◆陳云云 梁達(dá)鵬

基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證技術(shù)研究

◆陳云云1梁達(dá)鵬2

（1.山西警察學(xué)院 山西 030401；2.郵儲銀行山西省分行 山西 030001）

由于大數(shù)據(jù)的發(fā)展，電子數(shù)據(jù)取證對象的變化給電子數(shù)據(jù)取證帶來了極大的挑戰(zhàn)。針對此問題，本文提出基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證技術(shù)研究。通過對目前電子數(shù)據(jù)取證面臨海量數(shù)據(jù)、數(shù)據(jù)多樣性、取證準(zhǔn)確度、數(shù)據(jù)存儲安全性等多個方面的問題進(jìn)行研究分析，運用Hadoop、可視化、層次化等基于大數(shù)據(jù)架構(gòu)的方法進(jìn)行電子數(shù)據(jù)取證分析，并與傳統(tǒng)電子取證技術(shù)進(jìn)行對比分析，發(fā)現(xiàn)基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證技術(shù)具有較高的準(zhǔn)確度，取證效率高，安全性有較大提升。

大數(shù)據(jù)；電子數(shù)據(jù)取證；取證技術(shù)

1 引言

根據(jù)《2020-2024年中國電子取證市場可行性研究報告》顯示，我國在加大對大數(shù)據(jù)的政策支持，同時大數(shù)據(jù)應(yīng)用模式的發(fā)展環(huán)境也在逐步成熟，在政策和環(huán)境的驅(qū)動下，我國大數(shù)據(jù)市場在保持著快速增長的趨勢，發(fā)展到2018年已經(jīng)增長至325億元以上，同上一年市場規(guī)模相比，大約增長了38.3%。面對增值如此快的數(shù)據(jù)量，傳統(tǒng)電子數(shù)據(jù)取證技術(shù)手段遭遇巨大的困境，因此，研究基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證技術(shù)具有重要的價值。

本文主要研究基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證技術(shù)，通過對大數(shù)據(jù)環(huán)境進(jìn)行分析，利用大數(shù)據(jù)環(huán)境的特征進(jìn)行電子數(shù)據(jù)取證，降低電子數(shù)據(jù)取證難度，提高電子數(shù)據(jù)取證準(zhǔn)確度及安全性。

2 電子數(shù)據(jù)取證的定義

2.1 電子數(shù)據(jù)取證

電子數(shù)據(jù)取證，是指利用計算機軟硬件技術(shù)，以符合法律規(guī)范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進(jìn)行證據(jù)獲取、保存、分析和出示的過程。在一些利用計算機進(jìn)行犯罪的案件中，犯罪嫌疑人在毀滅犯罪證據(jù)的情況下，需要用數(shù)據(jù)恢復(fù)軟件將丟失的數(shù)據(jù)進(jìn)行恢復(fù)。獲取丟失數(shù)據(jù)的過程就是電子數(shù)據(jù)取證的過程。主要包括四個方面，現(xiàn)場勘查、分析數(shù)據(jù)、追蹤數(shù)據(jù)和提交結(jié)果。

2.2 電子數(shù)據(jù)取證技術(shù)

電子數(shù)據(jù)取證技術(shù)就是經(jīng)過資格認(rèn)定的專業(yè)人員按照法律規(guī)定的程序?qū)﹄娮釉O(shè)備中存儲的電子證據(jù)進(jìn)行取證過程中運用的各種技術(shù)，主要包括數(shù)字時間、瀏覽器、移動終端、網(wǎng)絡(luò)電子、密碼破解、數(shù)據(jù)庫等方面的取證技術(shù)，同時也包括部分計算機取證軟件，比如TCT和Encase等。任何計算機犯罪都會留在計算機和互聯(lián)網(wǎng)上留下痕跡，電子數(shù)據(jù)取證技術(shù)的宗旨就是準(zhǔn)確辨別并提取犯罪者留下的痕跡信息，從而揭露其犯罪事實。

3 大數(shù)據(jù)時代電子數(shù)據(jù)取證面臨的挑戰(zhàn)

2010年以來，隨著大數(shù)據(jù)等技術(shù)的發(fā)展，各國都把網(wǎng)絡(luò)隱私設(shè)為立法保護(hù)范圍，電子數(shù)據(jù)取證迎來了巨大挑戰(zhàn)。面對大數(shù)據(jù)等技術(shù)手段，傳統(tǒng)電子數(shù)據(jù)取證技術(shù)遭遇巨大困難。

3.1 取證難度大

大數(shù)據(jù)時代對于數(shù)據(jù)的采集、存儲以及處理相較于傳統(tǒng)的小數(shù)據(jù)都有更高要求，且大數(shù)據(jù)技術(shù)與云計算技術(shù)更是密不可分。這使傳統(tǒng)的計算機取證工具面對大數(shù)據(jù)時顯得無能為力或者效率極低。其一，大數(shù)據(jù)是基于云計算的，而云計算又是基于網(wǎng)絡(luò)平臺，大數(shù)據(jù)環(huán)境下取證工具應(yīng)該支持網(wǎng)絡(luò)連接和分布式計算。然而，現(xiàn)在的取證工具即取證軟件和取證硬件基本都不支持網(wǎng)絡(luò)連接。這已經(jīng)不適應(yīng)大數(shù)據(jù)環(huán)境下的取證要求了。再者，大數(shù)據(jù)時代數(shù)據(jù)的海量性對數(shù)據(jù)的處理能力提出更高的要求?，F(xiàn)有的取證工具在取證效率上更是捉襟見肘。因此，大數(shù)據(jù)時代對取證工具的兼容性和高效性都有更進(jìn)一步的要求?，F(xiàn)有的取證工具需要進(jìn)行功能上的及時更新。

3.2 云安全問題

大數(shù)據(jù)技術(shù)應(yīng)用是建立在互聯(lián)網(wǎng)基礎(chǔ)上，很多數(shù)據(jù)都存儲在互聯(lián)網(wǎng)的云端，所以大數(shù)據(jù)和云計算是分不開的。云環(huán)境本身的特性，導(dǎo)致云安全在數(shù)據(jù)取證方面存在一定挑戰(zhàn)。一是云端共享，云端的數(shù)據(jù)處于離散狀態(tài)；二是云服務(wù)廠商采用基于動態(tài)伸縮的存儲技術(shù)，導(dǎo)致釋放出來的空間被其他服務(wù)器重新使用，釋放掉的數(shù)據(jù)難以找回。這些特性，致使在電子數(shù)據(jù)取證中，難以使用靜態(tài)分析技術(shù)對數(shù)據(jù)進(jìn)行準(zhǔn)確分析，且對云安全提出了挑戰(zhàn)。

4 基于大數(shù)據(jù)架構(gòu)的取證研究

4.1 大數(shù)據(jù)架構(gòu)

大數(shù)據(jù)架構(gòu)的核心思想是將大量數(shù)據(jù)源收集的數(shù)據(jù)接入到數(shù)據(jù)處理模塊中，這些處理模塊能夠處理各種類型和格式的數(shù)據(jù)，并將它們存儲在一起。其實此處理模塊就是一個master/worker機制。一個master分配多個任務(wù)給worker系統(tǒng)，master的職責(zé)是負(fù)責(zé)協(xié)調(diào)和管理各個計算任務(wù)并確保worker計算系統(tǒng)能夠正常完成任務(wù)。

4.2 基于大數(shù)據(jù)架構(gòu)的取證

大數(shù)據(jù)架構(gòu)的出現(xiàn)徹底改變了電子數(shù)據(jù)取證的要求。傳統(tǒng)的電子數(shù)據(jù)取證的核心步驟包括從包含潛在的證據(jù)源的計算機中移除硬盤驅(qū)動器等存儲設(shè)備，計算MD5/SHA-1校驗、為獲取所有元數(shù)據(jù)而進(jìn)行物理收集等。大數(shù)據(jù)取證是對大數(shù)據(jù)系統(tǒng)中的電子數(shù)據(jù)證據(jù)進(jìn)行識別、收集、分析和展示，目標(biāo)是從大數(shù)據(jù)架構(gòu)里的分布式系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序里收集數(shù)據(jù)。

大數(shù)據(jù)取證系統(tǒng)是一個大型復(fù)雜的系統(tǒng)，系統(tǒng)里有成千上萬塊硬盤驅(qū)動器，當(dāng)系統(tǒng)關(guān)機時會丟失數(shù)據(jù)，所以為了保證取證的準(zhǔn)確性，系統(tǒng)需要一直保持開機狀態(tài)。大數(shù)據(jù)取證系統(tǒng)采集數(shù)據(jù)的方法為邏輯文件取證備份和基于查詢的收集等。

5 基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證新技術(shù)

5.1 云環(huán)境電子數(shù)據(jù)取證技術(shù)

隨著大數(shù)據(jù)的快速發(fā)展，越來越多的犯罪分子在云服務(wù)器上搭建網(wǎng)站和應(yīng)用進(jìn)行第四方支付、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪活動，如何對這些違法網(wǎng)站進(jìn)行快速固定和存證，如何對涉案云服務(wù)器進(jìn)行遠(yuǎn)程勘查取證成為執(zhí)法人員面臨的新難題。

云環(huán)境電子數(shù)據(jù)取證技術(shù)是指從云基礎(chǔ)設(shè)施采集數(shù)字取證數(shù)據(jù)。同時可以對遠(yuǎn)程服務(wù)器及云服務(wù)器取證，讓取證、調(diào)查人員可以對遠(yuǎn)程服務(wù)器上的基礎(chǔ)信息、網(wǎng)站連接信息、網(wǎng)站信息以及數(shù)據(jù)庫信息等進(jìn)行快速調(diào)查取證，還可以對數(shù)據(jù)重構(gòu)進(jìn)行深入的分析。還可以基于Windows平臺針對網(wǎng)站、網(wǎng)頁郵箱等的取證、存證及出證?？梢皂撁娼貓D（附帶URL）、屏幕錄像、實時哈希計算、生成取證報告等，所獲取證據(jù)文件無縫對接第三方電子數(shù)據(jù)存證云平臺進(jìn)行哈希值存證，當(dāng)需司法鑒定報告時，可在線提交申請并由具有法定資質(zhì)的司法鑒定機構(gòu)出具司法鑒定報告。

5.2 Hadoop電子數(shù)據(jù)取證技術(shù)

大數(shù)據(jù)取證不是取證人員簡單地從某個物理介質(zhì)里獲取所需要的數(shù)據(jù)，而是從海量的數(shù)據(jù)及其跨站點的存儲方式里獲得數(shù)據(jù)。Hadoop技術(shù)解決了此問題。作為Apache基金會框架解決方案，Hadoop是目前使用最廣泛的大數(shù)據(jù)電子取證技術(shù)，Hadoop是一個可靠的系統(tǒng)，具有豐富的大數(shù)據(jù)分層解決方案和工具系統(tǒng)。此系統(tǒng)是由Java語言編寫，而Java語言是一種高級語言，具有跨平臺性可以在不同的操作系統(tǒng)上運行。

5.3 可視化遠(yuǎn)程視頻電子數(shù)據(jù)取證技術(shù)

由于大數(shù)據(jù)的出現(xiàn)，對于跨區(qū)域犯罪，特別是電信網(wǎng)絡(luò)詐騙等受害人遍布全國各地的案件，可提高辦案效率，減少民警路途奔波，降低了提解在押人員的執(zhí)法風(fēng)險。

可視化遠(yuǎn)程視頻取證技術(shù)是通過采用互聯(lián)網(wǎng)技術(shù)，并結(jié)合顯示屏、攝像頭、電子簽名、打印機等輔助設(shè)備，進(jìn)行遠(yuǎn)程視頻取證，且對視頻資料進(jìn)行保存，并作為證據(jù)的一種技術(shù)，通過該技術(shù)可以解決遠(yuǎn)程辦理案件的詢問難、辨認(rèn)難等問題，實現(xiàn)遠(yuǎn)程協(xié)作辦案，取證過程智能留痕，結(jié)果自動傳輸，解決遠(yuǎn)程辦案及取證的問題。

5.4 層次化電子數(shù)據(jù)取證技術(shù)

為了應(yīng)對數(shù)據(jù)的快速增長，新的電子數(shù)據(jù)取證必須在傳統(tǒng)的取證流程上進(jìn)行改變，層次化取證技術(shù)就是來解決此問題的，層次化取證模型自下而上分為六個層次，分別為物理層、數(shù)據(jù)鏈路層、取證監(jiān)管層、證據(jù)分析層、公共服務(wù)層和資源調(diào)度層。

層次化取證模型的思想類似OSI模型的七層分層思想，每一層都有獨立的功能，下層為上層提供服務(wù)，上層調(diào)用上層的功能，上下層之間的交流通過接口來完成。物理層主要為證據(jù)提供來源，包括服務(wù)器、虛擬化設(shè)備和物理主機等。數(shù)據(jù)鏈路層是對證據(jù)進(jìn)行獲取。數(shù)據(jù)監(jiān)管層主要任務(wù)是對下面的物理層和數(shù)據(jù)鏈路層所有的操作進(jìn)行監(jiān)督、記錄，并生成報告，以確保數(shù)據(jù)的有效性，而且能成為法律依據(jù)[7]。數(shù)據(jù)分析層主要完成證據(jù)的分析和處理。應(yīng)用服務(wù)層主要為辦案人員提供取證結(jié)果。資源調(diào)度層主要為系統(tǒng)的高效運行提供保障。

6 結(jié)論

本文提出了基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證技術(shù)研究，采用可視化獲取更多的電子證據(jù)，并將電子證據(jù)分為支持信息證據(jù)、記錄證據(jù)、用戶和應(yīng)用程序證據(jù)三類。采用Hadoop分布式技術(shù)進(jìn)行取證分析，同時基于層次化取證技術(shù)，將電子數(shù)據(jù)分層取證，逐層分析。通過對比分析，大數(shù)據(jù)架構(gòu)下的電子數(shù)據(jù)取證技術(shù)，取證準(zhǔn)確度高，取證效率高，取證安全性得以解決。

[1]范寇艷.數(shù)據(jù)環(huán)境中的電子證據(jù)規(guī)則[J].檔案學(xué)研究，2017（S1）：101-107.

[2]張妍，邵淼，等.基于數(shù)字簽名技術(shù)的電子數(shù)據(jù)證據(jù)取證研究.計算機科學(xué)[J]，2015，42（10A）.

[3]李毅.電子數(shù)據(jù)取證發(fā)展概況[J].中國信息安全，2019（5）：44-47.

[4]SREMACK J.Big data forensics-learning hadoop investigations[M]. Livery Place：Packt Publishing Ltd，2015.

[5]朱彬，張文橋，何泓林.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究[J].信息通信，2019.

[6]周國民，劉昱成，陳光宣，等.面向Hadoop的大數(shù)據(jù)取證研究[J].中國人民公安大學(xué)學(xué)報（自然科學(xué)版），2020.

[7]劉衛(wèi)華.大數(shù)據(jù)環(huán)境下的電子取證研究[J].科技創(chuàng)新與應(yīng)用，2018（35）：75-76.

山西省“1331工程”重點學(xué)科建設(shè)計劃經(jīng)費資助（英文縮寫為“1331KSC”）；公安部重點實驗室2020開放課題：基于大數(shù)據(jù)架構(gòu)的公安信息化應(yīng)用；山西省哲學(xué)社會科學(xué)規(guī)劃課題（2020YY280）；新工科背景下公安院校網(wǎng)絡(luò)安全與執(zhí)法專業(yè)實踐教學(xué)改革研究