电子数据取证知识汇聚与共享的实现
江汉祥
(厦门美亚柏科信息股份有限公司 福建厦门361008)
(jianghx@300188.cn)
摘 要 电子数据取证知识是工作人员智慧在取证过程中的体现,然而实际工作中它一直消失在个案中.通过制定取证知识标准,升级取证软件,改造取证装备,将取证知识汇聚及加工处理形成各种取证知识库,并通过网络机制分享给工作人员.这将原来的取证能力完全依赖个人能力提升到个人能力与集体智慧的结合.同时这种机制也将建立起取证知识生态,促进取证技术的良性循环,为取证工作带来质的飞跃.
关键词 电子取证;取证知识;知识汇聚;取证知识库;知识共享
电子取证在国内已经发展近20年,尽管在取证技术上有了很大的发展,但在取证模式上并没有多大变化,未能充分利用信息化的红利.而取证知识正是能够有效利用互联化来改变取证模式、提升取证能力的关键.本文将针对取证知识的概况、汇聚与共享进行论述,为取证知识生态的实现提供参考.
1 电子数据取证知识概况
电子数据取证知识是指电子数据取证中工作人员对取证内容的标注信息,取证过程中所形成的取证方法、取证脚本,所利用的取证工具等,经过相关规则处理后,形成便于共享利用、有结构的组织形式[1].
工作人员特别是一些取证能手,在取证中往往会形成各种取证知识.比如:
1)取证标注.为了便于导出分析报告,工作人员会对与证据相关的浏览记录、聊天内容、通联电话或短信、交易记录、相关文档、相关图像视频文件、甚至是轨迹数据与残留区片段数据进行标注.
2)取证方法.对于手机解锁、小众APP、疑难复杂案件的取证过程,都会形成独特的针对性的取证方法.
3)取证脚本.国外的取证软件都有强大的脚本功能,国内目前也逐步开展脚本辅助功能.那么一些取证能手就会借助脚本功能来解决一些软件常用功能不能解决的取证问题.
4)取证工具.一些取证问题可能比较棘手和偏门,常规的取证不能解决,这时工作人员可能借助一些小工具来解决这些独特问题.
④水土保持费用,在编制竣工财务决算时,不应作为待摊投资进行分摊。按照“基本建设财务管理规定”,水土保持分成两部分:不能形成资产部分的投资作待核销处理,计入“待核销基建支出”;形成资产部分的投资,计入交付使用资产价值。
黄冈市贫困地区26家农村基层医疗卫生机构基本药物使用情况调查 ……………………………………… 王文杰等(2):156
2)取证软件改造升级;
2 电子数据取证知识汇聚与共享实现框架
这些基于案件事实的取证知识其价值不言而喻,需要建立机制,汇聚知识,并进行知识加工(预处理),形成各种知识库[2],还能将知识库共享给各个取证人员.从而将各个体的智慧汇聚,形成集体智慧,并共享智慧.这从根本上解决了取证依赖个人能力的问题,形成取证是个人能力+集体能力的集成.如图1所示:
但是目前,取证装备处于单兵状态时,个人在取证过程中所形成的各种取证知识处于离散状态、碎片化状态,在取证结束时,各种与取证场景相关的知识埋没在个案件中,没有汇聚,没有加工,更不可能共享.所以取证的能力一直停留在个人能力的进步和取证软件的更新上,不能有突破性的进展和颠覆性的革命.
图1 取证知识的汇聚、预处理与共享
要实现以上取证知识汇聚与共享模式,就必须解决以下几个问题:
4)取证知识库如何形成;
为了收集取证方法,就需要制定取证方法操作标准.取证软件依照标准对取证方法的操作进行日志记录.
2.2 LncRNA-8439 在 2 种肿瘤悬浮球中呈一致的上调表达 采用实时荧光定量 PCR 检测上述9 个 lncRNA 在人肝癌细胞系 Huh7 和 Hep3B 及其相应的肿瘤悬浮球中的表达量。结果(图2)显示 9 个与肿瘤干细胞多能因子相关的 lncRNA中,仅有 lncRNA-8439 在 2 种肿瘤细胞悬浮球中呈一致上调表达,与对应的贴壁细胞系表达量相比差异均有统计学意义(P 均<0.01),故选择lncRNA-8439 作进一步研究。
《会稽志》嵊县条下又记:“丹池山在县东七十二里。旧桐柏山,唐天宝六载改为丹池。……南岳真人云:‘越有桐柏、金庭,与四明、天台相连,神仙之宫也。’《真诰》曰:‘桐柏山,高一万五千丈,周回八百里,四面视之如一。其一头在会稽东海际,其一头入海中,是金庭不死之乡……树则苏纡珠碧,泉则石髓金精。其山台尽五色金也。经丹水而行,有洞天从中过,在剡、临海二县之境。”[2]1828
3)取证装备智能互联改造;
所谓过腔的依附性,首先是说没有字腔,也就没有过腔存在的必要。其次是说,既存的过腔位置必定在字腔之后,这是为了与后一个字腔相连接而存在的音调,所有的过腔都是如此,这就是过腔的依附性。
1)制定取证知识相关标准:取证标注标准和取证方法操作标准;
5)取证知识如何共享.
下面就这几个方面内容展开论述.
子宫内膜异位症虽不是OCCA预后影响因素,但其为女性常见病,具有浸润性生长和易复发等临床特征,且部分内异症会发生癌变,从而增加卵巢癌发病率[16]。研究表明,内膜异位病灶导致的氧化应激状态、炎症反应和高雌激素状态可能加速恶变[2-4]。在本研究中,内异症来源的卵巢透明细胞癌占27.50%,但因病理取材局限、内异症的病理多态性、肿瘤组织生长旺盛破坏了其周围的内异症组织以致找不到组织学证据等因素,临床实际资料应大于这一比例。本研究中合并子宫内膜异位症的OCCA患者预后好于不合并子宫内膜异位症患者,这可以用Komiyama等[17]从分子学角度的研究结果解释。
2.1 取证知识相关标准制定
有些取证知识如取证脚本或取证工具,其本身就是专门解决某方面取证问题,只要具备运行环境就能够共享使用.这种知识不需要制定标准.但是,有很多取证知识本身是零散的、碎片化的取证工作.如果没有相关的标准取证软件就无法对应改造升级,无法记录下对应的知识,也没有规则去处理汇聚到的知识[3].比如,取证人员对找到证据相关的文件、内容、虚拟身份要进行标注.以前的标注只为方便作报告,因而标注的信息很随意,由工作人员自行标注.这样就无法根据杂乱无章的标注进行知识提取,因而需要制定取证标注标准.同样,取证方法特别是取证能手对一些疑难案件的取证方法,对大家都是有指导意义的,但是方法是一种过程性的操作.原先没有标准可循,取证方法自然在取证后就销声匿迹.
控制措施:①管道坡口加工必须符合规范要求,焊前要严格清除母材和焊道表面污物和杂质。②选用适宜的焊接电流和焊接速度,严格执行工程制定的焊接。③采用正确的焊条角度,保证焊缝两侧金属熔化结合良好。④控制错边量。
1.3 统计学处理 采用SPSS17.0统计软件包进行数据处理。计量资料用x±s表示,计数资料采用例数或者百分数表示。组间临床表型计量资料比较采用t检验(两组间)或单因素方差分析(3组间),分类资料采用χ2检验。并采用协方差分析,在校正年龄、吸烟、饮酒、血脂及高血压、糖尿病患病率后,分析对照组、病例组RANK基因CpG岛甲基化率差异。P<0.05为差异有统计学意义。
标注的对象主要分为3 类:文件、内容片段和虚拟身份.对于涉案类文件要制定涉案类型标准.对于图片文件要区分证件类、票据类等.对于内容片段,要区分URL、用户名密码和涉案聊天内容.对于虚拟身份要制定身份类型、对应的人员身份信息及涉案类型,如表1所示:
表1 标注类信息表
2.2 取证软件的改造
有了取证知识相关的标准后,取证软件就标准进行相应的改造,在工作人员进行文件标注时能自动识别出文件类型,对于图片文件,需要选择是否为证件类或票据类,再进行细分类别的选择,然后也可以人工进行其他相关内容的备注.同样,对于内容片段,要能自动识别出是否为URL、用户名和密码以及纯粹聊天内容,然后再选择细分类别,对于用户名密码,要让用户确定哪个是用户名、哪个是密码等易用性的问题.
图2 取证标注的添加功能
取证软件按照标准改造标注功能后,还要能够将这些凝结工作人员智慧的知识按标准导出取证业务数据包,为下一步的汇聚作好准备;或者以接口方式直接汇聚到管理系统.
2.3 取证装备的智能互联改造
一直以来取证装备是孤立的,与管理系统间没有互联互通.因而造成没有数据汇聚,或者只能依靠人工方法进行数据汇聚.当具备取证装备与管理系统网络相通的条件下,必须对取证装备进行智能互联改造,让装备能够自动汇聚取证业务数据,为取证知识汇聚提供通道条件.
取证装备的改造主要是与管理系统能够自动握手[4]:当装备首次接入时能将装备的厂商、功能、硬件、操作系统及主要取证软件信息上传;当用户登录时能够将用户的信息及登录时间信息上传;当用户选择案件对接检材时能够将检材信息及时间信息上传;同时用户在取证过程的主要关节点(如制作报告、导出数据)时,能够将报告、采集数据包、取证业务数据包生成并自动上传管理系统.
取证装备的智能互联改造,让装备从“死”的状态“活”起来,实现工作人员只需做该做的取证工作,其他事情由智能互联化来完成,从而提高效率、并为业务管理带来智能化、精细化的变革[5].因为管理数据是取证装备自动完成的,变得真实可信的,而且取证的日志数据比较完备地收集起来,这样实验室的管理就能够粒度细化,无论从案件角度、检材角度、工作人员角度、装备角度,还是从实验室整体角度都能够有详尽的统计和展示,给管理工作带来质的飞跃.
2.4 取证知识库的形成
1)取证脚本库.取证脚本具有辅助取证软件解决一些特殊的取证问题的取证扩展功能,它是通过用户在取证软件中单独运行才能产生结果,所以取证脚本不需要特殊处理就能形成针对各个取证软件的取证脚本库.不过,每个取证脚本要体现所针对的取证软件环境和能解决的取证问题,供工作人员搜索查看即可.
通过取证装备汇聚了取证人员的各种取证知识,要分别针对各种知识进行相应的处理,才能形成可分享的知识库[6].
2)取证工具库.取证工具与取证脚本类似,是为解决某些特殊问题,弥补取证软件的不足,通过免费下载、收费购买、自己编写等方式获取取证工具.同样,取证工具不需特殊处理就能形成取证工具库.不过,每个取证工具要体现所针对的运行环境、能解决的取证问题,供工作人员搜索查看即可.
3)URL 域名库.这里的URL 一般是指涉案的或者敏感的URL,并不包括普通的URL.汇聚上来的URL 是完整的地址,需要预处理成一级域名.但是URL 的标注具备一定的主观性,因而要有机制来体现其可信度,所以就需要构建如表2所示的字段.
默认首次被标注时可信度只能为50%,当同一个URL 被n (n =3)个不同的工作人员标注后,可信度就上升为100%.或者应用次数达到m (m =50)次以上时可信度就上升为100%.可信度小于100%时,取证软件对该URL 不自动应用,需要手工勾选后才能被运用.当可信度达到100%时该URL 会被取证软件自动应用.
表2 URL 域名库表字段描述
4)文件特征库.主要针对图像、视频、电子书以及各类文档可能涉及暴恐、色情淫秽、邪教、泄密、反动等问题,汇聚时可以上传原文件,但共享时一般只使用文件的MD5 哈希值来比对.由于文件特征标注也具备一定的主观性,因而也需要可信度来体现.可信度的建立机制同上所述.
5)暗语库.所谓暗语是针对一些特殊领域,人们不直接表述目标事物,而彼此约定的秘密话,采用一些不相干的词语来代替从而让人从字面上无法理解真实概念[7].比如吸毒、贩毒、涉黄、涉黑和涉枪领域就比较惯于使用暗语.所以在暗语时要选择涉及领域及所代表的真实事物.由于暗语需要工作人员人工输入对应的事物,所以一般工作人员不会冒然输出,因而其可信度是比较高的,不再需要建立可信度机制.但是暗语比较特殊,因为有可能采用的暗语是很普通的词语,比如用“面粉”代表“海洛因”,那么“面粉”是一个很普通的词语,在很多场合都可能使用[8],显然不能把出现“面粉”的地方都当作疑点.所以首先需要确定是否为涉毒嫌疑对象,同时要结合是否出现多个暗语以及上下文语义来共同判断.
25岁,她生下第一个孩子。女孩,取名Isabel。在孩子3岁时,他们举行婚礼,她又已怀孕。第二个孩子是男孩,Alex。她对感情失去一个阶段性的寄望,找到一个合作的男子停歇下来。她需要休息。他们之间肉身联系如此紧密,以个性和特质互相施展魔力。这段婚姻,肉体的粘着沉迷是牢固坚实的基础。除此之外,不过是一对精神模式上没有共通之处的异国男女。
6)用户密码库.这里要建立的是用户名与密码的关联库,而且要关联到用户名所对应的人员.这样一方面可以对出现相同用户名使用对应的密码去破密;另一方面根据一个人密码的同一性,可以用已知对象的所有已知密码去破密其未知密码.在标注时要自动识别出用户名与密码,并允许对识别错误的进行修改.同时收集用户名及密码所归属的人员信息.
东北四省区节水增粮行动项目区水资源管理工作,应按最严格水资源管理制度要求,实现水资源的全过程管理。以科学发展观为指导,贯彻落实新时期治水思路,在项目水资源论证阶段和项目运行期,严格执行用水总量、用水效率、水功能区限制纳污控制管理,加强监督考核,实施“三条红线”管理,建立并落实“四项制度”,促进水资源优化配置,提高用水效率,促进人与水、人与自然的和谐,为经济社会可持续发展提供有力的水资源保障。
2.5 取证知识共享的模式
知识库是不停变化的、更新的,所以它如何共享给每台取证装备就需要有机制.其实这个更新原理与软件的升级原理是一致的,一种是全量方式,只要知识库量不是很大,网络传输速度允许,就可以进行全量更新.这种应用简单便捷,不需要考虑细节.另一种是增量方式.这种方式就要记录每一次知识库的更新版本号及日期,通过对比取证装备的知识库的版本号及更新日期来获取增量部分,并补充到原来的知识库中,然后更改版本号及更新日期[9].
默认情况下,更新到取证装备上的取证知识库并不自动运行产生结果.对于取证方法库,是工作人员遇到取证难题时可以求助知识库来引导解决问题.对于取证脚本库与取证工具库,是工作人员遇到某些取证软件无法解决的特殊取证问题时,搜索是否有解决该问题的脚本或工具,然后去个别运行它.对于URL 库、文件特征库,工作人员可以选择应用它,默认时只会自动选择可信度100%的对象,其他对象工作人员可以手工勾选.对于手工勾选的对象运行应用后,取证软件能够记录并反馈情况到管理平台,以便更新知识库条目的应用次数.对于暗语库和用户密码库是需要取证软件解决其独特的综合应用模型,以便达到预期效果.因而其应用相对复杂,就不在本文作进一步的论述.
3 知识汇聚与共享给取证带来的变革
取证人员的知识汇聚与共享给取证行业带来的巨大变革就是产生了取证知识生态.所谓生态就是改变了原先隔离的状态,形成一种相互作用、相互促进的良性循环,不断成长完善的状态[10].一方面,一个取证人员的智慧可以共享给大家,获得成熟感;另一方面,每个取证人员可以共享到所有其他人员的智慧,来补充自己的缺失与不足.这样个人智慧与集体智慧通过这个知识生态相互联系,相互促进,为取证业务带来前所未有的新局面.
4 结束语
本文通过详述取证知识的构成,如何在取证软件中提炼知识,如何将个体知识汇聚,并处理成各种知识库,再将知识库共享到取证装备,为取证人员服务,从而建立取证知识生态,有效将取证能力提升到个人能力与集体智慧的叠加.
参考文献
[1] 马晓蕾,吕一博,王淑娟,等.管理案例知识生态系统的构建研究[J].管理案例研究与评论,2019,12(4):383-400
[2] 张斌,魏扣,郝琦.国内外知识库研究现状述评与比较[J].图书情报知识,2016(3):15-25
[3] 李松涛,谢宗晓.数据分类/分级及其相关标准解析[J].中国质量与标准导报,2019(4):14-16
[4] 梁本磊.基于Web 服务与数字化人的数控系统移动通讯技术研究[D].合肥:合肥工业大学,2014:1-75
[5] 林海伦,王元卓,贾岩涛.面向网络大数据的知识融合方法综述[J].计算机学报,2017,40(1):1-27
[6] 刘知远,孙茂松,林衍凯,等.知识表示学习研究进展[J].计算机研究与发展,2016,53(2):247-261
[7] 王志家,王相臣.黑话的使用与犯罪心理机制[J].辽宁警专学报,2003(3):47-49
[8] 林晓萍.美国与毒品有关的“黑话”特点与汉译探析[J].福建警察学院学报,2010,24(5):99-104
[9] 李晨晖,崔建明,陈超泉.大数据知识服务平台构建关键技术研究[J].情报资料工作,2013(2):29-34
[10] 周宁,韩小汀,欧阳桃花,等.从敏捷性视角谈知识生态系统的构建[J].管理案例研究与评论,2015,8(2):173- 188
The Enforcement of E-Forensics Knowledge Converging and Sharing
Jiang Hanxiang
(Xiamen Meiya Pico Information Co .,Ltd ,Xiamen ,Fujian 361008)
Abstract E-forensics knowledge is reflected by performer wisdom during forensic performance,while it is always disappeared in individual case on actual performance.By making forensics knowledge standard,upgrading forensics software,remodeling forensics equipment,converging and processing forensics knowledge,these method can produce various forensics knowledge bases and share with performers by network mechanism.It will change the original state that forensics ability is completely relied on personal ability,promote the integration of personal ability and collective wisdom.Meanwhile,the mechanism will build up forensics knowledge ecology,promote positive cycle of forensics technology and bring qualitative leap for forensics performance.
Key words E-forensics;forensics knowledge;knowledge converging;forensics knowledge base;knowledge sharing
中图法分类号 TP309
收稿日期: 2019-09-24
江汉祥
硕士,高级工程师,主要研究方向为电子数据取证与数据分析.
jianghx@300188.cn
标签:电子取证论文; 取证知识论文; 知识汇聚论文; 取证知识库论文; 知识共享论文; 厦门美亚柏科信息股份有限公司论文;