【美亚技术分享】第十八期:电子数据云汇聚平台建设的研究及探讨
犯罪的高科技化、复杂多样化以及犯罪手段的智能化,导致了相关部门在利用传统的电子数据取证技术实战过程中陷入瓶颈,难以发挥其在司法工作中的应有的作用。基于这种情况考虑,美亚柏科近年来提上研究日程的数据云汇聚平台,成功地突破了这一瓶颈。
数据云汇聚平台建设前期,相关部门在实战过程中,碰到两大瓶颈:其一,传统电子数据取证数据存放零散,分析困难、重复利用率不高,资源浪费严重。其二,跨区域犯罪趋势明显,原有取证模式难以满足团伙案分析、并案分析、深度挖掘等需求。
2.1.1 数据孤岛,数据浪费的现象泛滥
传统的采集模式,证据仅留存于本设备或者以USB接口的形式导出并保存到某个大存储设备中,造就了一座座仅拥有标识名的小孤岛,并在长年累月的历程中沦为死岛甚至慢慢被遗弃,给司法行业带来重大损失。
2.1.2 海量数据,分析困难
随着社会流动性及个人交际圈的扩大,个体拥有的身份信息量加大,人与人之间的关联性进一步提高,以及存储技术和计算机网络通信技术的发展,计算机网络中每天产生的数据庞大而复杂,传统取证模式在处理大数据方面显得力不从心。
2.2.1 犯罪活动涉及范围扩大,类型增多,深挖难
随着市场经济的日益发展及城乡一体化建设的稳步推进,甲地作案、乙地销赃、丙地藏身、丁地挥霍的跨区域流窜作案模式越来越普遍化,涉及异地取证、异地抓捕的案子越来越多。例如某省2014年在全市范围内开展的扩区域系列事件抓捕行动中,共破获各类刑事事件115起,抓获犯罪嫌疑人18名,网上逃犯7名,其中多名流窜作案犯罪嫌疑人涉及持刀蒙面、多地实施绑架、抢劫犯罪、盗窃货运财物等罪名。在这种情况下,采用传统取证模式,进行深入挖掘显然很有难度。而云平台则事半功倍、轻而易举的地突破这个瓶颈。很多嫌疑犯在各个地方或多或少有留下蛛丝马迹,只要各地及时将相关数据上传系统,数秒内便可将那些零散的、隐藏的信息组织起来,以清晰完整的形态展现出结果。
2.2.2犯罪呈团伙化、组织化,难以打击
当前很多跨区域的犯罪案件呈现出流动性、团伙性和区域性的特点,造成犯罪职业化,组织严密,分工明确;犯罪区域化,形成区域性独特的犯罪形式。比如:贵州籍盗窃、安溪诈骗、娄底诈骗、儋州诈骗、宾阳诈骗等等。出于合作与分工的需要,这些团伙往往以亲戚、老乡、牢友关系为纽带,结伙作案。2015年,广东执法部门破获了一起流窜于周边区域的家族式贩毒团伙。在办理此类事件的过程中,发现部分团伙组织结构等级设置极为严密、犯罪手段相当狡猾,案件破获过程中抓获的个别嫌疑人很难成为团伙的突破口,甚至抓获的嫌疑人与其他团伙成员从未正面接触,导致执法部门难以突破案件,证据中断,更无法使得团伙彻底瓦解。在这种情况下,传统取证模式受制于信息孤立,很难在此类团伙案中取得成效。云平台的信息汇聚特点有利于突破证据的关联,体现出良好的实战效果。
2.2.3 犯罪呈专业化趋势,有预谋、有经验,难以掌控
中国地域辽阔,人财物流动性增大,交通、通讯工具的发展,客观上都为跨区域犯罪提供隐藏身份和行踪的条件。高科技的发展、媒体的宣传和报道以及侦探小说的不断兴起,都在不断刷新犯罪手段。作案团伙利用先进的工具进行远距离操控、快速集结、作案、转移、逃跑、藏匿、销赃灭迹,再加上组织等级森严、作案经验丰富,使得相关机关难以有效掌控。在审讯阶段,犯罪嫌疑人往往订立攻守同盟、百般抵赖、避重就轻,当罪行暴露之时,也是只交代本地、当日事件、绝口不牵扯组织信息、往来人员,从而导致勘查难、取证难、追赃难、审讯难、深挖难。[2]此种情况下,云平台的布控预警、互联协作等模式,可对案件的逐层突破起到显著的作用。
数据云汇聚平台已在多个省市进行试点建设,现在就以某省建设成的第一期数据云汇聚平台作为标准的解决方案。其主要特色是将数据采集、数据取证与大数据的存储解析、海量搜索、数据研判、跨区域协助定制服务、学习沟通平台集于一身。下面就对该省建成的数据云汇聚平台展开深入的探讨和研究。
3.1.1 建立信息收集平台,实现海量存储,提升数据处理能力
数据信息收集平台,主要针对违法犯罪嫌疑人及遗失物品进行各种数据的分类汇总及解析。其收集的内容可包括事件信息、人员信息、手机数据、计算机数据,以及各种资源数据。该平台集成海量的分布式存储设备,将历史采集或取证留存下来的独立数据信息包整合并汇入信息库,建立信息的展现及全文搜索机制,一方面方便司法人员掌握历史案件情况,辅助新案件的侦破,另一方面给数亿级别数据提供了秒级处理能力。
3.1.2建立研判平台,快速查证线索
数据信息的分析研判是数据信息工作中的核心环节,是指运用科学严谨的研究方法,对各种案件线索、孤立信息进行深度加工整理和关联,产生一个预测性或判定性结果的过程。数据研判工作主要存在两种模式:一种是通过分析研判来获取数据信息,寻找目标的过程,即通过对大量零散、孤立的信息进行汇聚整合、关联碰撞和分析研究,以发现获取情报。另一种是运用分析研判来对已知数据信息的真伪及风险概率进行评估,是对已知目标评判修正的过程。数据研判平台则将这一过程智能化,其理念在于以信息网络为依托,并依靠人的思维分析能力和方法来开展分析研判工作。
分词技术是搜索引擎针对用户提交查询的关键词串进行查询处理后,根据用户的关键词串用各种匹配方法进行匹配的一种技术。该技术可满足研判人员对同一特征属性的人、物、案(事)件、组织进行自动识别、归类、数据比对以及海量碰撞等需求。该技术在获取嫌疑人身份信息及关系网中有着重大的意义,据官方数据统计,该技术在实际作战中使用的概率达85%以上。如2014年,某一诈骗案受害人报案提供了嫌疑人的手机号码和姓名,确认其姓名为虚假身份,后通过平台关联分析,确定了嫌疑人的真实身份和行业,并最终侦破。
全文检索是将存储于数据库中的所有文档的任意内容查找出来的检索方式。它可以根据需要获得全文中有关章、节、段、句、词、敏感字眼等信息,也可以进行各种统计和分析。 例如某省在巡检时,通过全文检索,发现嫌疑人相关数据中有贩卖个人信息的线索,并且案情重大,由此侦破另一起事件。
通过建立相应的案件关联模型,在孤立的、零散的海量信息中围绕犯罪活动构成要素,找到对象间的潜在关联及可能存在的关注点,揭示犯罪活动的原因和条件,为司法工作提供依据。该技术在破获大宗团伙事件中具有重大的意义。
将需要关注的对象,与数据库中相同或不同特征属性的人、事、物等各种信息资源,进行一对一、一对多、多对多、多对一的碰撞关联,找出彼此之间的直接或间接的联系,进而找出潜在的突破点,掌控在逃抓捕、犯罪团伙的作案轨迹及动向。目前,通过该平台通过关联出同伙或其它犯罪证据,已经深挖出多起陈年旧案。
通过对人、事、物的某一特征属性或者关联信息设置警报,以期达到快速获取目标对象行踪及联系网或者抓捕对象的目的。云平台不仅可以对嫌疑人的虚拟身份进行布控预警,甚至联系人中存在该虚拟身份时也可以触发警报。例如,2014年,某省在办理一起团伙抢劫事件中,预知某嫌疑人A曾经使用过一个QQ号,当即在平台上对该号码进行布控预警,巧合的是过了几天,某嫌疑人B落网,其QQ联系人中刚好存有A的信息并触发了警报,该案就这样轻而易举地被破获。
将需要关注的对象的某一具体要素特征发生出现的次数,进行多种方式的排序、筛选分析,以满足对关注对象的交际圈、活动轨迹、活动动态的掌控。据统计,某省2014年统计的四十个破获案例,其中有三十个用到了频率分析功能。
对存储有跟地理位置相关的数据,比如基站数据、GPS地图信息、Wi-Fi访问IP的归属地等数据进行深入分析,以满足对重点对象活动范围的掌控。近年来,随着滴滴打车、快车等软件的盛行,该技战法的作用越来越突显。
从时间、地域、事件性质等多个角度,对数据库中的技术数据进行观察分析,实现各种数据之间的深度关联,提升准确预测和评估能力,以满足专题研判或综合研判的需要。
对关注的对象,需要进一步挖掘关联信息的,可发起联网模式,在互联网上进行扩线碰撞分析,掌握更多的线索。
【美亚技术分享】推荐列表
1、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选一)
2、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选二)
3、不变与改变——CEIC2015(计算机和企业调查大会)随记
13、第十一期:浅谈Android手机取证中获取物理镜像的重要性
15、第十三期:智能情报分析系统——基于AHP的案情排查功能
19、第十七期:新一代浏览器Edge取证分析
20、美亚柏科信息安全学院“信息安全”征文启事