duì)數(shù)十臺(tái)乃至數(shù)百臺(tái)設(shè)備進(jìn)行取證分析的情況，給電子數(shù)據(jù)取證人員帶來(lái)了極大挑戰(zhàn)。傳統(tǒng)的離線取證方法在大規(guī)模分布式存儲(chǔ)環(huán)境中已經(jīng)失效，一個(gè)完整的文件被分割成若干數(shù)據(jù)塊，并存儲(chǔ)在不同的節(jié)點(diǎn)上，隨著存儲(chǔ)容量的增大，單機(jī)無(wú)法解決海量數(shù)據(jù)的存儲(chǔ)、分析、檢索等問(wèn)題，難以實(shí)現(xiàn)證據(jù)的完整性和可重現(xiàn)性[1]。

1.1.2 時(shí)間戳的問(wèn)題

大數(shù)據(jù)背景下衍生的時(shí)間不匹配，由于日志數(shù)據(jù)可能存儲(chǔ)在不同國(guó)家的不同數(shù)據(jù)中心，日志間的時(shí)差便不可避免，如何解釋同一個(gè)攻擊事件的兩個(gè)日志證據(jù)有著不同的時(shí)間記錄也是取證人員面臨的挑戰(zhàn)。

1.1.3 反取證技術(shù)的應(yīng)用

多個(gè)用戶可能通過(guò)同一訪問(wèn)入口訪問(wèn)同一個(gè)資源，非法訪問(wèn)者的訪問(wèn)點(diǎn)可能隨時(shí)發(fā)生變化，定位非法訪問(wèn)者的訪問(wèn)記錄往往難度極大。很多非法訪問(wèn)者還可以通過(guò)反取證技術(shù)（如隱藏IP、代理跳板等）隱藏蹤跡，導(dǎo)致取證人員無(wú)法溯源。

1.1.4 數(shù)據(jù)加密技術(shù)的應(yīng)用

為保證數(shù)據(jù)的隱私及數(shù)據(jù)的安全，一般會(huì)使用加密技術(shù)對(duì)存儲(chǔ)數(shù)據(jù)、數(shù)據(jù)容器加密，如icloud 存儲(chǔ)的數(shù)據(jù)采用了ios 設(shè)備相關(guān)的硬件信息進(jìn)行數(shù)據(jù)存儲(chǔ)加密，具備很高的加密強(qiáng)度，且偵查人員在犯罪現(xiàn)場(chǎng)對(duì)云環(huán)境下的存儲(chǔ)服務(wù)器進(jìn)行物理扣押后，若無(wú)法取得私有云用戶的帳號(hào)和密碼則很難進(jìn)行電子數(shù)據(jù)固定。

1.2 專業(yè)知識(shí)匱乏致使數(shù)據(jù)效果不佳

電子數(shù)據(jù)的科技成分決定了參與案件審理的人員具備法律、電子信息學(xué)、計(jì)算機(jī)技術(shù)等領(lǐng)域的各種專業(yè)知識(shí)，因此偵查人員在參與網(wǎng)絡(luò)犯罪取證時(shí)，必須具有很強(qiáng)的收集、提取、修復(fù)重要電子數(shù)據(jù)的能力，網(wǎng)絡(luò)犯罪取證往往由于方法不當(dāng)，甚至有可能損壞電子數(shù)據(jù)，給網(wǎng)絡(luò)犯罪的偵查工作增加了難度。同時(shí)，電子數(shù)據(jù)的使用本身也是專業(yè)人員之間的競(jìng)爭(zhēng)，在這場(chǎng)比賽中，調(diào)查人員必須擁有比嫌疑人更高的技能[3]。偵查人員面對(duì)龐大的原始數(shù)據(jù)，傳統(tǒng)的網(wǎng)絡(luò)取證難以適應(yīng)。比如云端的服務(wù)器上結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)并存，取證人員要先找到邏輯數(shù)據(jù)與物理數(shù)據(jù)的關(guān)聯(lián)，再?gòu)姆稚⒌拇鎯?chǔ)介質(zhì)上提取數(shù)據(jù)，取證分析需要大量的計(jì)算和資源存儲(chǔ)，大數(shù)據(jù)的特點(diǎn)導(dǎo)致固定證據(jù)所需要的時(shí)間拉長(zhǎng)，給現(xiàn)場(chǎng)取證帶來(lái)困難，而且此期間有導(dǎo)致數(shù)據(jù)變化的風(fēng)險(xiǎn)，導(dǎo)致取證過(guò)程難以重現(xiàn)，大數(shù)據(jù)分析的可靠性受到質(zhì)疑。從海量數(shù)據(jù)中發(fā)掘有效的線索和證據(jù)，需要大數(shù)據(jù)處理專業(yè)知識(shí)，特別是數(shù)據(jù)挖掘、關(guān)聯(lián)分析能力，這對(duì)取證人員的專業(yè)能力和取證工具的技術(shù)要求提出了新的挑戰(zhàn)。

2 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪取證及分析技術(shù)

2.1 網(wǎng)絡(luò)犯罪電子數(shù)據(jù)證據(jù)分析

為了有效獲取網(wǎng)絡(luò)犯罪電子證據(jù)信息，提高網(wǎng)絡(luò)案件破案率，應(yīng)著重加強(qiáng)電子數(shù)據(jù)功能性取證、行為性取證和智能手機(jī)取證等方面的研究。

（1）電子數(shù)據(jù)功能性取證。重點(diǎn)對(duì)惡意程序的運(yùn)行機(jī)制、危害后果等進(jìn)行分析和鑒定；開(kāi)展針對(duì)惡意網(wǎng)址識(shí)別的反釣魚(yú)系統(tǒng)檢測(cè)引擎機(jī)制研究。

（2）電子數(shù)據(jù)行為性取證。重點(diǎn)進(jìn)行黑客行為模式識(shí)別構(gòu)建，通過(guò)計(jì)算機(jī)、網(wǎng)絡(luò)運(yùn)行過(guò)程中產(chǎn)生的行為痕跡和記錄內(nèi)容來(lái)證明與案件相關(guān)的行為事實(shí)。

（3）智能手機(jī)系統(tǒng)取證技術(shù)。智能手機(jī)系統(tǒng)取證技術(shù)是運(yùn)用取證設(shè)備和智能手機(jī)取證技術(shù)，從獲取的證據(jù)素材中，挖掘案件線索和證據(jù)。手機(jī)取證技術(shù)的深入研究對(duì)于打擊網(wǎng)絡(luò)犯罪具有極大迫切性。

2.2 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪取證分析技術(shù)

從本地取證到網(wǎng)絡(luò)追蹤取證的研究，實(shí)現(xiàn)的是從“單點(diǎn)取證采集”到“全域、多層次海量數(shù)據(jù)證據(jù)鏈信息的挖掘推理”的躍變，只有綜合運(yùn)用大數(shù)據(jù)分析、犯罪信息分析、Web 信息處理、數(shù)據(jù)挖掘等技術(shù)才能有效地開(kāi)展網(wǎng)絡(luò)犯罪信息分析。

2.2.1 大數(shù)據(jù)取證分析方法

對(duì)大數(shù)據(jù)取證分析方法的研究，主要是為了實(shí)現(xiàn)在海量數(shù)據(jù)中快速精準(zhǔn)地發(fā)現(xiàn)與案件相關(guān)的有效線索或證據(jù)，降低取證人員的工作量。該技術(shù)目前需要解決在數(shù)據(jù)量大、數(shù)據(jù)種類多的情況下，仍進(jìn)行數(shù)據(jù)檢查，并對(duì)檢查結(jié)果進(jìn)行分析，找出各個(gè)數(shù)據(jù)源中潛在的關(guān)聯(lián)，以及提高檢查分析的準(zhǔn)確性等問(wèn)題。大數(shù)據(jù)取證分析方法主要包括兩個(gè)方面，一方面是使機(jī)器掌握傳統(tǒng)的電子數(shù)據(jù)取證過(guò)程中利用各種取證工具和技術(shù)進(jìn)行取證調(diào)查的方法，從而提高數(shù)據(jù)檢查效率。另一方面，對(duì)異構(gòu)數(shù)據(jù)處理后得到的數(shù)據(jù)檢查結(jié)果，通過(guò)模式匹配、數(shù)據(jù)挖掘、數(shù)據(jù)篩選等操作后，以可視化的形式輸出分析結(jié)果，同時(shí)，分析結(jié)果是否有效，經(jīng)過(guò)用戶反饋回傳到專家系統(tǒng)，添加到知識(shí)庫(kù)中用于系統(tǒng)訓(xùn)練，不斷提高大數(shù)據(jù)取證分析的準(zhǔn)確性。

2.2.2 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪取證關(guān)鍵技術(shù)

（1）異構(gòu)數(shù)據(jù)處理技術(shù)。為了有效的打擊網(wǎng)絡(luò)犯罪，執(zhí)法人員需要根據(jù)各種形式的電子數(shù)據(jù)，如計(jì)算機(jī)日志文件、電子郵件、電子表格、網(wǎng)頁(yè)記錄、手機(jī)、監(jiān)控以及已刪除的文件等數(shù)據(jù)中尋找犯罪痕跡，最終將電子數(shù)據(jù)作為有效的證據(jù)提供給法庭以打擊犯罪。此外，除了被動(dòng)地收集已經(jīng)發(fā)生的案件的電子數(shù)據(jù)并進(jìn)行固定外，還可以通過(guò)網(wǎng)絡(luò)嗅探、入侵檢測(cè)、邊界進(jìn)入、蜜阱技術(shù)等主動(dòng)進(jìn)行收集，從而分析得到有效的電子數(shù)據(jù)用于預(yù)防、打擊網(wǎng)絡(luò)犯罪。而這些各種各樣的數(shù)據(jù)來(lái)自不同的數(shù)據(jù)源，其數(shù)據(jù)類型、數(shù)據(jù)結(jié)構(gòu)有著巨大的差異，無(wú)法直接用于大數(shù)據(jù)分析，需將其根據(jù)電子取證的需求進(jìn)行標(biāo)準(zhǔn)化處理，轉(zhuǎn)化為可用于大數(shù)據(jù)處理的結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，才能進(jìn)行后續(xù)的大數(shù)據(jù)取證分析工作。因此異構(gòu)數(shù)據(jù)處理方法的研究是實(shí)現(xiàn)大數(shù)據(jù)取證分析的基礎(chǔ)。

（2）多源日志信息的融合與關(guān)聯(lián)分析技術(shù)。以維護(hù)數(shù)據(jù)安全，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施為目的，研究不同系統(tǒng)平臺(tái)下審計(jì)日志、應(yīng)用程序日志和網(wǎng)絡(luò)日志等細(xì)粒度數(shù)據(jù)采集，準(zhǔn)確定位黑客電腦的物理位置，勾畫(huà)黑客設(shè)備移動(dòng)軌跡圖，從海量監(jiān)控?cái)z像數(shù)據(jù)中迅速找到黑客的面部特征。

（3）網(wǎng)絡(luò)黑客攻擊追蹤溯源技術(shù)。網(wǎng)絡(luò)取證中的相關(guān)性分析研究主要因?yàn)榫W(wǎng)絡(luò)攻擊行為往往是分布、多變的，因此對(duì)結(jié)果的認(rèn)定需要將各個(gè)取證設(shè)施和取證手法得到的數(shù)據(jù)結(jié)合起來(lái)進(jìn)行關(guān)聯(lián)分析以了解其中的相關(guān)性以及對(duì)結(jié)果產(chǎn)生的因果關(guān)系和相互確證，才可以重構(gòu)過(guò)程。通過(guò)溯源圖構(gòu)建，存儲(chǔ)，查詢和可視化，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊調(diào)查取證與攻擊重建，解決攻擊語(yǔ)義鴻溝等問(wèn)題。

（4）網(wǎng)絡(luò)流量分析技術(shù)。針對(duì)廣域網(wǎng)、園區(qū)有線網(wǎng)、無(wú)線網(wǎng)等不同網(wǎng)絡(luò)目標(biāo)，截獲各級(jí)各類網(wǎng)絡(luò)流量，分析黑客的通信要素和信息內(nèi)容，追蹤黑客在網(wǎng)絡(luò)中的運(yùn)動(dòng)軌跡。

3 大數(shù)據(jù)背景下網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的應(yīng)用對(duì)策

3.1 應(yīng)遵循的基本原則

網(wǎng)絡(luò)犯罪電子數(shù)據(jù)是指網(wǎng)絡(luò)犯罪電子信息的收集、提取、固化和存儲(chǔ)，通過(guò)法律規(guī)定的各種技術(shù)手段收集大量數(shù)據(jù)。與傳統(tǒng)的數(shù)據(jù)收集、提取、固定和保全不同，網(wǎng)絡(luò)犯罪電子數(shù)據(jù)由于其特殊性，不僅要嚴(yán)格遵循數(shù)據(jù)法定化的一般原則，而且要遵循一些特殊的原則，保障電子數(shù)據(jù)收集的客觀性、完整性和合法性，關(guān)系到網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的收集[4]。

3.1.1 合法性原則

罪刑法定原則是偵查人員獲取網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的基本原則，如果沒(méi)有這類數(shù)據(jù)，就不能以網(wǎng)絡(luò)犯罪電子數(shù)據(jù)作為判斷依據(jù)，更不能重新認(rèn)定網(wǎng)絡(luò)犯罪事實(shí)。合法性原則主要包括人員、取證裝備和取證流程。取證程序是否合法、規(guī)范、嚴(yán)格，決定了電子證據(jù)的可靠性和最終能否被采信，合法性原則是保護(hù)證據(jù)的需要，也是保護(hù)自身的需要。對(duì)于取證主體必須合法，偵查人員偵查某些網(wǎng)絡(luò)犯罪，如重大貪污賄賂案件，可以通過(guò)電子監(jiān)控、電子攔截等技術(shù)偵查措施，根據(jù)調(diào)查要求依法移交國(guó)家安全機(jī)關(guān)。因此，在收集、提取電子數(shù)據(jù)實(shí)施網(wǎng)絡(luò)犯罪的情況下，在需要使用電子監(jiān)控、電子攔截等偵查手段時(shí)，監(jiān)察機(jī)關(guān)無(wú)權(quán)直接使用技術(shù)偵查措施，應(yīng)當(dāng)委托有關(guān)機(jī)關(guān)進(jìn)行技術(shù)偵查，如公安機(jī)關(guān)未經(jīng)批準(zhǔn)擅自取得相應(yīng)的電子數(shù)據(jù)，所取得的數(shù)據(jù)因主體的違法性而喪失其效力。

3.1.2 統(tǒng)一性原則

一致性原則是保證數(shù)據(jù)收集過(guò)程的一致性，采取書(shū)面記錄的形式，并同步錄像。根據(jù)法律規(guī)定，調(diào)查人員必須提交書(shū)面記錄并簽字，取證過(guò)程必須與錄音錄像帶同步，并與案卷同步。因此，可以避免因視聽(tīng)記錄不全而對(duì)電子數(shù)據(jù)的證明能力和證明能力產(chǎn)生不利影響，并對(duì)數(shù)據(jù)收集情況、證人在場(chǎng)情況、陳述和行為進(jìn)行記錄，以保證案件偵查的進(jìn)一步進(jìn)展。值得注意的是，為了統(tǒng)一檢查機(jī)關(guān)收集的網(wǎng)絡(luò)犯罪電子數(shù)據(jù)，需要專門機(jī)構(gòu)的專家意見(jiàn)來(lái)確定電子數(shù)據(jù)的資格。這種識(shí)別還包括在使用電子數(shù)據(jù)時(shí)需要轉(zhuǎn)換的特征，這也表明電子數(shù)據(jù)通常是保密的。

3.2 完善的具體路徑

3.2.1 加強(qiáng)對(duì)取證行為的規(guī)范引導(dǎo)

加強(qiáng)數(shù)據(jù)管理，主要包括：規(guī)范不同的數(shù)據(jù)方法，建立完善的安全管理體系。首先，規(guī)則采用不同的證明方法。大數(shù)據(jù)所包含的網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的一個(gè)顯著特點(diǎn)是:其性質(zhì)多種多樣，可以通過(guò)不同的方法獲取。因此，獲取電子數(shù)據(jù)的方法應(yīng)分為一般方法和特殊方法。同時(shí)，考慮到數(shù)據(jù)方法的復(fù)雜性，應(yīng)根據(jù)情況的需要采用不同的數(shù)據(jù)方法。一般方法是在電子數(shù)據(jù)未被篡改、損壞的情況下，采用與傳統(tǒng)數(shù)據(jù)方法類似的數(shù)據(jù)方法，包括打印、拍照、復(fù)制、扣押等，電子形式的特殊證明方法建議，網(wǎng)絡(luò)犯罪電子數(shù)據(jù)被篡改、損壞時(shí)，由專業(yè)技術(shù)人員結(jié)合相關(guān)數(shù)據(jù)進(jìn)行維護(hù)、分析和提取，對(duì)工作人員的專業(yè)水平提出了更高的要求。其特殊方法包括：一是當(dāng)數(shù)據(jù)因人為隱瞞而無(wú)法呈現(xiàn)、讀取或丟失時(shí)，對(duì)數(shù)據(jù)進(jìn)行恢復(fù)，破壞介質(zhì)或設(shè)備、操作系統(tǒng)本身的故障等未讀數(shù)據(jù)的恢復(fù)和恢復(fù)技術(shù)。數(shù)據(jù)檢索，涉及在更廣泛的數(shù)據(jù)背景下運(yùn)用檢索技術(shù)選擇和提取電子數(shù)據(jù)，網(wǎng)絡(luò)犯罪取證的必要條件包括數(shù)據(jù)庫(kù)檢索、網(wǎng)絡(luò)數(shù)據(jù)檢索和存儲(chǔ)介質(zhì)的電子數(shù)據(jù)檢索[5]。

3.2.2 加強(qiáng)調(diào)查人員取證能力建設(shè)

網(wǎng)絡(luò)犯罪電子數(shù)據(jù)的收集涉及面廣、知識(shí)面廣，加強(qiáng)偵查人員取證能力，必須從軟硬件兩方面入手。通過(guò)建立培訓(xùn)機(jī)制，培訓(xùn)調(diào)查人員大數(shù)據(jù)技術(shù)基礎(chǔ)和電子數(shù)據(jù)取證綜合能力，訓(xùn)練網(wǎng)絡(luò)犯罪偵查思維，使他們能夠?qū)厔?shì)作出積極的反應(yīng)，實(shí)現(xiàn)從傳統(tǒng)辦案方式向以大數(shù)據(jù)技術(shù)與取證技術(shù)相結(jié)合的網(wǎng)絡(luò)犯罪偵查模式的轉(zhuǎn)變。

4 結(jié)論

綜上所述，在大數(shù)據(jù)時(shí)代，電子數(shù)據(jù)是處理網(wǎng)絡(luò)犯罪的“輔助工具”，網(wǎng)絡(luò)犯罪電子數(shù)據(jù)具有拓展案件信息來(lái)源的功能，應(yīng)保持正確的偵查方向，迅速打破僵局，有效整合偵查資源，還原事實(shí)。目前各界對(duì)大數(shù)據(jù)技術(shù)的研究較多，而對(duì)大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)取證技術(shù)和方法的研究較少，目前尚無(wú)成熟的相關(guān)技術(shù)方案。實(shí)際上，沒(méi)有一個(gè)全面和系統(tǒng)的行動(dòng)程序來(lái)指導(dǎo)和管理取證調(diào)查人員的行動(dòng)。因此，在更廣泛的數(shù)據(jù)和《數(shù)據(jù)安全法》背景下，更體現(xiàn)出此項(xiàng)研究的重要意義和在國(guó)家戰(zhàn)略中的政治意義。