張玉強，顧 辰

（1. 江蘇省公安廳技術(shù)偵察總隊，南京 210024；2. 鎮(zhèn)江市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊，江蘇 鎮(zhèn)江 212000）

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和云計算技術(shù)的發(fā)展，人類社會進入到大數(shù)據(jù)時代。大數(shù)據(jù)以其體量大、種類多、速度快、價值密度低等4大特質(zhì)，對社會發(fā)展的方方面面帶來了深遠的影響，電子證據(jù)采集領(lǐng)域也概莫能外。傳統(tǒng)電子證據(jù)采集更多考慮的是數(shù)據(jù)的完整性，而忽視了取證后的數(shù)據(jù)分析，因而無法適應(yīng)大數(shù)據(jù)時代的新需求。為了應(yīng)對大數(shù)據(jù)給電子證據(jù)采集帶來的證據(jù)數(shù)量龐大、證據(jù)來源多樣、證據(jù)類型復(fù)雜、證據(jù)一致性難于保持、證據(jù)內(nèi)在關(guān)聯(lián)關(guān)系薄弱、采集無效數(shù)據(jù)過多等問題，國內(nèi)外專家對此開展了相關(guān)研究。

Marziale等[1]認為大數(shù)據(jù)環(huán)境下的電子證據(jù)采集需要高效的計算系統(tǒng)運行取證工具，并提出多線程的解決方案從證據(jù)中雕刻數(shù)據(jù)。Quick和Choo[2]通過總結(jié)前人研究提出使用數(shù)據(jù)挖掘、數(shù)據(jù)約簡和子集、分流、智能分析等方法解決數(shù)據(jù)體量大問題。Kishore和Kapoor[3]認識到使用加密散列函數(shù)的電子證據(jù)采集工具在大數(shù)據(jù)環(huán)境下因花費漫長時間而變得不可行，因此他們提出改進的并行加密散列函數(shù)加速鏡像創(chuàng)建過程。Bashir和Khan[4]設(shè)計了一個分流框架，提出將分流置于證據(jù)采集和分析之間。Turnbull和Randhawa[5]提出將專家知識封裝到取證數(shù)據(jù)中，使用多層本體抽取關(guān)鍵數(shù)據(jù)，并從電子證據(jù)中抽取事件和社交網(wǎng)絡(luò)。Quick和Choo[6]提出大數(shù)據(jù)取證縮減方法，利用過濾技術(shù)，選擇關(guān)鍵數(shù)據(jù)成像和還原，克服大數(shù)據(jù)帶來的影響。

早期國內(nèi)關(guān)于電子證據(jù)采集的研究主要集中于云計算對電子取證的影響[7-9]，有關(guān)大數(shù)據(jù)對電子證據(jù)采集影響的研究近年來才逐漸豐富。郭永健[10]通過解讀大數(shù)據(jù)時代海量電子郵件分析的挑戰(zhàn)和機遇，提出通過郵件各元數(shù)據(jù)信息的分析與挖掘、郵件關(guān)系分析和郵件行為分析，從而準確研判郵件聯(lián)系人的關(guān)系、涉案人員生活規(guī)律的思路。高波[11]從制度到思維方面闡述了大數(shù)據(jù)對電子證據(jù)采集造成的影響，指出大數(shù)據(jù)挖掘為電子證據(jù)收集提供了技術(shù)方案，并進一步從制度和思維上給出了大數(shù)據(jù)下電子證據(jù)收集的應(yīng)對策略。還有一些研究集中在大數(shù)據(jù)信息采集領(lǐng)域，如羅恩韜等[12]結(jié)合傳統(tǒng)BSP模型和前人研究成果，提出了一種針對大數(shù)據(jù)時代的數(shù)據(jù)抽取模型。它利用拆分數(shù)據(jù)、分析數(shù)據(jù)、整合數(shù)據(jù)來提高數(shù)據(jù)的有效性。徐鴻志[13]指出借助大數(shù)據(jù)技術(shù)新的證據(jù)收集方法可以發(fā)揮更大的作用，有效保證證據(jù)的真實性，保障當事人的合法權(quán)益。另外，國內(nèi)取證龍頭企業(yè)美亞公司[14]在其技術(shù)分享中提出數(shù)據(jù)預(yù)處理是應(yīng)對大數(shù)據(jù)影響的關(guān)鍵。

綜上所述，當前國外對電子證據(jù)采集的研究，都偏重于通過分布式、多線程軟硬件技術(shù)、設(shè)計新型采集文件格式壓縮數(shù)據(jù)或基于人工智能的分流方法來應(yīng)對數(shù)據(jù)體量變大等問題。國內(nèi)從制度思維或具體某項應(yīng)用中提出了應(yīng)對大數(shù)據(jù)影響的一些方法。但總的來說這些研究偏重部分方面或?qū)Ｓ糜谔幚砟撤N設(shè)備，不適應(yīng)多樣的數(shù)據(jù)源，沒有保證數(shù)據(jù)一致性，難于挖掘出不同證據(jù)源之間的相關(guān)關(guān)系，也沒有從多個維度解決證據(jù)數(shù)據(jù)龐大問題，因而不能有效過濾無關(guān)數(shù)據(jù)，不能全面解決大數(shù)據(jù)給電子證據(jù)采集帶來的挑戰(zhàn)。

鑒于此，本文提出一種新的二維電子證據(jù)采集框架，該框架首先通過案例推理方法將證據(jù)采集位置限定于證據(jù)源指定位置范圍內(nèi)，然后通過基于本體的專家知識庫將采集內(nèi)容限定在指定內(nèi)容范圍內(nèi)。該框架利用過往經(jīng)驗最大程度提高了采集效率，通過從本質(zhì)上對證據(jù)源描述解決了證據(jù)源多樣的問題，利用知識庫推理機解決證據(jù)間關(guān)聯(lián)關(guān)系挖掘問題。同時，通過指定位置范圍、內(nèi)容范圍最大程度剔除無關(guān)數(shù)據(jù)，減少了采集時間，避免了證據(jù)沖突，為后續(xù)證據(jù)分析提供了良好的分析基礎(chǔ)。

1 大數(shù)據(jù)給電子證據(jù)采集帶來的挑戰(zhàn)

大數(shù)據(jù)內(nèi)在特質(zhì)體現(xiàn)在其“4v”特性上，即大數(shù)據(jù)巨大的數(shù)據(jù)量與數(shù)據(jù)完整性（Volume），在海量、種類繁多的數(shù)據(jù)間發(fā)現(xiàn)其內(nèi)在關(guān)聯(lián)（Variety），更快地滿足實時性需求（Velocity）以及相對于大數(shù)據(jù)海量數(shù)據(jù)信息的價值密度降低（Value）等。由此，給電子證據(jù)采集帶來的挑戰(zhàn)主要有以下三點：

證據(jù)數(shù)量龐大的挑戰(zhàn)。提到大數(shù)據(jù)，首先被人們感知的就是海量的數(shù)據(jù)。隨著社交網(wǎng)絡(luò)的成熟、傳統(tǒng)互聯(lián)網(wǎng)到移動互聯(lián)網(wǎng)的轉(zhuǎn)變及移動帶寬的提升，除了個人電腦、智能手機、平板電腦等常見客戶終端外，更多更先進的傳感設(shè)備、智能設(shè)備都將接入網(wǎng)絡(luò)，數(shù)據(jù)被大量生產(chǎn)。相關(guān)研究表明截至2013年底在取證焦點案件中，有一半的案件取證涉及的數(shù)據(jù)超過“太字節(jié)”，有五分之一的超過5 TB，并且數(shù)據(jù)還在急劇增加。大量增加的數(shù)據(jù)造成傳統(tǒng)的按位拷貝無法實現(xiàn)，嚴重制約了電子取證工作的證據(jù)采集效率。

證據(jù)來源多樣的挑戰(zhàn)。在大數(shù)據(jù)背景下，物聯(lián)網(wǎng)技術(shù)、云技術(shù)、移動互聯(lián)技術(shù)迅猛發(fā)展，案件中涉及的證據(jù)源也日趨多樣，有計算機文件，電話通訊錄，電話話單，手機基站信號強度的跟蹤信息，音視頻文件，圖像文件，電子郵件，社交媒體站點，買賣交易記錄，電話GPS信息，網(wǎng)絡(luò)流量模式，病毒入侵檢測，智能穿戴產(chǎn)品，空氣傳感器文件等。多樣證據(jù)之間沒有統(tǒng)一的表示標準。

證據(jù)數(shù)據(jù)類型復(fù)雜、一致性難以保持以及關(guān)聯(lián)性低的挑戰(zhàn)。由于這些證據(jù)源所涉及的操作系統(tǒng)、文件格式、采集設(shè)備的多樣性特征，證據(jù)數(shù)據(jù)存在大量的專有數(shù)據(jù)格式，數(shù)據(jù)之間難以合并。如NTFS格式的文件系統(tǒng)不能處理HFS文件。同時，在大數(shù)據(jù)背景下，證據(jù)數(shù)據(jù)類型復(fù)雜，結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)大量涌現(xiàn)。證據(jù)類型及證據(jù)來源的雙重差異，導(dǎo)致證據(jù)間相關(guān)性難以發(fā)現(xiàn)，證據(jù)一致性難以保持，甚至證據(jù)之間互相沖突。

2 大數(shù)據(jù)環(huán)境下的證據(jù)采集二維框架

大量的犯罪案例證明相似的犯罪活動具有可比性的特征，當人們在他們的系統(tǒng)中處理和存儲文件時，他們趨于持續(xù)使用特定的位置。為此，可以從位置和內(nèi)容兩個維度限定證據(jù)采集。

2.1 二維電子證據(jù)采集框架

大數(shù)據(jù)環(huán)境下二維電子證據(jù)采集框架結(jié)構(gòu)如圖1所示。不同的證據(jù)源通過只讀設(shè)備連接到電子證據(jù)采集設(shè)備中，首先通過案例推理證據(jù)采集位置限定方法，將采集位置限定在證據(jù)源的指定位置范圍內(nèi)，然后通過基于本體的專家知識庫采集內(nèi)容限定方法，將采集內(nèi)容限定在指定內(nèi)容范圍內(nèi)，最后將采集結(jié)果呈現(xiàn)給相關(guān)人員。

圖1 電子證據(jù)采集二維框架Fig.1 The framework of two-dimensional digital evidence collection

2.2 基于案例推理的電子證據(jù)采集位置限定

2.2.1 可行性分析

電子證據(jù)數(shù)量龐大，來源多樣，類型復(fù)雜，難以用規(guī)則或模型的方法表示，而案例推理（Case-based reasoning，CBR）不需要嚴格的規(guī)則或模型，通過借鑒過往經(jīng)驗對當前問題進行分析并給出解決方案。其工作原理如圖2所示。

圖2 案例推理的工作流程Fig.2 The operational process of case-based reasoning

通常認為[15]，一個完整的CBR系統(tǒng)一般包括如下5個循環(huán)過程：案例表示，案例檢索，案例重用，案例修改，案例保留。同時，CBR系統(tǒng)具有如下特征[16]：1）知識獲取是獲得過去發(fā)生過的案例的過程；2）案例推理系統(tǒng)僅需從案例庫中檢索出相似案例，容易實現(xiàn)；3）由于案例庫可以不斷增長，所以即使僅有少量案例，案例推理系統(tǒng)也可以運行；4）案例推理系統(tǒng)可以快速提供解決方案；5）案例推理系統(tǒng)提供給用戶的是具體的案例，容易理解；6）案例推理系統(tǒng)可以通過獲得新案例來學(xué)習(xí)，容易維護。所以通過設(shè)計基于案例推理的電子證據(jù)采集定位方法，將采集范圍限定在指定位置內(nèi)，實現(xiàn)從位置維度優(yōu)化證據(jù)采集是可行性的。

2.2.2 開發(fā)方法

案例是案例推理的基礎(chǔ)，本文將過往電子取證中的證據(jù)采集經(jīng)驗描述成案例形式，每一個案例是一個犯罪行為的概要信息，用于識別罪行。電子證據(jù)采集案例使用三元組方法進行描述，包括問題域、解決方案域和權(quán)重。問題域用來描述某種犯罪行為。如，網(wǎng)絡(luò)恐怖主義活動；解決方案域表示該犯罪行為相關(guān)證據(jù)的系統(tǒng)環(huán)境及存放位置；權(quán)重表示在該位置存放證據(jù)的可能性大小，該值由領(lǐng)域?qū)＜以O(shè)定。

文件路徑的抽象描述是案例表示的基礎(chǔ)。每個案例中電子證據(jù)存放的文件和文件夾名字或許不同，但他們的在文件夾層級中的位置是相似的。因此需要在文件路徑描述時去除所有個體信息，最大化抽取共通信息。本文使用“卷”表示盤符，用“用戶文件夾”表示用戶自定義的文件夾。如，在網(wǎng)絡(luò)恐怖主義犯罪中兩個不同犯罪嫌疑人電腦中分別含有如下目錄：“D:download快牙”和“E:快牙下載”，其中都存有宗教極端宣傳音視頻資料，其文件路徑可以抽象為“卷用戶文件夾”。網(wǎng)絡(luò)恐怖主義的部分案例表示如表1所示。案例按照領(lǐng)域分類，存儲在案例庫中。

表1 網(wǎng)絡(luò)恐怖主義案例結(jié)構(gòu)描述（部分）Table 1 The frameworks of cyberterrorist case (partial)

案例檢索是通過訪問案例庫中過去同類問題的解決方案從而獲得當前問題解決方案的一種推理方法。案例檢索的結(jié)果可以是一個最佳案例，也可以是一組相似案例，然后綜合各相似案例的解決方案，形成最佳解決方案。案例檢索的效率和檢索方法密切相關(guān)，目前常用的檢索有K近鄰法，歸納推理和知識引導(dǎo)等方法。案例推理的電子證據(jù)采集定位方法采用K近鄰法，通過計算各個屬性的相似度加權(quán)值找出最相近的案例。

2.2.3 工作流程

案例推理電子證據(jù)采集定位方法工作流程如下：

Step1：首先將待采集案件描述成新案例，問題域就是犯罪行為，然后根據(jù)該問題域，在案例庫搜索同類問題優(yōu)先級最高的文件位置，即權(quán)重最大的位置，從中發(fā)現(xiàn)相關(guān)證據(jù)，并根據(jù)結(jié)果計算出當前采集結(jié)果和已知案例的相似度，從中選取最接近的Top 5案例。

Step2：以Top 5案例為基礎(chǔ)，按照相似度從高到低的順序，搜索每一個過往案例中其他證據(jù)位置，擴大搜索范圍，采集相關(guān)證據(jù)。

Step3：根據(jù)采集結(jié)果使用案例、修改案例和保存案例。

該方法首先將采集活動限定于最可能區(qū)域，然后擴展到最相似案例組中其他區(qū)域，既提高了搜索效率，又不會無限擴大搜索范圍，具有良好的收斂性。

2.3 基于本體專家知識庫的電子證據(jù)采集內(nèi)容限定

案例推理的采集定位方法通過重用過去的采集經(jīng)驗，將采集縮小到特定的范圍，限定了電子證據(jù)采集的位置，提高了采集效率。為了進一步明確電子證據(jù)采集的內(nèi)容，克服證據(jù)源多樣問題，挖掘出電子證據(jù)間的相關(guān)關(guān)系，保持數(shù)據(jù)一致性，下文將利用基于本體專家知識庫的方法，進一步從內(nèi)容維度限定電子證據(jù)采集范圍。

2.3.1 可行性分析

大數(shù)據(jù)背景下，證據(jù)源日趨多樣，證據(jù)鏈錯綜復(fù)雜，所有這些都限制了電子證據(jù)采集工作的進一步推進?？紤]到本體具有能夠?qū)哟谓Y(jié)構(gòu)、圖表、實體及其相關(guān)關(guān)系進行自然編碼和可靠描述，且本體的數(shù)據(jù)描述與人們的直觀認識十分接近，易于用圖表示（其中對象是節(jié)點，屬性是鏈接）等優(yōu)點，將本體引入電子取證領(lǐng)域是確實可行的[17]。相關(guān)研究業(yè)已展開[18-20]。

上述研究在一定程度推動了本體在電子證據(jù)采集領(lǐng)域的發(fā)展，給電子證據(jù)采集的未來研究方向提供了有價值的參考。但已有的電子證據(jù)采集本體在實施過程中仍存在如下缺陷：首先，建立本體的語言，如XML，RDF等，不利于本體推理；其次，多使用分層的思想，但沒有將案件領(lǐng)域?qū)＜抑R用于本體，沒有考慮多領(lǐng)域本體構(gòu)建。為此，本文在吸收前人研究的基礎(chǔ)上，重新設(shè)計電子證據(jù)采集的本體專家知識庫，將其分為兩層：基礎(chǔ)層本體和領(lǐng)域知識層本體，利用W3C推薦語言O(shè)WL2開發(fā)本體，使之更利于共享和推理。

2.3.2 開發(fā)方法

本文構(gòu)造的專家知識庫由二層本體構(gòu)成，基礎(chǔ)層本體和領(lǐng)域知識層本體。開發(fā)按照4步法[21]實施，即識別開發(fā)目的—建立本體—評估—文檔。其中，基礎(chǔ)層本體開發(fā)的目的是：理解設(shè)備本質(zhì)、文件系統(tǒng)、操作系統(tǒng)、映像格式和數(shù)字簽名等取證通用基礎(chǔ)概念，解決證據(jù)源多樣問題和證據(jù)類型復(fù)雜問題。因此，基礎(chǔ)層本體包括：存儲媒介類，主要是描述存儲證據(jù)的媒體本質(zhì)，包括硬盤、USB sticks、sd、tf、cf、mmc、xD、SDHC、記憶棒、sim和云等。其中云可以是任何虛擬空間，如互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)等，具體存儲設(shè)備有磁性設(shè)備、閃存設(shè)備和光學(xué)設(shè)備；文件系統(tǒng)類，主是描述用于組織和管理證據(jù)的文件系統(tǒng)格式，如Windows的NTFS、FAT32、FAT、Ubuntu/Linux的Root Director和EXT3等；操作系統(tǒng)類，主要提供現(xiàn)存的操作系統(tǒng)描述，包括Windows、ios、Android等；映像格式類，主要描述取證映像，包括DD、EWF、AFF、DEG和SDEB等。數(shù)字簽名類，是關(guān)于證據(jù)完整性的描述，包括CRC和時間戳等?；A(chǔ)層本體類的關(guān)鍵屬性有：isA、isType、isLocatedAt等。圖3是基礎(chǔ)層本體部分示意圖。

圖3 基礎(chǔ)層本體（部分）Fig.3 Ontological base layer (partial)

領(lǐng)域知識層本體的開發(fā)目的是：理解各個犯罪相關(guān)領(lǐng)域的重要概念和屬性，刻畫領(lǐng)域特征。包括：黑客類領(lǐng)域本體，侵權(quán)知識產(chǎn)權(quán)領(lǐng)域本體，網(wǎng)絡(luò)恐怖主義領(lǐng)域本體等。每個領(lǐng)域本體由于特性不同，其證據(jù)采集的數(shù)據(jù)也不盡相同。下面以網(wǎng)絡(luò)恐怖主義領(lǐng)域知識本體為例介紹其開發(fā)方法。根據(jù)美國聯(lián)邦調(diào)查局的定義，網(wǎng)絡(luò)恐怖主義就是任何組織或個人發(fā)動的有預(yù)謀的，帶有個人的或政治的動機，利用網(wǎng)絡(luò)并以信息系統(tǒng)、計算機系統(tǒng)、計算機程序、數(shù)據(jù)以及其他電子交流、轉(zhuǎn)運和存儲方式為目標，以破壞目標所有者的政治穩(wěn)定、經(jīng)濟安全或社會秩序，制造轟動效應(yīng)為目的的恐怖活動。因此，其相關(guān)概念可以抽象為動機、實踐、行為人、目的、襲擊目標和襲擊效果等6個子類。其中，動機是行為的動力，主要有政治、民族、宗教、經(jīng)濟等；實踐是恐怖主義活動的具體實施方法，如拒絕服務(wù)攻擊、網(wǎng)站污損、破壞數(shù)據(jù)、籌款招募等；行為人是發(fā)起網(wǎng)絡(luò)恐怖主義活動的組織或個人，包括疆獨組織、藏獨組織、宗教極端勢力、境外反華黑客組織等；目的是攻擊活動要達到的目的，主要包括直接目的和間接目的，可分為摧毀、干擾、威脅、強制要求、抗議、盜取、恐嚇、宣傳、滲透等；襲擊目標是攻擊作用的對象，主要有政府部門、重要組織、關(guān)鍵人物等；襲擊效果是攻擊產(chǎn)生的實際作用，包括無效、一般效果、大效果和災(zāi)難性效果等。領(lǐng)域知識層本體類的屬性有：isType、hasActor、hasKey、sameAs和similarAs等。圖4是領(lǐng)域知識本體的部分示意圖。

圖4 領(lǐng)域知識層本體（以網(wǎng)絡(luò)恐怖主義為例）Fig.4 Specific ontological domains (sectional)

2.3.3 工作流程

基于本體的專家知識庫劃定電子證據(jù)采集內(nèi)容的工作流程如下：

Step1：設(shè)定搜索領(lǐng)域范圍（或不設(shè)定，如果不設(shè)定，則搜索范圍為所有領(lǐng)域本體）。

Step2：當前證據(jù)源中的證據(jù)數(shù)據(jù)按照領(lǐng)域本體生成類的實例。

Step3：實例通過專家知識庫推理機合并或給出相關(guān)信息。

Step4：輸出最終采集結(jié)果。

專家知識庫將采集內(nèi)容限定于特定領(lǐng)域內(nèi)，從而進一步解決證據(jù)數(shù)量龐大的問題。如對于網(wǎng)絡(luò)恐怖主義的采集，其內(nèi)容限定在效果、動機、實踐、目標中，滿足的條件是：效果＞?。植酪u擊不可能為了無效或小效果）；動機=政治或宗教或社會動機（恐怖分子的恐怖活動具有明顯的政治、宗教或社會動機）；實踐=數(shù)據(jù)操作（網(wǎng)絡(luò)恐怖主義攻擊通常由惡意行為構(gòu)成，如使用病毒、木馬和蠕蟲干擾操縱數(shù)據(jù)的網(wǎng)站）；目標=組織或機構(gòu)（網(wǎng)絡(luò)恐怖行動通常以組織或政府機構(gòu)作為攻擊目標）。

專家知識庫通過內(nèi)含的知識庫推理機將多個電子證據(jù)數(shù)據(jù)合并或建立關(guān)聯(lián)，從而解決證據(jù)相關(guān)性和一致性問題。部分合并過程如圖5所示。對于電子證據(jù)源多樣問題，專家知識庫基礎(chǔ)層本體描述了證據(jù)源的本元信息，以及其內(nèi)含的文件系統(tǒng)、操作系統(tǒng)等的本質(zhì)信息，因此他們含有的相關(guān)證據(jù)可以被作為本體子類的實例，而不用考慮其所屬的特定的設(shè)備。

圖5 本體推理過程（部分）Fig.5 Ontological SPARQL reasoning (partial)

3 結(jié)論

二維電子證據(jù)采集框架通過位置、內(nèi)容二重維度限定采集范圍。其中，案例推理限定電子證據(jù)采集位置方法根據(jù)過往采集經(jīng)驗，搜集最可能的證據(jù)位置，通過計算相似度，選取最相似數(shù)個案例，按照選取的案例擴大搜索范圍，并將搜索范圍限定在這些案例定義的范圍中，既最大可能保證了案例數(shù)據(jù)完整性，又具有良好的收斂性。同時，該方法靈活，不局限于文件類型，僅關(guān)注已知位置，降低搜索范圍，提高采集效率。基于本體的專家知識庫在位置維度限定的基礎(chǔ)上，通過本質(zhì)描述，搜索指定領(lǐng)域內(nèi)容，剔除了復(fù)雜的數(shù)據(jù)源處理過程，解決了數(shù)據(jù)源多樣問題，通過專家知識庫推理機將采集的證據(jù)合并或挖掘出關(guān)聯(lián)關(guān)系，使得采集結(jié)果更精準、精簡。

除了數(shù)據(jù)量大、證據(jù)源多樣，證據(jù)相關(guān)性不強等上述問題外，電子證據(jù)采集還存在如下問題：

1）時間線不統(tǒng)一問題。由于采集證據(jù)中常存在時鐘漂移、時鐘偏移甚至是時區(qū)差別，以及對證據(jù)時間戳解釋不同等問題導(dǎo)致證據(jù)時間線不統(tǒng)一。為此，下一步考慮在專家知識庫中加入統(tǒng)一的時鐘校準和時間戳表示，按照時間線重構(gòu)證據(jù)序列。

2）采集結(jié)果顯示直觀友好問題。當前以二維表的形式將采集結(jié)果呈現(xiàn)給取證人員，在很大程度上制約了取證人員對案件的分析研判和深度挖掘的想象空間，無法完整理順數(shù)據(jù)中所存在的“案”、“人”、“物”的關(guān)聯(lián)關(guān)系。下一步擬將大數(shù)據(jù)可視化技術(shù)用于采集結(jié)果表示，使結(jié)果更直觀，更利于分析。