黃玉萍　劉志軍　王寧

【摘 要】隨著大數(shù)據(jù)時(shí)代的到來(lái)，刑事偵查中收集到的電子數(shù)據(jù)量越來(lái)越大，如何有效地對(duì)這些數(shù)據(jù)進(jìn)行篩選、分析，成為電子物證工作中的一個(gè)難題。通過(guò)將數(shù)據(jù)整合、數(shù)據(jù)挖掘、云計(jì)算、可視化等技術(shù)應(yīng)用到電子物證中，有助于提升對(duì)大數(shù)據(jù)的分析、處理能力，實(shí)現(xiàn)從海量數(shù)據(jù)中快速、有效地挖掘出有價(jià)值的信息，從而為刑事案件突破及證據(jù)固定提供有力支撐。

【關(guān)鍵字】電子物證;大數(shù)據(jù);網(wǎng)絡(luò)犯罪偵查

中圖分類號(hào)： D925.2 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2019）05-0170-003

0 引言

刑事科學(xué)技術(shù)是指公安等偵查主體應(yīng)用現(xiàn)代科學(xué)技術(shù)的成果和方法，對(duì)涉及到犯罪活動(dòng)有關(guān)的物證材料進(jìn)行收集、檢驗(yàn)和鑒定，為劃定偵查范圍，確定偵查方向提供科技支撐。刑事科學(xué)技術(shù)檢驗(yàn)包括痕跡檢驗(yàn)、法醫(yī)檢驗(yàn)、生物物證、刑事化驗(yàn)、聲像技術(shù)、文件檢驗(yàn)、警犬技術(shù)、心里測(cè)試和電子物證等九大部分。隨著刑事犯罪案件中涉及的電子數(shù)據(jù)越來(lái)越多，電子物證在刑事案件中的作用越來(lái)越重要。根據(jù)公安部物證鑒定中心統(tǒng)計(jì)，在刑事案件的偵破過(guò)程中，85%的電子物證檢驗(yàn)結(jié)果為案件的偵破提供了至關(guān)重要的線索[1]，當(dāng)前電子物證已經(jīng)成為刑偵部門破案新的增長(zhǎng)點(diǎn)和突破口。

隨著信息技術(shù)的發(fā)展，大數(shù)據(jù)（Big Data）時(shí)代也到來(lái)了。2018年1月24日，公安部黨委書記、部長(zhǎng)趙克志在全國(guó)公安廳局長(zhǎng)會(huì)議上指出：“要堅(jiān)持實(shí)戰(zhàn)引領(lǐng)，充分運(yùn)用大數(shù)據(jù)等新技術(shù)手段，積極構(gòu)建以大數(shù)據(jù)智能應(yīng)用為核心的智慧警務(wù)新模式，著力提高預(yù)測(cè)預(yù)警能力、精確打擊能力和動(dòng)態(tài)管理能力，不斷提升公安工作智能化水平?！盵2]

綜上所述，研究大數(shù)據(jù)環(huán)境下的電子物證問(wèn)題具有重要的意義。在分析了電子物證技術(shù)的發(fā)展和應(yīng)用現(xiàn)狀后，本文探討了大數(shù)據(jù)環(huán)境下電子物證面臨的挑戰(zhàn)以及應(yīng)對(duì)的方法。

1 電子物證技術(shù)

電子物證技術(shù)在國(guó)外已經(jīng)發(fā)展了30多年，早期電子物證主要在歐美執(zhí)法部門和司法機(jī)關(guān)使用，電子物證檢驗(yàn)的對(duì)象主要是大型機(jī)、個(gè)人計(jì)算機(jī)、公司的數(shù)據(jù)記錄和計(jì)算機(jī)輔助欺詐，技術(shù)上以數(shù)據(jù)恢復(fù)技術(shù)為主。隨著Internet網(wǎng)的普及應(yīng)用，電子物證檢驗(yàn)從獨(dú)立的個(gè)人計(jì)算機(jī)擴(kuò)大到網(wǎng)絡(luò)入侵、數(shù)據(jù)解密等專業(yè)化領(lǐng)域，出現(xiàn)了大量的電子物證檢驗(yàn)分析工具，如基于Windows界面的Encase、FTK、iLook、ACES等工具，基于Linux的TSK、SMART、HELEX等工具。電子物證檢驗(yàn)的對(duì)象也更加多樣化，不僅包括文件系統(tǒng)、網(wǎng)絡(luò)、也包括手機(jī)、MP3、PDA、以及網(wǎng)絡(luò)社交系統(tǒng)、手機(jī)游戲平臺(tái)、電子郵件、商業(yè)業(yè)務(wù)記錄系統(tǒng)等。

近年來(lái)，全國(guó)公安機(jī)關(guān)高度重視電子物證技術(shù)在刑事犯罪偵查中的應(yīng)用，各縣市公安機(jī)關(guān)基本都配備了專業(yè)的電子物證設(shè)備，為刑事犯罪偵查中電子物證提供技術(shù)支撐。公安部刑事偵查局也在加大對(duì)電子物證的投入，每年舉辦多期電子物證相關(guān)的專業(yè)培訓(xùn)，提升電子物證人員的專業(yè)技術(shù)水平。同時(shí)為進(jìn)一步提升電子物證更好地應(yīng)用于刑事犯罪偵查案件的辦理，2017年5月9日，全國(guó)32個(gè)省、市、自治區(qū)的48支鑒定隊(duì)伍參加了由公安部刑事偵查局與中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)首次聯(lián)合組織的全國(guó)公安機(jī)關(guān)刑事技術(shù)實(shí)驗(yàn)室電子物證專業(yè)能力驗(yàn)證活動(dòng)[3]。

總的來(lái)說(shuō)，電子數(shù)據(jù)承載著豐富的案件信息，可以真實(shí)、準(zhǔn)確、客觀地反映涉及違法犯罪的作案活動(dòng)情況。在刑事偵查活動(dòng)中，電子物證檢驗(yàn)結(jié)果可以作為案件偵查的線索，其主要應(yīng)用于，但不限于如下方面：一是明確發(fā)案時(shí)間。如利用系統(tǒng)日志、文件時(shí)間屬性等，結(jié)合其它信息，可以對(duì)案發(fā)時(shí)間進(jìn)行判定。二是明確發(fā)案地點(diǎn)。如利用手機(jī)GPS痕跡信息等對(duì)案發(fā)地點(diǎn)進(jìn)行判定。三是確定嫌疑人。如以煽動(dòng)顛覆國(guó)家政權(quán)罪為例，對(duì)行為人的IP地址和注冊(cè)信息的查詢，用于確定嫌疑人。四是確定案事件過(guò)程。如在郵件勒索案中利用日志信息、IP地址等信息的分析明確案（事）件過(guò)程。五是判明案事件性質(zhì)。如在一些案件中利用手機(jī)短信、聊天記錄、照片等電子數(shù)據(jù)為案事件定性和法庭訴訟提供有力證據(jù)。

2 大數(shù)據(jù)環(huán)境下電子物證技術(shù)面臨的挑戰(zhàn)

目前大數(shù)據(jù)的研究與應(yīng)用已經(jīng)成為國(guó)內(nèi)外的熱點(diǎn)。大數(shù)據(jù)時(shí)代的到來(lái)最早由麥肯錫提出，就如何管理大數(shù)據(jù)，《科學(xué)》雜志在2011年以?？问竭M(jìn)行了討論，Gartner把大數(shù)據(jù)技術(shù)列入全球未來(lái)5年10大關(guān)鍵技術(shù)趨勢(shì)之一[4]。大數(shù)據(jù)對(duì)當(dāng)今社會(huì)的影響已經(jīng)擴(kuò)展到社會(huì)各領(lǐng)域，在此背景下，電子物證也面臨著新的要求和挑戰(zhàn)，主要表現(xiàn)在以下方面。

2.1 電子物證檢驗(yàn)對(duì)象的多樣化

傳統(tǒng)的刑事犯罪偵查中，手機(jī)以及計(jì)算機(jī)中存儲(chǔ)著嫌疑人個(gè)人的使用痕跡信息，例如短信、通信錄、通話記錄、照片、聊天數(shù)據(jù)等記錄著犯罪嫌疑人的日常行為信息，通過(guò)電子物證檢驗(yàn)，這些數(shù)據(jù)可以成為刑事犯罪偵查重要的線索來(lái)源。

大數(shù)據(jù)時(shí)代，刑事犯罪偵查中的線索來(lái)源將從計(jì)算機(jī)數(shù)據(jù)延伸到物聯(lián)網(wǎng)、智能手機(jī)、可穿戴設(shè)備等多終端數(shù)據(jù)。一方面技術(shù)的發(fā)展和用戶使用互聯(lián)網(wǎng)載體習(xí)慣的改變，作為犯罪的新型智能終端工具被大量使用，如云存儲(chǔ)系統(tǒng)，Xbox、PS4游戲主機(jī)，iCloud、可穿戴設(shè)備參與到犯罪活動(dòng)中 。另一方面，基于大數(shù)據(jù)、人工智能帶動(dòng)的公有云計(jì)算的市場(chǎng)需求空間，很多記錄刑事犯罪行為數(shù)據(jù)也從終端設(shè)備向云端遷移，狡猾的犯罪嫌疑人可能將重要的文件存儲(chǔ)于“云端”。

2.2 電子物證檢驗(yàn)數(shù)據(jù)的海量化

隨著信息技術(shù)和通信技術(shù)的發(fā)展，各種各樣存儲(chǔ)設(shè)備和業(yè)務(wù)系統(tǒng)被廣泛使用，成為人類記錄和存儲(chǔ)信息的主要方式，同時(shí)也記錄了犯罪行為。在大數(shù)據(jù)環(huán)境下，各種信息系統(tǒng)記錄著的這些犯罪行為的蛛絲馬跡可能存儲(chǔ)于云平臺(tái)上，分散在不同機(jī)房的物理服務(wù)器上，并且這些犯罪行為的蛛絲馬跡“藏身于”海量的其他數(shù)據(jù)之間，和海量的正常的數(shù)據(jù)信息混雜在一起，往往很難發(fā)現(xiàn)。

隨著海量數(shù)據(jù)的迅速發(fā)展，從海量數(shù)據(jù)中挖掘有用信息變得非常重要。但目前常用的電子物證技術(shù)己經(jīng)越來(lái)越不適應(yīng)愈發(fā)復(fù)雜的大數(shù)據(jù)環(huán)境，面對(duì)大數(shù)量級(jí)的數(shù)據(jù)，在電子物證檢驗(yàn)中如何進(jìn)行數(shù)據(jù)的整理和過(guò)濾，進(jìn)而確立偵查的重點(diǎn)范圍;此外，一個(gè)異常行為往往隱藏在多個(gè)分散的數(shù)據(jù)之中，如何在被收集信息中發(fā)現(xiàn)潛在的異常行為等都是亟待解決的問(wèn)題。

2.3 電子物證檢驗(yàn)數(shù)據(jù)的異構(gòu)化

相對(duì)于以往以文本為主的結(jié)構(gòu)化數(shù)據(jù)，當(dāng)前非結(jié)構(gòu)化、半結(jié)構(gòu)化的數(shù)據(jù)越來(lái)越多。例如電梯的攝像頭記錄早上出門的出行時(shí)間和狀態(tài)信息;道路的攝像頭記錄開(kāi)車上班的車速和位置;上班期間，瀏覽的網(wǎng)頁(yè)記錄著搜索記錄和訪問(wèn)過(guò)的網(wǎng)站，電話記錄著聯(lián)網(wǎng)對(duì)象和通話時(shí)長(zhǎng);下班回家，購(gòu)物信息折射出的職業(yè)身份、購(gòu)物喜好等性格特征。

這些不同來(lái)源的半結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)中記錄了犯罪的“蛛絲馬跡”，可以用于嫌疑人及其關(guān)系、行為、物、時(shí)間、空間和主觀意圖數(shù)據(jù)的刑事偵查分析。如果僅對(duì)每個(gè)來(lái)源的數(shù)據(jù)進(jìn)行單獨(dú)分析，不形成關(guān)聯(lián)分析，是很難以給刑事偵查提供有效的案件線索和證據(jù)來(lái)源。大數(shù)據(jù)環(huán)境下，電子物證人員如何將這些異構(gòu)多源數(shù)據(jù)進(jìn)行整合，發(fā)現(xiàn)和提供被檢驗(yàn)數(shù)據(jù)信息中的內(nèi)在因素模式和關(guān)聯(lián)，也是面臨的亟待解決的問(wèn)題之一。

3 大數(shù)據(jù)環(huán)境下電子物證應(yīng)對(duì)方法

3.1 整合各類資源

傳統(tǒng)的電子物證主要是針對(duì)獨(dú)立的物理實(shí)體進(jìn)行檢驗(yàn)，電子數(shù)據(jù)源包括計(jì)算機(jī)、筆記本電腦、手機(jī)、移動(dòng)存儲(chǔ)介質(zhì)等。大數(shù)據(jù)環(huán)境下，電子數(shù)據(jù)源是大數(shù)據(jù)宿主操作系統(tǒng)、客戶端虛擬主機(jī)、云客戶端軟件等。另一方面，相對(duì)于以往的結(jié)構(gòu)化數(shù)據(jù)，大數(shù)據(jù)環(huán)境下非結(jié)構(gòu)化、半結(jié)構(gòu)化的數(shù)據(jù)越來(lái)越多，包括網(wǎng)絡(luò)日志、音頻、視頻、圖片、地理位置信息、電子郵件等多類型的數(shù)據(jù)。

大數(shù)據(jù)環(huán)境下電子物證檢驗(yàn)采集到的涉案數(shù)據(jù)信息來(lái)源是多渠道、分散的，重復(fù)、冗余的數(shù)據(jù)信息充斥其間。首先電子物證鑒定中心要建立自己的數(shù)據(jù)中心，對(duì)采集的信息進(jìn)行自動(dòng)并及時(shí)存儲(chǔ)在數(shù)據(jù)中心中。其次，將這些不同來(lái)源的數(shù)據(jù)進(jìn)行數(shù)據(jù)集成，整合結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)與半結(jié)構(gòu)化數(shù)據(jù)，將數(shù)據(jù)進(jìn)行預(yù)處理，便于滿足電子物證大數(shù)據(jù)分析的相關(guān)要求。再次，各級(jí)物證鑒定中心之間的數(shù)據(jù)中心要可以共享，形成資源之間的互相調(diào)用。當(dāng)然，由于案件信息數(shù)據(jù)屬于涉密信息，需要物理隔離地存儲(chǔ)在內(nèi)部網(wǎng)絡(luò)，可通過(guò)網(wǎng)閘等技術(shù)解決內(nèi)外部網(wǎng)絡(luò)數(shù)據(jù)隔離的問(wèn)題，實(shí)現(xiàn)數(shù)據(jù)之間的整合。

3.2 構(gòu)建多級(jí)云計(jì)算平臺(tái)

傳統(tǒng)的電子物證平臺(tái)在面對(duì)容量為TB級(jí)別以上的硬盤數(shù)據(jù)時(shí)，其掛載、數(shù)據(jù)復(fù)制、數(shù)據(jù)解析速度已是目前電子物證檢驗(yàn)的瓶頸。大數(shù)據(jù)環(huán)境下，電子物證所面對(duì)的案例往往有10TB甚至PB級(jí)別的數(shù)據(jù)體量。要實(shí)現(xiàn)對(duì)大數(shù)據(jù)的快速計(jì)算與分析，就需要一個(gè)具有強(qiáng)大計(jì)算能力的平臺(tái)，因此云計(jì)算平臺(tái)的構(gòu)建也就不可或缺。

理想化的云計(jì)算平臺(tái)由公安部物證鑒定中心統(tǒng)一建設(shè)，各級(jí)物證鑒定中心根據(jù)提供的賬號(hào)進(jìn)行使用，但是限于當(dāng)前數(shù)據(jù)信息還未整合進(jìn)來(lái)，是否統(tǒng)一建設(shè)云計(jì)算平臺(tái)尚還缺乏有效的論證。因此建議在市級(jí)以上的公安機(jī)關(guān)物證鑒定中心分別建立一套云平臺(tái)，區(qū)縣級(jí)公安機(jī)關(guān)共用市級(jí)公安機(jī)關(guān)的云平臺(tái)。一些刑事案件具有很強(qiáng)的地域性，犯罪嫌疑人的生活圈往往局限在本地區(qū)內(nèi)，只需要調(diào)用本地?cái)?shù)據(jù)中心的數(shù)據(jù)通過(guò)云平臺(tái)進(jìn)行計(jì)算分析，對(duì)于跨地區(qū)的案件再行申請(qǐng)調(diào)用上級(jí)公安機(jī)關(guān)的云平臺(tái)，這樣既保證了數(shù)據(jù)分析的高效，又緩解了公安部物證鑒定中心云平臺(tái)的壓力。

3.3 引入數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘技術(shù)不但具備了對(duì)大數(shù)據(jù)的處理能力，而且還具有從大量數(shù)據(jù)中尋找其潛在規(guī)律的能力，利用數(shù)據(jù)挖掘技術(shù)可以解決刑事偵查中大量數(shù)據(jù)分析難的問(wèn)題。將數(shù)據(jù)挖掘技術(shù)引入到電子物證中，就能夠?qū)κ占暮Ａ?、不完整的?shù)據(jù)信息進(jìn)行分析，找出數(shù)據(jù)間存在的潛在關(guān)系，發(fā)現(xiàn)未知的潛在證據(jù)。

經(jīng)過(guò)數(shù)據(jù)的整合、數(shù)據(jù)轉(zhuǎn)換等后，將來(lái)源分散、無(wú)序的數(shù)據(jù)變成有組織、條理化的檔案化數(shù)據(jù)。在此基礎(chǔ)上，通過(guò)數(shù)據(jù)挖掘，可實(shí)現(xiàn)由案到人、由物到人、串并案件、以及案件時(shí)空等的關(guān)聯(lián)分析。例如，可以通過(guò)關(guān)聯(lián)分析尋找電子數(shù)據(jù)中的相關(guān)性，找出不同數(shù)據(jù)源間的數(shù)據(jù)的隱藏聯(lián)系;通過(guò)時(shí)間序列分析可以對(duì)過(guò)去事件發(fā)生的時(shí)間進(jìn)行分析，掌握時(shí)序序列中蘊(yùn)含的規(guī)律，進(jìn)而預(yù)測(cè)未來(lái)事件發(fā)生的時(shí)間等等。同時(shí)也可以采取多種數(shù)據(jù)挖掘算法對(duì)電子數(shù)據(jù)進(jìn)行分析，達(dá)到最優(yōu)的數(shù)據(jù)分析處理效果。

3.4 運(yùn)用可視化技術(shù)

大數(shù)據(jù)環(huán)境下，采集的電子物證檢驗(yàn)數(shù)據(jù)在數(shù)量和復(fù)雜度上都給電子物證數(shù)據(jù)鑒定分析帶來(lái)巨大的挑戰(zhàn)。數(shù)據(jù)可視化技術(shù)能以圖形圖像方式將數(shù)據(jù)的各個(gè)屬性值以多維數(shù)據(jù)的形式表示，并能結(jié)合數(shù)據(jù)分析發(fā)現(xiàn)其中的未知信息。利用可視化技術(shù)，電子物證鑒定人員從不同的維度觀察數(shù)據(jù)，分析推理數(shù)據(jù)，證實(shí)假設(shè)結(jié)論，有助于電子物證鑒定人員探索、分析和解釋復(fù)雜的海量數(shù)據(jù)，深入地從電子物證大數(shù)據(jù)中挖掘出有效的內(nèi)部規(guī)律。

在實(shí)際應(yīng)用過(guò)程中，電子物證鑒定人員首先需要選擇一種大數(shù)據(jù)可視化分析軟件，將數(shù)據(jù)轉(zhuǎn)化為直觀分析的圖形和圖像;然后，結(jié)合自身的專業(yè)電子物證鑒定知識(shí)、技術(shù)以及從業(yè)經(jīng)驗(yàn)，發(fā)揮視覺(jué)系統(tǒng)的優(yōu)勢(shì)，對(duì)得到的圖形和圖像進(jìn)行觀察、認(rèn)知、分析，從而便于系統(tǒng)地理解和分析電子物證鑒定數(shù)據(jù)的內(nèi)涵與特征規(guī)律，從不同方面獲得對(duì)被鑒定檢驗(yàn)數(shù)據(jù)的理解。

4 結(jié)束語(yǔ)

大數(shù)據(jù)時(shí)代背景下，電子物證在刑事偵查中的作用也將日益突顯。在大數(shù)據(jù)環(huán)境下探究電子物證的挑戰(zhàn)與應(yīng)對(duì)方法，有助于促使電子物證相關(guān)技術(shù)水平的提升。大數(shù)據(jù)環(huán)境下，需要不斷革新電子物證理念與技術(shù)創(chuàng)新，讓大數(shù)據(jù)變成活數(shù)據(jù)、有價(jià)值的數(shù)據(jù)、能為刑事偵查所用的數(shù)據(jù)，從而發(fā)揮出電子物證的最大實(shí)效。

【參考文獻(xiàn)】

[1]王震. 關(guān)于刑偵部門電子物證檢驗(yàn)工作的探索[J]. 黑龍江科技信息，2016（25）：198-199.

[2]公安部部長(zhǎng)趙克志：迅速形成對(duì)黑惡勢(shì)力犯罪的壓倒性態(tài)勢(shì)https：//news.sina.com.cn/c/2018-01-25/doc-ifyqyesy1639591.shtml.

[3]CNAS與公安部首次聯(lián)合開(kāi)展刑事技術(shù)實(shí)驗(yàn)室現(xiàn)場(chǎng)能力驗(yàn)證[EB/OL]http：//www.cnca.gov.cn/xxgk/hydt/201705/t20170510_54224.shtml.

[4]陳偉，SMIELIAUSKAS Wall. 大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計(jì)：機(jī)遇、挑戰(zhàn)與方法[J].計(jì)算機(jī)科學(xué)， 2016（1）：9-13，34.