大數據環境下電子物證技術的挑戰與方法應對

黃玉萍　劉志軍　王寧

【摘 要】隨著大數據時代的到來，刑事偵查中收集到的電子數據量越來越大，如何有效地對這些數據進行篩選、分析，成為電子物證工作中的一個難題。通過將數據整合、數據挖掘、云計算、可視化等技術應用到電子物證中，有助于提升對大數據的分析、處理能力，實現從海量數據中快速、有效地挖掘出有價值的信息，從而為刑事案件突破及證據固定提供有力支撐。

【關鍵字】電子物證;大數據;網絡犯罪偵查

中圖分類號： D925.2 文獻標識碼： A 文章編號： 2095-2457（2019）05-0170-003

0 引言

刑事科學技術是指公安等偵查主體應用現代科學技術的成果和方法，對涉及到犯罪活動有關的物證材料進行收集、檢驗和鑒定，為劃定偵查范圍，確定偵查方向提供科技支撐。刑事科學技術檢驗包括痕跡檢驗、法醫檢驗、生物物證、刑事化驗、聲像技術、文件檢驗、警犬技術、心里測試和電子物證等九大部分。隨著刑事犯罪案件中涉及的電子數據越來越多，電子物證在刑事案件中的作用越來越重要。根據公安部物證鑒定中心統計，在刑事案件的偵破過程中，85%的電子物證檢驗結果為案件的偵破提供了至關重要的線索[1]，當前電子物證已經成為刑偵部門破案新的增長點和突破口。

隨著信息技術的發展，大數據（Big Data）時代也到來了。2018年1月24日，公安部黨委書記、部長趙克志在全國公安廳局長會議上指出：“要堅持實戰引領，充分運用大數據等新技術手段，積極構建以大數據智能應用為核心的智慧警務新模式，著力提高預測預警能力、精確打擊能力和動態管理能力，不斷提升公安工作智能化水平。”[2]

綜上所述，研究大數據環境下的電子物證問題具有重要的意義。在分析了電子物證技術的發展和應用現狀后，本文探討了大數據環境下電子物證面臨的挑戰以及應對的方法。

1 電子物證技術

電子物證技術在國外已經發展了30多年，早期電子物證主要在歐美執法部門和司法機關使用，電子物證檢驗的對象主要是大型機、個人計算機、公司的數據記錄和計算機輔助欺詐，技術上以數據恢復技術為主。隨著Internet網的普及應用，電子物證檢驗從獨立的個人計算機擴大到網絡入侵、數據解密等專業化領域，出現了大量的電子物證檢驗分析工具，如基于Windows界面的Encase、FTK、iLook、ACES等工具，基于Linux的TSK、SMART、HELEX等工具。電子物證檢驗的對象也更加多樣化，不僅包括文件系統、網絡、也包括手機、MP3、PDA、以及網絡社交系統、手機游戲平臺、電子郵件、商業業務記錄系統等。

近年來，全國公安機關高度重視電子物證技術在刑事犯罪偵查中的應用，各縣市公安機關基本都配備了專業的電子物證設備，為刑事犯罪偵查中電子物證提供技術支撐。公安部刑事偵查局也在加大對電子物證的投入，每年舉辦多期電子物證相關的專業培訓，提升電子物證人員的專業技術水平。同時為進一步提升電子物證更好地應用于刑事犯罪偵查案件的辦理，2017年5月9日，全國32個省、市、自治區的48支鑒定隊伍參加了由公安部刑事偵查局與中國合格評定國家認可委員會首次聯合組織的全國公安機關刑事技術實驗室電子物證專業能力驗證活動[3]。

總的來說，電子數據承載著豐富的案件信息，可以真實、準確、客觀地反映涉及違法犯罪的作案活動情況。在刑事偵查活動中，電子物證檢驗結果可以作為案件偵查的線索，其主要應用于，但不限于如下方面：一是明確發案時間。如利用系統日志、文件時間屬性等，結合其它信息，可以對案發時間進行判定。二是明確發案地點。如利用手機GPS痕跡信息等對案發地點進行判定。三是確定嫌疑人。如以煽動顛覆國家政權罪為例，對行為人的IP地址和注冊信息的查詢，用于確定嫌疑人。四是確定案事件過程。如在郵件勒索案中利用日志信息、IP地址等信息的分析明確案（事）件過程。五是判明案事件性質。如在一些案件中利用手機短信、聊天記錄、照片等電子數據為案事件定性和法庭訴訟提供有力證據。

2 大數據環境下電子物證技術面臨的挑戰

目前大數據的研究與應用已經成為國內外的熱點。大數據時代的到來最早由麥肯錫提出，就如何管理大數據，《科學》雜志在2011年以專刊形式進行了討論，Gartner把大數據技術列入全球未來5年10大關鍵技術趨勢之一[4]。大數據對當今社會的影響已經擴展到社會各領域，在此背景下，電子物證也面臨著新的要求和挑戰，主要表現在以下方面。

2.1 電子物證檢驗對象的多樣化

傳統的刑事犯罪偵查中，手機以及計算機中存儲著嫌疑人個人的使用痕跡信息，例如短信、通信錄、通話記錄、照片、聊天數據等記錄著犯罪嫌疑人的日常行為信息，通過電子物證檢驗，這些數據可以成為刑事犯罪偵查重要的線索來源。

大數據時代，刑事犯罪偵查中的線索來源將從計算機數據延伸到物聯網、智能手機、可穿戴設備等多終端數據。一方面技術的發展和用戶使用互聯網載體習慣的改變，作為犯罪的新型智能終端工具被大量使用，如云存儲系統，Xbox、PS4游戲主機，iCloud、可穿戴設備參與到犯罪活動中 。另一方面，基于大數據、人工智能帶動的公有云計算的市場需求空間，很多記錄刑事犯罪行為數據也從終端設備向云端遷移，狡猾的犯罪嫌疑人可能將重要的文件存儲于“云端”。

2.2 電子物證檢驗數據的海量化

隨著信息技術和通信技術的發展，各種各樣存儲設備和業務系統被廣泛使用，成為人類記錄和存儲信息的主要方式，同時也記錄了犯罪行為。在大數據環境下，各種信息系統記錄著的這些犯罪行為的蛛絲馬跡可能存儲于云平臺上，分散在不同機房的物理服務器上，并且這些犯罪行為的蛛絲馬跡“藏身于”海量的其他數據之間，和海量的正常的數據信息混雜在一起，往往很難發現。

隨著海量數據的迅速發展，從海量數據中挖掘有用信息變得非常重要。但目前常用的電子物證技術己經越來越不適應愈發復雜的大數據環境，面對大數量級的數據，在電子物證檢驗中如何進行數據的整理和過濾，進而確立偵查的重點范圍;此外，一個異常行為往往隱藏在多個分散的數據之中，如何在被收集信息中發現潛在的異常行為等都是亟待解決的問題。

2.3 電子物證檢驗數據的異構化

相對于以往以文本為主的結構化數據，當前非結構化、半結構化的數據越來越多。例如電梯的攝像頭記錄早上出門的出行時間和狀態信息;道路的攝像頭記錄開車上班的車速和位置;上班期間，瀏覽的網頁記錄著搜索記錄和訪問過的網站，電話記錄著聯網對象和通話時長;下班回家，購物信息折射出的職業身份、購物喜好等性格特征。

這些不同來源的半結構化、非結構化數據中記錄了犯罪的“蛛絲馬跡”，可以用于嫌疑人及其關系、行為、物、時間、空間和主觀意圖數據的刑事偵查分析。如果僅對每個來源的數據進行單獨分析，不形成關聯分析，是很難以給刑事偵查提供有效的案件線索和證據來源。大數據環境下，電子物證人員如何將這些異構多源數據進行整合，發現和提供被檢驗數據信息中的內在因素模式和關聯，也是面臨的亟待解決的問題之一。

3 大數據環境下電子物證應對方法

3.1 整合各類資源

傳統的電子物證主要是針對獨立的物理實體進行檢驗，電子數據源包括計算機、筆記本電腦、手機、移動存儲介質等。大數據環境下，電子數據源是大數據宿主操作系統、客戶端虛擬主機、云客戶端軟件等。另一方面，相對于以往的結構化數據，大數據環境下非結構化、半結構化的數據越來越多，包括網絡日志、音頻、視頻、圖片、地理位置信息、電子郵件等多類型的數據。

大數據環境下電子物證檢驗采集到的涉案數據信息來源是多渠道、分散的，重復、冗余的數據信息充斥其間。首先電子物證鑒定中心要建立自己的數據中心，對采集的信息進行自動并及時存儲在數據中心中。其次，將這些不同來源的數據進行數據集成，整合結構化數據、非結構化數據與半結構化數據，將數據進行預處理，便于滿足電子物證大數據分析的相關要求。再次，各級物證鑒定中心之間的數據中心要可以共享，形成資源之間的互相調用。當然，由于案件信息數據屬于涉密信息，需要物理隔離地存儲在內部網絡，可通過網閘等技術解決內外部網絡數據隔離的問題，實現數據之間的整合。

3.2 構建多級云計算平臺

傳統的電子物證平臺在面對容量為TB級別以上的硬盤數據時，其掛載、數據復制、數據解析速度已是目前電子物證檢驗的瓶頸。大數據環境下，電子物證所面對的案例往往有10TB甚至PB級別的數據體量。要實現對大數據的快速計算與分析，就需要一個具有強大計算能力的平臺，因此云計算平臺的構建也就不可或缺。

理想化的云計算平臺由公安部物證鑒定中心統一建設，各級物證鑒定中心根據提供的賬號進行使用，但是限于當前數據信息還未整合進來，是否統一建設云計算平臺尚還缺乏有效的論證。因此建議在市級以上的公安機關物證鑒定中心分別建立一套云平臺，區縣級公安機關共用市級公安機關的云平臺。一些刑事案件具有很強的地域性，犯罪嫌疑人的生活圈往往局限在本地區內，只需要調用本地數據中心的數據通過云平臺進行計算分析，對于跨地區的案件再行申請調用上級公安機關的云平臺，這樣既保證了數據分析的高效，又緩解了公安部物證鑒定中心云平臺的壓力。

3.3 引入數據挖掘技術

數據挖掘技術不但具備了對大數據的處理能力，而且還具有從大量數據中尋找其潛在規律的能力，利用數據挖掘技術可以解決刑事偵查中大量數據分析難的問題。將數據挖掘技術引入到電子物證中，就能夠對收集的海量、不完整的數據信息進行分析，找出數據間存在的潛在關系，發現未知的潛在證據。

經過數據的整合、數據轉換等后，將來源分散、無序的數據變成有組織、條理化的檔案化數據。在此基礎上，通過數據挖掘，可實現由案到人、由物到人、串并案件、以及案件時空等的關聯分析。例如，可以通過關聯分析尋找電子數據中的相關性，找出不同數據源間的數據的隱藏聯系;通過時間序列分析可以對過去事件發生的時間進行分析，掌握時序序列中蘊含的規律，進而預測未來事件發生的時間等等。同時也可以采取多種數據挖掘算法對電子數據進行分析，達到最優的數據分析處理效果。

3.4 運用可視化技術

大數據環境下，采集的電子物證檢驗數據在數量和復雜度上都給電子物證數據鑒定分析帶來巨大的挑戰。數據可視化技術能以圖形圖像方式將數據的各個屬性值以多維數據的形式表示，并能結合數據分析發現其中的未知信息。利用可視化技術，電子物證鑒定人員從不同的維度觀察數據，分析推理數據，證實假設結論，有助于電子物證鑒定人員探索、分析和解釋復雜的海量數據，深入地從電子物證大數據中挖掘出有效的內部規律。

在實際應用過程中，電子物證鑒定人員首先需要選擇一種大數據可視化分析軟件，將數據轉化為直觀分析的圖形和圖像;然后，結合自身的專業電子物證鑒定知識、技術以及從業經驗，發揮視覺系統的優勢，對得到的圖形和圖像進行觀察、認知、分析，從而便于系統地理解和分析電子物證鑒定數據的內涵與特征規律，從不同方面獲得對被鑒定檢驗數據的理解。

4 結束語

大數據時代背景下，電子物證在刑事偵查中的作用也將日益突顯。在大數據環境下探究電子物證的挑戰與應對方法，有助于促使電子物證相關技術水平的提升。大數據環境下，需要不斷革新電子物證理念與技術創新，讓大數據變成活數據、有價值的數據、能為刑事偵查所用的數據，從而發揮出電子物證的最大實效。

【參考文獻】

[1]王震. 關于刑偵部門電子物證檢驗工作的探索[J]. 黑龍江科技信息，2016（25）：198-199.

[2]公安部部長趙克志：迅速形成對黑惡勢力犯罪的壓倒性態勢https：//news.sina.com.cn/c/2018-01-25/doc-ifyqyesy1639591.shtml.

[3]CNAS與公安部首次聯合開展刑事技術實驗室現場能力驗證[EB/OL]http：//www.cnca.gov.cn/xxgk/hydt/201705/t20170510_54224.shtml.

[4]陳偉，SMIELIAUSKAS Wall. 大數據環境下的電子數據審計：機遇、挑戰與方法[J].計算機科學， 2016（1）：9-13，34.