大数据环境下电子物证技术的挑战与方法应对

黄玉萍　刘志军　王宁

【摘 要】随着大数据时代的到来，刑事侦查中收集到的电子数据量越来越大，如何有效地对这些数据进行筛选、分析，成为电子物证工作中的一个难题。通过将数据整合、数据挖掘、云计算、可视化等技术应用到电子物证中，有助于提升对大数据的分析、处理能力，实现从海量数据中快速、有效地挖掘出有价值的信息，从而为刑事案件突破及证据固定提供有力支撑。

【关键字】电子物证;大数据;网络犯罪侦查

中图分类号： D925.2 文献标识码： A 文章编号： 2095-2457（2019）05-0170-003

0 引言

刑事科学技术是指公安等侦查主体应用现代科学技术的成果和方法，对涉及到犯罪活动有关的物证材料进行收集、检验和鉴定，为划定侦查范围，确定侦查方向提供科技支撑。刑事科学技术检验包括痕迹检验、法医检验、生物物证、刑事化验、声像技术、文件检验、警犬技术、心里测试和电子物证等九大部分。随着刑事犯罪案件中涉及的电子数据越来越多，电子物证在刑事案件中的作用越来越重要。根据公安部物证鉴定中心统计，在刑事案件的侦破过程中，85%的电子物证检验结果为案件的侦破提供了至关重要的线索[1]，当前电子物证已经成为刑侦部门破案新的增长点和突破口。

随着信息技术的发展，大数据（Big Data）时代也到來了。2018年1月24日，公安部党委书记、部长赵克志在全国公安厅局长会议上指出：“要坚持实战引领，充分运用大数据等新技术手段，积极构建以大数据智能应用为核心的智慧警务新模式，着力提高预测预警能力、精确打击能力和动态管理能力，不断提升公安工作智能化水平。”[2]

综上所述，研究大数据环境下的电子物证问题具有重要的意义。在分析了电子物证技术的发展和应用现状后，本文探讨了大数据环境下电子物证面临的挑战以及应对的方法。

1 电子物证技术

电子物证技术在国外已经发展了30多年，早期电子物证主要在欧美执法部门和司法机关使用，电子物证检验的对象主要是大型机、个人计算机、公司的数据记录和计算机辅助欺诈，技术上以数据恢复技术为主。随着Internet网的普及应用，电子物证检验从独立的个人计算机扩大到网络入侵、数据解密等专业化领域，出现了大量的电子物证检验分析工具，如基于Windows界面的Encase、FTK、iLook、ACES等工具，基于Linux的TSK、SMART、HELEX等工具。电子物证检验的对象也更加多样化，不仅包括文件系统、网络、也包括手机、MP3、PDA、以及网络社交系统、手机游戏平台、电子邮件、商业业务记录系统等。

近年来，全国公安机关高度重视电子物证技术在刑事犯罪侦查中的应用，各县市公安机关基本都配备了专业的电子物证设备，为刑事犯罪侦查中电子物证提供技术支撑。公安部刑事侦查局也在加大对电子物证的投入，每年举办多期电子物证相关的专业培训，提升电子物证人员的专业技术水平。同时为进一步提升电子物证更好地应用于刑事犯罪侦查案件的办理，2017年5月9日，全国32个省、市、自治区的48支鉴定队伍参加了由公安部刑事侦查局与中国合格评定国家认可委员会首次联合组织的全国公安机关刑事技术实验室电子物证专业能力验证活动[3]。

总的来说，电子数据承载着丰富的案件信息，可以真实、准确、客观地反映涉及违法犯罪的作案活动情况。在刑事侦查活动中，电子物证检验结果可以作为案件侦查的线索，其主要应用于，但不限于如下方面：一是明确发案时间。如利用系统日志、文件时间属性等，结合其它信息，可以对案发时间进行判定。二是明确发案地点。如利用手机GPS痕迹信息等对案发地点进行判定。三是确定嫌疑人。如以煽动颠覆国家政权罪为例，对行为人的IP地址和注册信息的查询，用于确定嫌疑人。四是确定案事件过程。如在邮件勒索案中利用日志信息、IP地址等信息的分析明确案（事）件过程。五是判明案事件性质。如在一些案件中利用手机短信、聊天记录、照片等电子数据为案事件定性和法庭诉讼提供有力证据。

2 大数据环境下电子物证技术面临的挑战

目前大数据的研究与应用已经成为国内外的热点。大数据时代的到来最早由麦肯锡提出，就如何管理大数据，《科学》杂志在2011年以专刊形式进行了讨论，Gartner把大数据技术列入全球未来5年10大关键技术趋势之一[4]。大数据对当今社会的影响已经扩展到社会各领域，在此背景下，电子物证也面临着新的要求和挑战，主要表现在以下方面。

2.1 电子物证检验对象的多样化

传统的刑事犯罪侦查中，手机以及计算机中存储着嫌疑人个人的使用痕迹信息，例如短信、通信录、通话记录、照片、聊天数据等记录着犯罪嫌疑人的日常行为信息，通过电子物证检验，这些数据可以成为刑事犯罪侦查重要的线索来源。

大数据时代，刑事犯罪侦查中的线索来源将从计算机数据延伸到物联网、智能手机、可穿戴设备等多终端数据。一方面技术的发展和用户使用互联网载体习惯的改变，作为犯罪的新型智能终端工具被大量使用，如云存储系统，Xbox、PS4游戏主机，iCloud、可穿戴设备参与到犯罪活动中 。另一方面，基于大数据、人工智能带动的公有云计算的市场需求空间，很多记录刑事犯罪行为数据也从终端设备向云端迁移，狡猾的犯罪嫌疑人可能将重要的文件存储于“云端”。

2.2 电子物证检验数据的海量化

随着信息技术和通信技术的发展，各种各样存储设备和业务系统被广泛使用，成为人类记录和存储信息的主要方式，同时也记录了犯罪行为。在大数据环境下，各种信息系统记录着的这些犯罪行为的蛛丝马迹可能存储于云平台上，分散在不同机房的物理服务器上，并且这些犯罪行为的蛛丝马迹“藏身于”海量的其他数据之间，和海量的正常的数据信息混杂在一起，往往很难发现。

随着海量数据的迅速发展，从海量数据中挖掘有用信息变得非常重要。但目前常用的电子物证技术己经越来越不适应愈发复杂的大数据环境，面对大数量级的数据，在电子物证检验中如何进行数据的整理和过滤，进而确立侦查的重点范围;此外，一个异常行为往往隐藏在多个分散的数据之中，如何在被收集信息中发现潜在的异常行为等都是亟待解决的问题。

2.3 电子物证检验数据的异构化

相对于以往以文本为主的结构化数据，当前非结构化、半结构化的数据越来越多。例如电梯的摄像头记录早上出门的出行时间和状态信息;道路的摄像头记录开车上班的车速和位置;上班期间，浏览的网页记录着搜索记录和访问过的网站，电话记录着联网对象和通话时长;下班回家，购物信息折射出的职业身份、购物喜好等性格特征。

这些不同来源的半结构化、非结构化数据中记录了犯罪的“蛛丝马迹”，可以用于嫌疑人及其关系、行为、物、时间、空间和主观意图数据的刑事侦查分析。如果仅对每个来源的数据进行单独分析，不形成关联分析，是很难以给刑事侦查提供有效的案件线索和证据来源。大数据环境下，电子物证人员如何将这些异构多源数据进行整合，发现和提供被检验数据信息中的内在因素模式和关联，也是面临的亟待解决的问题之一。

3 大数据环境下电子物证应对方法

3.1 整合各类资源

传统的电子物证主要是针对独立的物理实体进行检验，电子数据源包括计算机、笔记本电脑、手机、移动存储介质等。大数据环境下，电子数据源是大数据宿主操作系统、客户端虚拟主机、云客户端软件等。另一方面，相对于以往的结构化数据，大数据环境下非结构化、半结构化的数据越来越多，包括网络日志、音频、视频、图片、地理位置信息、电子邮件等多类型的数据。

大数据环境下电子物证检验采集到的涉案数据信息来源是多渠道、分散的，重复、冗余的数据信息充斥其间。首先电子物证鉴定中心要建立自己的数据中心，对采集的信息进行自动并及时存储在数据中心中。其次，将这些不同来源的数据进行数据集成，整合结构化数据、非结构化数据与半结构化数据，将数据进行预处理，便于满足电子物证大数据分析的相关要求。再次，各级物证鉴定中心之间的数据中心要可以共享，形成资源之间的互相调用。当然，由于案件信息数据属于涉密信息，需要物理隔离地存储在内部网络，可通过网闸等技术解决内外部网络数据隔离的问题，实现数据之间的整合。

3.2 构建多级云计算平台

传统的电子物证平台在面对容量为TB级别以上的硬盘数据时，其挂载、数据复制、数据解析速度已是目前电子物证检验的瓶颈。大数据环境下，电子物证所面对的案例往往有10TB甚至PB级别的数据体量。要实现对大数据的快速计算与分析，就需要一個具有强大计算能力的平台，因此云计算平台的构建也就不可或缺。

理想化的云计算平台由公安部物证鉴定中心统一建设，各级物证鉴定中心根据提供的账号进行使用，但是限于当前数据信息还未整合进来，是否统一建设云计算平台尚还缺乏有效的论证。因此建议在市级以上的公安机关物证鉴定中心分别建立一套云平台，区县级公安机关共用市级公安机关的云平台。一些刑事案件具有很强的地域性，犯罪嫌疑人的生活圈往往局限在本地区内，只需要调用本地数据中心的数据通过云平台进行计算分析，对于跨地区的案件再行申请调用上级公安机关的云平台，这样既保证了数据分析的高效，又缓解了公安部物证鉴定中心云平台的压力。

3.3 引入数据挖掘技术

数据挖掘技术不但具备了对大数据的处理能力，而且还具有从大量数据中寻找其潜在规律的能力，利用数据挖掘技术可以解决刑事侦查中大量数据分析难的问题。将数据挖掘技术引入到电子物证中，就能够对收集的海量、不完整的数据信息进行分析，找出数据间存在的潜在关系，发现未知的潜在证据。

经过数据的整合、数据转换等后，将来源分散、无序的数据变成有组织、条理化的档案化数据。在此基础上，通过数据挖掘，可实现由案到人、由物到人、串并案件、以及案件时空等的关联分析。例如，可以通过关联分析寻找电子数据中的相关性，找出不同数据源间的数据的隐藏联系;通过时间序列分析可以对过去事件发生的时间进行分析，掌握时序序列中蕴含的规律，进而预测未来事件发生的时间等等。同时也可以采取多种数据挖掘算法对电子数据进行分析，达到最优的数据分析处理效果。

3.4 运用可视化技术

大数据环境下，采集的电子物证检验数据在数量和复杂度上都给电子物证数据鉴定分析带来巨大的挑战。数据可视化技术能以图形图像方式将数据的各个属性值以多维数据的形式表示，并能结合数据分析发现其中的未知信息。利用可视化技术，电子物证鉴定人员从不同的维度观察数据，分析推理数据，证实假设结论，有助于电子物证鉴定人员探索、分析和解释复杂的海量数据，深入地从电子物证大数据中挖掘出有效的内部规律。

在实际应用过程中，电子物证鉴定人员首先需要选择一种大数据可视化分析软件，将数据转化为直观分析的图形和图像;然后，结合自身的专业电子物证鉴定知识、技术以及从业经验，发挥视觉系统的优势，对得到的图形和图像进行观察、认知、分析，从而便于系统地理解和分析电子物证鉴定数据的内涵与特征规律，从不同方面获得对被鉴定检验数据的理解。

4 结束语

大数据时代背景下，电子物证在刑事侦查中的作用也将日益突显。在大数据环境下探究电子物证的挑战与应对方法，有助于促使电子物证相关技术水平的提升。大数据环境下，需要不断革新电子物证理念与技术创新，让大数据变成活数据、有价值的数据、能为刑事侦查所用的数据，从而发挥出电子物证的最大实效。

【参考文献】

[1]王震. 关于刑侦部门电子物证检验工作的探索[J]. 黑龙江科技信息，2016（25）：198-199.

[2]公安部部长赵克志：迅速形成对黑恶势力犯罪的压倒性态势https：//news.sina.com.cn/c/2018-01-25/doc-ifyqyesy1639591.shtml.

[3]CNAS与公安部首次联合开展刑事技术实验室现场能力验证[EB/OL]http：//www.cnca.gov.cn/xxgk/hydt/201705/t20170510_54224.shtml.

[4]陈伟，SMIELIAUSKAS Wall. 大数据环境下的电子数据审计：机遇、挑战与方法[J].计算机科学， 2016（1）：9-13，34.