劉三滿，劉荷花

(1.山西警察學(xué)院，山西 太原 030401；2. 太原學(xué)院，山西 太原 030032)

技術(shù)改變世界。在云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能迅猛發(fā)展的今天，大數(shù)據(jù)共享和開放給人們帶來前所未有的便利，大數(shù)據(jù)已經(jīng)成為整個(gè)社會(huì)運(yùn)行的基礎(chǔ)資源，改變著人們的生產(chǎn)、生活甚至思維方式。大數(shù)據(jù)對(duì)計(jì)算機(jī)取證領(lǐng)域的波及，不可避免，而且影響直接、深刻。

1 大數(shù)據(jù)的定義、構(gòu)成、特征、技術(shù)、思維、應(yīng)用

1.1 大數(shù)據(jù)技術(shù)定義

大數(shù)據(jù)(big data)技術(shù)指：從數(shù)據(jù)規(guī)模巨大及查詢分析復(fù)雜的巨量數(shù)據(jù)中，在合理時(shí)間內(nèi)，快速擷取、管理、處理、并整理有價(jià)值信息的技術(shù)。

哈佛大學(xué)社會(huì)學(xué)教授加里·金說:“這是一場(chǎng)革命，龐大的數(shù)據(jù)資源使得各個(gè)領(lǐng)域開始了量化進(jìn)程，無論學(xué)術(shù)界、商界還是政府，所有領(lǐng)域都將開始這種進(jìn)程?！?/p>

1.2 大數(shù)據(jù)構(gòu)成

大數(shù)據(jù)包括交易數(shù)據(jù)和交互數(shù)據(jù)。

1) 海量交易數(shù)據(jù)：交易信息主要包括聯(lián)機(jī)交易數(shù)據(jù)和聯(lián)機(jī)分析數(shù)據(jù)，是結(jié)構(gòu)化的、通過關(guān)系數(shù)據(jù)庫(kù)進(jìn)行管理和訪問的靜態(tài)、歷史數(shù)據(jù)。通過這些數(shù)據(jù)，我們能了解過去發(fā)生了什么。

2) 海量交互數(shù)據(jù)：源于Facebook、Twitter、LinkedIn及其他來源的社交媒體數(shù)據(jù)構(gòu)成。它包括呼叫詳細(xì)記錄CDR、設(shè)備和傳感器信息、GPS和地理定位映射數(shù)據(jù)、通過管理文件傳輸Manage File Transfer協(xié)議傳送的海量圖像文件、Web文本和點(diǎn)擊流數(shù)據(jù)、科學(xué)信息、電子郵件等。通過這些數(shù)據(jù)，可以告訴我們未來會(huì)發(fā)生什么。

1.3 大數(shù)據(jù)特征

“大數(shù)據(jù)”的顯著特征可以用4個(gè)V來總結(jié)：

1) 大量化(Volume)：量比較大，用戶每秒就要進(jìn)入很多數(shù)據(jù)， PB化是比較常態(tài)的情況。

2) 多樣化(Variety)：海量數(shù)據(jù)有不同格式，常見的有結(jié)構(gòu)化數(shù)據(jù)、半結(jié)據(jù)化網(wǎng)頁(yè)數(shù)據(jù)、非結(jié)構(gòu)化視頻音頻數(shù)據(jù)。數(shù)據(jù)類型繁多，包括網(wǎng)絡(luò)日志、音頻、視頻、圖片、地理位置信息等等。

3) 快速化(Velocity)：和傳統(tǒng)的數(shù)據(jù)挖掘技術(shù)有著本質(zhì)不同，大數(shù)據(jù)存在時(shí)效性，業(yè)內(nèi)有1秒定律，要求快速處理得到結(jié)果。

4) 價(jià)值密度低(Value)。大量的不相關(guān)信息，不經(jīng)過處理則價(jià)值較低，屬于價(jià)值密度底的數(shù)據(jù)。以視頻為例，連續(xù)不間斷監(jiān)控過程中，可能有用的數(shù)據(jù)僅僅有一兩秒。

1.4 大數(shù)據(jù)技術(shù)

大數(shù)據(jù)技術(shù)主要有數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析與數(shù)據(jù)挖掘。

1) 數(shù)據(jù)采集：大數(shù)據(jù)采集并發(fā)數(shù)高，有可能同時(shí)會(huì)有成千上萬的用戶訪問和操作。

2) 數(shù)據(jù)存儲(chǔ)：采集端會(huì)有很多數(shù)據(jù)庫(kù)，但要對(duì)海量數(shù)據(jù)進(jìn)行有效分析，應(yīng)將這些數(shù)據(jù)集中到大型分布式數(shù)據(jù)庫(kù)，在導(dǎo)入基礎(chǔ)上，將分布的、異構(gòu)數(shù)據(jù)源中的數(shù)據(jù)如關(guān)系數(shù)據(jù)、平面數(shù)據(jù)文件等抽取到臨時(shí)中間層進(jìn)行清洗、轉(zhuǎn)換、集成，最后加載到數(shù)據(jù)倉(cāng)庫(kù)或數(shù)據(jù)集中，成為聯(lián)機(jī)分析處理、數(shù)據(jù)挖掘的基礎(chǔ)。

3) 數(shù)據(jù)處理：利用分布式數(shù)據(jù)庫(kù)或分布式計(jì)算集群，對(duì)存儲(chǔ)的海量數(shù)據(jù)進(jìn)行普通分析和分類匯總，以滿足常見的分析需求。

4) 數(shù)據(jù)挖掘：對(duì)現(xiàn)有數(shù)據(jù)用各種算法計(jì)算，起到預(yù)測(cè)(Predict)效果，實(shí)現(xiàn)一些高級(jí)別數(shù)據(jù)分析需求。

1.5 大數(shù)據(jù)思維

1) 不是隨機(jī)樣本，是全體數(shù)據(jù)

以前通常隨機(jī)采樣。在大數(shù)據(jù)時(shí)代，我們可以分析更多的數(shù)據(jù)，有時(shí)候甚至可以處理和某個(gè)特別現(xiàn)象相關(guān)的所有數(shù)據(jù)，全體數(shù)據(jù)。

2) 不是精確性，是混雜性

大數(shù)據(jù)時(shí)代，不執(zhí)著微觀層面精確性追求，不需要對(duì)一個(gè)現(xiàn)象刨根問底，強(qiáng)調(diào)數(shù)據(jù)的完整性、混雜性和宏觀層面擁有更好的洞察力和接近事實(shí)真相。

3) 不是因果關(guān)系，是相關(guān)關(guān)系

在大數(shù)據(jù)時(shí)代，我們不再偏執(zhí)基于假設(shè)基礎(chǔ)上對(duì)因果關(guān)系的追尋，不是所有的事情都必須知道現(xiàn)象背后的原因，而應(yīng)該尋找事物之間的相關(guān)關(guān)系。相關(guān)關(guān)系的核心是量化兩個(gè)數(shù)據(jù)值之間的數(shù)理關(guān)系。相關(guān)關(guān)系強(qiáng)是指一個(gè)數(shù)據(jù)增加時(shí)，另一個(gè)數(shù)據(jù)值很有可能也會(huì)隨之增加。相關(guān)關(guān)系強(qiáng)，一個(gè)相關(guān)鏈接成功的概率會(huì)很高。建立在相關(guān)關(guān)系分析法基礎(chǔ)上的預(yù)測(cè)是大數(shù)據(jù)的核心。相關(guān)關(guān)系也許不能準(zhǔn)確地告訴我們某件事情為何會(huì)發(fā)生，但是它會(huì)提醒我們這件事情正在發(fā)生。

1.6 大數(shù)據(jù)應(yīng)用

大數(shù)據(jù)對(duì)社會(huì)經(jīng)濟(jì)生活產(chǎn)生的影響，既有生產(chǎn)力層面技術(shù)層面的影響，更有生產(chǎn)關(guān)系層面的影響。既有信息通信產(chǎn)業(yè)方面的影響，更有重構(gòu)很多傳統(tǒng)行業(yè)方面的影響。

1) 大數(shù)據(jù)在商業(yè)方面的應(yīng)用，比如：沃爾瑪通過數(shù)據(jù)挖掘重塑并優(yōu)化供應(yīng)鏈，淘寶通過對(duì)海量數(shù)據(jù)的掌握和分析，為用戶提供更加專業(yè)化和個(gè)性化的服務(wù)。

2) 大數(shù)據(jù)在社會(huì)建設(shè)方面的應(yīng)用，比如：智能電網(wǎng)、智慧交通、智慧醫(yī)療、智慧環(huán)保、智慧城市等的蓬勃興起，都與大數(shù)據(jù)技術(shù)與應(yīng)用的發(fā)展息息相關(guān)。

3) 大數(shù)據(jù)在網(wǎng)監(jiān)、刑偵、經(jīng)偵方面的電子數(shù)據(jù)取證應(yīng)用，比如：政府在公安、海關(guān)、稅務(wù)等部門，都有大量的電子數(shù)據(jù)取證業(yè)務(wù)需求。公安系統(tǒng)的取證應(yīng)用，向刑偵、經(jīng)偵等其他警種和基層雙向延伸;檢察院、工商、稅務(wù)、海關(guān)、食藥監(jiān)、證監(jiān)等行業(yè)的電子數(shù)據(jù)取證應(yīng)用，也持續(xù)向深度應(yīng)用和基層方向延伸。

2 大數(shù)據(jù)時(shí)代計(jì)算機(jī)取證的幾種主要方法和技術(shù)

2.1 數(shù)據(jù)搜索

數(shù)據(jù)搜索可以分為數(shù)據(jù)庫(kù)數(shù)據(jù)搜索、互聯(lián)網(wǎng)數(shù)據(jù)搜索和電子數(shù)據(jù)搜索三類。

1) 數(shù)據(jù)庫(kù)搜索：依托已有的各種數(shù)據(jù)庫(kù)和各種社會(huì)行業(yè)數(shù)據(jù)庫(kù)，在封閉環(huán)境中進(jìn)行庫(kù)內(nèi)搜索。常用的數(shù)據(jù)庫(kù)主要有:公安機(jī)關(guān)自有八大系統(tǒng)數(shù)據(jù)庫(kù)、檢察機(jī)關(guān)自有數(shù)據(jù)庫(kù)、社會(huì)行業(yè)數(shù)據(jù)庫(kù)、政府?dāng)?shù)據(jù)統(tǒng)一開放平臺(tái)、專業(yè)的“數(shù)據(jù)超市”等。

2) 互聯(lián)網(wǎng)搜索：對(duì)開放的海量互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行搜索，可以將與案件或嫌疑人相關(guān)的關(guān)鍵詞輸入互聯(lián)網(wǎng)，用搜索引擎技術(shù)(search engine) 進(jìn)行搜索，并根據(jù)互聯(lián)網(wǎng)反饋信息，進(jìn)行多次搜索分析，精準(zhǔn)查找到關(guān)鍵信息。還可以利用網(wǎng)絡(luò)平臺(tái)，主動(dòng)征集案件有關(guān)信息。如利用微博公眾號(hào)發(fā)布通緝令，征集與案件有關(guān)的線索。

3) 電子數(shù)據(jù)搜索：是對(duì)已獲取的海量電子數(shù)據(jù)中查找、提取與案件有關(guān)的數(shù)據(jù)，采取恢復(fù)、提取等手段，以進(jìn)一步篩選，獲取與案件有關(guān)的數(shù)據(jù)信息。

2.2 數(shù)據(jù)碰撞

數(shù)據(jù)碰撞指：通過專門的計(jì)算機(jī)軟件，對(duì)兩個(gè)或兩個(gè)以上的數(shù)據(jù)庫(kù)、數(shù)據(jù)集進(jìn)行碰撞比對(duì)，對(duì)由此產(chǎn)生的重合數(shù)據(jù)、交叉數(shù)據(jù)進(jìn)行深度分析。

數(shù)據(jù)碰撞一般步驟如下：第一步，確定查找對(duì)象。第二步，根據(jù)查找對(duì)象，確定一定時(shí)空范圍的相關(guān)數(shù)據(jù)集。第三步，對(duì)選取的數(shù)據(jù)集，用能夠直接指向?qū)?yīng)的人或物的身份證號(hào)、姓名、手機(jī)號(hào)、賬號(hào)、車牌號(hào)、手機(jī)串號(hào)等帶有唯一性特征的“標(biāo)識(shí)數(shù)據(jù)”，進(jìn)行碰撞比對(duì)，碰撞匹配出的具有關(guān)聯(lián)性或者同一性的“節(jié)點(diǎn)數(shù)據(jù)”，便是可疑目標(biāo)數(shù)據(jù)。第四步，根據(jù)案情對(duì)節(jié)點(diǎn)數(shù)據(jù)進(jìn)行分析研判，獲取更多線索。

大數(shù)據(jù)時(shí)代計(jì)算機(jī)取證實(shí)務(wù)中，數(shù)據(jù)碰撞常見的類型有話單數(shù)據(jù)碰撞、軌跡數(shù)據(jù)碰撞、交易數(shù)據(jù)碰撞等。

2.3 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘(data-mining)是大數(shù)據(jù)的核心技術(shù)，精髓在于對(duì)海量數(shù)據(jù)分析，發(fā)現(xiàn)事物、現(xiàn)象背后所隱藏的深層次規(guī)律。數(shù)據(jù)挖掘需要依靠統(tǒng)計(jì)學(xué)、人工智能、機(jī)器學(xué)習(xí)、數(shù)據(jù)庫(kù)技術(shù)、并行計(jì)算、分布式計(jì)算等多種技術(shù)。數(shù)據(jù)挖掘的技術(shù)性較強(qiáng)，一般需要運(yùn)用專門分析軟件。如手機(jī)取證軟件、郵件分析軟件、話單分析軟件等。數(shù)據(jù)挖掘主要分析技術(shù)有:

1) 關(guān)聯(lián)性分析：憑人類經(jīng)驗(yàn)可以看出事物之間顯而易見的關(guān)聯(lián)，數(shù)據(jù)挖掘則能夠?qū)⒁恍╇[含的、甚至常理無法理解的關(guān)聯(lián)關(guān)系找出來。

2) 分類分析：分類分析是根據(jù)數(shù)據(jù)特征，為每個(gè)類別建立一個(gè)模型，根據(jù)數(shù)據(jù)屬性將其分配到不同組別。

3) 聚類分析：將具有相似性的數(shù)據(jù)聚集在一起。

4) 時(shí)序分析：找出數(shù)據(jù)在時(shí)間上所呈現(xiàn)的規(guī)律。

5) 異常分析：找出明顯不同于既定模式的數(shù)據(jù)。

2.4 數(shù)據(jù)畫像

在過去，對(duì)犯罪分子特征的描述，來源于個(gè)案中犯罪現(xiàn)場(chǎng)、物證、行為證據(jù)，結(jié)合主觀經(jīng)驗(yàn)判斷。在大數(shù)據(jù)時(shí)代，可以通過“數(shù)據(jù)畫像”。

“數(shù)據(jù)畫像”指對(duì)偵查機(jī)關(guān)的數(shù)據(jù)庫(kù)數(shù)據(jù)、社會(huì)行業(yè)的數(shù)據(jù)庫(kù)數(shù)據(jù)、大數(shù)據(jù)公司的用戶數(shù)據(jù)、個(gè)人電子設(shè)備數(shù)據(jù)，通過大數(shù)據(jù)智能挖掘和人工分析研判，將嫌疑人的碎片數(shù)據(jù)收集整合，對(duì)嫌疑人的身份信息、行為軌跡、消費(fèi)習(xí)性、經(jīng)濟(jì)狀況、家庭關(guān)系、興趣愛好、人際交往等特征，以數(shù)據(jù)形式表現(xiàn)出來。如：原平市某財(cái)會(huì)人員貪污案。

2.5 犯罪網(wǎng)絡(luò)分析

犯罪活動(dòng)也是一種社會(huì)活動(dòng)，往往具有組織化、團(tuán)伙化的群體性特點(diǎn)?，F(xiàn)在很多犯罪分子進(jìn)行網(wǎng)絡(luò)聯(lián)系，留下了數(shù)據(jù)痕跡，可以通過數(shù)據(jù)挖掘技術(shù)，分析他們的話單數(shù)據(jù)、社交網(wǎng)絡(luò)數(shù)據(jù)、即時(shí)通訊數(shù)據(jù)、郵件來往數(shù)據(jù)等還原出犯罪網(wǎng)絡(luò)關(guān)系圖，自動(dòng)分析犯罪成員間的互動(dòng)關(guān)系，識(shí)別出犯罪組織中的核心成員、一般成員，以他們?yōu)橥黄瓶?，進(jìn)一步挖掘犯罪網(wǎng)絡(luò)關(guān)系。

2.6 犯罪熱點(diǎn)分析

“犯罪熱點(diǎn)分析”，指通過對(duì)重點(diǎn)地區(qū)的歷史犯罪數(shù)據(jù)，將地理空間特征與時(shí)間特征相結(jié)合，運(yùn)用大數(shù)據(jù)算法，探索犯罪活動(dòng)的時(shí)空模式特征，分析犯罪熱點(diǎn)、犯罪密度在時(shí)間上的變化趨勢(shì)和規(guī)律，并對(duì)該地區(qū)未來犯罪活動(dòng)的發(fā)生概率進(jìn)行預(yù)測(cè)。

各種網(wǎng)絡(luò)與信息安全事件以及涉信息網(wǎng)絡(luò)違法犯罪行為越來越多，因此，計(jì)算機(jī)取證也必將面臨許多新技術(shù)和新問題需要加以解決或克服。同時(shí)，這也將促進(jìn)計(jì)算機(jī)取證在理論、技術(shù)、工具和標(biāo)準(zhǔn)規(guī)范上的不斷發(fā)展和應(yīng)用。