網(wǎng)絡(luò)犯罪原始電子數(shù)據(jù)研判系統(tǒng)的研究與設(shè)計(jì)

馬 丁，蘇鵬沖

(中國(guó)人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院，北京 1 02623)

0 引言

隨著計(jì)算機(jī)技術(shù)及互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)越來(lái)越多的參與到人們的工作與生活中，與此同時(shí)網(wǎng)絡(luò)犯罪案件也逐年大幅增加，網(wǎng)絡(luò)犯罪對(duì)國(guó)家安全、社會(huì)穩(wěn)定、個(gè)人利益的危害之重日益凸顯。各類網(wǎng)絡(luò)犯罪案件中，2012年新《刑事訴論法》中納入的電子數(shù)據(jù)逐漸成為案件破獲的關(guān)鍵，如何對(duì)其進(jìn)行更好的研判是司法部門(mén)亟待解決的問(wèn)題。網(wǎng)絡(luò)犯罪電子數(shù)據(jù)調(diào)查取證在國(guó)外的研究工作開(kāi)展已久，以美國(guó)為例，1984年美國(guó)FBI實(shí)驗(yàn)室和其他法律部門(mén)開(kāi)始建立了計(jì)算機(jī)取證實(shí)驗(yàn)室，電子數(shù)據(jù)作為證據(jù)呈現(xiàn)在法庭上已經(jīng)有30多年的時(shí)間。同時(shí)，國(guó)外電子證據(jù)調(diào)查取證的輔助軟件系統(tǒng)、硬件環(huán)境己經(jīng)形成產(chǎn)品，供政府和一些特殊部門(mén)使用，目前國(guó)際上比較知名的有美國(guó)的Guidance Software、AccessData及德國(guó)的X-Ways等公司，分別研發(fā)了EnCase、FTK及X-Ways等取證分析軟件產(chǎn)品［1］。在國(guó)內(nèi)，網(wǎng)絡(luò)犯罪電子數(shù)據(jù)調(diào)查取證正處在起步階段，網(wǎng)絡(luò)犯罪案件調(diào)查的理論研究、技術(shù)積累、實(shí)戰(zhàn)工具仍在不斷總結(jié)和研發(fā)當(dāng)中，以公安部為重點(diǎn)的主要部門(mén)、以中科院為代表的高校與科研院所、以廈門(mén)美亞為代表的技術(shù)公司都在努力加強(qiáng)我國(guó)在電子取證方面的研究，自主研發(fā)適合我國(guó)國(guó)情的網(wǎng)絡(luò)犯罪電子取證工具與軟件。

面對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)犯罪案件的偵辦需求，網(wǎng)絡(luò)安全保衛(wèi)(以下簡(jiǎn)稱網(wǎng)安)部門(mén)警務(wù)人員從現(xiàn)場(chǎng)勘查和犯罪嫌疑人認(rèn)定等環(huán)節(jié)都亟需第三方的計(jì)算機(jī)勘查取證專家的直接參與和技術(shù)支持，及時(shí)有效的完成對(duì)涉及電子數(shù)據(jù)案件的取證、檢測(cè)、研判和案件推理。通過(guò)電子數(shù)據(jù)研判系統(tǒng)，在取證過(guò)程中能夠時(shí)刻從計(jì)算機(jī)專家那里得到法律法規(guī)、取證理論、技術(shù)手段、取證工具、鑒定流程等方面的指導(dǎo)和技術(shù)支持，從而解決網(wǎng)安部門(mén)辦案人員不足、偵查人員業(yè)務(wù)能力欠缺的弊端。因此，為更好地完成公安機(jī)關(guān)網(wǎng)絡(luò)犯罪取證的重要工作，開(kāi)展網(wǎng)絡(luò)犯罪原始電子數(shù)據(jù)研判系統(tǒng)的研究與設(shè)計(jì)具有十分重要的現(xiàn)實(shí)意義。

1 系統(tǒng)架構(gòu)

作為網(wǎng)絡(luò)犯罪原始電子數(shù)據(jù)研判系統(tǒng)，它的核心業(yè)務(wù)應(yīng)用包括5部分內(nèi)容，即業(yè)務(wù)指導(dǎo)、原始電子數(shù)據(jù)采集、原始電子數(shù)據(jù)檢測(cè)、案情分析推理、案例庫(kù)。研判系統(tǒng)架構(gòu)如圖1所示。

業(yè)務(wù)指導(dǎo)模塊中主要包含辦案流程指導(dǎo)、工作規(guī)范指導(dǎo)、方法及工具指導(dǎo)、不同案例類型特征描述及說(shuō)明、辦案注意事項(xiàng)等內(nèi)容。原始電子數(shù)據(jù)采集模塊支持對(duì)系統(tǒng)內(nèi)部多種格式數(shù)據(jù)的只讀性分析，同時(shí)可以統(tǒng)計(jì)所采集數(shù)據(jù)的大小、格式、創(chuàng)建時(shí)間以及采集時(shí)間。原始數(shù)據(jù)檢測(cè)模塊包括關(guān)鍵詞搜索、已刪除數(shù)據(jù)的檢測(cè)和恢復(fù)、隱藏?cái)?shù)據(jù)的檢測(cè)和呈現(xiàn)、已篡改數(shù)據(jù)的識(shí)別以及惡意程序和惡意軟件的檢測(cè)。案情分析及推理模塊可按照預(yù)定的推理規(guī)則判斷原始數(shù)據(jù)的有效性和真?zhèn)涡?、支持與系統(tǒng)內(nèi)專家即時(shí)交流，可定在辦案件的類型及導(dǎo)入新的推理規(guī)則。案例庫(kù)模塊是整個(gè)系統(tǒng)的核心內(nèi)容之一，案例庫(kù)不僅要在最短的時(shí)間內(nèi)查詢出所需的案例，還要為業(yè)務(wù)指導(dǎo)、案情分析及推理模塊提供各種業(yè)務(wù)支撐;案例庫(kù)同時(shí)還能夠滿足不斷增加種類繁多的新案例資源的收錄，滿足平時(shí)業(yè)務(wù)培訓(xùn)、指導(dǎo)等案例資源的動(dòng)態(tài)管理，從而實(shí)現(xiàn)案例價(jià)值資源的最大化利用。

圖1 網(wǎng)絡(luò)犯罪原始電子數(shù)據(jù)研判系統(tǒng)架構(gòu)圖

基礎(chǔ)支撐系統(tǒng)為整個(gè)上層應(yīng)用系統(tǒng)提供硬件支撐;網(wǎng)絡(luò)犯罪原始電子數(shù)據(jù)研判系統(tǒng)可以與其他系統(tǒng)外人員進(jìn)行通訊和信息的交互，通過(guò)信息獲取及通信渠道，可以利用呼叫中心、短信平臺(tái)、新聞媒體等渠道進(jìn)行突發(fā)事件信息的獲取和預(yù)警信息的發(fā)布;通過(guò)統(tǒng)一身份認(rèn)證的手段，各個(gè)應(yīng)用系統(tǒng)可以集成到門(mén)戶中。

研判系統(tǒng)協(xié)助業(yè)務(wù)工作實(shí)現(xiàn)的主要流程如圖2所示。

圖2 系統(tǒng)業(yè)務(wù)流程圖

研判系統(tǒng)中實(shí)時(shí)記錄本系統(tǒng)的日志，對(duì)整個(gè)案件處理過(guò)程中的各類信息，如證據(jù)信息、推理信息、專家的分析、現(xiàn)場(chǎng)的情況反饋信息等，都進(jìn)行了完整的記錄，方便日后對(duì)整個(gè)過(guò)程進(jìn)行調(diào)閱與檢驗(yàn)結(jié)果的重現(xiàn)。

2 核心模塊設(shè)計(jì)

研判系統(tǒng)設(shè)計(jì)主要集中在原始電子數(shù)據(jù)采集［2］、原始數(shù)據(jù)檢測(cè)及案情分析推理模塊。

2.1 原始電子數(shù)據(jù)采集

原始電子數(shù)據(jù)采集模塊主要實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)各種格式的電子數(shù)據(jù)的數(shù)字化只讀性分析和管理功能，并對(duì)電子數(shù)據(jù)進(jìn)行分類管理和加密處理［3］，是整個(gè)系統(tǒng)的核心功能。該模塊實(shí)現(xiàn)的主要功能包括:

(1)電子數(shù)據(jù)的分類管理:根據(jù)從專家系統(tǒng)及業(yè)務(wù)指導(dǎo)中總結(jié)出的電子數(shù)據(jù)類型特征，將采集到的電子數(shù)據(jù)按照一定的需求分類管理，方便辦案人員在海量數(shù)據(jù)中快速定位到需要的數(shù)據(jù);

(2)電子數(shù)據(jù)的只讀性存儲(chǔ)和加密處理以及完整性驗(yàn)簽工作;

(3)對(duì)電子數(shù)據(jù)的大小、格式、采集時(shí)間、創(chuàng)建時(shí)間進(jìn)行統(tǒng)計(jì)。

原始電子數(shù)據(jù)采集主要提供系統(tǒng)內(nèi)電子數(shù)據(jù)的只讀性分析和安全所需的功能，主要包括數(shù)據(jù)管理與數(shù)據(jù)統(tǒng)計(jì)等。作為數(shù)據(jù)采集，必須對(duì)數(shù)據(jù)的分類進(jìn)行管理，以便于對(duì)所采集的數(shù)據(jù)進(jìn)行查找和維護(hù)［4］。按照“分散登記，統(tǒng)一管理”的原則，辦案人員可以對(duì)案件相關(guān)的電子數(shù)據(jù)進(jìn)行只讀性分析、加密，以及數(shù)據(jù)完整性的驗(yàn)證工作等;其次，對(duì)采集到的原始電子數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，包括數(shù)據(jù)的大小、格式、創(chuàng)建時(shí)間、采集時(shí)間等，并將原始電子數(shù)據(jù)統(tǒng)計(jì)分析的結(jié)果以多種數(shù)據(jù)格式導(dǎo)出［5］。

2.2 原始電子數(shù)據(jù)檢測(cè)

原始電子數(shù)據(jù)檢測(cè)實(shí)現(xiàn)同步獲取并匯總各類原始電子數(shù)據(jù)，并支持按關(guān)鍵詞、數(shù)據(jù)狀態(tài)(原始數(shù)據(jù)、已篡改、已刪除)、數(shù)據(jù)類型(隱藏?cái)?shù)據(jù)、惡意程序)等條件檢索、呈現(xiàn)及處理系統(tǒng)內(nèi)的原始電子數(shù)據(jù)。在該模塊對(duì)原始數(shù)據(jù)的檢測(cè)結(jié)果中，應(yīng)以方便辦案人員理解和查看的方式呈現(xiàn)，例如對(duì)不同數(shù)據(jù)狀態(tài)(原始數(shù)據(jù)、已篡改、已刪除)的數(shù)據(jù)采用不同的顏色顯示，對(duì)不同的數(shù)據(jù)類型(隱藏?cái)?shù)據(jù)、惡意程序)的數(shù)據(jù)也應(yīng)區(qū)別顯示。此外，數(shù)據(jù)檢測(cè)模塊還將完成對(duì)搜索結(jié)果的匯集、相關(guān)信息的抽取，據(jù)此進(jìn)行分析，把分析結(jié)果直觀的展現(xiàn)在使用者面前作為案件處置的依據(jù)。其中對(duì)原始電子數(shù)據(jù)篩選按照有效性判定規(guī)則，對(duì)系統(tǒng)內(nèi)的原始電子數(shù)據(jù)進(jìn)行初步篩選，剔除和案件顯然無(wú)關(guān)的數(shù)據(jù);對(duì)目標(biāo)系統(tǒng)內(nèi)的惡意軟件的檢測(cè)，涵蓋木馬、病毒等。

2.3 案情分析推理模塊

通過(guò)匯總分析各類原始電子數(shù)據(jù)和證據(jù)資料，結(jié)合對(duì)海量信息所進(jìn)行的智能檢索、推理和對(duì)多部門(mén)、多領(lǐng)域的知識(shí)、數(shù)據(jù)進(jìn)行整合與疊加，結(jié)合案件進(jìn)展情況和專家即時(shí)意見(jiàn)，對(duì)案件的各項(xiàng)屬性做出快速推理、判斷，進(jìn)而確定被檢測(cè)用戶是否為犯罪嫌疑人。

案件發(fā)生后，辦案人員對(duì)案件類型進(jìn)行初步判斷，并通過(guò)系統(tǒng)對(duì)所采集數(shù)據(jù)進(jìn)行初步檢測(cè);

基于檢測(cè)結(jié)果，辦案人員通過(guò)推理規(guī)則對(duì)案件進(jìn)行初步推理，與專家進(jìn)行即時(shí)交流，篩選原始數(shù)據(jù)的有效性、真?zhèn)涡?

基于偽造電子數(shù)據(jù)的分析，系統(tǒng)對(duì)掩蓋的操作等偽造行為進(jìn)行推理;

基于推理結(jié)果，辦案人員判斷被檢測(cè)的系統(tǒng)內(nèi)用戶是否是犯罪嫌疑用戶。

案情分析推理模塊的功能劃分，如圖3所示。

圖3 案情分析推理功能圖

查詢?cè)谵k案件可以根據(jù)案件名稱、時(shí)間、關(guān)鍵詞等對(duì)系統(tǒng)內(nèi)在辦的案件進(jìn)行查詢、查看案件基本信息及相關(guān)信息等，實(shí)時(shí)了解、跟蹤案件辦理情況。對(duì)電子數(shù)據(jù)有效性判別并結(jié)合專家意見(jiàn)及已有知識(shí)，對(duì)采集到數(shù)據(jù)的有效性進(jìn)行分析判定。同時(shí)針對(duì)偽造的電子數(shù)據(jù)進(jìn)行分析，對(duì)偽造行為進(jìn)行推理。針對(duì)案件情況及推理結(jié)果，與系統(tǒng)內(nèi)、外的相關(guān)專家進(jìn)行實(shí)時(shí)交流，獲取專家建議，并對(duì)交流內(nèi)容進(jìn)行記錄。根據(jù)系統(tǒng)內(nèi)推理規(guī)則對(duì)在辦案件進(jìn)行推理，針對(duì)與案件相關(guān)的原始電子數(shù)據(jù)的分析結(jié)果，判定被檢測(cè)的人員是否為犯罪嫌疑人，并對(duì)分析推理完畢的案件生成推理報(bào)告，將推理報(bào)告導(dǎo)出為多種格式的文件。案件推理支持對(duì)系統(tǒng)內(nèi)推理規(guī)則進(jìn)行錄入、導(dǎo)入、修改、編輯等操作。

3 系統(tǒng)部署策略

系統(tǒng)的部署模型，主要是針對(duì)軟件產(chǎn)品的部署，這其中包括數(shù)據(jù)庫(kù)、中間件產(chǎn)品等。網(wǎng)絡(luò)犯罪原始電子數(shù)據(jù)研判系統(tǒng)的邏輯部署示意圖如圖4所示。

圖中各服務(wù)器可根據(jù)實(shí)際建設(shè)時(shí)具體情況，決定是單獨(dú)采用服務(wù)器或共用一臺(tái)服務(wù)器。系統(tǒng)部署中主要服務(wù)器是核心應(yīng)用服務(wù)器，它是整個(gè)應(yīng)用系統(tǒng)的核心部分，包含平臺(tái)應(yīng)用軟件系統(tǒng)的業(yè)務(wù)邏輯。核心應(yīng)用服務(wù)器采用基于J2EE EJB構(gòu)件的技術(shù)構(gòu)建，采用分層的架構(gòu)，從邏輯上將子系統(tǒng)劃分成許多集合，降低子系統(tǒng)間的依賴關(guān)系，支持多種信息技術(shù)渠道，提供了從多種信息技術(shù)渠道獲取信息系統(tǒng)服務(wù)的手段。核心服務(wù)器可以做成cluster集群形式，從而提高系統(tǒng)的效率及可靠性。

4 結(jié)語(yǔ)

為應(yīng)對(duì)網(wǎng)絡(luò)犯罪案件日益增長(zhǎng)的網(wǎng)安警務(wù)要求，對(duì)網(wǎng)絡(luò)犯罪原始電子數(shù)據(jù)研判系統(tǒng)開(kāi)展研究與設(shè)計(jì)，為公安的網(wǎng)安一線辦案中提供技術(shù)支撐，系統(tǒng)有益于匯集辦案專家、計(jì)算機(jī)技術(shù)等專家們的經(jīng)驗(yàn)，實(shí)現(xiàn)資源共享和指導(dǎo)。研判系統(tǒng)集數(shù)據(jù)采集、信息檢索、數(shù)據(jù)分析、辦案指導(dǎo)、警情研判、專家推理等功能于一身，形式化地表達(dá)專家的經(jīng)驗(yàn)知識(shí)，對(duì)網(wǎng)絡(luò)犯罪原始電子數(shù)據(jù)進(jìn)行模糊性處理，并推送給辦案人員經(jīng)驗(yàn)性的推理結(jié)論和建議，協(xié)助提升一線網(wǎng)安人員的警務(wù)戰(zhàn)斗力。

［1］程琳，馬丁.電子數(shù)據(jù)勘查取證技術(shù)系列叢書(shū)——電子證據(jù)提取與分析［M］.北京:中國(guó)人民公安大學(xué)出版社，2012:3-6.

［2］JONESA，VALLI C.Building a digital forensic laboratory:Establishing and Managing a Successful Facility［M］.Butterworth-Heinemann，2011.

［3］ 劉宏濤.電子證據(jù)取證系統(tǒng)的分析與設(shè)計(jì)［D］.北京:北京郵電大學(xué)，2009.

［4］ 楊中皇.數(shù)字取證平臺(tái)技術(shù)的研發(fā)［J］.上海交通大學(xué)學(xué)報(bào)，2012，2:276-279.

［5］ 郭祥彬.計(jì)算機(jī)犯罪取證平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)［D］.哈爾濱:哈爾濱工程大學(xué)，2008.