云技术环境下的电子数据取证分析
2021-05-11张黎明葛伟吴玉强
张黎明 葛伟 吴玉强
【摘要】 随着网络技术的不断发展,云技术的在各个行业中的应用范围随之得到拓展。现阶段,云计算技术应用于计算机取证中后,相对于传统取证技术的应用,不仅在存储量方面得到提升,同时在计算高效性层面也得到显著优化。在此基础上,文中首先分析了主題相关概念,随后对比了传统取证模式与云技术电子数据取证模式的差异性,最后就云技术在电子数据取证中的具体应用展开分析,旨在通过本次研究内容的展开,进一步提升电子数据取证工作质量。
【关键词】 云技术 电子数据取证 技术应用
前言
传统的电子数据取证技术应用中,主要以单机或是弱推理取证方式为主,且所获取的电子数据会直接在计算机中存储,整个过程无需经历数据整理及分析等复杂过程,虽然于一定程度上提升了取证工作速度,但是伴随着极大的不安全性问题,导致各类网络犯罪抓漏洞持续犯罪,影响网络社会安全度提升。鉴于此,针对云技术环境下的电子数据取证这一内容展开深入分析具有重要现实意义。
一、概念分析
1.1云计算
云计算是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期,简单地说,就是简单的分布式计算,解决任务分发,并进行计算结果的合并[1]。因而,云计算又称为网格计算。通过这项技术,可以在很短的时间内(几秒钟)完成对数以万计的数据的处理,从而达到强大的网络服务。
1.2电子数据取证
电子数据取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据[2]。随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键,恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子数据取证。
二、传统取证模式与云技术应用取证模式区别
为了能够进一步凸显出云技术应用于电子数据取证工作开展中的优势,借此更好的推广云计算取证技术的适用范围,应该充分针对传统取证模式与云技术应用取证模式进行区别分析,具体的区别内容如下表1。
三、云技术环境下的电子数据取证分析
3.1电子数据取证的识别及准备
在电子数据取证分析中,将云技术应用其中,需要提前做好相应的云取证模型,如图1所示:
案件证据识别的过程中,主要是将云技术环境之内的所有证据对象识别处理,从而促使取证人员能够对犯罪案件的事实产生一定的总体认知,随后推进相应的取证准备工作。准备期间,应该做好以下工作内容:①取证人员需针对犯罪案件的性质展开分析,随后确认云服务工作开展的类型,并同步做好提供商主体的确认工作,例如区分其属于公有云、私有云亦或是混合云,以私有云为例,其往往会在设备的加以降低处理[3]。②针对存储案件数据的相关设备展开相应的分析工作,目前比较常见的信息存储设备主要以虚拟机、物理磁盘等为主,期间也需按照设备类型的不同以及网络环境的差异,展开更具针对性的解决措施分析。
3.2电子数据取证的检验与分析
云计算环境下,展开电子数据取证的检验与分析工作时,应该分析不同案件的差异点,从而确认数据检验的工作目标,详细分析而言,应该从以下几方面着手展开:①针对现有云计算服务工作开展的行业标准加以统一。2014年,我国首次发布了云计算领域的相关标准,其中囊括了云计算概述、词汇以及参考架构等内容,后续,召开了全国信标委云计算标准工作会议,并就云资源管理以及相关技术的总体要求进行了设定,2018年,再次发布了有关于云计算服务安全能力的相关评估方案,在后续的发展中,也需做好相关法律的标定工作。②针对现有的云数据分析步骤进行细化。细化过程中,首先需要做出假设,不能盲目展开数据分析工作,想要提升工作开展的高效性,需要求案件取证人员就案件实况进行数据类型假设,随后执行针对性搜索工作。其次,制定完善的分析计划,确认电子数据取证的类型,随即确认检索关键词、设备、校验码等。再次,实施计划,按照制定的检验计划,针对云技术应用期间的文件修改时间、系统配置、数据大小等内容进行取证分析,并按照相应的时间区域做好转化工作,最终高效还原案件时间线。最后,做好检验结果的评估工作,一方面,需针对电子数据取证全过程的开展是否满足技术规范标准及要求进行整体性的评估处理,并评估处理的公正性及分析记录管理工作成效。另一方面,需针对分析结果是否满足预期成效进行评估,并同步做好进一步分析控制工作。
3.3电子数据取证的云储存与共享
利用云技术进行电子数据取证分析时能够发现,云存储系统运行期间,主要的信息存储方式以存储冗余数据为主,且在保存过程中,能够自动将多个文件的副本保存下来,且此时可采购价格低廉的计算机设备用于电子数据取证的保存,并随之构建更具共享价值的私有性质云储存系统。如在进行电子数据取证存储及归档处理时,通过该方案的采用,就可以进一步实现证据存储成本及共享管理费用支出降低技术处理目标。一般而言,在应用Test Disk这一款开源磁盘数据恢复软件进行数据文件的存储时,往往会通过数据块的形式完成储存,且同时可将计算机内分布于不同集群中的Data Node节点内的数据块进行整理统一储存,而用户登录云储存控空间后,去访问数据文件时,就可同步从多个Data Node内将数据块信息读取出来,借此进一步缩短数据的访问时限,并提升传输效率。在本次此研究中,应用云计算技术进行电子数据取证存储时,主要以LATE云计算方法为主,进行取证数据的云储存任务的处理工作,期间可通过如下公式完成云计算处理:
其中,PRS主要指代任务按照分片策略执行所得到的取证进程分;PGS主要指代进程速率;t主要指代取证任务的执行时间;T主要指代取证任务执行的剩余时间。
在应用上述云计算方法开展电子数据取证处理时,其任务执行过程中,如某节点在进行新任务请求设备,整个云存储系统中所备份的数据,会自动分配小于该节点任务执行数,且该数量低于同一时刻的备份任务执行数量。更为详细的技术算法步骤主要如下:
①当节点的速率低于节点处理任务的标准阀值时,取证技术会自动屏蔽该计算请求,则整个计算任务完成,如超出则继续执行任务。
②针对正处于执行状态的取证任务进行排序处理,按照上述两个公式计算得出相应的取证时间,并按照由低至高的原則进行任务执行顺序排列处理。
③将低于节点处理任务标准阀值的取证任务进行重新备份。
四、实验分析
某企业的一项商业机密文件遭到泄密,当公安机关接收到企业报案信息后,决定派遣3名取证人员进入到企业内进行电子数据取证处理,期间,A、B、C名电子数据取证人员,分别针对该报案企业中的15台可疑计算机进行了电子数据取证分析工作,目的在于将整个商业机密文件的泄露过程进行重现,从而找出犯罪人员。比较详细的电子数据取证分析过程如下所示:
①A、B、C共计3名电子数据取证人员,分别被分配了相应的电子数据取证任务,过程中,每名工作人员需要针对5台计算机中最近15时间内所删除的文件进行数据恢复,同时获取所处理计算机中近30天以来所接收和发送的电子邮件内容,且须做好近30天内Web浏览器的浏览历史提取工作,并做好相对应的HTTP数据解析工作。
②3名电子数据取证人员在工作中,还需针对20台计算机中所获取的相关数据展开过滤和分析工作,将所获取数据中与本案件相关的电子数据信息上传至计算机服务器的云端存储空间,按照相关操作进行共享。
③3名电子数据取证工作人员需利用云计算技术针对相关证据进行分析处理,最终将其生成具备法律效率的案件处理证据报告。具体的实验结果如下表1所示:
通过对表2中的取证结果进行分析能够发现,在多名电子数据取证人员的协作之下,充分针对一件犯罪案件利用云计算几乎进行证据获取,能够显著提升案件取证的效率,进一步提升信息犯罪案件破获效率。
五、结束语:
综上所述,电子数据取证作为一类交叉学科,其囊括了取证科学、计算机学科乃至为行为证据科学等多个学科,为了能够进一步提升电子数据取证工作的开展质量,充分将云计算技术应用其中十分有必要。与此同时,将云技术运用于电子数据取证分析中时,不仅需要做好相应的电子数据识别及对应的准备工作,在云储存以及数据共享处理方面也不能忽视,此外,为了更好的提升电子数据取证的应用范围,还需同步做好电子证据的检验与分析工作,方能够最终对网络犯罪事件的发生率加以遏制,构建清朗网络空间。
参 考 文 献
[1]祝艳京. 电子证书数据挖掘技术的诉讼取证分析系统设计[J]. 单片机与嵌入式系统应用, 2020, 020(006):9-12.
[2]吴同, 杨卫军, 赵利. 针对网盘客户端的电子数据取证方法研究[J]. 警察技术, 2018, 000(003):70-72.
[3]刘志军, 王宁. 大数据环境下电子数据取证技术研究[J]. 科技视界, 2019, No.294(36):30-32.