什么是大數(shù)據(jù)

　　首先高速混合機(jī)的結(jié)構(gòu)和原理：大數(shù)據(jù)≠大量數(shù)據(jù)

　　Wiki定義：利用常用軟件工具來獲取、管理、處理數(shù)據(jù)所消耗的時間超過可容忍時間的數(shù)據(jù)集。

　　研究機(jī)構(gòu)Gartner定義：“大數(shù)據(jù)”是需要新處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力來適應(yīng)海量、高增長率和多樣化的信息資產(chǎn)。

　　iForensic針對電子取證領(lǐng)域大數(shù)據(jù)的理解：對于獲取到的涉案檢材數(shù)據(jù)處理量，難以通過單一的提取工具和方法進(jìn)行線索和證據(jù)的篩查，或者獲取和分析線索證據(jù)所需要的時間超出案件偵辦常規(guī)時限范圍的數(shù)據(jù)。

　　舉例一：單部手機(jī)獲取到百萬計社交聊天記錄，固定后交由辦案人員難以從中查看有價值的數(shù)據(jù)；

　　舉例二：涉及多部檢材，不同對象之間關(guān)系復(fù)雜，或使用社交工具多樣化的，整理分析工作量巨大；

　　隨著當(dāng)前電子證據(jù)檢驗辦案的重視程度不斷提高，涉案電子證據(jù)的數(shù)據(jù)分析需求已經(jīng)滿足了大數(shù)據(jù)分析方法的基礎(chǔ)條件，不僅僅因為數(shù)據(jù)量大，還有分析工作量大，目標(biāo)數(shù)據(jù)多樣化等諸多因素。

　　大數(shù)據(jù)的4V特性

　　電子取證中的4V特性

　　電子取證大數(shù)據(jù)分析方法的基礎(chǔ)，滿足大數(shù)據(jù)的4V特性，主要表現(xiàn)在如下方面：

　　數(shù)據(jù)規(guī)模大

　　隨著電子證據(jù)檢驗的重視程度不斷提高，無論是從案件送檢量而言，還是從涉案數(shù)據(jù)量上來看，都呈現(xiàn)爆炸式增長，然而具有豐富經(jīng)驗的辦案技術(shù)人員的增長比例相比捉襟見肘。人均辦案量的呈翻倍增長在各地都屢見不鮮。

數(shù)據(jù)種類多

　　可用于線索和證據(jù)的數(shù)據(jù)類型多樣化。從電子取證初期的短信、通話記錄，到現(xiàn)在的微信（文字、語音、圖片、視頻、朋友圈）、QQ、支付寶、微薄等，智能機(jī)的普及不僅僅是方便了生活，對于電子取證領(lǐng)域而言，需要關(guān)注的數(shù)據(jù)類型也豐富多樣。

要求速度快

　　電子物證檢驗辦案工作中，尤其是以涉及到線索偵查類型的案件，時效性尤其重要，因此在檢驗工作中，快速的從繁雜而海量的數(shù)據(jù)中提取有價值的線索和證據(jù)，是當(dāng)下電子證據(jù)取證分析工作的一個根本要求。

價值密度低

　　隨著信息流動的速度加快，各類新聞、廣告、甚至是謠言，都在迅速的傳播。隨之而來的影響是，在電子物證檢材中，真正有價值的線索或者證據(jù)有可能就是只言片語，有些甚至隱藏在多種數(shù)據(jù)背后。因此大數(shù)據(jù)的碰撞、挖掘、整理和歸類能力，可以有效的在數(shù)據(jù)海洋中，獲取低密度的精華數(shù)據(jù)。

　　大數(shù)據(jù)處理電子證據(jù)的核心問題

獲取有效數(shù)據(jù)

　　全面和規(guī)范的獲取數(shù)據(jù)，是后期分析正確結(jié)果，把握正確導(dǎo)向的首要條件。如果獲取的數(shù)據(jù)存在瑕疵，即便是利用先進(jìn)的分析方法，也容易出現(xiàn)誤導(dǎo)。

選擇正確的分析方法

　　使用正確的分析方法，優(yōu)化現(xiàn)階段全盤數(shù)據(jù)導(dǎo)出的傳統(tǒng)模式，結(jié)合案情和檢驗需求，充分對數(shù)據(jù)進(jìn)行提煉和篩選，是高效處理電子證據(jù)的重要手段。也是提高電子證據(jù)檢驗分析工作效率的重要方法。

使用有效的顯示方法

　　大數(shù)據(jù)分析方法中，可視化顯示是重要的組成部分。電子證據(jù)檢驗中，將傳統(tǒng)的數(shù)據(jù)按照結(jié)構(gòu)化和非結(jié)構(gòu)化劃分，結(jié)合圖表化、圖形化等多種可視化顯示方法，可以直觀的展現(xiàn)電子證據(jù)和線索，以及隱藏在數(shù)據(jù)背后的關(guān)系。

高效的數(shù)據(jù)處理能力

　　針對規(guī)模大、種類多、結(jié)構(gòu)復(fù)雜的涉案數(shù)據(jù)，需要依托后臺強(qiáng)大的數(shù)據(jù)運算能力，其中分布式處理方法是實現(xiàn)快速分析和實時響應(yīng)的重要基礎(chǔ)。相比單機(jī)分析能力而言，能夠更加充分發(fā)揮電子證據(jù)應(yīng)有的線索和證據(jù)效力。

　　目前，不少執(zhí)法機(jī)構(gòu)已經(jīng)建設(shè)或者籌備建設(shè)基于大數(shù)據(jù)分析方法的取證云平臺，電子取證行業(yè)專業(yè)公司也逐步加大取證云平臺的開發(fā)建設(shè)力度，甚至也有從未接觸過電子取證行業(yè)的公司介入到電子取證專業(yè)領(lǐng)域，如何選擇和建設(shè)符合電子取證辦案工作的取證云，也要考慮諸多因素，除了需要具備海量數(shù)據(jù)分布式處理能力，簡潔直觀的可視化顯示方案以外，對于前端數(shù)據(jù)全面規(guī)范的固定提取、包含符合實際辦案需求的各類分析方法、強(qiáng)大的分析模塊定制能力、全面的各類數(shù)據(jù)兼容能力、專業(yè)的技術(shù)服務(wù)支撐、穩(wěn)定的升級更新等等都是需要考量的因素。

　　總的來說，目前大數(shù)據(jù)將是電子取證發(fā)展再上一個臺階的最好時期。

　　本文感謝杭州平航科技提供素材，部分內(nèi)容受到版權(quán)保護(hù)，原作者已授權(quán)微信公眾號：電子證據(jù)（eForensic）翻譯發(fā)布，轉(zhuǎn)發(fā)請注明出處，謝絕重復(fù)編輯，不得用于任何商業(yè)目的。如果您喜歡相關(guān)文章，歡迎關(guān)注高速混合機(jī)的結(jié)構(gòu)和原理我們。

　　電子取證

　　微信號：eForendisc

　　專注電子取證領(lǐng)域技術(shù)和發(fā)展