基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證技術(shù)研究

李海陽(yáng)

（河南開合電子數(shù)據(jù)司法鑒定所 河南 鄭州 450000）

0 引言

在大數(shù)據(jù)時(shí)代下，電子數(shù)據(jù)取證對(duì)象發(fā)生了巨大變化，從以往的獨(dú)立物理實(shí)體拓展至IoT、虛擬主機(jī)以及云端應(yīng)用等，這使得電子數(shù)據(jù)取證面臨更大困難和挑戰(zhàn)。所以，有必要對(duì)以大數(shù)據(jù)架構(gòu)為基礎(chǔ)的電子數(shù)據(jù)取證技術(shù)展開深入研究。在實(shí)際研究中，首先要充分掌握電子數(shù)據(jù)取證的內(nèi)涵及發(fā)展歷程，確定以大數(shù)據(jù)為基礎(chǔ)的電子數(shù)據(jù)取證框架，了解新時(shí)期電子數(shù)據(jù)取證所面臨的困境與挑戰(zhàn)，在此基礎(chǔ)上積極應(yīng)用新技術(shù)支持電子數(shù)據(jù)取證工作，保證取證具有更高的安全性與準(zhǔn)確性。

1 電子數(shù)據(jù)取證技術(shù)的概述

電子數(shù)據(jù)取證主要指的是通過(guò)計(jì)算機(jī)軟件以及硬件技術(shù)，在和法律規(guī)范相符的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)相關(guān)犯罪行為包括網(wǎng)絡(luò)攻擊、計(jì)算機(jī)入侵、欺詐以及破壞等進(jìn)行取證、分析、保存以及出示的過(guò)程[1]。通過(guò)應(yīng)用計(jì)算機(jī)實(shí)施犯罪的一些案件，往往犯罪嫌疑人會(huì)將計(jì)算機(jī)當(dāng)中的犯罪證據(jù)毀滅，在此情況下，就可通過(guò)數(shù)據(jù)軟件恢復(fù)所丟失或是刪除的信息，而對(duì)所刪除或者所丟失數(shù)據(jù)進(jìn)行獲取的全過(guò)程即為電子數(shù)據(jù)取證過(guò)程，涉及勘查現(xiàn)場(chǎng)、數(shù)據(jù)分析、數(shù)據(jù)追蹤以及結(jié)果提交等方面。而電子數(shù)據(jù)取證技術(shù)，主要是專業(yè)人員嚴(yán)格依據(jù)法律要求，根據(jù)法定程序，通過(guò)多種技術(shù)對(duì)電子設(shè)備當(dāng)中涉及的電子證據(jù)進(jìn)行取證，所用取證技術(shù)主要包含數(shù)字時(shí)間、數(shù)據(jù)庫(kù)、密碼破譯、網(wǎng)絡(luò)電子、移動(dòng)終端以及瀏覽器等。此外，取證期間可能還會(huì)用到一些計(jì)算機(jī)取證軟件，像Encase、TCT等。只要是運(yùn)用計(jì)算機(jī)實(shí)施的犯罪行為，勢(shì)必會(huì)在互聯(lián)網(wǎng)以及計(jì)算機(jī)當(dāng)中留下一定痕跡，研究應(yīng)用電子數(shù)據(jù)取證技術(shù)，主要目的就是對(duì)犯罪者在計(jì)算機(jī)當(dāng)中所留下的痕跡信息進(jìn)行精準(zhǔn)辨別，同步加以提取，通過(guò)信息取證揭露犯罪者的犯罪事實(shí)。

電子數(shù)據(jù)取證產(chǎn)生于20世紀(jì)70年代，目前已經(jīng)歷了4個(gè)階段，分別是1985年至1995年的嬰兒期、1995年至2005年的兒童期、2005年至2010年的青春期以及2010年至今的新時(shí)期。在嬰兒期，新出現(xiàn)的網(wǎng)絡(luò)和剛剛普及的個(gè)人電腦引發(fā)了一系列計(jì)算機(jī)犯罪，此階段取證人員尚不具備系統(tǒng)化、專業(yè)化的取證工具，大部分是基于經(jīng)驗(yàn)，利用自行開發(fā)的取證工具完成取證任務(wù)。個(gè)人計(jì)算機(jī)、大型機(jī)、公司數(shù)據(jù)記錄以及計(jì)算機(jī)輔助欺詐是該階段主要的取證目標(biāo)，同時(shí)此時(shí)期取證工作人員很少接受專業(yè)訓(xùn)練，一定程度上制約著取證工作高效開展。隨后，DCFL、IOCE、ICAIS以及FACT等組織逐步成立，這些機(jī)構(gòu)也開始為取證相關(guān)工作人員提供職業(yè)技能培訓(xùn)以及經(jīng)驗(yàn)分享等。到了兒童期，互聯(lián)網(wǎng)開始廣泛普及，并迎來(lái)了信息爆炸時(shí)代，促使該時(shí)期網(wǎng)絡(luò)犯罪也呈現(xiàn)出高速發(fā)展態(tài)勢(shì)，此階段的取證目標(biāo)也開始從原本的個(gè)人計(jì)算機(jī)擴(kuò)展至專業(yè)化領(lǐng)域，包括數(shù)據(jù)解密、網(wǎng)絡(luò)入侵等，同時(shí)電子數(shù)據(jù)取證也逐漸演變成專業(yè)技術(shù)領(lǐng)域，衍生出ACES、look、FTK、Encase、Expert Witness等基于Windows界面取證工具以及HELEX、SMART、TSK等基于Linux的取證工具，研究領(lǐng)域也開始對(duì)內(nèi)存取證技術(shù)以及網(wǎng)絡(luò)取證技術(shù)等展開深入研究。青春期的取證目標(biāo)體現(xiàn)出多樣化特征，取證對(duì)象除了網(wǎng)絡(luò)、文件系統(tǒng)，還涉及PDA、手機(jī)、手機(jī)游戲平臺(tái)、網(wǎng)絡(luò)社交系統(tǒng)、商業(yè)業(yè)務(wù)記錄系統(tǒng)以及電子郵件等；而到了新時(shí)期，在物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等新一代技術(shù)支持下，使取證對(duì)象范圍進(jìn)一步擴(kuò)大，與此同時(shí)，很多國(guó)家開始從立法層面加大網(wǎng)絡(luò)隱私保護(hù)力度，還涌現(xiàn)出諸多相關(guān)學(xué)術(shù)課程，電子數(shù)據(jù)取證技術(shù)相關(guān)的研究也進(jìn)一步深入[2]。

2 基于大數(shù)據(jù)框架的電子數(shù)據(jù)取證

在大數(shù)據(jù)架構(gòu)當(dāng)中，其中心思想就是先通過(guò)數(shù)據(jù)源進(jìn)行大量數(shù)據(jù)的收集，隨后在數(shù)據(jù)處理模塊當(dāng)中接入相關(guān)數(shù)據(jù)，所構(gòu)建的各類處理模塊可對(duì)不同類型、不同格式的數(shù)據(jù)實(shí)現(xiàn)有效處理，還可將相關(guān)數(shù)據(jù)集中存儲(chǔ)起來(lái)。相關(guān)處理模塊可看作是master/worker機(jī)制，其中一個(gè)master能夠?yàn)閣orker系統(tǒng)進(jìn)行多個(gè)任務(wù)分配，在此過(guò)程中，master主要職責(zé)就是對(duì)各計(jì)算任務(wù)進(jìn)行管理和協(xié)調(diào)，保證worker計(jì)算系統(tǒng)可正常運(yùn)行，順利完成任務(wù)。

綜上所述，鐵路道岔的運(yùn)行和設(shè)備質(zhì)量關(guān)乎著鐵路運(yùn)行的安全性與長(zhǎng)效性，在道岔維修工作中應(yīng)重點(diǎn)對(duì)連接零件、尖軌轉(zhuǎn)轍部分、鋼軌磨耗和道岔鋪設(shè)問(wèn)題進(jìn)行分析研究，明確道岔設(shè)備維修養(yǎng)護(hù)工作的原則與重點(diǎn)。在此基礎(chǔ)上，通過(guò)采用多種工作方式實(shí)現(xiàn)維修保養(yǎng)、做好重點(diǎn)項(xiàng)目的維修養(yǎng)護(hù)和保證鐵路道岔設(shè)備的產(chǎn)品和服務(wù)質(zhì)量幾點(diǎn)措施，更加高質(zhì)高效地做好鐵路道岔設(shè)備維修工作。

以往在電子數(shù)據(jù)取證過(guò)程中，手機(jī)、計(jì)算機(jī)以及存儲(chǔ)卡、U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)均屬于重要取證對(duì)象，隨著大數(shù)據(jù)技術(shù)的發(fā)展，使得電子數(shù)據(jù)取證對(duì)象發(fā)生一定變化，在原基礎(chǔ)上增加了客戶端虛擬主機(jī)、大數(shù)據(jù)系統(tǒng)、云備份、大數(shù)據(jù)庫(kù)主計(jì)算機(jī)以及云客戶端操作等，這種變化使得電子數(shù)據(jù)取證面臨更大挑戰(zhàn)[4]。

綜上所述，7及9野方案優(yōu)于5野方案，可使脊髓的最大受量下降，脊髓安全性更高；調(diào)強(qiáng)放療脊髓保護(hù)區(qū)邊界的不同勾畫可統(tǒng)一，使主觀差異性降低。

大數(shù)據(jù)取證系統(tǒng)屬于高度復(fù)雜的大型系統(tǒng)，在該系統(tǒng)當(dāng)中分布著成千上萬(wàn)個(gè)的硬盤驅(qū)動(dòng)器，如果系統(tǒng)關(guān)機(jī)，將導(dǎo)致數(shù)據(jù)丟失，因此為使取證具有更高準(zhǔn)確性，要求系統(tǒng)始終為開機(jī)狀態(tài)。對(duì)大數(shù)據(jù)取證系統(tǒng)進(jìn)行數(shù)據(jù)采集，主要方法包括以查詢?yōu)榛A(chǔ)的收集以及邏輯文件取證備份等?；诓町惢膽?yīng)用場(chǎng)景以及數(shù)據(jù)處理領(lǐng)域，大數(shù)據(jù)處理框架被劃分為流式架構(gòu)、傳統(tǒng)大數(shù)據(jù)架構(gòu)、unified架構(gòu)、Kappa架構(gòu)、Lambda架構(gòu)等。立足管理層次角度分析，大數(shù)據(jù)主要包含存儲(chǔ)層、應(yīng)用層以及處理層。在其中，處理層主要面向存儲(chǔ)層相關(guān)數(shù)據(jù)實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)、采集、處理、分析等，具體可將大數(shù)據(jù)系統(tǒng)視作目前主流操作系統(tǒng)環(huán)境當(dāng)中結(jié)合應(yīng)用虛擬化技術(shù)的數(shù)據(jù)處理集群，該數(shù)據(jù)系統(tǒng)可根據(jù)不同用戶差異化的需求為其提供多種支持服務(wù)，比如決策等。所以，以大數(shù)據(jù)框架為基礎(chǔ)的電子數(shù)據(jù)取證主要可劃分成物理資源層取證、系統(tǒng)層取證以及應(yīng)用層取證，具體見圖1。

在我國(guó)西南地區(qū)的深山野林里，生長(zhǎng)著一種草本植物，它開著白色的小花，雖然看上去清新可愛(ài)，卻也沒(méi)什么特別之處。但是，如果下雨之后你再來(lái)看，便會(huì)發(fā)現(xiàn)原先白色的小花變得晶瑩剔透，就像精心雕琢后的精美藝術(shù)品。你知道這種神奇植物的名字嗎？

在大數(shù)據(jù)取證過(guò)程中，工作人員并非只是簡(jiǎn)單地在物理介質(zhì)當(dāng)中獲得目標(biāo)數(shù)據(jù)，而要從海量的數(shù)據(jù)及其跨站點(diǎn)的存儲(chǔ)方式當(dāng)中進(jìn)行目標(biāo)數(shù)據(jù)獲取，在此過(guò)程中會(huì)面臨一系列困難，而通過(guò)應(yīng)用Hadoop技術(shù)能夠?qū)ο嚓P(guān)問(wèn)題加以解決。Hadoop屬于Apache基金會(huì)提出的一種框架解決方案，作為大數(shù)據(jù)電子取證技術(shù)的一種，具有非常廣泛的應(yīng)用。Hadoop相關(guān)系統(tǒng)具有非常高的可靠性，包含諸多大數(shù)據(jù)分層解決方案以及多元化工具系統(tǒng)。該系統(tǒng)編寫中主要運(yùn)用的是Java語(yǔ)言，因?yàn)镴ava語(yǔ)言屬于高級(jí)語(yǔ)言，體現(xiàn)出跨平臺(tái)性屬性，所以能夠滿足多種差異化操作系統(tǒng)提出的運(yùn)行要求。

3 大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證的困境

在大數(shù)據(jù)架構(gòu)下，電子數(shù)據(jù)取證發(fā)生巨大改變，取證要求也與之前有很大差異。在以往電子數(shù)據(jù)取證中，關(guān)鍵環(huán)節(jié)主要有：（1）計(jì)算機(jī)在含有潛在數(shù)據(jù)源情況下，從中移除存儲(chǔ)設(shè)備，比如硬盤驅(qū)動(dòng)器等；（2）計(jì)算MD5/SHA-1校驗(yàn)；（3）以獲取全部的源數(shù)據(jù)，對(duì)目標(biāo)展開物理收集等[3]。其實(shí)大數(shù)據(jù)取證主要是面向大數(shù)據(jù)系統(tǒng)，對(duì)其中涉及的各類電子數(shù)據(jù)證據(jù)加以識(shí)別、全面收集、科學(xué)分析并實(shí)現(xiàn)最終展示，主要目的就是以大數(shù)據(jù)架構(gòu)為基礎(chǔ)，從其中的應(yīng)用程序、數(shù)據(jù)庫(kù)以及分布式系統(tǒng)當(dāng)中進(jìn)行有用數(shù)據(jù)的收集。

3.1 取證對(duì)象面臨更大的定位以及提取難度

對(duì)于系統(tǒng)層，在取證過(guò)程中其對(duì)象包括大數(shù)據(jù)分布式文件系統(tǒng)以及系統(tǒng)訪問(wèn)日志等，其中日志屬于一個(gè)關(guān)鍵的證據(jù)來(lái)源，而目前云服務(wù)供應(yīng)商會(huì)提供格式多樣化的日志文件數(shù)據(jù)，并且相關(guān)格式規(guī)范也缺乏統(tǒng)一性，既有日志往往混雜著多個(gè)用戶的數(shù)據(jù)，其中還有很多和取證工作沒(méi)有關(guān)聯(lián)的敏感或者是冗余信息。另外在大數(shù)據(jù)分布式文件系統(tǒng)當(dāng)中，像部分HDFS、DFS將分割后的塊文件通過(guò)數(shù)據(jù)塊編號(hào)加以命名，單看文件名難以掌握文件類型以及具體的歸屬關(guān)系，由此使得涉案人員追溯以及案件分析判定面臨較大困難。同時(shí)系統(tǒng)當(dāng)中同時(shí)存在結(jié)構(gòu)化、非結(jié)構(gòu)化以及半結(jié)構(gòu)化等數(shù)據(jù)，且部分云計(jì)算其數(shù)據(jù)格式具有獨(dú)特性，這也增加著數(shù)據(jù)分析難度。

在大數(shù)據(jù)背景下，很多用戶已經(jīng)改變了互聯(lián)網(wǎng)載體應(yīng)用習(xí)慣，取證對(duì)象也從之前的計(jì)算機(jī)系統(tǒng)拓展至可穿戴設(shè)備、智能手機(jī)以及云端等多終端設(shè)備。另外，在傳感器技術(shù)、嵌入式技術(shù)、云計(jì)算以及大數(shù)據(jù)等的發(fā)展過(guò)程中，IoT當(dāng)中包含的各類信息傳感設(shè)備，比如射頻識(shí)別裝置、全球定位系統(tǒng)、紅外感應(yīng)裝置等，還有智能汽車等多類智能設(shè)備，無(wú)論是數(shù)量還是種類都日漸增多，其中所包含的電子數(shù)據(jù)更加多樣化，所以也會(huì)出現(xiàn)更多新取證需求，使現(xiàn)有取證工作面臨更多困境[5]。尤其是面對(duì)那些分布在各個(gè)角落的各種物聯(lián)網(wǎng)傳感器，像烤箱、洗衣機(jī)、攝像頭、汽車等智能設(shè)備，單純運(yùn)用既有取證工具產(chǎn)品很難實(shí)現(xiàn)電子數(shù)據(jù)的高效、全方位提取與分析。此外，虛擬化技術(shù)應(yīng)用中，如果用戶完成VM釋放，相應(yīng)空間就會(huì)被收回，在頻繁的資源回收以及再分配過(guò)程中，導(dǎo)致一些節(jié)點(diǎn)或平臺(tái)當(dāng)中所包含的數(shù)據(jù)變成易失性數(shù)據(jù)，此類數(shù)據(jù)有較大的提取及恢復(fù)難度。

3.2 數(shù)據(jù)分析面臨一定困難

在大數(shù)據(jù)架構(gòu)下，大量對(duì)涉網(wǎng)操作行為加以記錄的數(shù)據(jù)逐漸從終端設(shè)備遷移至云端，像部分涉案人員會(huì)通過(guò)云端登錄實(shí)現(xiàn)數(shù)據(jù)操作，或直接在網(wǎng)盤或云端當(dāng)中存儲(chǔ)數(shù)據(jù)。另外，隨著大數(shù)據(jù)技術(shù)的發(fā)展，很多用戶對(duì)于互聯(lián)網(wǎng)載體的應(yīng)用習(xí)慣也發(fā)生巨大改變，像一些涉案人員會(huì)以云存儲(chǔ)的方式將手機(jī)內(nèi)部的圖片以及聊天記錄等數(shù)據(jù)在網(wǎng)絡(luò)中備份。在此背景下，通過(guò)應(yīng)用層開展取證工作，電子數(shù)據(jù)取證對(duì)象將變成以大數(shù)據(jù)架構(gòu)為基礎(chǔ)的各類云端操作系統(tǒng)、云存儲(chǔ)以及網(wǎng)盤等。而云存儲(chǔ)技術(shù)以及網(wǎng)盤技術(shù)是以虛擬化技術(shù)為基礎(chǔ)，將涉案數(shù)據(jù)存儲(chǔ)在多個(gè)數(shù)據(jù)中心，有時(shí)候還會(huì)跨司法管轄范圍，此時(shí)于應(yīng)用層取證會(huì)使數(shù)據(jù)定位以及提取面臨較大困難，取證人員往往要在云服務(wù)提供商的幫助之下完成取證工作。另外，云環(huán)境當(dāng)中用戶所應(yīng)用的共享云基礎(chǔ)設(shè)施其中的數(shù)據(jù)存儲(chǔ)情況相對(duì)復(fù)雜，在對(duì)用戶數(shù)據(jù)進(jìn)行分離過(guò)程中也面臨一定困難，往往會(huì)在證據(jù)收集環(huán)節(jié)摻入和用戶無(wú)關(guān)的一些數(shù)據(jù)，這使得取證人員在證據(jù)收集中需要考慮怎樣能夠確保無(wú)關(guān)用戶數(shù)據(jù)仍保持較高機(jī)密性，并思考如何只提取事件重構(gòu)所需的電子數(shù)據(jù)，由此使取證工作面臨巨大挑戰(zhàn)。

3.3 取證對(duì)象更加多元化

2.企業(yè)與職業(yè)經(jīng)理人的信息不對(duì)稱。職業(yè)經(jīng)理人的能力是私人信息，外部很難獲得，所以企業(yè)在面試職業(yè)經(jīng)理人或者通過(guò)獵頭公司獲得他們信息時(shí)，就存在信息不對(duì)稱的現(xiàn)象，有時(shí)甚至出現(xiàn)獵頭公司幫助職業(yè)經(jīng)理人掩飾不符合企業(yè)要求的信息內(nèi)容。這就使得企業(yè)在對(duì)人員篩選時(shí)，面臨著較大的困難，所以只好通過(guò)考察職業(yè)經(jīng)理人的學(xué)歷、個(gè)人財(cái)富、職業(yè)背景等來(lái)減少風(fēng)險(xiǎn)。但是，這些方式不能從根本上解決企業(yè)對(duì)職業(yè)經(jīng)理人真實(shí)信息的需求。

4 基于大數(shù)據(jù)框架的新電子數(shù)據(jù)取證技術(shù)

4.1 云環(huán)境電子數(shù)據(jù)取證技術(shù)

近年來(lái)，在大數(shù)據(jù)技術(shù)快速發(fā)展過(guò)程中，很多犯罪分子開始利用云服務(wù)器實(shí)施犯罪，主要是在當(dāng)中搭建應(yīng)用以及網(wǎng)站，并開展網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙以及第四方支付等多種犯罪活動(dòng)，要求執(zhí)法人員快速鎖定相關(guān)違法網(wǎng)站，全面展開取證任務(wù)，并要遠(yuǎn)程地對(duì)案件相關(guān)云服務(wù)器實(shí)現(xiàn)勘察取證，相關(guān)工作開展中存在諸多難題。在此背景下，逐漸衍生出云環(huán)境電子數(shù)據(jù)取證技術(shù)，該技術(shù)應(yīng)用中主要是基于云基礎(chǔ)設(shè)施對(duì)數(shù)字化的取證數(shù)據(jù)進(jìn)行采集。此外，在該技術(shù)應(yīng)用下，能對(duì)云服務(wù)器以及遠(yuǎn)程服務(wù)器實(shí)現(xiàn)取證，幫助調(diào)查人員以及取證人員便捷、迅速地對(duì)遠(yuǎn)程服務(wù)器當(dāng)中涉及的基礎(chǔ)信息、網(wǎng)站信息、網(wǎng)站鏈接信息、數(shù)據(jù)庫(kù)信息等實(shí)現(xiàn)調(diào)查取證，并深層次地對(duì)數(shù)據(jù)重構(gòu)展開分析。此外，還可在Windows平臺(tái)應(yīng)用下，針對(duì)網(wǎng)頁(yè)郵箱以及網(wǎng)站等開展取證、出證以及存證等工作。取證工作中，可通過(guò)頁(yè)面截圖、實(shí)時(shí)哈希計(jì)算、屏幕錄像、取證報(bào)告生成等方式開展，在取得證據(jù)文件之后，能夠和第三方的電子數(shù)據(jù)存證云平臺(tái)實(shí)現(xiàn)無(wú)縫對(duì)接，同步完成哈希值存證工作，在提出司法鑒定報(bào)告需求情況下，能通過(guò)網(wǎng)絡(luò)在線進(jìn)行申請(qǐng)?zhí)峤?，司法鑒定報(bào)告將由司法鑒定機(jī)構(gòu)所出具，相關(guān)機(jī)構(gòu)應(yīng)具備法定資質(zhì)[6]。

4.2 Hadoop電子數(shù)據(jù)取證技術(shù)

根據(jù)云南省2017年上半年的發(fā)電情況，即便在枯水期，統(tǒng)調(diào)機(jī)組中水電發(fā)電量為87.161 TWh，火電發(fā)電量為8.395 TWh，風(fēng)電發(fā)電量為11.583 TWh，太陽(yáng)能發(fā)電量為1.414 TWh?；痣姲l(fā)電量不足水電發(fā)電量的10%。目前云南省內(nèi)電力市場(chǎng)為月度市場(chǎng)為主，日前市場(chǎng)交易電量占比很小，價(jià)格也難以反映資源的稀缺程度。在現(xiàn)有情況下，如果普遍提高市場(chǎng)價(jià)格，會(huì)導(dǎo)致枯水期成交價(jià)格普遍提高。

4.3 可視化遠(yuǎn)程視頻取證技術(shù)

針對(duì)跨區(qū)域犯罪，尤其是受害者分布于全國(guó)各地的電信網(wǎng)絡(luò)詐騙等案件，通過(guò)應(yīng)用大數(shù)據(jù)技術(shù)，可促使辦案效率更高。通過(guò)可視化遠(yuǎn)程取證，避免辦案人員長(zhǎng)途奔波，并可規(guī)避提解在押人員涉及的執(zhí)法風(fēng)險(xiǎn)。所謂可視化遠(yuǎn)程視頻取證技術(shù)，其實(shí)就是在互聯(lián)網(wǎng)技術(shù)應(yīng)用下，結(jié)合應(yīng)用打印機(jī)、電子簽名、攝像頭以及顯示屏等多種輔助設(shè)備遠(yuǎn)程的進(jìn)行視頻取證，同步保存所獲取的視頻資料，這種證據(jù)獲取技術(shù)可對(duì)遠(yuǎn)程辦案面臨的難辨認(rèn)、難詢問(wèn)等問(wèn)題加以解決。在此技術(shù)協(xié)作下實(shí)現(xiàn)遠(yuǎn)程辦案，能使取證過(guò)程更加高效、便捷，并智能化地保留取證痕跡，取證結(jié)果能夠自動(dòng)化地傳輸，促使遠(yuǎn)程辦案效率更高，并解決遠(yuǎn)程辦案涉及的一系列問(wèn)題。

可視化還包括將所提取的數(shù)據(jù)轉(zhuǎn)為圖形，促使分析人員通過(guò)觀察與分析可視化圖形洞察數(shù)據(jù)當(dāng)中包含的各種潛在信息，通過(guò)數(shù)據(jù)可視化幫助工作人員深層次地分析海量復(fù)雜數(shù)據(jù)。同時(shí)，可視化能使取證人員對(duì)所提取的電子數(shù)據(jù)產(chǎn)生更直觀的感受，其可通過(guò)觀看交互式的圖形界面，并和取證背景專業(yè)知識(shí)相結(jié)合，立足多個(gè)層面分析與理解所收集以及所提取的各種電子數(shù)據(jù)，并對(duì)不同電子數(shù)據(jù)之間存在的關(guān)聯(lián)及數(shù)據(jù)內(nèi)部包含的潛在因素進(jìn)行深層次的收集和提取，從而發(fā)現(xiàn)更多具有隱蔽性的問(wèn)題。未來(lái)電子數(shù)據(jù)鑒定人根據(jù)法律規(guī)定出庭將越來(lái)越普遍，在此過(guò)程中，要以可視且直觀的方式在法庭當(dāng)中呈現(xiàn)異構(gòu)多元、抽象化的電子數(shù)據(jù)，并使數(shù)據(jù)分析結(jié)果更有力地成為呈堂證供，就需要運(yùn)用可視化電子數(shù)據(jù)取證技術(shù)對(duì)其中涉及的問(wèn)題加以解決。

4.4 層次化電子數(shù)據(jù)取證技術(shù)

隨著數(shù)據(jù)增長(zhǎng)速度不斷加快，在新時(shí)期下開展電子數(shù)據(jù)取證工作有必要適當(dāng)調(diào)整傳統(tǒng)取證流程，層次化取證技術(shù)能夠?yàn)榇颂峁┯行еС?。在層次化取證模型當(dāng)中，從上至下包含6個(gè)層次，分別是資源調(diào)度層、公共服務(wù)層、證據(jù)分析層、取證監(jiān)管層、數(shù)據(jù)鏈路層以及物理層。對(duì)于層次化取證模型，其設(shè)計(jì)思想和OSI模型七層分層思想相類似，其中涉及的每層均發(fā)揮著獨(dú)立性的功能，上層可對(duì)下層功能加以調(diào)用，而下層可為上層提供重要服務(wù)，上層和下層之間通過(guò)設(shè)置接口實(shí)現(xiàn)雙向交流。

具體來(lái)說(shuō)，物理層涵蓋有物理主機(jī)、虛擬化設(shè)備以及服務(wù)器等，屬于重要的證據(jù)供給來(lái)源；對(duì)于數(shù)據(jù)鏈路層，主要功能是獲取相關(guān)證據(jù)；而數(shù)據(jù)監(jiān)管層重點(diǎn)是全程記錄與監(jiān)督下方數(shù)據(jù)鏈路層以及物理層所做出的各項(xiàng)操作，同步自動(dòng)化生成報(bào)告，保證相關(guān)數(shù)據(jù)具有更高有效性，其可當(dāng)作重要的法律依據(jù)；對(duì)于數(shù)據(jù)分析層，主要任務(wù)就是分析以及處理各項(xiàng)數(shù)據(jù)；針對(duì)應(yīng)用服務(wù)層，主要可將取證結(jié)果提供給辦案人員；資源調(diào)度層能夠有效保障系統(tǒng)運(yùn)行的高效性。

5 結(jié)語(yǔ)

在大數(shù)據(jù)時(shí)代，越來(lái)越多不法分子開始運(yùn)用多元化的技術(shù)手段實(shí)施犯罪行為，并具有更強(qiáng)的反偵察能力。在此背景下，需要積極研發(fā)并應(yīng)用基于大數(shù)據(jù)架構(gòu)的電子數(shù)據(jù)取證新技術(shù)，在技術(shù)支持下促進(jìn)案件偵破，加大犯罪預(yù)防力度，并維護(hù)人民群眾財(cái)產(chǎn)及生命安全，助力平安中國(guó)建設(shè)。