大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證技術(shù)研究

劉志軍　王寧

【摘 要】大數(shù)據(jù)時(shí)代的到來，電子數(shù)據(jù)取證對(duì)象由獨(dú)立物理實(shí)體轉(zhuǎn)換為云端應(yīng)用、虛擬主機(jī)、IOT等，其給電子數(shù)據(jù)取證帶來了極大的挑戰(zhàn)。文章首先闡述了電子數(shù)據(jù)取證的概念和歷史發(fā)展;然后分析了大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證面臨的挑戰(zhàn)，并結(jié)合大數(shù)據(jù)的特點(diǎn)以及電子數(shù)據(jù)取證特點(diǎn)，探討了大數(shù)據(jù)環(huán)境下開展電子數(shù)據(jù)取證技術(shù)研究的若干建議。

【關(guān)鍵字】大數(shù)據(jù);電子數(shù)據(jù);云計(jì)算;計(jì)算機(jī)取證

中圖分類號(hào)： D63 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2019）36-0024-003

DOI：10.19694/j.cnki.issn2095-2457.2019.36.011

1 電子數(shù)據(jù)取證概述

從取證技術(shù)的發(fā)展來看，有計(jì)算機(jī)取證技術(shù)（ComputerForensic）、數(shù)字取證技術(shù)（Digital Forensics）、電子取證技術(shù)（Electric Forensics）、網(wǎng)絡(luò)取證技術(shù)（Network Forensics）、計(jì)算機(jī)網(wǎng)絡(luò)取證技術(shù)（Computer Network Forensics）、Internet取證技術(shù)（Internet Forensics）、云取證技術(shù)（Cloud Forensics）等術(shù)語，其定義的角度各不相同。

2013年修訂后的《刑事訴訟法》第48條首次將電子數(shù)據(jù)納入法定證據(jù)，其后修訂的《民事訴訟法》、《行政訴訟法》也依次將電子數(shù)據(jù)作為獨(dú)立的證據(jù)形態(tài)，于是電子數(shù)據(jù)取證就成了當(dāng)前學(xué)術(shù)界和司法實(shí)務(wù)部門普遍接受和高頻使用的技術(shù)性名詞。何謂電子數(shù)據(jù)取證呢，通俗點(diǎn)講，電子數(shù)據(jù)取證可以看作是使用合法、合理、規(guī)范的技術(shù)或手段，從計(jì)算機(jī)或其他數(shù)字設(shè)備進(jìn)行電子數(shù)據(jù)的獲取、保存、分析和出示。

電子數(shù)據(jù)取證成立于20世紀(jì)70年代，其發(fā)展階段可以分為：嬰兒期（1985-1995年），兒童期（1995-2005年），青春期（2005-2010年），新時(shí)期（2010—現(xiàn)在）。在嬰兒期階段，隨著個(gè)人電腦的普及和Internet網(wǎng)的出現(xiàn)帶來了大量的計(jì)算機(jī)犯罪，在此階段參與取證的人員缺乏比較系統(tǒng)的專業(yè)取證工具，多是自行開發(fā)取證工具并經(jīng)驗(yàn)性地開展取證工作，取證目標(biāo)主要是大型機(jī)、個(gè)人計(jì)算機(jī)、公司的數(shù)據(jù)記錄和計(jì)算機(jī)輔助欺詐。與此同時(shí)，針對(duì)參與取證的人所涉及的專業(yè)訓(xùn)練較少等問題，諸如計(jì)算機(jī)調(diào)查專家國(guó)際協(xié)會(huì)（ICAIS）、國(guó)際計(jì)算機(jī)證據(jù)組織（IOCE）、美國(guó)國(guó)防計(jì)算機(jī)取證實(shí)驗(yàn)室（DCFL）、計(jì)算機(jī)技術(shù)專家取證協(xié)會(huì)（FACT）、在英國(guó)警察協(xié)會(huì)（ACPO）主持下的取證計(jì)算組織（FCG）、高科技犯罪調(diào)查協(xié)會(huì)等機(jī)構(gòu)和組織相繼成立，為取證從業(yè)人員提供經(jīng)驗(yàn)分享、職業(yè)技能培訓(xùn)等[1]。

在兒童期階段，技術(shù)爆炸和internet網(wǎng)的普及應(yīng)用以及隨之而來的犯罪高速發(fā)展，取證目標(biāo)從獨(dú)立的個(gè)人計(jì)算機(jī)擴(kuò)大到網(wǎng)絡(luò)入侵、數(shù)據(jù)解密等專業(yè)化領(lǐng)域，電子數(shù)據(jù)取證也開始成為專業(yè)技術(shù)領(lǐng)域，取證工具出現(xiàn)了基于Windows界面取證工具，如Expert Witness、Encase、FTK、iLook、ACES等，基于Linux取證工具，如TSK、SMART、HELEX等，與此同時(shí)網(wǎng)絡(luò)取證技術(shù)研究和內(nèi)存取證的技術(shù)研究得到了發(fā)展。

在青春期，取證目標(biāo)更加多樣化，取證的對(duì)象不僅包括文件系統(tǒng)、網(wǎng)絡(luò)、也包括手機(jī)、MP3、PDA、以及網(wǎng)絡(luò)社交系統(tǒng)、手機(jī)游戲平臺(tái)、電子郵件、商業(yè)業(yè)務(wù)記錄系統(tǒng)等。新時(shí)期階段，云計(jì)算、大數(shù)據(jù)和物聯(lián)網(wǎng)等為代表的新一代技術(shù)擴(kuò)大了取證對(duì)象。許多國(guó)家在立法上強(qiáng)調(diào)網(wǎng)絡(luò)隱私的保護(hù)，學(xué)術(shù)界也進(jìn)行了積極的響應(yīng)，如相關(guān)學(xué)術(shù)課程的不斷涌現(xiàn)，關(guān)于電子數(shù)據(jù)取證技術(shù)研究的行業(yè)會(huì)議不斷舉辦等。

2 大數(shù)據(jù)環(huán)境對(duì)電子數(shù)據(jù)取證的挑戰(zhàn)

2.1 大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證框架

圖1 大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)取證框架

根據(jù)數(shù)據(jù)處理領(lǐng)域和應(yīng)用場(chǎng)景的不同，大數(shù)據(jù)處理框架有傳統(tǒng)大數(shù)據(jù)架構(gòu)、流式架構(gòu)、Lambda架構(gòu)、Kappa架構(gòu)、Unifield架構(gòu)之分。從管理層次來看，大數(shù)據(jù)分為存儲(chǔ)層、處理層和應(yīng)用層，其中處理層是對(duì)存儲(chǔ)層的數(shù)據(jù)進(jìn)行數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析和數(shù)據(jù)訪問，大數(shù)據(jù)系統(tǒng)可以看作是在現(xiàn)有主流操作系統(tǒng)環(huán)境內(nèi)，與虛擬化技術(shù)相結(jié)合的一個(gè)數(shù)據(jù)處理集群，給不同用戶提供決策等支持服務(wù)的數(shù)據(jù)系統(tǒng)[2]?；诖?，大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)取證可以分為應(yīng)用層取證、系統(tǒng)層取證和物理資源層取證，如圖1所示。

2.2 大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證的挑戰(zhàn)

計(jì)算機(jī)、手機(jī)、如移動(dòng)硬盤、U盤、存儲(chǔ)卡等移動(dòng)存儲(chǔ)介質(zhì)一般都是傳統(tǒng)電子數(shù)據(jù)取證對(duì)象。在大數(shù)據(jù)環(huán)境下，電子數(shù)據(jù)取證對(duì)象包括云客戶端操作、云備份、大數(shù)據(jù)系統(tǒng)本身、客戶端虛擬主機(jī)、大數(shù)據(jù)宿主計(jì)算機(jī)等，取證對(duì)象和取證目標(biāo)的變化也為電子數(shù)據(jù)取證帶來極大的挑戰(zhàn)。從圖1的大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證層次框架看，大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證面臨著許多挑戰(zhàn)，包括但不限于：

2.2.1 應(yīng)用層取證中面臨取證對(duì)象的定位和提取難

大數(shù)據(jù)環(huán)境下，很多記錄著涉網(wǎng)的操作行為數(shù)據(jù)從終端設(shè)備向云端遷移，例如，涉案人員登陸云端并進(jìn)行數(shù)據(jù)操作，或者將數(shù)據(jù)存儲(chǔ)在云端或者網(wǎng)盤中。大數(shù)據(jù)環(huán)境下，用戶使用互聯(lián)網(wǎng)載體習(xí)慣也在改變，例如，涉案人員將手機(jī)中的聊天信息、圖片等數(shù)據(jù)通過云存儲(chǔ)方式備份到網(wǎng)絡(luò)上等。在應(yīng)用層取證中，電子數(shù)據(jù)取證對(duì)象也轉(zhuǎn)換為基于大數(shù)據(jù)架構(gòu)的各種網(wǎng)盤、云存儲(chǔ)和云端操作系統(tǒng)等。

網(wǎng)盤技術(shù)、云存儲(chǔ)技術(shù)是基于虛擬化的，數(shù)據(jù)存儲(chǔ)于不同的數(shù)據(jù)中心，甚至跨司法管轄范圍，在應(yīng)用層取證中要定位數(shù)據(jù)和提取電子數(shù)據(jù)較為困難，電子數(shù)據(jù)取證調(diào)查人員一般需要云服務(wù)提供商協(xié)助，否則其難以定位到具體物理機(jī)器進(jìn)行取證。在云環(huán)境下，由于用戶著共享云基礎(chǔ)設(shè)施或應(yīng)用，數(shù)據(jù)存在著混雜存儲(chǔ)狀況，分離用戶數(shù)據(jù)困難，在收集證據(jù)時(shí)可能會(huì)摻雜無關(guān)用戶的數(shù)據(jù)，如何保障無關(guān)用戶數(shù)據(jù)的機(jī)密性，如何在電子數(shù)據(jù)提取中僅提取用于事件重構(gòu)的數(shù)據(jù)對(duì)于電子數(shù)據(jù)取證人員是一個(gè)挑戰(zhàn)。

2.2.2 系統(tǒng)層取證中面臨數(shù)據(jù)分析的困難

系統(tǒng)層取證的取證對(duì)象主要有系統(tǒng)訪問日志、大數(shù)據(jù)分布式文件系統(tǒng)等。日志是系統(tǒng)層取證中最重要的證據(jù)來源之一，但是云服務(wù)提供商提供的日志文件數(shù)據(jù)格式不同，也缺乏統(tǒng)一的日志文件數(shù)據(jù)格式規(guī)范。現(xiàn)有的日志通常也是多用戶數(shù)據(jù)混雜，包含大量與取證無關(guān)的冗余或敏感信息[3]。

大數(shù)據(jù)分布式文件系統(tǒng)中如一些DFS、 HDFS將分割后的塊文件以數(shù)據(jù)塊編號(hào)命名，僅從文件名是無法判斷文件的類型和歸屬關(guān)系，這就為電子數(shù)據(jù)取證人員追溯涉案人員與案件的分析判定帶來困擾。其次，結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)并存，有些云計(jì)算有著自身特有的數(shù)據(jù)格式;再次是數(shù)據(jù)體量大，電子數(shù)據(jù)取證的數(shù)據(jù)體量常達(dá)到10TB 甚至PB級(jí)別，對(duì)于傳統(tǒng)的電子數(shù)據(jù)取證分析而言，勢(shì)必成為不可能完成的任務(wù)。

2.2.3 物理資源層取證面臨取證對(duì)象多樣化

大數(shù)據(jù)時(shí)代，一方面隨著用戶使用互聯(lián)網(wǎng)載體習(xí)慣的改變，取證對(duì)象由計(jì)算機(jī)系統(tǒng)延伸到云端、智能手機(jī)、可穿戴設(shè)備等多終端設(shè)備。另一方面大數(shù)據(jù)、云計(jì)算、嵌入式技術(shù)以及傳感器技術(shù)的發(fā)展，IoT中如紅外感應(yīng)器、全球定位系統(tǒng)、射頻識(shí)別裝置等各種信息傳感設(shè)備，暗網(wǎng)，智能汽車以及其他智能設(shè)備的種類和數(shù)量不斷增多，由于其含有豐富的電子數(shù)據(jù)，也不斷出現(xiàn)新的取證需求。

現(xiàn)有的取證工具產(chǎn)品能較好地提取和分析宿主計(jì)算機(jī)上殘留的用戶session、cookie、下載歷史、瀏覽歷史、緩存數(shù)據(jù)等;也能較好地提取移動(dòng)設(shè)備如手機(jī)中刪除的通信錄、短信、SIM卡信息、圖片、Webchat和QQ等聊天信息等;甚至提取和分析一些可穿戴電子設(shè)備中的電子數(shù)據(jù)。但是面對(duì)無所不在的各類物聯(lián)網(wǎng)傳感器，汽車、攝像頭、洗衣機(jī)、烤箱等在內(nèi)的智能設(shè)備時(shí)，現(xiàn)有的取證工具產(chǎn)品在提取和分析其電子數(shù)據(jù)顯得力不從心。其次，大數(shù)據(jù)環(huán)境中普遍使用虛擬化技術(shù)（VM），當(dāng)用戶釋放VM后，VM 占用的空間將被收回，資源回收和再分配較為頻繁，這種虛擬化技術(shù)特性使得平臺(tái)或節(jié)點(diǎn)中的數(shù)據(jù)成為易失性數(shù)據(jù)，現(xiàn)有的取證工具產(chǎn)品較難以提取與恢復(fù)這塊數(shù)據(jù)。

3 大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證技術(shù)研究

DFRWS 組織根據(jù)取證過程將電子數(shù)據(jù)取證技術(shù)分成如下六大類：識(shí)別類（identification）、保存類（preservation）、收集類（collection）、檢查類（examination）、分析類（analysis）、呈堂類（presentation）。根據(jù)DFRWS提出的技術(shù)框架分類，電子數(shù)據(jù)取證涉及的具體取證技術(shù)有電子數(shù)據(jù)識(shí)別發(fā)現(xiàn)技術(shù)、電子數(shù)據(jù)提取收集技術(shù)、電子數(shù)據(jù)分析檢驗(yàn)技術(shù)、電子數(shù)據(jù)呈堂技術(shù)[4]。結(jié)合大數(shù)據(jù)的特點(diǎn)以及電子數(shù)據(jù)取證過程中的技術(shù)分類，大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證技術(shù)需要展開如下研究。

3.1 云取證模型的研究

云計(jì)算充分利用物理設(shè)施的彈性來處理快速增長(zhǎng)的大數(shù)據(jù)，云計(jì)算能為大數(shù)據(jù)提供存儲(chǔ)空間和訪問渠道[5-6]，因此大數(shù)據(jù)必須以云作為基礎(chǔ)架構(gòu)，云計(jì)算是大數(shù)據(jù)的基礎(chǔ)架構(gòu)平臺(tái)。由于各種云存儲(chǔ)、云端操作和云備份等中包含重要的潛在證據(jù)源，近年來關(guān)于云取證模型的研究也成為學(xué)術(shù)界探索的熱點(diǎn)。現(xiàn)有的云取證模型研究集中在兩類：普適性解決方案和特定類型性解決方案[7]。普適性解決方案是分析電子數(shù)據(jù)取證各個(gè)階段在云環(huán)境中可能會(huì)遇到的問題，提出一個(gè)通用性、普適性的解決思路，而特定類型性解決方案是針對(duì)某個(gè)特定類型的云模型或云產(chǎn)品如OpenStack云計(jì)算平臺(tái)、Amazon s3，Drop box，Google Does，EverNote等提出一套具針對(duì)性的取證解決思路。

當(dāng)前理論研究中存在著很多云取證模型，但是具有綜合性和整體性取證策略與實(shí)施方法的云取證模型仍然缺乏[8]，不足以指導(dǎo)大數(shù)據(jù)應(yīng)用層取證中云環(huán)境下的取證工作。從電子數(shù)據(jù)識(shí)別發(fā)現(xiàn)技術(shù)的研究看，云取證模型的研究一是要解決電子數(shù)據(jù)的識(shí)別和定位問題，針對(duì)云環(huán)境的特點(diǎn)指導(dǎo)取證人員識(shí)別和定位電子數(shù)據(jù)所在虛擬機(jī)的物理位置，并研究可行的數(shù)據(jù)收集方法和數(shù)據(jù)分析方法，二是在云環(huán)境中針對(duì)存在著混雜存儲(chǔ)的用戶數(shù)據(jù)，一方面從保護(hù)用戶的隱私角度，要研究如何判斷哪些電子數(shù)據(jù)是合法的，哪些用戶數(shù)據(jù)是不應(yīng)觸及的，另一方面也要保障電子數(shù)據(jù)的真實(shí)性和關(guān)聯(lián)性。

3.2 綜合性多樣性取證工具產(chǎn)品的研究

在大數(shù)據(jù)時(shí)代，人們交流方式多樣化，信息分享便捷化，數(shù)據(jù)已成為人類生產(chǎn)生活的重要基礎(chǔ)資源，計(jì)算機(jī)不再是生產(chǎn)數(shù)據(jù)的主力軍，大量的取證數(shù)據(jù)源將來自各類物聯(lián)網(wǎng)傳感器、汽車、攝像頭、洗衣機(jī)、烤箱等在內(nèi)的智能設(shè)備等。比如在皮膚上可以監(jiān)測(cè)運(yùn)動(dòng)時(shí)健康狀況的電子紋身，汽車的行駛數(shù)據(jù)、智慧城市傳感數(shù)據(jù)、家用電器操作指令、各類共享出行設(shè)備的信息記錄等，這些信息來源包括智能設(shè)備、控制智能設(shè)備的移動(dòng)APP、智能設(shè)備與云端的通信信息。

大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)的形式將更多樣化，非結(jié)構(gòu)化、半結(jié)構(gòu)化的數(shù)據(jù)會(huì)越來越多，來源不同的非結(jié)構(gòu)化、半結(jié)構(gòu)化數(shù)據(jù)可能記錄著嫌疑人涉嫌犯罪的痕跡，這些異構(gòu)多源數(shù)據(jù)是相互關(guān)聯(lián)的，單獨(dú)分析每個(gè)來源數(shù)據(jù)，是難以給案件偵查提供有效地辦案線索和證據(jù)來源，當(dāng)前傳統(tǒng)單一型的電子數(shù)據(jù)單兵工具無法統(tǒng)一處理案件過程中各個(gè)階段異構(gòu)多源的電子數(shù)據(jù)取證要求。雖然目前可以采用分層思想開展電子數(shù)據(jù)取證，例如，整合傳統(tǒng)取證工具提取實(shí)時(shí)證據(jù)，虛擬機(jī)電子數(shù)據(jù)采用自動(dòng)化提取技術(shù)，客戶端本地緩存數(shù)據(jù)提取等，但是由于云計(jì)算具有分布性和虛擬性等特性，傳統(tǒng)的基于單機(jī)的電子數(shù)據(jù)提取存在諸多局限，在落地實(shí)施方面普遍存在存儲(chǔ)開銷和性能負(fù)載過高、運(yùn)維困難等問題[7]。因此，從電子數(shù)據(jù)提取收集技術(shù)角度看，針對(duì)無所不在的各類物聯(lián)網(wǎng)傳感器、智能設(shè)備，綜合性多樣性取證工具產(chǎn)品、基于大數(shù)據(jù)架構(gòu)取證平臺(tái)的研究是未來大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證領(lǐng)域的一個(gè)研究重點(diǎn)。

3.3 電子數(shù)據(jù)分析檢驗(yàn)技術(shù)研究

電子數(shù)據(jù)分析檢驗(yàn)技術(shù)指的是在電子數(shù)據(jù)收集的基礎(chǔ)上，對(duì)所提取的電子數(shù)據(jù)結(jié)合案件進(jìn)行合理解釋后所涉及的技術(shù)，具體包括數(shù)據(jù)復(fù)制技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、關(guān)鍵字搜索技術(shù)等。

大數(shù)據(jù)環(huán)境下，面對(duì)巨大的數(shù)據(jù)量，在電子數(shù)據(jù)分析檢驗(yàn)技術(shù)的研究中，一是在取證思路上要建立從“分析所有數(shù)據(jù)以確保不遺漏任何內(nèi)容”到更多地依賴于智能方法研究的轉(zhuǎn)變，二是要在數(shù)據(jù)源的分析、文件搜索等方面開展大數(shù)據(jù)智能取證檢索技術(shù)研究，研究和開發(fā)智能檢索引擎，滿足全面、準(zhǔn)確、快速的取證檢索，三是要在事件重構(gòu)等方面，展開將雜亂無章的、分散的數(shù)據(jù)變成有條理的、集中的檔案化數(shù)據(jù)基礎(chǔ)上，強(qiáng)化大數(shù)據(jù)挖掘算法的研究，結(jié)合公安辦案工作實(shí)際需求，強(qiáng)化由案到人、由案到物、由案到案的案件串并等關(guān)聯(lián)模型的算法研究。

3.4 電子數(shù)據(jù)取證的可視化技術(shù)研究

由于銀行柜臺(tái)、網(wǎng)上銀行、手機(jī)銀行等各種交易系統(tǒng)中會(huì)留下犯罪的蛛絲馬跡，在偵查實(shí)踐中，通過核查這些數(shù)據(jù)，可以展開以“資金流”引導(dǎo)“犯罪流”的偵查。例如，經(jīng)濟(jì)犯罪中的查賬分析在現(xiàn)階段可以通過順查和逆查分析賬表，采用抽查法開展數(shù)據(jù)抽樣分析，或者采用數(shù)據(jù)查詢方法、盤查法、統(tǒng)計(jì)分析等數(shù)據(jù)分析技術(shù)，能夠得到大量可靠的線索和證據(jù)來源。在大數(shù)據(jù)環(huán)境下，這些賬戶的交易進(jìn)出賬頻率、金額特征、資金流向等數(shù)據(jù)不僅數(shù)據(jù)量巨大，而且資金關(guān)系互相交織顯得異常復(fù)雜，依靠人工梳理根本不可能完成復(fù)雜的資金數(shù)據(jù)分析。

可視化是指把數(shù)據(jù)轉(zhuǎn)換成圖形，通過可視化圖形界面，幫助分析人員洞察出數(shù)據(jù)背后隱藏的潛在信息，數(shù)據(jù)可視化有助于海量復(fù)雜數(shù)據(jù)的分析[6]?？梢暬梢蕴峁┤∽C人員對(duì)電子數(shù)據(jù)的直觀感受，取證人員通過交互式圖形界面，結(jié)合自身的取證背景知識(shí)，可以對(duì)收集和提取的電子數(shù)據(jù)進(jìn)行不同方面的分析和理解，“洞察” 收集提取的電子數(shù)據(jù)其內(nèi)在因素的模式和關(guān)聯(lián)，快速從中發(fā)現(xiàn)問題。另一方面，隨著《電子數(shù)據(jù)司法鑒定通用實(shí)施規(guī)范（SF/ZJD0400001）》、《公安機(jī)關(guān)鑒定規(guī)則》、《關(guān)于建立司法鑒定管理與使用銜接機(jī)制的意見》等相關(guān)規(guī)定和指導(dǎo)意見的出臺(tái)，電子數(shù)據(jù)鑒定人依法出庭將成為常態(tài)，如何在法庭上將抽象的、異構(gòu)多源的電子數(shù)據(jù)以直觀可視的方式展示，如何讓電子數(shù)據(jù)分析結(jié)果成為有利的呈堂證供，電子數(shù)據(jù)取證的可視化技術(shù)研究可以解決此類問題。

4 結(jié)束語

電子數(shù)據(jù)取證技術(shù)支撐電子數(shù)據(jù)的識(shí)別，貫穿于整個(gè)電子數(shù)據(jù)取證過程中，電子數(shù)據(jù)取證技術(shù)之于整個(gè)電子數(shù)據(jù)取證工作的重要性不言而喻。大數(shù)據(jù)時(shí)代背景下，傳統(tǒng)的電子數(shù)據(jù)取證技術(shù)及其技術(shù)方法應(yīng)用在大數(shù)據(jù)環(huán)境下存在很大的局限性。在電子數(shù)據(jù)取證技術(shù)發(fā)展中，要充分利用大數(shù)據(jù)技術(shù)其帶來的發(fā)展優(yōu)勢(shì)，回避大數(shù)據(jù)技術(shù)帶來的風(fēng)險(xiǎn)，讓大數(shù)據(jù)變成活數(shù)據(jù)、有價(jià)值的數(shù)據(jù)，成為案件偵查的線索來源和法庭采納的證據(jù)，才能發(fā)揮出電子數(shù)據(jù)取證的最大實(shí)效。

【參考文獻(xiàn)】

[1]李毅.電子數(shù)據(jù)取證發(fā)展概況[J].中國(guó)信息安全，2019，（05）：44-47.

[2]張其前，尤俊生，高云飛.大數(shù)據(jù)取證技術(shù)綜述[J].信息安全研究，2017，（9）：795-802.

[3]高元照，李學(xué)娟，李炳龍，吳熙曦.云計(jì)算取證模型[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2017，（9）：13-23.

[4]杜春鵬.電子證據(jù)取證和鑒定[M].中國(guó)政法大學(xué)出版社，2014年版，82-84.

[5]肖伊涵，石天唯.基于大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計(jì)機(jī)遇、挑戰(zhàn)與方法[J].納稅，2018，（02）：194-195.

[6]陳偉.SMIELIAUSKAS Wally.大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計(jì)：機(jī)遇、挑戰(zhàn)與方法[J].計(jì)算機(jī)科學(xué)，2016（01）：8-13.

[7]高運(yùn)，伏曉，駱斌.云取證綜述[J].計(jì)算機(jī)應(yīng)用研究，2016，（1）：1-6.

[8]丁麗萍，劉雪花.云環(huán)境下的電子數(shù)據(jù)取證技術(shù)研究[J].中國(guó)信息安全，2019，（05）：59-60.