论文部分内容阅读
(1广东警官学院 广东 广州 510440;2广州市公安局海珠区分局 广东 广州 510000;3佛山市公安局南海区分局 广东 佛山 528200)
摘 要:针对公安机关现有数字取证设备难以携带的问题,本文提出面向视频侦查的便携式数据提取设备的研制方案,该方案以嵌入式平台为硬件系统,订制轻量化的Debian Linux系统并开发软件,可通过逻辑文件复制、物理镜像烧录、内存DUMP三种手段将视频监控设备的视频数据提取到取证设备中,从而实现数据提取设备的轻量化。考虑到数据提取后还需取证分析,本文模拟了办案过程中通过USB接口、LAN共享、FTP服务器、双绞线直连等方式将数据传输到专业数据分析平台上进行分析的情景,比较上述方法的数据上传速率。通过对软硬件平台的深入研究,成功开发了便携式数据提取设备。通过模拟实验探明不同情况下数据传输各方式的优缺点,对公安实战机关视频侦查工作具有指导意义。
关键词:视频侦查;嵌入式;电子取证
基金项目:本项目受广东省教育厅特色项目资助(NO.2015KTSCX096);广东省优秀青年教师培养计划;2015年度广东大学生科技创新培育专项资金(攀登计划)资助
1.引言
近年来,我国各省、市、区加大公共安全设施投入,广泛开展了视频监控系統的建设。随着安全形势的变化以及装备成本的降低,政府正在逐年加大视频监控系统的建设力度。
由于视频数据能够为案件的侦查提供直观、准确的信息,我国公安机关目前相当重视通过监控视频获取案件违法犯罪信息。视频侦查技术正在逐渐成为继刑事技术、行动技术及网侦技术之后的第四大侦查破案技术手段。公安机关依托视频监控录像对违法犯罪行为进行打击已经成为常态。
为了适应这一新常态,各实战单位对视频侦查技术进行了研究、总结,但目前的研究方向主要集中在战法、组织管理等方面,对如何完整、高效地提取视频数据的针对性研究相对较少。文献[1]论述了视频侦查技术的相关概念和运用手段。文献[3]论述了利用视频图像信息为侦查破案挖掘更多线索的基本思路和几种方法。文献[2]对视频侦查技术进行了更深一步的探讨,提出了几种视频侦查技术的具体战法。仅有文献[4]探讨了一种数字取证完整性的检验方案,该方案基于SHA算法和秘密共享算法,但仍然没有解决在视频数据提取过程中保证完整性、高效性的问题。
本文提出一种视频数据提取设备的研制思路,符合公安工作中对数字取证设备的易用性、完备性、高效性等要求,保证该设备易于携带。
2.需求分析
我国基层公安机关长期面临着案件数量多、人员少的矛盾。鉴于PC机等取证设备笨重、操作门槛高、价钱昂贵等原因,这些公安机关往往没有装备此类设备,导致办案人员对电子数据提取的热情不高,降低了办案过程中的电子数据提取率。
立足于为办案服务,便携式数据提取机应当具备以下特点:
(1)易用性
数据提取机应易于携带、技术门槛低、用户交互界面友好、易于操作,从而减弱基层民警的心理排斥反应,减轻民警的工作负担。
(2)完备性
数据提取机在工作过程中,应该避免对源设备进行任何写入操作,防止原始数据被修改、覆盖或擦除,保证数据原始性、完整性、真实性。
(3)高效性
公安工作讲求及时,数据提取应兼顾较高的传输速率。
3. 面向视频侦查的数据提取设备研制
3.1硬件平台
便携式数据提取机采用嵌入式微型计算机作为硬件平台,主要部件包括:主控制板、用户交互面板、I/O传输模块等。各部分运行图如图1所示。
主控板是一塊搭载ARM1176JZF-S核心(ARM11系列)的单板微型计算机,配备512MB运行内存,具有1个RJ45接口,1个MiniSD卡槽以及4个USB接口。
3.2软件开发
3.2.1程序设计
主控板运行轻量级Linux系统,该系统为Linux的一个Debian发行版系统,体积小,占用系统资源少,运行效率高。设备主要功能及界面构建通过Python程序实现。
数据提取机对源设备进行写入保护,当源设备接入提取机以后,提取机只能读取源设备内的数据,无法对其进行写入操作,从而确保所得数据都是原始数据。针对不同的使用情况,设备具备以下三种数据提取模式。
3.2.2逻辑文件复制
将存储设备中的数据以该设备文件系统的文件形式进行复制。这种方式下用户能够通过系统定位到所需数据的位置,只要复制某个或某类文件就能获取其中包含的数据。这种提取方式的优点在于具有较高的提取速率。
3.2.3物理镜像烧录
系统会忽略文件系统的限制,对源设备逐个扇区地进行复制,是源设备的全面复制,所得数据理论上与源设备上的数据完全相同。这种提取方式的优点在于:(1)即使在文件系统被损坏或不能被识别的情况下,也能复制源设备的真实数据;(2)通过这种模式可以复制被删除的文件所在扇区的数据,通过后续手段对其进行分析。
3.2.4内存DUMP
对于PC机,用户可以在数据提取机上使用Firewire适配器,先将数据提取机设置为SBP2模式,用户可以通过这种模式直接访问PC机的内存数据,并将其提取到设备中。
3.2.5数据完整性校验
数据提取完成后,使用SHA-1、MD5算法对源数据与所得数据进行校验。
便携式数据提取机解决了在现场勘查中如何快速有效地保存、提取视频数据的问题,该步骤完成以后,用户需要在后期将所获得的视频数据上传到专门的数据分析平台中进行处理。本文所研制设备提供4种数据上传方案。
4.传输方式比较研究 便携式数据提取机依靠USB、RJ45等接口将视频数据上传至专业分析平台,每种传输方案的速率各有不同。本文使用便携式数据提取机将80GB纯视频文件和80GB混合视频文件(40GB视频文件+40GB各种格式文件)分别通过USB接口传输、LAN共享传输、FTP服务器传输、双绞线直连传输共4种方法上传至数据分析平台,并对4种上传方式各自的速率进行了比较。
(1) 通过USB接口传输
分别使用USB2.0与USB3.0接口进行文件传输。
(2) LAN共享传输
将提取机与分析平台置于同一局域网下,IP设置为同一网段,子網掩码与DNS解析相同。使用共享功能传输。
(3) FTP服务器传输
将提取机与分析平台置于同一局域网下,在分析平台上利用FTP服务器软件建立一个FTP站点,数据提取机则通过登陆到FTP站点上,进行数据上传。
(4) 双绞线直连传输
提取机与分析平台分别用超五类UTP双绞线交叉线(100M)和六类UTP双绞线交叉线(1G)直连RJ45接口,并将IP设置为同一网段,利用文件分享功能进行传输。
实验数据如表1所示。
通过比较发现,在相同磁盘性能下,使用双绞线直连(1G)的方式上传数据速率最大,100M次之,LAN共享与FTP服务器最慢。可见:
(1)在具有RJ45接口的数据分析平台上,应该优先使用双绞线直连(1G/100M)的方式上传;
(2)USB3.0传输速率比USB2.0高,若平台具备USB接口,应注意辨別接口版本,优先选择USB3.0版本。
5.总结
经研制及模拟测试,按照此方法研制的数据提取机便于携带,同时能保证数据传输的完整性、高效性。另外,比较了4种接口上传视频数据的速率,确定了选择数据上传方案的优先级为:双绞线直连(1G)>双绞线直连(100M)>USB3.0>USB2.0>LAN共享/FTP服务器,对公安机关实战具有指导意义。
参考文献
[1]陈闻高.论视频侦查技术[A].铁道警察学院学报,2014,24(2):30-35.
[2]陈世革.视频侦查的有效途径和方法[A].贵州警官职业学院学报,2014,23[5]:57-61.
[3]孙展明,尹伟中.论视频图像侦查[J].中国人民公安大学学报(自然科学版),2011,3:25-28.
[4]周洪伟,韦大伟,郭渊博.一种数字取证完整性方案[A].计算机应用研究,2007,24(12):149,150,154.
作者简介:通讯作者:黄昕明,男,1993年12月,研究方向:公安视听技术。
摘 要:针对公安机关现有数字取证设备难以携带的问题,本文提出面向视频侦查的便携式数据提取设备的研制方案,该方案以嵌入式平台为硬件系统,订制轻量化的Debian Linux系统并开发软件,可通过逻辑文件复制、物理镜像烧录、内存DUMP三种手段将视频监控设备的视频数据提取到取证设备中,从而实现数据提取设备的轻量化。考虑到数据提取后还需取证分析,本文模拟了办案过程中通过USB接口、LAN共享、FTP服务器、双绞线直连等方式将数据传输到专业数据分析平台上进行分析的情景,比较上述方法的数据上传速率。通过对软硬件平台的深入研究,成功开发了便携式数据提取设备。通过模拟实验探明不同情况下数据传输各方式的优缺点,对公安实战机关视频侦查工作具有指导意义。
关键词:视频侦查;嵌入式;电子取证
基金项目:本项目受广东省教育厅特色项目资助(NO.2015KTSCX096);广东省优秀青年教师培养计划;2015年度广东大学生科技创新培育专项资金(攀登计划)资助
1.引言
近年来,我国各省、市、区加大公共安全设施投入,广泛开展了视频监控系統的建设。随着安全形势的变化以及装备成本的降低,政府正在逐年加大视频监控系统的建设力度。
由于视频数据能够为案件的侦查提供直观、准确的信息,我国公安机关目前相当重视通过监控视频获取案件违法犯罪信息。视频侦查技术正在逐渐成为继刑事技术、行动技术及网侦技术之后的第四大侦查破案技术手段。公安机关依托视频监控录像对违法犯罪行为进行打击已经成为常态。
为了适应这一新常态,各实战单位对视频侦查技术进行了研究、总结,但目前的研究方向主要集中在战法、组织管理等方面,对如何完整、高效地提取视频数据的针对性研究相对较少。文献[1]论述了视频侦查技术的相关概念和运用手段。文献[3]论述了利用视频图像信息为侦查破案挖掘更多线索的基本思路和几种方法。文献[2]对视频侦查技术进行了更深一步的探讨,提出了几种视频侦查技术的具体战法。仅有文献[4]探讨了一种数字取证完整性的检验方案,该方案基于SHA算法和秘密共享算法,但仍然没有解决在视频数据提取过程中保证完整性、高效性的问题。
本文提出一种视频数据提取设备的研制思路,符合公安工作中对数字取证设备的易用性、完备性、高效性等要求,保证该设备易于携带。
2.需求分析
我国基层公安机关长期面临着案件数量多、人员少的矛盾。鉴于PC机等取证设备笨重、操作门槛高、价钱昂贵等原因,这些公安机关往往没有装备此类设备,导致办案人员对电子数据提取的热情不高,降低了办案过程中的电子数据提取率。
立足于为办案服务,便携式数据提取机应当具备以下特点:
(1)易用性
数据提取机应易于携带、技术门槛低、用户交互界面友好、易于操作,从而减弱基层民警的心理排斥反应,减轻民警的工作负担。
(2)完备性
数据提取机在工作过程中,应该避免对源设备进行任何写入操作,防止原始数据被修改、覆盖或擦除,保证数据原始性、完整性、真实性。
(3)高效性
公安工作讲求及时,数据提取应兼顾较高的传输速率。
3. 面向视频侦查的数据提取设备研制
3.1硬件平台
便携式数据提取机采用嵌入式微型计算机作为硬件平台,主要部件包括:主控制板、用户交互面板、I/O传输模块等。各部分运行图如图1所示。
主控板是一塊搭载ARM1176JZF-S核心(ARM11系列)的单板微型计算机,配备512MB运行内存,具有1个RJ45接口,1个MiniSD卡槽以及4个USB接口。
3.2软件开发
3.2.1程序设计
主控板运行轻量级Linux系统,该系统为Linux的一个Debian发行版系统,体积小,占用系统资源少,运行效率高。设备主要功能及界面构建通过Python程序实现。
数据提取机对源设备进行写入保护,当源设备接入提取机以后,提取机只能读取源设备内的数据,无法对其进行写入操作,从而确保所得数据都是原始数据。针对不同的使用情况,设备具备以下三种数据提取模式。
3.2.2逻辑文件复制
将存储设备中的数据以该设备文件系统的文件形式进行复制。这种方式下用户能够通过系统定位到所需数据的位置,只要复制某个或某类文件就能获取其中包含的数据。这种提取方式的优点在于具有较高的提取速率。
3.2.3物理镜像烧录
系统会忽略文件系统的限制,对源设备逐个扇区地进行复制,是源设备的全面复制,所得数据理论上与源设备上的数据完全相同。这种提取方式的优点在于:(1)即使在文件系统被损坏或不能被识别的情况下,也能复制源设备的真实数据;(2)通过这种模式可以复制被删除的文件所在扇区的数据,通过后续手段对其进行分析。
3.2.4内存DUMP
对于PC机,用户可以在数据提取机上使用Firewire适配器,先将数据提取机设置为SBP2模式,用户可以通过这种模式直接访问PC机的内存数据,并将其提取到设备中。
3.2.5数据完整性校验
数据提取完成后,使用SHA-1、MD5算法对源数据与所得数据进行校验。
便携式数据提取机解决了在现场勘查中如何快速有效地保存、提取视频数据的问题,该步骤完成以后,用户需要在后期将所获得的视频数据上传到专门的数据分析平台中进行处理。本文所研制设备提供4种数据上传方案。
4.传输方式比较研究 便携式数据提取机依靠USB、RJ45等接口将视频数据上传至专业分析平台,每种传输方案的速率各有不同。本文使用便携式数据提取机将80GB纯视频文件和80GB混合视频文件(40GB视频文件+40GB各种格式文件)分别通过USB接口传输、LAN共享传输、FTP服务器传输、双绞线直连传输共4种方法上传至数据分析平台,并对4种上传方式各自的速率进行了比较。
(1) 通过USB接口传输
分别使用USB2.0与USB3.0接口进行文件传输。
(2) LAN共享传输
将提取机与分析平台置于同一局域网下,IP设置为同一网段,子網掩码与DNS解析相同。使用共享功能传输。
(3) FTP服务器传输
将提取机与分析平台置于同一局域网下,在分析平台上利用FTP服务器软件建立一个FTP站点,数据提取机则通过登陆到FTP站点上,进行数据上传。
(4) 双绞线直连传输
提取机与分析平台分别用超五类UTP双绞线交叉线(100M)和六类UTP双绞线交叉线(1G)直连RJ45接口,并将IP设置为同一网段,利用文件分享功能进行传输。
实验数据如表1所示。
通过比较发现,在相同磁盘性能下,使用双绞线直连(1G)的方式上传数据速率最大,100M次之,LAN共享与FTP服务器最慢。可见:
(1)在具有RJ45接口的数据分析平台上,应该优先使用双绞线直连(1G/100M)的方式上传;
(2)USB3.0传输速率比USB2.0高,若平台具备USB接口,应注意辨別接口版本,优先选择USB3.0版本。
5.总结
经研制及模拟测试,按照此方法研制的数据提取机便于携带,同时能保证数据传输的完整性、高效性。另外,比较了4种接口上传视频数据的速率,确定了选择数据上传方案的优先级为:双绞线直连(1G)>双绞线直连(100M)>USB3.0>USB2.0>LAN共享/FTP服务器,对公安机关实战具有指导意义。
参考文献
[1]陈闻高.论视频侦查技术[A].铁道警察学院学报,2014,24(2):30-35.
[2]陈世革.视频侦查的有效途径和方法[A].贵州警官职业学院学报,2014,23[5]:57-61.
[3]孙展明,尹伟中.论视频图像侦查[J].中国人民公安大学学报(自然科学版),2011,3:25-28.
[4]周洪伟,韦大伟,郭渊博.一种数字取证完整性方案[A].计算机应用研究,2007,24(12):149,150,154.
作者简介:通讯作者:黄昕明,男,1993年12月,研究方向:公安视听技术。