网络安全

人工智能如何增强数字法医科学

mm

数字法医专业人员可以使用人工智能来加速和增强他们的当前流程,缩短调查时间并提高效率。然而,虽然其影响主要是积极的,但也存在一些问题。人工智能能否取代法医分析师?更重要的是,人工智能驱动的发现是否能在法庭上站住脚?

什么是数字法医科学?

数字法医科学——以前称为计算机法医——是一门专门处理电子设备的法医科学分支。法医分析师的工作是调查网络犯罪并恢复数据以产生证据。

行业专业人员使用计算机科学和调查技术来揭示计算机、手机、闪存驱动器和平板电脑上的数据。他们旨在找到、保存、检查和分析与案件相关的数据。

数字法医科学如何工作?

数字法医科学通常遵循一个多步骤的流程。

1. 抄夺

团队必须首先从嫌疑人那里没收相关媒体。到这一步,他们开始一个所有权链——一个电子追踪记录——来跟踪证据在哪里以及如何使用它。这一步对于审判至关重要。

2. 保护

调查员必须保护原始数据的完整性,因此他们通过制作副本开始检查。他们旨在解密或恢复尽可能多的隐藏或删除的信息。他们还必须通过删除其互联网连接并将其存放在安全存储中来保护其免受未经授权的访问。

3. 分析

法医检查员使用各种方法和工具分析数据。由于设备每次用户下载内容、访问网站或创建帖子时都会存储信息,因此会产生一种电子纸质痕迹。专家可以检查硬盘、元数据、数据包、网络访问日志或电子邮件交换以找到、收集和处理信息。

4. 报告

分析师必须记录他们采取的每个行动,以确保他们的证据在以后在刑事或民事法庭上站住脚。当他们完成调查时,他们会向执法机构、法庭或雇用他们的公司报告他们的发现。

谁使用数字法医科学?

数字法医科学调查与电子设备相关的违法活动,因此执法机构经常使用它。有趣的是,他们不仅仅追求网络犯罪。任何与手机、计算机或闪存驱动器有关的不法行为——无论是暴力犯罪、民事犯罪还是白领犯罪——都是公平的游戏。

企业经常在遭受数据泄露或成为网络犯罪受害者后聘请法医分析师。考虑到勒索软件攻击可能会使组织损失超过30%的营业收入,因此领导者聘请专家调查人员来尝试收回部分损失并不罕见。

人工智能在数字法医科学中的作用

数字法医调查通常是一个复杂、耗时的过程。根据犯罪的类型和严重程度——以及调查员必须筛查的兆字节数——单个案件可能需要数周、数月甚至数年。人工智能的无与伦比的速度和多功能性使其成为最好的解决方案之一。

法医分析师可以使用人工智能的多种方式。他们可以使用机器学习(ML)、自然语言处理(NLP)和生成模型进行模式识别、预测分析、信息查找或协作头脑风暴。它可以处理他们的日常琐事或高级分析。

人工智能可以改进数字法医科学的方式

人工智能可以大大改进数字法医科学的多个方面,永久改变调查员的工作方式。

自动化流程

自动化是人工智能最大的能力之一。由于它可以在没有人工干预的情况下工作,因此分析师可以让它处理重复、耗时的工作,同时他们优先考虑关键、高优先级的责任。专家受益于品牌,因为51%的安全决策者同意他们的工作场所的警报量令人难以承受,55%承认他们缺乏信心,认为他们的团队无法及时优先处理和响应。他们可以使用人工智能自动化来审查过去的日志,使识别网络犯罪、网络漏洞和数据泄露更加容易。

提供至关重要的见解

机器学习模型可以持续记录真实世界的网络犯罪事件,并扫描暗网,从而使其能够在人类调查员意识到之前检测到新出现的网络威胁。或者,它可以学习扫描代码以查找隐藏的恶意软件,因此团队可以更快地找到网络攻击或漏洞的源头。

加速流程

调查员可以使用人工智能显著加速检查、分析和报告,因为这些算法可以快速分析大量数据。例如,他们可以使用它来暴力破解锁定的手机密码、草拟报告草稿或总结数周的电子邮件交换。

人工智能的速度对企业聘用的专家尤其有用,因为许多IT部门行动太慢。例如,2023年,公司平均需要277天才能响应数据泄露。机器学习模型可以比任何人类更快地处理、分析和输出,因此它非常适合时间敏感的应用。

找到关键证据

配备了NLP的模型可以扫描通信以识别和标记可疑活动。调查员可以训练或提示它来查找案件特定的信息。例如,如果他们要求它搜索与挪用公款相关的单词,它可能会将他们引导到嫌疑人承认挪用公司资金的文本中。

人工智能需要克服的挑战

虽然人工智能可以成为一个强大的法医工具——可能将案件时间缩短数周——但其使用并非毫无缺陷。像大多数技术驱动的解决方案一样,它存在许多隐私、安全和伦理问题。

“黑盒”问题——算法无法解释其决策过程——是最紧迫的问题。透明度在法庭上至关重要,在那里分析师为刑事和民事案件提供专家证词。

如果他们无法描述人工智能如何分析数据,他们就无法在法庭上使用其发现。根据美国证据法规——美国法庭中证据的可采纳性标准——人工智能驱动的数字法医工具仅在证人证明其功能的个人知识、专家解释其结论并证明其发现的准确性时才是可接受的。

如果算法总是准确的,黑盒问题就不会是一个问题。不幸的是,它们经常产生“幻觉”,尤其是在意外的提示工程中。调查员要求NLP模型显示他们涉嫌窃取企业数据的实例可能看起来无害,但可能会产生一个虚假答案来满足查询。

错误并非罕见,因为算法无法推理、理解上下文或全面解释情况。最终,错误训练的人工智能工具可能会给调查员带来更多工作,因为他们需要筛选假阴性和假阳性。

偏见和缺陷会使这些问题更加突出。例如,人工智能被告知要找到网络犯罪的证据可能会根据训练期间形成的偏见忽略某些类型的网络攻击。或者,它可能会忽略相关犯罪的迹象,认为它必须优先考虑某种类型的证据。

人工智能是否会取代调查专家?

人工智能的自动化和快速处理功能可以将数月的案件压缩成几周,帮助团队将网络犯罪者绳之以法。遗憾的是,这项技术仍然相对较新,美国法院不喜欢未经验证、突破边界的技术。

就目前而言——可能在几十年内——人工智能不会取代数字法医分析师。相反,它将帮助他们完成日常任务,指导他们的决策过程,并自动化重复的责任。人类监督将保持必要,直到他们彻底解决“黑盒”问题,并且法律体系为人工智能找到一个永久的位置。

Zac Amos 是一位专注于人工智能的科技作家。他也是 ReHack 的特稿编辑,您可以在那里阅读他的更多作品。