大数据背景下的网络犯罪电子数据取证研究

缪红

（四川警察学院 四川省泸州市 646000）

随着大数据改变人们的心态和生活方式，人们的生活越来越离不开网络，从社交媒体到移动支付，从公共交通到生活缴费，从医疗教育到生态文化，人们生活的方方面面都和网络息息相关，在物联网技术的飞速发展和5G 技术的全面应用的趋势下，这种现象将越来越明显。与此同时，网络已成为人类社会的一项重要公共基础设施，各种基于网络的违法行为也层出不穷，高科技犯罪的比例逐年提高，给经济社会发展和人民生命财产安全带来了极大的威胁，预防和打击网络犯罪是当前全世界面临的一个共同的重要话题。

1 大数据背景下网络犯罪电子数据取证面临的问题

1.1 网络犯罪取证面临的挑战

1.1.1 大数据问题

随着互联网和云技术的不断发展，需要分析的数据量不断增加，涉及的设备多、数据量大、分析对象复杂等问题。在公安机关实际的办案过程中，经常遇到一个人拥有几台、十几台网络设备的情况，甚至一个案子需要同时面对数十台乃至数百台设备进行取证分析的情况，给电子数据取证人员带来了极大挑战。传统的离线取证方法在大规模分布式存储环境中已经失效，一个完整的文件被分割成若干数据块，并存储在不同的节点上，随着存储容量的增大，单机无法解决海量数据的存储、分析、检索等问题，难以实现证据的完整性和可重现性[1]。

1.1.2 时间戳的问题

大数据背景下衍生的时间不匹配，由于日志数据可能存储在不同国家的不同数据中心，日志间的时差便不可避免，如何解释同一个攻击事件的两个日志证据有着不同的时间记录也是取证人员面临的挑战。

1.1.3 反取证技术的应用

多个用户可能通过同一访问入口访问同一个资源，非法访问者的访问点可能随时发生变化，定位非法访问者的访问记录往往难度极大。很多非法访问者还可以通过反取证技术（如隐藏IP、代理跳板等）隐藏踪迹，导致取证人员无法溯源。

1.1.4 数据加密技术的应用

为保证数据的隐私及数据的安全，一般会使用加密技术对存储数据、数据容器加密，如icloud 存储的数据采用了ios 设备相关的硬件信息进行数据存储加密，具备很高的加密强度，且侦查人员在犯罪现场对云环境下的存储服务器进行物理扣押后，若无法取得私有云用户的帐号和密码则很难进行电子数据固定。

1.2 专业知识匮乏致使数据效果不佳

电子数据的科技成分决定了参与案件审理的人员具备法律、电子信息学、计算机技术等领域的各种专业知识，因此侦查人员在参与网络犯罪取证时，必须具有很强的收集、提取、修复重要电子数据的能力，网络犯罪取证往往由于方法不当，甚至有可能损坏电子数据，给网络犯罪的侦查工作增加了难度。同时，电子数据的使用本身也是专业人员之间的竞争，在这场比赛中，调查人员必须拥有比嫌疑人更高的技能[3]。侦查人员面对庞大的原始数据，传统的网络取证难以适应。比如云端的服务器上结构化和非结构化数据并存，取证人员要先找到逻辑数据与物理数据的关联，再从分散的存储介质上提取数据，取证分析需要大量的计算和资源存储，大数据的特点导致固定证据所需要的时间拉长，给现场取证带来困难，而且此期间有导致数据变化的风险，导致取证过程难以重现，大数据分析的可靠性受到质疑。从海量数据中发掘有效的线索和证据，需要大数据处理专业知识，特别是数据挖掘、关联分析能力，这对取证人员的专业能力和取证工具的技术要求提出了新的挑战。

2 大数据背景下网络犯罪取证及分析技术

2.1 网络犯罪电子数据证据分析

为了有效获取网络犯罪电子证据信息，提高网络案件破案率，应着重加强电子数据功能性取证、行为性取证和智能手机取证等方面的研究。

（1）电子数据功能性取证。重点对恶意程序的运行机制、危害后果等进行分析和鉴定；开展针对恶意网址识别的反钓鱼系统检测引擎机制研究。

（2）电子数据行为性取证。重点进行黑客行为模式识别构建，通过计算机、网络运行过程中产生的行为痕迹和记录内容来证明与案件相关的行为事实。

（3）智能手机系统取证技术。智能手机系统取证技术是运用取证设备和智能手机取证技术，从获取的证据素材中，挖掘案件线索和证据。手机取证技术的深入研究对于打击网络犯罪具有极大迫切性。

2.2 大数据背景下网络犯罪取证分析技术

从本地取证到网络追踪取证的研究，实现的是从“单点取证采集”到“全域、多层次海量数据证据链信息的挖掘推理”的跃变，只有综合运用大数据分析、犯罪信息分析、Web 信息处理、数据挖掘等技术才能有效地开展网络犯罪信息分析。

2.2.1 大数据取证分析方法

对大数据取证分析方法的研究，主要是为了实现在海量数据中快速精准地发现与案件相关的有效线索或证据，降低取证人员的工作量。该技术目前需要解决在数据量大、数据种类多的情况下，仍进行数据检查，并对检查结果进行分析，找出各个数据源中潜在的关联，以及提高检查分析的准确性等问题。大数据取证分析方法主要包括两个方面，一方面是使机器掌握传统的电子数据取证过程中利用各种取证工具和技术进行取证调查的方法，从而提高数据检查效率。另一方面，对异构数据处理后得到的数据检查结果，通过模式匹配、数据挖掘、数据筛选等操作后，以可视化的形式输出分析结果，同时，分析结果是否有效，经过用户反馈回传到专家系统，添加到知识库中用于系统训练，不断提高大数据取证分析的准确性。

2.2.2 大数据背景下网络犯罪取证关键技术

（1）异构数据处理技术。为了有效的打击网络犯罪，执法人员需要根据各种形式的电子数据，如计算机日志文件、电子邮件、电子表格、网页记录、手机、监控以及已删除的文件等数据中寻找犯罪痕迹，最终将电子数据作为有效的证据提供给法庭以打击犯罪。此外，除了被动地收集已经发生的案件的电子数据并进行固定外，还可以通过网络嗅探、入侵检测、边界进入、蜜阱技术等主动进行收集，从而分析得到有效的电子数据用于预防、打击网络犯罪。而这些各种各样的数据来自不同的数据源，其数据类型、数据结构有着巨大的差异，无法直接用于大数据分析，需将其根据电子取证的需求进行标准化处理，转化为可用于大数据处理的结构化、半结构化和非结构化数据，才能进行后续的大数据取证分析工作。因此异构数据处理方法的研究是实现大数据取证分析的基础。

（2）多源日志信息的融合与关联分析技术。以维护数据安全，保护关键基础设施为目的，研究不同系统平台下审计日志、应用程序日志和网络日志等细粒度数据采集，准确定位黑客电脑的物理位置，勾画黑客设备移动轨迹图，从海量监控摄像数据中迅速找到黑客的面部特征。

（3）网络黑客攻击追踪溯源技术。网络取证中的相关性分析研究主要因为网络攻击行为往往是分布、多变的，因此对结果的认定需要将各个取证设施和取证手法得到的数据结合起来进行关联分析以了解其中的相关性以及对结果产生的因果关系和相互确证，才可以重构过程。通过溯源图构建，存储，查询和可视化，实现网络攻击调查取证与攻击重建，解决攻击语义鸿沟等问题。

（4）网络流量分析技术。针对广域网、园区有线网、无线网等不同网络目标，截获各级各类网络流量，分析黑客的通信要素和信息内容，追踪黑客在网络中的运动轨迹。

3 大数据背景下网络犯罪电子数据的应用对策

3.1 应遵循的基本原则

网络犯罪电子数据是指网络犯罪电子信息的收集、提取、固化和存储，通过法律规定的各种技术手段收集大量数据。与传统的数据收集、提取、固定和保全不同，网络犯罪电子数据由于其特殊性，不仅要严格遵循数据法定化的一般原则，而且要遵循一些特殊的原则，保障电子数据收集的客观性、完整性和合法性，关系到网络犯罪电子数据的收集[4]。

3.1.1 合法性原则

罪刑法定原则是侦查人员获取网络犯罪电子数据的基本原则，如果没有这类数据，就不能以网络犯罪电子数据作为判断依据，更不能重新认定网络犯罪事实。合法性原则主要包括人员、取证装备和取证流程。取证程序是否合法、规范、严格，决定了电子证据的可靠性和最终能否被采信，合法性原则是保护证据的需要，也是保护自身的需要。对于取证主体必须合法，侦查人员侦查某些网络犯罪，如重大贪污贿赂案件，可以通过电子监控、电子拦截等技术侦查措施，根据调查要求依法移交国家安全机关。因此，在收集、提取电子数据实施网络犯罪的情况下，在需要使用电子监控、电子拦截等侦查手段时，监察机关无权直接使用技术侦查措施，应当委托有关机关进行技术侦查，如公安机关未经批准擅自取得相应的电子数据，所取得的数据因主体的违法性而丧失其效力。

3.1.2 统一性原则

一致性原则是保证数据收集过程的一致性，采取书面记录的形式，并同步录像。根据法律规定，调查人员必须提交书面记录并签字，取证过程必须与录音录像带同步，并与案卷同步。因此，可以避免因视听记录不全而对电子数据的证明能力和证明能力产生不利影响，并对数据收集情况、证人在场情况、陈述和行为进行记录，以保证案件侦查的进一步进展。值得注意的是，为了统一检查机关收集的网络犯罪电子数据，需要专门机构的专家意见来确定电子数据的资格。这种识别还包括在使用电子数据时需要转换的特征，这也表明电子数据通常是保密的。

3.2 完善的具体路径

3.2.1 加强对取证行为的规范引导

加强数据管理，主要包括：规范不同的数据方法，建立完善的安全管理体系。首先，规则采用不同的证明方法。大数据所包含的网络犯罪电子数据的一个显著特点是:其性质多种多样，可以通过不同的方法获取。因此，获取电子数据的方法应分为一般方法和特殊方法。同时，考虑到数据方法的复杂性，应根据情况的需要采用不同的数据方法。一般方法是在电子数据未被篡改、损坏的情况下，采用与传统数据方法类似的数据方法，包括打印、拍照、复制、扣押等，电子形式的特殊证明方法建议，网络犯罪电子数据被篡改、损坏时，由专业技术人员结合相关数据进行维护、分析和提取，对工作人员的专业水平提出了更高的要求。其特殊方法包括：一是当数据因人为隐瞒而无法呈现、读取或丢失时，对数据进行恢复，破坏介质或设备、操作系统本身的故障等未读数据的恢复和恢复技术。数据检索，涉及在更广泛的数据背景下运用检索技术选择和提取电子数据，网络犯罪取证的必要条件包括数据库检索、网络数据检索和存储介质的电子数据检索[5]。

3.2.2 加强调查人员取证能力建设

网络犯罪电子数据的收集涉及面广、知识面广，加强侦查人员取证能力，必须从软硬件两方面入手。通过建立培训机制，培训调查人员大数据技术基础和电子数据取证综合能力，训练网络犯罪侦查思维，使他们能够对趋势作出积极的反应，实现从传统办案方式向以大数据技术与取证技术相结合的网络犯罪侦查模式的转变。

4 结论

综上所述，在大数据时代，电子数据是处理网络犯罪的“辅助工具”，网络犯罪电子数据具有拓展案件信息来源的功能，应保持正确的侦查方向，迅速打破僵局，有效整合侦查资源，还原事实。目前各界对大数据技术的研究较多，而对大数据环境下的电子数据取证技术和方法的研究较少，目前尚无成熟的相关技术方案。实际上，没有一个全面和系统的行动程序来指导和管理取证调查人员的行动。因此，在更广泛的数据和《数据安全法》背景下，更体现出此项研究的重要意义和在国家战略中的政治意义。