【摘要】

随着科技成为生活的关键部分，它也成为犯罪生活的一部分。犯罪分子利用新技术进行犯罪，调查人员必须适应这些变化。许多人已经并将成为网络犯罪的受害者，这使得调查人员更加了解网络调查中使用的现行方法。

网络调查的两大类是数字取证和开源情报。网络调查不仅仅影响调查人员。他们必须根据工具提供的信息以及工具和方法如何有效的工作来确定他们需要使用什么工具。

工具是调查人员使用的任何应用程序或设备，而方法是使用工具的过程或技术。这项调查比较了调查人员最常用的方法，以确定这些方法提供了何种证据，其中哪些是最有效的。

为此，调查确定了比较标准，并对移动数字取证和开源情报调查中的工具进行了分析。我们发现没有单一的工具或方法可以收集调查人员需要的所有证据。许多工具必须结合起来才能最有效。然而，有些工具比其他工具更有用。在移动数字取证中所使用的所有方法中，逻辑提取和十六进制转储是最有效的，并且最不可能造成对数据的损害。在开源情报中使用的这些工具中，自然语言处理比其他任何选项具有更多的应用和使用。

关键词:网络犯罪; 开源情报; 移动取证; 数字取证; 网络调查

1.导言

自从互联网创立以来，人们一直在寻找利用它作为工具进行非法活动的方法。为了打击这些行为者，已经开发了追踪这些罪犯的技术和方法。对于安全和执法专业人员来说，了解这些技术及其如何发展是至关重要的，这样他们就能更好地发挥自己的工作作用。网络犯罪影响到任何使用电脑的人，因此以任何可能的方式打击网络犯罪至关重要。

追踪网络犯罪分子的一些最常见技术和方法是数字取证和在线调查，它们利用开源情报（OSINT）。在这些领域中，有许多不同的技术和技术可以用于收集恶意行为人的数据。然后可以对这些数据进行汇总，以确定谁犯下了罪行，并对个人提出起诉。本文将对这些技术及与之相关的方法进行综述。

数字取证是打击网络犯罪的一个关键领域，因为如果在法庭上陈述案情，数字取证是有益的。数字取证帮助调查人员整理证据并确定犯罪事件的时间表。它主要由网络取证和内存/磁盘分析组成。通过分析磁盘和网络上的信息，调查人员可以了解犯罪中的其他潜在共谋者。这可以帮助他们追查这些人，并在犯下其他罪行之前阻止他们。

对罪犯的大部分追踪是在网上进行的。网络犯罪的不同层次可分为三类:

(1)表面网或开放网(2)深网和(3)暗网。该网络的这些领域包含了许多对调查很有价值的信息，因此必须了解调查人员收集和使用这些信息的方法。例如，调查人员可以利用暗网上有关加密货币交易的信息了解犯罪活动。

该领域的变化和发展正在迅速发生，安全专业人员必须不断更新。一些新的发展来自自动化和机器学习。通过自动化他们的工具，调查人员可以加快他们的进程，并尽快达到他们的目标。未来人工智能取证将有助于对抗人工智能犯罪日益增长的趋势。本文还将概述这一领域的发展中的技术，以及它们今后如何改变调查。

将这一信息编译在单个文档中允许容易地比较这些方法和这些方法提供的信息。调查人员没有办法收集案件所需的所有信息，因此了解如何收集这些信息以及如何填补信息空白更为重要。如果调查人员能够全面了解犯罪情况，那么他们将能够对罪犯采取行动，或可能阻止未来犯罪的发生。

本文运用基础研究和调查方法，利用现有的研究，综合资料，编制资料。调查人员必须使用各种方法，他们对实地的了解必须与任何发展保持同步。在比较这些技术和方法时，必须确定比较的标准。

在比较数字取证方法时，需要有比较的标准。首先，必须确定方法的复杂性。这显示了它是多么容易执行，它是多么昂贵，以及过程的时间消耗。必须评估为确保法医数据的完整性而采用的技术和方法的风险。本文没有测试所讨论的任何技术。相反，对这些技术的文献进行分析以确定它们的特征。

当比较在开源情报（OSINT）调查中使用的方法时，这些方法必须满足某些要求。首先，使用方法必须比手动搜索信息更快。然后，将评估这些方法应用于现场的情况，即，可以通过每种方法收集的信息类型、收集这种信息的不同方法以及可以使用这种方法的不同类型的情况的数目。

了解发现网络犯罪分子的方法是信息安全的重要组成部分，因为了解可用的方法使安全专业人员更深入地了解他们的职业。通过理解这些方法和技术，安全专业人员还可以更好地了解犯罪经常发生的情况，这将有助于制定预防犯罪的安全计划。了解这些方法可以加深理解，因为它们依赖其他安全领域使用的许多技术，使安全专业人员能够更广泛地了解其领域以及现有方法和技术的使用。

本文就网上和追踪罪犯取证的技术和方法，以及该领域的最新进展作一综述。通过在一个地方组织这些信息，任何有兴趣了解该领域尖端技术的人都可以很容易地获取这些信息。 

2.数字取证

数字取证是为调查目的收集和组织电子设备上发现的信息的做法。必须了解调查人员在这一领域使用的技术、方法和框架。

数字取证可分为四个领域：主机取证、移动取证、网络取证和云取证。这四个领域的每一个都向调查人员提供了不同的信息，几乎没有重叠。本文将这一领域划分为四个领域，可以分析每个领域的方法，而不用两次覆盖相同的技术。这使得将方法归类到这些领域是理想的，因为用于收集和分析来自这些源的信息的许多技术是每个源独有的。

2.1. 主机取证

主机取证通常被称为数字取证，因为它包括在“正常”设备上进行取证，如桌面、服务器和其他非专用的数据源。这种方法早已确立，但随着技术的进步，所使用的工具在不断发展。

调查人员还可以利用区块链技术对法医证据进行加权的方法。这有助于在法庭上证明数字证据的有效性。这个加权系统首先在一个区块链中收集证据，该区块链记录何时收集证据以及当时谁掌握证据。然后可以根据与案例的相关性来对这些数据进行分类，并且可以创建事件的时间线。这种方法允许调查人员自信地证明证据被正确处理，没有被篡改。由于调查过程中收集了大量信息，因此对LOT取证也有帮助，证明如何使用加权电子证据的一个例子是，如果调查人员在收集案件证据后，需要一些方式向陪审团证明证据没有被篡改。由于区块链的结构和其不变的性质，调查人员可以记录监管链作为证据，表明它从未下落不明。

在进行取证时，调查人员必须考虑到有关设备的操作系统。每个操作系统执行不同的任务并在系统中的不同位置存储信息，这影响数字取证的所有区域。调查人员必须熟悉操作系统的许多不同类型和版本，以便能够收集所有相关证据。

研究者在主机取证方面面临的另一个挑战是内核地址的随机化。为了解决这个问题，研究者可以使用四种方法去随机化这些信息：暴力代码、修补代码、未修补代码和只读内核数据。暴力方法只是扫描整个内核代码。对于补丁代码选项，内核必须知道在哪里应用补丁。由此产生的签名使调查人员深入了解随机地址位置的组织。未修补的代码签名来自已被识别为未修补的代码。最后，对于只读内核数据，静态指针可以帮助调查人员转移数据以找到偏移量，这将导致它们到达正确的地址。

2.2.移动取证

随着技术的发展，移动设备变得越来越普遍。这意味着，移动取证是调查的一个关键部分，实地任何人都应了解这一点。由于“硬件、软件、功耗和总体移动性”的不同，移动取证不同于任何其他类型的取证[3]。此外，假定移动设备具有个人数据，这对调查至关重要。 

2.2.1.调查阶段

在移动取证调查中有四个调查阶段：保存、获取、检查分析和报告。这些阶段如图1所示。

图1.移动取证调查阶段

保存阶段是调查人员对移动设备进行跟踪以确保其上的数据不被篡改。获取阶段是移动设备上的数据被复制到另一设备以用于在检查分析阶段中发生的分析的阶段。最后，报告阶段是记录所有调查人员在检查分析阶段发现的信息的阶段。每个阶段都必须适当遵循，以确保涉及移动设备的任何调查的完整性。

2.2.2.数据抽取

在移动取证中，常用的采集方法也称为数据提取。在调查期间必须提取来自移动设备的数据。数据提取有五个层次：手动、逻辑提取、十六进制转储、拆分和微处理器读取。这些选项中的每一个都允许调查人员从具有不同复杂程度的设备的不同区域收集不同的信息。表1显示基于第1节所述标准的这些方法的比较。

表1.移动数据提取方法的比较

手动提取具有最低的复杂性，因为这是调查人员使用诸如触摸屏之类的常规方法与设备交互的地方。然而，这种方法可能是危险的，因为调查人员可能会意外损坏或修改设备上的数据。不建议使用这种方法，因为它将证据置于销毁或修改的危险之中，如果证据提交法院，这可能使该证据无法使用。

逻辑提取是研究人员使用蓝牙或USB等技术从设备向外部工作站提取数据的地方。这种方法也有不经意修改数据的风险。逻辑提取是在调查期间开始的一个好方法，因为它允许调查人员分析来自不同设备的数据。值得注意的是，通过逻辑提取，可能需要一个引脚或密码来访问数据，这可能导致法律问题或复杂化。

十六进制转储需要专门的工具来下载设备的闪存并允许调查人员访问数据残余。这是一个读取和分析可能位于较大文件之间的数据位的好方法。然而，这种方法可能是困难的因为它需要调查人员分析内存，这可能具有挑战性，需要专门的培训。

拆分是研究者们物理移除闪存并创建闪存的二进制图像，这可以帮助传统分析。然而，它给装置带来物理损坏的危险，使其处于中等风险。因为与人工采掘一样，这会使证据面临破坏或修改的风险。

最后，在这五个方法中，微处理器读取是最复杂的方法。他们使用电子显微镜来分析逻辑门以确定可读数据。这种方法被认为是一种“最后手段”的方法，因为它具有挑战性，资源丰富。由于微处理器读取具有挑战性，因此不适用于许多案例场景。

如表1所示，手动提取虽然易于执行，但是由于其对数据的完整性构成的风险，是最不推荐的。最好的方法是逻辑提取和十六进制转储。他们分析来自不同地方的信息，因此他们给调查者提供了一种收集其他方法无法访问的不同证据的方法。逻辑提取和十六进制转储具有中等或低复杂性，使得它们更快和更有效地使用。最后，这两种方法对数据完整性构成低风险，因为它们利用单独的工作站进行数据操作。

2.3.网络取证

网络取证是分析来自主机或整个网络的信息的实践。可以通过日志或流量捕获来获得取证信息。

TCP/IP模型的三个层可以为调查人员提供有用的信息。这些层是应用层、传输层和网络层。其中不包括的唯一层是网络接口层，其包括以太网帧和网络的物理连接。可以通过主机收集的日志从应用程序层收集取证信息。这可以是关于失败的登录或时间戳的信息，其可以是调查中的关键信息。传输层和网络层是防火墙分类的地方。防火墙，如果正确配置，可以包含已经从网络丢弃的业务的日志数据。这可以向调查人员提供防火墙看到的潜在恶意流量的信息。图2显示了层与调查人员可以通过显示通过网络模型和它所影响的设备的流量而收集的信息之间的关系。

图2.从网络层收集的证据

调查人员在网络取证方面面临的最大挑战是，调查时可能出现的流量和日志数据。尽管在理论上是可能的，但是在实践中，研究者不可能在捕获整个网络时收集和分析每个单个数据包。数据的数量不仅需要花费太多的时间来分析，而且还会招致大量的，而且往往难以管理的成本。

调查人员在网络取证方面面临的另一个挑战是物联网（LOT）日益增长的趋势。这些设备依赖于网络来运行，这意味着网络上有更多的端主机创建日志和流量。这不仅增加了日志和捕获规模的挑战，而且在确定调查范围时也使调查复杂化。

2.4.云取证

云取证是分析来自云服务和基础设施的数据以便收集用于调查的信息的实践。云技术在企业和个人中越来越流行。这意味着这是调查人员必须了解的一个关键领域。本节讨论影响从云源收集电子数据并在取证调查中使用云的相关技术、方法和框架。

2.4.1.作为服务的取证

一个正在改变取证领域，特别是云取证的新发展是取证作为一种服务（FaaS）。取证服务（FaaS）是一种基于云的服务，组织或个人将支付另一公司的取证服务，类似于与提供商（如Amazon的AWS）的云计算。取证作为一种服务（FaaS）正在改变如何处理取证，将其进一步移动到云中，这使得云取证更加重要。

2.4.2.方法和框架

Manral et ai.(2020)将云取证分为两个部分：基于代理的解决方案和基于日志的解决方案。日志取证比较流行，应用比较广泛。这些调查可以分为四种：事件驱动、供应商驱动、消费者驱动和资源驱动调查。图3说明了这两种方法之间的差异。

图3.基于代理和基于日志的取证

基于代理的云取证依赖于一个收集信息并将其发送回另一个位置的应用程序，在那里可以对其进行取证分析。基于代理的云取证方法的一个示例是在VM中具有由客户端使用的应用程序或代理，该客户端向调查人员发送取证报告。

基于日志的云取证依赖于从云中发生的事件创建的日志，然后可以对这些事件进行取证分析。正如Khanet ai.(2016)所讨论的，云日志取证可以分为三个部分：调查、同步和安全。调查的重点是分析日志文件中可能存在的漏洞，这些漏洞可能是无意中或恶意造成的。同步的重点是在不同来源的不同日志文件中创建一致性。安全性的重点是保持日志文件对用户的安全，这可能无意中或故意损害数据的完整性。

2.4.3.云取证与移动设备

云取证和移动设备的处理方式与其他云和移动取证领域不同。由于移动设备使用云计算的趋势日益增长，调查人员必须说明涉及移动设备的调查的云方面。这给调查人员带来了挑战，因为他们在调查期间必须说明两种不同类型的取证。Barmpatsalou et ai.(2018)提出的一种方法是持续监测，其中监测系统将跟踪并报告设备上的事件。

3.网上调查

在线调查是收集、整理和使用可在线获取的信息的过程。这些可以由执法、安全专业人员或任何个人执行。在线调查中收集信息的主要方法是开源情报（OSINT）。这种方法是使用下面章节中描述的其他方法收集的信息的聚合和使用。为这类调查收集的信息显示了与网络调查相关的关系、身份或事件。

3.1.资料来源

调查人员在网上调查时使用了许多信息来源。三个主要来源是开放网络，深网和暗网。这些来源的每一个都可以向调查人员提供有价值的信息。图4显示了web的这些层以及信息如何重叠的图示。必须指出，暗网是深网的一个子集，而不是单独的信息来源。

3.1.1.开放网络

开放网络是互联网的一部分，对所有用户开放，并由普通搜索引擎（如谷歌）索引。这种搜索方法可以为调查人员提供有用的信息。例如，可在开放网上罪犯可以使用有些论坛和聊天。当收集和分析这些信息时，它可以帮助调查。

互联网上有大量关于犯罪和犯罪活动的信息。这些信息可以被挖掘和汇总，以帮助调查人员了解这些活动。

3.1.2.深网

深网是互联网中不被搜索引擎索引的部分。这是互联网的领域不一定是非法的，但它可以是。深网的示例是需要登录凭据来访问内容的任何站点。这可能是一个简单的新闻文章或流媒体服务需要支付。深网可以为调查人员提供各种类型的有用信息。其中一些信息可以是链接到个人账户的聊天日志。这些信息可以帮助识别罪犯及其社交网络。

3.1.3.暗网

暗网是深网的子集，在那里发生非法活动。它可以使用专门的软件来访问，如Tor，允许用户访问服务器，论坛和博客，否则用户将不可用。调查人员还可以使用这个专门的软件来抓取暗网中的信息。暗网上有许多对调查人员有用的信息。Nazah et ai.(2020年)讨论了暗网上的八大信息和犯罪类型：人口贩运、色情制品、儿童色情制品、暗杀、贩毒、恐怖活动、网络犯罪市场和加密货币交换。这些信息可用于调查以确定罪犯的身份、动机，甚至地点。对于调查人员来说，为了了解新的威胁，比如新的毒品变种，或者新的卖家，爬上暗网也是很有帮助的。犯罪分子用来出售其非法物品的市场的寿命变短，这意味着调查人员必须不断监测这些市场的活动，以便在无法获得之前尽可能多地收集信息。

3.2.专门信息来源

调查人员可以从社交媒体和比特币流收集证据。这些来源可以通过开放式或深度网络访问，但它们为调查人员提供了可作为证据收集的特定类型的信息。专门来源不与上述来源分开。相反，它们是附有具体方法的来源，往往受到与其他来源不同的待遇。

3.2.1.社会媒体

社交媒体是调查人员在网上调查时拥有的最大工具之一。从社交媒体网站或简介获取的信息可以帮助调查。它拥有大量关于组织和个人生活的信息，不仅包括普通人，还包括罪犯和犯罪活动。例如，调查人员使用Twitter专门基于URL、散列标签、回复和Tweet内容来识别作者。Nazah et ai.(2020年)指出，"为了传播和销售被盗身份、信用卡号码和其他信息，网络犯罪分子严重依赖社交媒体平台，如Facebook、Snapchat Instagram、WhatsApp、Telegram和其他社交媒体平台"。这意味着，这些数据对于调查至关重要，它们可以存在于用于通信的设备（即智能手机）中，也可以存在于云中，就像WhatsApp备份那样。 

3.2.2.密码流

在犯罪分子试图向受害者索取赎金的情况下，经常使用加密货币。比特币是网络犯罪分子从受害者身上取钱时最常用的加密货币。密码流是分析与犯罪有关的密码交易记录的任务。调查人员通常在调查中检查财务报表，以确定谁参与了一个组织，以及如何资助犯罪。近来，许多犯罪分子转向加密货币进行围绕该犯罪的金融交易。通过分析比特币在暗网上的流动，调查人员可以进行财务分析。它们有时还可以根据与个人有关的交易记录和钱包地址来确定罪犯的位置，这在金融犯罪案件中也可能特别有帮助。

3.3.数据挖掘

数据挖掘是指在网络上搜索信息，将这些信息组织成一份报告，并在调查中加以利用的做法。Edwards et ai.(2015)讨论了用于调查的五种数据挖掘方法：自然语言处理、信息提取、社交网络分析、计算机视觉和机器学习。机器学习将在本文的第四节中讨论。下面描述其它方法中的每一个。在Edwardset ai.(2015)所描述的方法中，自然语言处理和社交网络分析在工业中最常用的。

如第1节所述，数据挖掘中使用的方法必须满足若干标准。首先，它们必须提高调查人员的使用效率。表2中所描述的所有四种方法都满足比手动搜索更快的第一标准。在表2中，根据方法获取信息的位置、它们适用于多少个案例以及找到多少个不同的方法来比较它们。

表2.数据挖掘方法的比较

自然语言处理是最常用的方法，调查人员可以使用85种方法和18个独特的案例类型，尽管只有一个信息来源。这很大程度上来自这种方法的子类别，这些子类别可以应用于相同类型的案件，但产生调查人员可以使用的不同类型的信息。例如，作者特征分析可以适用于恐怖主义和极端主义案件，以便确定作者的属性，例如好战性，这使调查人员能够表明作者是否是威胁。情绪分析也可用于恐怖主义和极端主义案件，因为它使调查人员能够识别文本作者正在经历的情绪，该情绪表明个人是否属于犯罪组织。在同一种情况下可以使用两个子类别这一事实增加了自然语言处理的使用数量。

这些方法也可以相互影响。例如，信息提取通常使用自然语言处理工具，有时使用社交网络分析工具，以便创建关于所找到的信息的报告。由于网络爬行技术，这仍然被归类为信息提取示例，但是如果不使用其他方法，则它不会那么有效。

所有方法都以许多不同的方式适用于案例，如“获取信息的方法”一栏所示。这表明调查人员可以通过各种方式收集和分析这些方法中使用的信息。然而，与适用案例的数量一样，自然语言处理显然是数据挖掘和分析的最适用方法。

3.3.1.自然语言处理

自然语言处理是人类语言和计算的关系。它分析了一种类型的信息：文本。自然语言处理主要包括作者分析、作者剖析、情感分析和文本分类。作者分析是确定作者是谁的特定文本的过程。作者特征分析是分析文本以确定作者特征的过程。情绪分析是文本背后的动机的识别。最后，文本分类确定文本落在各种预定类别中的何处。在本次调查中所分析的方法中，自然语言处理是最常用的方法。它只有一个信息源，文本，但它可以应用在许多方面。

身份识别调查中常用的一种身份认证方式。这种方法允许调查人员确定文本后面的个人身份。作者属性可以通过对文本中出现的结构、语言或文字特征进行聚类来完成。这可以帮助识别与集群匹配的先前文本，帮助调查人员识别作者。

作者特征分析往往与侵害儿童的罪行有关。作者特征分析使用某些人口统计学所使用的语言的共同特征来确定作者的一些特征，例如年龄。使用这种方法，调查人员可以检测作者的年龄，这可以识别任何挖掘的聊天数据，其中一个作者是儿童，另一个是成年人。这可能是潜在犯罪的标志。

情绪分析可用于恐怖主义和极端主义案件以及骚扰案件。在这两种情况类型中，该方法被用于检测情绪、该情绪的方向和情绪的强度。它能够通过分类文本的词汇和确定写作的音调来做到这一点。

最后，可对侵害儿童的罪行采用文本分类。调查人员可以确定并界定虐待儿童媒体的主要特征。然后，他们将能够根据这些定义对媒体进行分类。识别和定义这些媒体类型的最常见方法之一是使用常用的关键字。

3.3.2.社会网络分析

社会网络分析是利用各种技术来研究犯罪组织和平台之间的网络。该方法使用工具从网上获取关于犯罪或恐怖组织及其联系的信息，用于社交网络分析的信息仅从一个信息源(文本)获得，但它仍然是用于开源情报调查的最有帮助的工具之一。

调查人员有各种工具和方法可以用于分析社交网络。最有用的方法之一是从已知有犯罪活动的博客帖子和论坛中删除数据。调查人员使用的另一种方法是从图形信息挖掘数据，比如YouTube的社交图。这张图揭示了极端主义视频和社区之间的联系。

在社交网络分析中，使用诸如情绪检测之类的自然语言处理技术也很重要。这可以帮助调查人员确定个人和团体之间的关系，帮助他们知道谁与团体及其活动有关。

在调查中使用了社交网络分析的两个主要领域：恐怖主义/极端主义案件和犯罪组织案件。这两种犯罪类型都依赖于确定组织并将犯罪归于组织。由于社交网络分析主要用于确定个人和实体之间的关系，因此它非常适合这些情况，因为它们侧重于被调查的组织的结构。

社会网络分析可用于恐怖主义和极端主义案件，当分析在暗网上论坛发现的参与这些组织的个人活动时。这将使调查人员能够了解这些组织中的谁是关键人物，并有可能使他们了解该组织过去和未来的活动，适用于该领域的方法侧重于在线激进化进程，在不同地点搜索论坛，以确定组织的招募者是谁。

当这种方法用于调查犯罪组织时，工具和方法类似于恐怖主义和极端主义案件的工具和方法。然而，信息来源更可能是新闻文章和其他基于文本的页面。调查人员可以搜索术语、名称和地理位置数据，以了解犯罪分子和犯罪组织之间存在的社会网络。

3.3.3.信息抽取

信息提取是自动提取和组织信息的过程。这将采用前面描述的方法，并将从Web获取的信息组织为报告。信息提取旨在减少调查人员的时间负担，因为它收集信息并生成报告，减少调查人员的人工劳动。收集这些信息的四个主要来源是URL、技术先进性、文本和网页。

用于此方法的工具必须能够解释不同的接口，例如联机数据库。用于此方法的常用工具之一是网络爬虫，其将搜索与站点相关联的任何页面并报告这些站点上的共同主题。这将使调查人员能够了解未来的潜在目标和犯罪事件。信息提取在分析中所利用的四种主要类型的信息是URL、技术复杂度、文本和网页。这些来源可以产生关于个人和组织的关系和能力的信息。

信息提取通常用于恐怖主义和极端主义案件。与这些活动有关的论坛和网站是调查人员的共同信息来源。调查人员可以浏览论坛和网站，了解这些团体的共同主题是什么。

3.3.4.计算机视觉

计算机视觉是使用可以在网上找到的图像和视频来获得关于目标或犯罪的信息的实践。这不仅包括图像，还包括视频中的文本和音频。该方法可以在线提供诸如用户的身份和附属等信息，其可以用于调查。计算机视觉从音频、视频和图像三个主要来源收集信息。

在计算机视觉实践中可以实现许多不同的技术。应用计算机视觉的最常用的技术之一是通过信息来源识别个人。在识别个人时，调查人员可以使用多种方法。这样做的一种方法是使用从照片生成的化身的面部识别软件。该方法被发现是准确的，但仅当用户使用他们自己的图像来制作化身时。

计算机视觉的另一个常见用途是垃圾邮件过滤和钓鱼企图。为了避免垃圾邮件过滤，许多垃圾邮件以图像的形式呈现他们的消息。钓鱼电子邮件还严重依赖图像来诱使接收者认为电子邮件是合法的。然而，通过使用计算机视觉，可以检查这些图像是否有不想要的内容。这一概念也适用于其他类型的内容，特别是侵害儿童的罪行、威胁和骚扰以及恐怖主义。调查人员收集的信息可以检查被视为犯罪的内容，如儿童色情制品或视频中的威胁。

可以使用计算机视觉的主要刑事调查是对儿童的犯罪、威胁和骚扰以及恐怖主义。当用于涉及侵害儿童罪行的调查时，可以使用计算机视觉来检测涉嫌包含虐待儿童内容的图像或视频。在威胁和骚扰或恐怖主义的情况下，可以使用计算机视觉识别属于这些类别的内容中出现的面孔。

4.新的取证技术

在这一领域有一些新的技术和发展领域。两个增长最快的领域是自动化和机器学习。自动化是自动执行任务的过程，没有任何人为干预。机器学习，也称为人工智能，是使用可以训练识别模式或对象的算法。

4.1.自动控制

在自动化方面经历了发展的一个领域是调查人员能够自动发现犯罪指标。廖等（2016 年）讨论了一个工具，iACE，它可以自动从多个来源收集情报，并比较收集到的信息的关系，这对调查人员在线调查非常有帮助。它减少了搜索相关信息的时间，并有助于生成具有信息关系的报告。

尽管自动化不是一项新技术，但它目前正在改变这个领域的格局。它给调查人员在考虑自动化的法律问题时提出了挑战。自动化给许多法律制度带来了许多未知因素，例如与自动化系统所作决定有关的"判断理由"。

4.2.机器学习

4.2.1.机器学习作为一种调查工具

机器学习彻底改变了犯罪追踪和调查。它可以以各种方式应用于调查。调查人员可以使用机器学习来教导他们的系统如何从社交媒体或监控录像等来源识别犯罪要素。

该方法可用于在线识别。它使用机器学习来教导系统如何通过犯罪中的商标来识别犯罪组织背后的什么犯罪组织。例如，不同的诈骗组织具有不同的操作方法。正如Edwards et ai.(2015)所讨论的，调查人员可以使用机器学习技术来检测哪些组织是骗局背后的组织。

机器学习的另一用途可以与计算机视觉相协调。它可以应用于在视频或图像中发现个人身份的过程，帮助调查人员确定与犯罪有关的个人的身份。

机器学习最常用于恐怖主义和极端主义案件以及骚扰案件。在恐怖主义案件中，调查人员能够通过这些组织的网上足迹查明恐怖分子和恐怖主义活动。例如，可以使用机器学习来分析从Twitter的数据挖掘获取的信息以检测非结构化数据内的链接。在骚扰案件中，机器学习可用于检测基于文本的威胁。Edwardset ai.(2015)讨论了可以使用决策树算法检测电子邮件中的威胁。

机器学习也在数字取证领域得到发展。AI可以用于分析取证材料，例如网络流量，并被训练寻找标记恶意活动的模式，这将使调查人员更快、更便宜地分析任务。它还可以用于检查网络取证数据，例如垃圾邮件活动，对此的分析可以导致发现网络活动趋势，这可以指示潜在的攻击。

最后，机器学习可以应用于犯罪热点的预测。机器学习可以应用于历史犯罪数据，以便确定趋势和可能的未来犯罪活动。这可能是调查人员在分析犯罪趋势时可能会发现犯罪地点的重要工具。如果调查人员能够预测可能发生的罪行，并让潜在的受害者采取保障措施，那么调查人员也可以比罪犯领先一步。

4.2.2.机器学习作为犯罪工具

机器学习也可以应用于侦查的犯罪方面。图5显示了AI犯罪的分类。这种分类法显示了犯罪分子如何把人工智能作为工具，但也作为犯罪的目标。如果犯罪分子能伤害受害者的人工智能系统，就会对受害者及其系统造成很大的伤害。此外，犯罪分子基本上可以教导他们的AI系统攻击受害者的系统，这导致攻击比个人进行的攻击更快和更复杂，因为这种方法可以被犯罪分子使用，所以调查人员必须理解这种方法，并知道如何在调查期间处理这种方法。

图5.AI 犯罪分类

5.开放问题与研究方向

根据我们的研究，未决问题可分为三类：

•技术问题(例如，有效实施调查所使用的开源情报工具)。

•法律问题（例如，获得收集法院可受理证据的法律依据）。

•道德问题（例如，刑事定性）。

上述每个问题将在本节中简要讨论，并在表3中描述。

表3.网络调查中的公开问题

5.1.技术问题

技术问题归类为与网络调查领域使用的技术、工具或方法有关的任何问题。在这一领域存在着各种各样的技术问题。一是在开源情报中实施工具和技术的方法。这是因为每种工具提供的信息不同，调查人员没有众所周知的"最佳做法"方法。有许多有用的工具可供调查人员使用，但在这一领域关于部署这些工具的研究很少。另一个技术问题是确保一个实体的身份正确，以及在这样做时使用的适当框架。执行作者简介和归属的目的是确定作者是谁以及他们可能隶属于谁。如果这些过程无法核实，则信息可能在调查中变得无用。另一个技术挑战是管理存储在绝望的数据库中的取证数据的数量、速度、多样性和准确性。Quick and Choo(2018)介绍了一些初步工作；他们讨论了数据子集、数字法医情报和大型法医数据的减少和管理，但还需要更多的工作。另一个挑战是确定和界定犯罪或欺诈活动的模式。Amatoa、Castiglione、Cozzolino和Narducci(2020)报告了开发基于语义的数字取证分析方法的一些初步工作，但这方面的研究需要进一步扩大。鉴于LOT设备的相关性和超额应用和部署，需要可靠地指导如何合法和全面地从这些设备收集数据，特别是在关键时期。设备制造商、研究人员和法律专家应该合作来解决这些问题。Watson和Dehghantanha(2016年)讨论了该领域进一步发展的主题、挑战和重要性。

5.2.法律问题

法律问题被归类为调查员可能关心的法律问题或向法庭提出调查。这一类的一个问题是维护和证明数字证据的完整性。一旦收集了取证证据，案件可能提交法院，调查人员就必须提出证据并证明它是合法收集的。如果他们不能这样做，证据可能变得不可受理。此外，调查人员可能面临的另一个法律问题是遵循有文件记载的科学方法，以确保在法庭上提供甚至重复证据。最后，调查人员必须证明证据的监管链，以确保证据不被篡改或意外修改。这将确保数据的完整性和可受理性。

网络调查中存在的另一个法律问题是管辖权和地理方法之间的差异。网络犯罪是一个全球性问题，往往跨越多个管辖区和地理位置。这意味着多个国家可能受到影响，这意味着这些国家的执法部门必须合作妥善调查这一罪行。受影响国家也往往有自己的调查方法、工具和技术。这些差异是这一领域的一个开放研究领域。

5.3.伦理问题

道德问题被归类为调查人员在网络调查过程中可能面临的任何道德或道德困境。例如，在开源情报调查中，调查人员使用的技术之一是基于网上发现的个人或群体的信息分析资料。犯罪定性是用来界定"犯罪性质用来推断可能犯罪人的人格和其他特征的过程"。犯罪相貌在许多类型的调查中使用，如果这些工具没有得到适当实施，而且调查资料不详，就可能导致偏见和假设问题。虽然媒体和电影中出现了各种犯罪貌相，但这种貌相的有效性和可靠性需要调查。

5.4.开放问题的研究方向

这些悬而未决的问题可以导致有趣的研究方向。其中之一是如何更好地将开源情报中使用的技术作为整个程序，而不仅仅是单独的工具。所讨论的工具没有提供描述调查人员整个情况的信息。相互研究使用这些工具的最佳方法可以帮助调查人员在调查期间有效地使用这些工具。这项研究将给调查人员很大的优势，因为研究的结论可能能够加快调查进程。

这项调查还可以导致在开放源头情报调查中进行偏见处理和公平待遇方面的研究。这些类型的调查是整个调查过程的重要组成部分，因此必须能够正确执行，并得到公平对待。如果调查人员使用的方法或工具中没有偏见或假设，这也有助于调查人员更快地找到真相。

最后，对所描述的法律问题的研究可以帮助安全专业人员更好地履行职责。由于刑事调查最终会在法庭上进行，因此了解法律如何影响证据的收集和保存至关重要。这一研究可能并非由技术专业人员进行，但技术专业人员了解非技术法律问题仍然至关重要。

6.结论和进一步研究

随着科技的进步，随着威胁方越来越先进，刑事调查更加依赖科技。调查人员可以使用许多工具和方法来协助他们的工作。这些工具都不能执行调查员需要的所有功能。因此，有必要熟悉不同的工具、它们的功能以及它们可以向调查人员提供的信息。

数字取证领域已经有一段时间了，但仍在不断发展。主机、移动、网络和云取证这四个主要领域对数字调查仍然至关重要，尤其是在正在开发新方法的时候。在移动取证中有多种提取数据的方法。最有效的方法是逻辑提取和十六进制转储。数字取证的主要增长领域是云取证领域，特别是许多服务正在成为基于云的。

开源情报和在线调查不是一种新方法，但调查人员总是在这些方法中应用新技术。该领域的多种方法可应用于在线调查，以便尽可能多地获得关于威胁行为者的情报。这些方法中的每一个方法都提供了一些信息，但是没有一个方法提供调查所需的所有信息。然而，在调查人员可用的所有方法中，有一个最突出的应用是：自然语言处理。这种方法可以应用于许多不同的案件，并为调查人员提供几种不同类型的信息。

自动化和机器学习正在推进现场技术，网络调查也受到这些技术的影响。自动化正在帮助调查人员加快收集证据的进程，而机器学习正在帮助调查人员识别和分类这一证据。自动化也对这一领域的法律假设和影响提出了挑战。

这是一个正在成长的领域，还有许多进一步研究的机会。自动化和机器学习为这些技术变得更加复杂提供了潜在的进一步研究领域。还发现，开源情报技术在研究领域的代表性不足，为今后的研究打开了另一个领域。

作者：

堪萨斯大学电气工程和计算机科学系

Cecelia Horan，[email protected]

Hossein Saiedian，[email protected]

原文pdf及百分点机器翻译文档已上传小编知识星球

长按识别下面的二维码可加入星球下载

里面已有近千篇资料可供下载

越早加入越便宜哦