"你无法预先把点连接起来;只有回头看时,你才会发现它们是如何连在一起的。所以你必须相信,你现在所经历的种种,将在你未来的某个时刻连接起来。你必须相信某些东西——你的直觉,命运,人生,因果,随便什么。"
~史蒂夫·乔布斯
乔帮主在2005年斯坦福大学毕业典礼上的这番话,不仅鼓励世人保持信念,也预见了科技发展的轨迹。在数智时代,我们用大数据连接时空(数字孪生),用智能分析提炼信息(压缩降熵),但真正的挑战是用直觉信念(科技向善)来理解和完善现实秩序。
我关注警界数字取证(Digital Forensics)已有十年,回顾这段经历,我发现数字取证是一门集大成的科学,堪称数智转型的一个缩影。它融合了技术的极致创新、数据的广泛关联、社会协作的网络化、法律伦理的严谨规范,以及对人性的细致还原。
这个领域中,华人神探李昌钰作为灵魂人物,为其科普和发展做出了巨大贡献,那些追寻真相、伸张正义、充满悲悯的案例,超越了科技本身的影响力,直击人心,引导我们思考如何在数智大发现时把稳舵,不迷航。
章节
精要
引言
数智时代需要用科技向善来理解和完善现实秩序,数字取证是数智转型的缩影。
念念不忘,必有回响
持续学习和实践是专业成长的关键。十年的坚持不仅带来了技能的提升,还让散乱的经验凝聚成完整的专业认知。
神探眼里的数智化
1 AI不仅是单一技术工具,而是连接各环节的核心纽带。李昌钰博士的前瞻性观点强调了AI在整合公共服务和社会资源生态中的重要作用。(附1)
2 鉴识取证正从"转移理论"向"联系理论"演变,反映了安全领域对更复杂、全面证据网络的需求。(附2)
悲悯之心,科技向善
取证从业者展现出独特的职业特质:悲悯之心(关注社会责任),知行合一(注重实用性创新),集思广益(善于团队协作和跨学科融合)。
关注数字取证十年,从ISC 2014到ISC 2018,再到FDF 2019、BCS 2019、ISC 2022和BCS 2022的取证分论坛,我从旁听者逐渐转变为初级参与者。在这个过程中,我有幸得到了许多专家的启发,软件分析成为了我的硬技能;云计算取证让我深耕云原生;隐写水印促使我将其引入实践;厂商专业工具解决了我的燃眉之急;检察官的海量检材让我正视高算;反恐一线警官讲述工作强度和残酷现场,让大家认识到,不再有任何困难是对技术的苛求。
从网络靶场到有效性验证,从专用工具到AI挑战,从检材分析到众多公安部科技一等奖,让我理解了场景适配、底层研发、逆向工程、用户零侵入、高性能计算和数据高通量的重要性,以及要素全关联的价值。在践行深植于心的信念过程中,散乱的经验自然会凝聚成完整的拼图。近两年,我基于实践经历撰写的两篇小论文被全国取证会议录用,这让我体会到,成果的积累需要时间的沉淀。
2019年我第一次面对面见到”神探“李昌钰博士,他从直观场景出发,说明AI能在初始通知、现场救援、资源规划、证据收集和身份鉴定等阶段发挥作用。李博士将AI定位为连接各个环节的核心纽带,而不仅仅是单一的技术工具,在每个场景中,AI都应将公共服务和社会资源生态完美结合,更好地服务社会。AI不仅能够处理和分析海量数据,还能在不同系统和数据源之间建立联系,为人提供全面的情景分析。
使在5年后的今天,AI技术突飞猛进,大模型狂欢亢进,李博士当年的观点依然显示出其前瞻性和洞察力,既是对AI发展的升维思考,也是对盲从跟风的降维警醒。
2022年,李博士在ISC大会上的演讲进一步拓展了鉴识取证的视野。他强调要将传统现场与电子现场结合,并阐述了如何利用新兴物证科学来应对网络安全挑战。李博士特别强调了鉴识科学思维方法的演变,从上个世纪传统的"转移(transfer)理论",发展到了"联系(linkage)理论。这种转变体现了安全领域的新特征:不再局限于单一、直接的证据链,而是建立起更加复杂、全面的证据网络。
电子取证论坛汇聚了业界精英,通过多次参会,我深刻感受到警界那种务实钻研的作风。众多讲者通过分享案例、阐述观点,不仅传授了数字取证的专业知识,更为科技工作者提供了精神上的力量和勇气,共同体现了电子取证领域从业者的独特特质:
悲悯之心,他们关注如何真正帮助普通人和弱势群体,从案件中来、到案件中去,凸显社会责任,科技向善;
知行合一,他们从案例细节出发,"亮剑"极限场景,长期钻研底层技术,注重创新的实用性和可操作性,不空谈概念,不迷信科技;
集思广益,他们善于组织复杂团队协作,学习融合多学科知识,应对复杂多变的案情和海量数据,也善于借力社会资源,不是孤勇者。
这些特质不仅体现了取证领域的专业精神,也为科技工作者提供了宝贵的启示。正如《坛经》所言: 一切福田,不离方寸;从心而觅,感无不通。
- 1. 40年巨变:一个归国者眼中的中国蜕变
- 2. 人工智能,中国有先机
- 3. AI: 犯罪调查的全新视角
- 4. 智慧城市与重大事故:预防与应对的新思路
- 5. 事故调查的全过程
- 6. 事故预警与快速响应:AI成为守护者
- 7. 应急救援资源的智慧指挥官:AI的妙用
- 8. 物证管理与身份鉴定:AI成为无声助手
- 9. 从911到马航的教训:严谨鉴定的重要性
- 10. 破案利器:大数据、AI与人类智慧的完美结合
* 根据FDF 2019李昌钰博士演讲整理的笔记,并非其官方讲稿,标题均自拟以方便大家阅读。当时他年过八旬,20多个小时的旅程到广州南沙,直接开讲,声音洪亮,语速超快,风趣幽默,真乃神人也!
---
尊敬的各位嘉宾,大家好!
40年的改革开放,国家的发展真是突飞猛进。
我从第一次回国是在1985年,当时我回到我的家乡如皋,那个时候的如皋公安局还是个民房,现在的公安局非常现代化,简直让人不敢相信。
第一次到公安大学的时候,见到的都是很年轻的同学,现在他们大概都已经成为局长了。
最近,我看了一个纪录片,讲述了我们祖国40年里的翻天覆地的变化,当时上海唯一的饭店叫和平饭店,现在的上海变化之大,难以想象。南沙也是如此,从一个小城镇变成了一个繁华的、非常有活力的城市。
人工智能是中国未来肯定领先的领域,它已经应用到医学、健康、社会、人类生活、国际资讯、通讯、经济等各个方面。人工智能和任何东西都密不可分,我们也一直在利用人工智能和犯罪做斗争,我们在美国也在研究人脸分析,美国的技术和国内相比是小巫见大巫,还是有很大的差距。
人工智能带来哪些犯罪调查的新概念?未来的新增报案要怎么样做?Recognition & collection of information最重要。
现在我们完全是靠个人的经验,将来AI逐步取代人力,能够到现场收集到很重要的信息,从现场、人证、物证、数据、资料库、公共信息、情报进行综合智能分析,找到嫌疑犯,并分析出他的动机、方式和机会。
这些信息主要来自于数据库,这些数据价值很高,但从安全考虑,普通大众无法使用,只有警方可以使用。所以,智能的难点是如何做分析?如何将这些大数据库连接起来?在中国可以容易实现,但在美国(因为法律法规)的效率很低。
【思】现代刑事侦查,乃至各行各业,愈加依赖数据分析和信息整合。
目前AI用在重大事故调查的很少,假如人工智能能够处理事故善后,那AI就非常重要。
现在每个人都在讨论着智慧城市,智慧城市到底是什么?其中一项应该就是预防重大事故,重大事故发生了以后怎么处置?第一类是自然灾害,突发事故不是人为的,我们没有办法有很准确的预测,好像地震、龙卷风这些。美国最近大火,在加州 18 场,到现在有 1, 000 多人找不到, 5 万多个房子烧,但是我们怎么处理?到现在这些人怎么处理和居住?
第二类就是人为的事故,包括纵火、交通事故、重大谋杀案件、恐怖活动、示威,交通飞机失事等。
怎么完成事故调查处理的闭环?如果一个人工智能的系统能够在这么多场景下发挥作用,那我想对于人类社会就做了很大的贡献。
这要包括什么场景呢?重大事故发生,不管自然或者人为,医疗急救、传染病控制、生还者安抚、经济财产损失、法律责任、民事通告、后勤、保险,舆情管控、灾后重建,灾后社会秩序维稳(美国灾后抢劫多),需要有个 package (个人理解是综合性解决方案,包括但不限于先进的智能软件系统、专业的分析工具、标准化的工作流程以及专家支持服务)能够收集很多证据,综合协调、系统性地协助处理。这个领域的应用,不单是政府的应用,而且是商业的机会。
【思】AI能形成解决方案、能形成服务么?悲悯之心会引出好的方案和服务,技术思维不一定。
事故调查主要有哪些阶段?重大事故我一生协助调查过很多个案件,包括纽约911,南斯拉夫战争,南美洲天然事故、还有美国警察跟民众的冲突等等。所以通常一个突发事件发生了,incident occur;接着下来就是 initial notification, 回应报案;我们尽快到现场,按照response procedure快速展开这个救援的工作;接下来是containment & rescue,像化学危险品不能给它再继续扩散;还有现场保护、调查、受害者、目击者、嫌疑人信息,现场重建,找出嫌疑人,然后 clean up & release,最后是经验教训总结。时间关系,挑一小部分讲。
事故发生,通常有海啸、天气不好,雾霾,或有一些有奇很奇怪的味道,或者很多人进医院,或者很多牛马羊死亡。这些发生之后通常有一些叫做indicator, indicator 就是告诉我们可能有事故发生。
假如有人工智能能够及时结合所有的数据,马上拿到分析一下,有重大事故发生了,马上进行initial notification。
事故发生了,那我们怎么样去处理?病人送到哪里救援?救援人员从哪里来?需要哪方面的专家?所以这个 communication 系统又变得很重要。
好像现在我们如果在海边,天气预报三天之前就会通知到你家里的电话或者你的手机,告诉你飓风要来了,第二天到当天,它会不断的告诉你要离开海边,要撤退。
人工智能可以马上会收集、研判、规划、指挥和通知。所以 initial notification 很重要。怎么用最快的时间传递最正确的消息?从报纸、电视上,能够通知所有的居民,所以这个人工智能的通讯是一个很重要的设计。美国自从 911 之后, homeland security即有国土安全部,收集所有的信息,然后分析、研判、通知 。
【思】实战是检验的唯一标准。采集、分析信息成本高昂,如何判定措施有效?
接下来怎么样去救援?假如有炸弹威胁,或者有针对警察的陷阱,你不小心的话自己撤退都撤出不出来。所以一定要有一个人工智能系统,告诉到现场的安全人员,怎么样注意他们自身的安全。还有救援怎么分组,需要哪些角色,怎样分配。
另外指挥中心要定在哪里?人工智能也要采集天气包括风向,假如是危化品,指挥中心在下风怎么办?所以通常指挥中心要有一个hot,一个 warm,一个cold,人工智能也要做出选址和启用建议。
资源规划方面,关键是procedure 操作程序,现在国外已经开始有标准操作程序。假如给全资料库,人工智能分析好了,你很快的就能够调人、调资源了。展开说一下:
应该用什么样的资源做准备,人工智能要分析和优化,好像在南沙有多少救援队员,有多少防毒面具,能力不够的话,最近的城市是什么?最远的地方能要多少?协商启用程序是什么,所以这些 protocol 现在都要有。
怎么样 manage equipment和 manpower,还有警犬,假如说在这里有一个事故,你最近的警犬队在哪里?能够借调多少警犬?
社会资源调度能力很重要,交通,资源,facility?印尼海啸,南斯拉夫战争,成千上万具尸体,没有那么多冰箱,存放也是大问题,许多重大事故很多尸体没有鉴定出来。社会资源准备阶段,就要知道(有大规模冷冻能力的)屠宰场在哪里,有制冷功能的卡车有多少辆,制造干冰的工厂也是不错的暂时措施,然后你再去调的话,你可以调动,所以一定要预防规划准备,维护资料库。
一个人工智能系统的方法能帮你,这些收集的物证要怎么样编号,有些东西要保障工作人员安全,尤其是生物事件,你在进出现场怎么样保护安全?
所以这些东西是完全是个团队,有各种专业的人员,所以在很早之前就能够统计需要消防人员多少,医护人员多少。甚至退休专家怎么找?或者如何找企业协助,包括化学战,电力与医疗生物,物证怎样找回?除了死者身份鉴定,我们要怎么样找到遗物并能够发给被害人家属?
可以有很多不同鉴定的方法,这个也是一个资料库,采集之后放到资料库,包包、指纹、脸型重建, birthmart 出生身上胎记,这些information,或者开刀或者牙齿的拍照,医院的 x 光片,这些都可以做一个大的数据库,将来做这个鉴定、分发工作会高效很多。
【思】数字化、信息化的典型过程,一线实战经验,很形象。
911 有个案例,当时我们派了两个警犬救援队,大部分人都罹难去世了。但是当时鉴定尸体发生很多错误,家属发现(遗物遗体)错的离谱,原来他们就是照穿的衣服里面的证件或者名牌,那个是最不准确的,救援人员因为情况紧急临时拿了别人的衣服,所以现在就规定一定要遵循严格鉴定的方法。当时我们派了 18 个 DNA 的人员协助他们,因为很多比较复杂,例如有些人没有标准的 DNA 了,那只有从他的车辆、牙刷这些东西去找出DNA,然后做了一个资料库。
还有战争,当时联合国要求我们协助去鉴定,当时鉴定的时候也是用这些,当然没有现在的科技这么好,就是要有资料。要做到死者家属告诉我们他的孩子是什么样子,穿什么衣服,什么鞋子,要收集记录这些特征或人性化查询需求,然后我们先前鉴定数据也有个资料库,要写程序让两个资料库比对能够match。当时联合国、当地政府因为感激,感谢我们协助,给我们发了勋章。
另一个案例,马航飞机失事,当时我们去协助他们 300 多人。通常我们看到这么多碎片就知道是高空爆炸,怎么样先给物证找齐,然后去还原,这些尸体有多少有指纹的?然后从他们的DNA或者鞋子都要做记录,都可以做分析。
data mining engine 变成很重要的一个,在人工智慧上,除了大数据库之外,你怎么样有一个 engine 能动 mine 这些data?通常要用几种不同鉴定方法,包括二代dna测序技术,增加数据,然后去 mining 。
除了鉴定人体,鉴定爆炸物也要靠大数据库、人工分析、实验室特殊分析。假如我年轻 30 年,我一定好好用功去做数据分析,现在年纪大了只能讲,内容很多,将来 3D image 也可以用到人工智慧分析。所以调查的时候,之前类似的一般的案件的 package,对以后碰到突发事件也是很有用的。
今天因为时间的关系,我们没有时间一个个讲,但是这个 big data 大数据库跟人工智能是贴合的,非常重要。人工失踪在美国很严重,那些失踪的人到底是谁?有这个基础很容易就鉴定。假如有这个基础,海地海啸也很容易善后,飓风,龙卷风,水土流、水石流、爆炸案件,马航等灾难,也不会到现在好多情况我们不知道。
2013年波士顿马拉松爆炸案。这场恐怖袭击造成3人死亡,数百人受伤。警方通过监控录像和目击者的手机视频迅速确认了两名嫌疑人——萨尔纳耶夫兄弟。在逃亡过程中,他们劫持了中国留学生邓俊杰的车,但邓俊杰在加油站成功逃脱并报警,提供了关键线索。警方随后在激烈的枪战中击毙了塔梅尔兰,并在全城封锁、高空高清侦测、和市民合作下最终抓获了躲在没人能想到的角落的焦哈尔。称这个案件为幸运,因为在关键时刻,市民的勇敢行为和警方的迅速反应起到了决定性作用。
所以人工智能是很重要的一块,但是一个团队做,一定要有现场人员、专业人员跟一些专门电脑技术的能结合在一起,我们知道应该怎么做,但是你让我写程序,我写不出来,但你的程序写好了我可以运用,告诉你哪里不对哪里对。
最后要谢谢有关单位邀请,因为我今天实在很累了,坐了 15 个小时的飞机,到了香港早上 4 点钟,然后马上坐车到这边,我还没有停下来,谢谢各位,谢谢。
【思】通篇没有造概念,没有新术语,警界科技就是这么平实,平实到5年之后的AI,也要仰望这些场景、能力、需求。
*在线视频 isc.n.cn
- 互联网安全是世界性的
- 网络犯罪是一个很重要的课题
- 怎么调查?有什么注意事项?
- 要将传统的现场,跟电脑的现场结合起来
- 现场调查的思维方法转变
- 从转移理论发展到联系理论
- 新兴物证科学和网络安全结合
- Make the impossible possible
- who are we going to trust?
大家好,我是李昌钰博士,今天非常高兴能参加 2022 年 ISC 第十届互联网安全大会。谢谢大会的主持人的邀请,跟大家分享我一点意见。
大家都知道互联网的安全不是一个地区或者一个国家的问题,是整个世界性的。据美国统计,全世界大概有100亿设备,这些每年都在增加,而这个安全牵涉到 Cyber crime,不止关于国家的安全,政府的资料的安全,工业的安全,还有个人的安全。
美国现在有很多的网络犯罪的问题,包括针对国家安全、政府部门、工业、个人、系统、网络、数据、计算机硬件等,所以调查网络犯罪是变成一个很重要的课题。
我们首先要分开这个定义, e-crime跟 e-war 是两回事情。e-crime 针对着个人或者企业,而 e-war 是针对着国家的安全。还有其他分类。
所以我今天要讲的主要是关于怎样调查个人的犯罪,包括信用卡,包括 网络暴力、儿童 pornography 或者其他一系列的。很多人的个人资料被泄露了,在 2021 年,几个 billion 的资料被泄露,e-crime变成一个非常重要的问题。
怎么调查?我们通常是先Analyze cyber incident 这个问题怎么来的?然后 follow 的 legal requirement,因为法律上的要求能不能去那提取这些资料?然后 secure the virtual crime scene。现在新的现场的定义已经包括网站也是一个新现场,怎么样去收集、保存、分析人证、物证、电子证据?然后Identify the suspect. Reconstruct 重建电脑的犯罪现场,这样我们将来才能学到以后更多的经验.
所以现场第一步是start recognition。什么是现场?
现场早期我们的定义就是一个死者或者一个犯罪实地的现场,现在这个现场包括 universal crime scene,好像电脑犯罪,好像手机, 微观物证(microscopic)在手机上面一个毛仿也可能会变成一个现场。
现场调查在 20世纪以前都是用 transfer theory,就是我们那物证经过接触才留下痕迹,但是 20世纪以后我们的思维方法就有了改变,叫做 linkage theory,你不必直接接触到实物,你也可以找到物证。
*LLM分析增补
用一个表格来总结和对比转移理论(Transfer Theory)和联系理论(Linkage Theory)的主要特点和异同。
特征
转移理论 (Transfer Theory)
联系理论 (Linkage Theory)
核心概念
物质在接触时相互转移
证据之间存在多维度的关联
理论基础
洛卡德交换原理
行为一致性、模式识别
证据类型
主要关注物理证据
包括物理、行为和情境证据
应用范围
单一犯罪现场
多个犯罪现场或复杂案件
分析焦点
微观层面的物质转移
宏观层面的模式和关联
时间维度
通常关注单一时间点
考虑随时间变化的模式
证据解释
"是什么"和"从哪里来"
"为什么"和"如何联系"
适用案例
入室盗窃、单一凶杀案
连环案件、复杂金融犯罪
局限性
难以解释无直接接触的情况
可能需要大量数据支持
技术要求
显微镜、化学分析等
数据分析、行为分析等
证据链建立
直接、线性
复杂、网状
对调查的指导
指向特定嫌疑人或物品
提供更广泛的调查方向
在法庭上的应用
直观、容易理解
可能需要更多专家解释
与其他学科的结合
主要与化学、生物学结合
结合心理学、统计学等
发展趋势
向更精细的分析方向发展
向更全面的整合分析发展
这个表格概括了两种理论的主要特点和区别。值得注意的是,在实际的刑事调查中,这两种理论常常是互补使用的,而不是相互排斥的。现代鉴识科学倾向于综合运用这两种理论,以获得更全面、更可靠的证据分析结果。
traditional crime scene传统的现场就是一个地方,一个死者,我们在现场能找到物证。电脑的现场可能是那个系统,可能是手机。所以 21 世纪我们要将传统的现场,跟电脑的现场结合起来找物证,是传统物证和电子物证结合。
e-evidence 就是电脑的设计,电脑的里边的content,它的 hard drive,它的software,各种。traditional,就是包括指纹,dna,实物证据。
那怎么结合呢?很多的物证能够找到很多资料。今年春天我们举行了一个会议,怎么样找这个物证啊?关于怎么样子在手机、Email 、multiple data source 、 deep fake investigation。当时很多的参加的人要求以后每年举行一次,大家分享新的进展。
怎样发现信息?
信息来源有:现场、证人、物证、大数据库、社会大众提供的资料跟调查机关的intelligence;然后去 collect 收集这些information;然后经过这个资料分析, data analytics,然后找出一些证据。传统的现场我们要观察现场,e-现场同样的要观察,好像 paper上面的指纹,留下来的 DNA 这些。
【思】此图和FDF 2019稍有区别,先识别,有个系统全面性,不遗漏来源;再收集,可以避免浪费时间在不相关的信息上,或者制定最佳收集计划。
因为 21 世纪物证科学有很多新的进展,所以我们怎么样给物证科学跟网络安全结合起来?这是一个很大的挑战,因为这个 data collection、 intelligence analytics 变成越来越重要。这些不但可以保护网络安全,而且能够证明犯罪的事实。
我从事鉴识科学已经 64 年了,调查过很多现场,在实验室工作了很久,也到法院出证,也讲学。这么多年,很多人说我一生。Make the impossible possible.
包括很多案件,也出版了很多的书籍,也得过很多的荣誉,也参加过各种的讲席会。从来这是 60 多年来,我没有感觉到像今天我们世界面临的问题,面临的挑战这么多。疫情、全球的暖化,污染,全世界水灾、地震、野火、战争、经济衰退,但是更大的问题就是网络的安全。
刚才我也讲过,这网络安全不只是影响到国家、工业的安全,而且对个人,尤其是年轻人、老年人网络安全变成一个很大很大的挑战。在这个复杂的环境里边,我们怎么样能保护互联网的安全?我很高兴听到国内的同行召集这个 2022 年的第十届会议,讨论互联网安全,希望这个大会成功,也祝大家能够共同努力。
因为将来未来的社会,未来的国家都建筑在互联网安全上面, who are we going to trust?这互联网的一些信息我们到底能相信多少?我们个人跟企业的隐私怎么样保护,这些资料怎么使社会大众觉得他们可以安全地上网。
另外当然从我们鉴证科学的角识来看,我们怎么样能够合法的、安全的运用这些资料协助破案,所以希望这个大会国内的同行能够发现一个方法。怎么样 navigate 未来的世界,未来的网络,我们怎么样能保护国家个人的安全?
最后,我要谢谢大会的邀请,也祝各位身体健康,家庭幸福,谢谢。
【思】navigate,导航需要建立坐标体系,这个坐标体系是数字化的底层核心技术,也是未来降低软件复杂度、研发管理复杂度的一个法门。
【思】李博士2019/2022的演讲,一个是社会宏观,一个是网络安全微观。从业者当然也可以从网安看社会和组织。跨学科很难,因为理论和技术的相互启发的渠道不直观,但大道至简,碰到值得神交的人物,就去琢磨。
======
期待同仁一起学习交流,携手同行!加微信好友,请备注:姓名-单位-负责领域。