网络情报分析技术(十)分析课件

基于网络情报的案件侦查的三个环节1．线索（证据）的发现环节从“无线索”到“有线索”2．线索（证据）的拓展（串并）环节从“有线索”到“更多线索”

3．线索（证据）的核查环节从“线索”到“人”二、线索的发现环节方法一：基于特征的同一性，排查与嫌疑人基本特征具有同一性的涉网线索

在很多案件中一开始并不知道嫌疑人是谁，犯罪现场也没有计算机相关设备比如：在路上发生一起杀人案问题：这种案件网监是否需要介入调查？（一）线索的发现环节（续）案例：2005年10月29日11时20分许，湖北仙桃市电信分局局长王先洋（下班步行到沔城镇电信分局基建工地时，两名身份不明的男青年持刀将其砍成重伤后逃逸网监介入调查，假定嫌疑人上网，那么：嫌疑人特征：在10月29日前几天可能在本地上网，案发后逃逸排查方法：凡在10月26日至10月29日之间在当地登录过而其后的一段时间内未在当地出现过的QQ号码即是嫌疑数据原理：这些QQ号码活动特征与嫌疑人的活动特征一致（一）线索的发现环节（续）此类排查方法已逐步被各地网监部门广泛使用：如东莞“3.7”灭门案传统的“嫌疑人画像”的方法同样可以用于计算机犯罪案件的线索分析排查的基本原理就是：充分掌握嫌疑人的各种特征，找出与其特征完全相符的涉网线索。比如：地理活动轨迹特征：一个流窜杀人案中，嫌疑人在广东、福建、河北连续杀人，那么可以排查所有与其活动轨迹时间相同的网络线索人员特征：案例：801专案，经审讯，知道某一未知嫌疑人在空军兰州医院当医生，并且姓陈。排查：在兰州空军医院上过网，且姓陈的人员（一）线索的发现环节（续）方法二：基于现实社会与虚拟社会的互联互通特性，从现实社会线索反查其映射到虚拟社会的线索

随着网络的广泛应用，各种现实社会活动都可能与网络产生关联，现实社会中找到的线索都可能“映射”到虚拟社会上（一）线索的发现环节（续）例如掌握嫌疑人的手机号码：手机号码可能用于绑定QQ号码、手机号码可能用于网上支付、嫌疑人可能在网上向别人提供自己手机号码做为联系方式掌握嫌疑人的银行卡号：嫌疑人可能用网络银行支付嫌疑人家里有电话号码（嫌疑人潜逃）：在...缓存中可以找到与该电话号码有关的网上线索嫌疑人邮购物品：这个物品有没有可能是上网购买的嫌疑人炒股：这个嫌疑人会不会通过网络炒股现实社会中的任何线索都可能与网络发生关系，线索之间存在一种映射关系知道我的电话号码

如何抓住我我的电话号码我的QQ号码（一）线索的发现环节（续）方法三：基于嫌疑人的关系分析，通过嫌疑人关系人的网上线索反查嫌疑人的网上线索

当发现嫌疑人的联系人时，可先排查其联系人的网上线索，然后从其联系人的关系人入手排查符合嫌疑人特征的关系人的网上线索比如：发现嫌疑人的某联系人后，可先排查该联系人网上的虚拟身份，再进一步排查该虚拟身份的联系人哪些符合嫌疑人的活动规律（如活动地点），从而获得嫌疑人的网上线索；

再如：发现嫌疑人有两个联系人，可以排查这两个联系人的虚拟身份后，通过其虚拟身份联系人的交集排查嫌疑人的虚拟身份

（一）线索的发现环节（续）方法四：通过走访、勘验等传统排查方法

所有传统的排查方法都可以用于计算机犯罪案件的线索排查网监最常用的方法：通过对嫌疑人使用的计算机进行勘验分析，发现其网上线索（一）线索的发现环节（续）对于传统的刑事案件，并不一定需要有明确的网络线索之后网监部门才能介入调查，网监部门介入案件调查的第一步并不是配合“调查涉网线索”，而应当是配合“排查涉网线索”以往计算机犯罪案件调查的思路是“有了网上线索找网监”，而未来进一步推进的思路是“有了案件找网监排查涉网线索”（一）线索的发现环节（续）在指挥办理任何案件时，在没有涉网线索时都应该考虑几个问题：这些线索是否可能和网络发生关系利用网络是否能够排查出符合嫌疑人特征的线索嫌疑人上网的计算机会不会留下线索从嫌疑人的关系人入手是否可以排查出涉网线索（二）线索（证据）的拓展（串并）环节

单一的案件线索往往容易因为“断线”而导致无法进一步核查侦办配侦案件的第二步是进行扩线工作，以寻找与犯罪嫌疑人相关的更多的涉网线索，拓展线索的同时也是发现涉网犯罪事实的过程拓展线索的基本原理是基于线索之间的“关联性”将不同的线索串并在一起，同时必须具备认定线索与嫌疑人关系的条件线索（证据）的拓展（串并）环节（续）方法一：基于事件的同一性拓展线索原理：在同一个事件中发现的线索通常属于同一嫌疑人或作案团伙一个入屋抢劫杀人事件中：入屋留下的指纹、掉下的头发的DNA、杀人用的枪支特征、案发时门口的监控录像留下的人像特征线索（证据）的拓展（串并）环节（续）例子：发现一个网站，哪些方法去发现与该网站有关的线索呢？建设网站这一个事件通常需要有以下步骤注册域名并支付域名费用：登记该域名留下的联系方式－电话、邮箱等，支付该域名的费用－银行帐号托管该域名对应的主机并支付拖管费用：拖管时留下的联系方式－电话、邮箱等，支付拖管费用－银行帐号维护网站－维护网站的日志发布网站内容－内容上留下的联系信息推广网站，比如在其他网站发布该网站的广告－在其他网站发布广告留下的日志（案例：虚假银行网站）线索（证据）的拓展（串并）环节（续）对于网络上的事件应该分析与该事件相关的所有行为可能留下的线索，侦查人员必须了解各类事件关联的每一种行为可能留下的线索比如：嫌疑人使用QQ号码这一事件QQ号码的日志、聊天内容QQ号码绑定的手机号码QQ号码冲QQ币使用的电话号码QQ号码“QQ空间”中留下的信息….相对与现实生活中的线索排查的优势：网络上的信息留存的希望较大（嫌疑人往往无法控制信息是否留存）线索（证据）的拓展（串并）环节（续）方法二：基于线索关键特征的同一性拓展线索，关联事件关键特征：与嫌疑人直接相关的，具有唯一性的特征比如DNA、指纹是与嫌疑人直接相关的关键特征，两个人具有相同的这一关键特征的概率非常小这是利用DNA开展串案、利用指纹搞“指纹会战”的基本原理DNA※指纹：利用关键特征的同一性关联两个事件相关的线索案件3案件2案件4DNA/指纹案件1线索A线索B线索C线索D线索E问题：网络上的“DNA/指纹”是什么呢？邮箱地址QQ号码网站论坛用户名电话号码？用户IP地址所有与嫌疑人相关的具有唯一性的信息都可以做为“DNA/指纹”网络DNA/指纹：IP地址/时间

利用IP地址的一致性画出用户上网活动轨迹SOHUQQ本地的ICP大的论坛新浪IP&时间网络游戏其他帐号人案例：扬言谋杀铁道部长案网络DNA/指纹：复杂用户名（adjk$%ddd）

利用用户名的一致性关联不同的网络应用聊天室QQ论坛邮箱P2P用户名网络游戏个人网站网络DNA/指纹：复杂口令（m1dlkj%$3）

用口令的一致性关联不同的帐号QQ号码B论坛帐号A论坛帐号B邮箱帐号A口令邮箱帐号BQQ号码A还可用于猜解密码网络DNA/指纹：用户的虚拟身份

用用户的虚拟身份关联网络帖子（网站）网站1网站3页面1页面3QQ号码页面2网站2邮箱地址电话号码联系地址线索拓展的多米诺骨牌效应线索的顺线拓展

嫌疑人建设的网站网站上留下的电话号码电话号码绑定的QQ号码留有QQ号码的其他页面页面上留下的联系方式犯罪事实网络虚拟行为人现实中的自然人线索&证据线索&证据线索&证据线索&证据嫌疑人建设的网站网站上留下的电话号码网络拓展线索（关联事件）具有天然优势网络上可用于关联的“DNA/指纹”种类很多：无数种类的“DNA/指纹”任何与用户直接关联的具有唯一性的虚拟身分都可以用于串并：QQ号码、邮箱地址、游戏帐号、IP地址/时间等等任何从概率上讲重复使用的概率极小的字符串都可用于串并：复杂密码、复杂用户名等串并/关联主要以数据精确比对为主，而涉网线索自身就是以数据形式表现出来，可以直接用于比对（传统的需要采集，还存在误差）总结计算机犯罪案件调查最基本的原理就是利用线索的关联性将不同的线索串接在一起形成线索链，最终找到嫌疑人。嫌疑人很难消除其实施的各个网络行为之间的所有关联性案件调查人员必须掌握各种利用线索关键特征拓展线索的技巧线索（证据）的拓展（串并）环节（续）方法三：基于线索多个非关键特征的同一性拓展线索非关键特征：与嫌疑人的关联的特征，但不是仅仅属于嫌疑人的唯一特征比如：体貌特征：耳朵形状、嘴巴形状、发型、断指作案特征：作案时间、使用枪支类型、杀人方法比如：传统刑侦可以基于嫌疑人的多个体貌特征、作案特征进行比对串案（如果只是唯一一个特征者串案的成功率较小）线索（证据）的拓展（串并）环节（续）网络上基于多个非关键特征的同一性拓展线索任何与嫌疑人有关联的特征均可用于比对例子1：活动轨迹一致，可能是同伙或同一人网吧A/时间1网吧B/时间2网吧C/时间3QQ号码EMAIL地址线索（证据）的拓展（串并）环节（续）例子2：各种特征混合使用，相似特征越多，同一性的概率越大（也可与传统特征混合使用）网吧A/时间1均与某联系人甲联系过咖啡厅/时间EMAIL地址1EMAIL地址2线索（证据）的拓展（串并）环节（续）方法四：基于多个人的数据进行关系图分析基本原则有多个共同联系人的人可能是同伙或同一人与两个或多个嫌疑人都有联系的人可能也是嫌疑人连接两个嫌疑人路径上的人员属可疑人员联系图上的骨干是重点人员案例：环球枪手集团案案例：801专案案例：801专案（三）线索（证据）的核查环节：从线索到人从“线索到犯罪事实和人”是配侦案件的最后一个步骤，也是最为关键的环节。很多时候从“线索到线索”和“从线索到人”是同步进行或者交错进行的特别是一个案件中不仅涉及一个人或者涉网证据较为重要的情况下，通常在确定某一嫌疑人身份后，还需要通过侦控、调取证据等各种方式，进一步发现涉网证据、分析案情、排查其他嫌疑人线索到人的基本方法方法一：从IP地址到上网地点定位抓逃最大的优势是准确性：通常可以准确到在哪台计算机上网其准确性远优于传统的侦察技术手段线索到人的基本方法方法二：从网上线索到现实线索线索不仅可以从实到虚，还可以从虚到实一是通过嫌疑人通信内容进行排查，嫌疑人的通信内容通常能够为确定嫌疑人的身份提供线索；二是从网络线索通过线索关联找到嫌疑人的现实线索；比如嫌疑人在建设网站是留下的通信方式、支付网络费用的银行帐号等线索到人的基本方法方法三：关系人反查从嫌疑人网上关系人入手，通过确定其关系人身份后从关系人的角度倒查嫌疑人的身份线索只要从网上转移到网下之后，就可以使用各种传统的排查方法进行排查，如跟踪资金流动网，排查人员关系网等管理措施改善网吧管理的重点打击公用卡是网吧管理的重点改进网吧管理系统，使其支持线索串并分析功能是技术改造的主要目标例子：江苏徐州网监50%左右的抓逃依靠网吧管理系统对于固定地址、拨号上网基本上无需技术手段，均可确定嫌疑人，无需技术手段只要解决网吧问题，其作用将会超过111定位***定位只能确定到网吧，无法确定到具体人***定位对于网吧用户基本无法串线侦控下沉（3）“最后一公里”问题：无线上网问题加快密取设备的装备工作，在对无线上网的情况，无法定位的情况下，可以通过密取进入嫌疑人计算机，获取其计算机上有关的线索加快解决无线上网定位技术手段建设谋略手段（4）“最后一公里”问题：IP地址核查依赖电信：基础数据库建设，要求电信开放数据库（帐号、电话号码到地点）（5）“最后一公里”问题：异地协作问题，要改变“一地追逃”为“全网布控抓逃”当我们研究改进基础工作、改进技术手段的时候，都要问：这么改进是否与侦查的原理相符典型案件侦查－网络盗窃案件网络盗窃案件示例：网银大盗（通常网络盗窃案件从销赃渠道入手调查较为容易）吉林搜狐网站入侵并植入木马嫌疑人访问网站，被感染木马木马制作者购买木马程序

帐号密码发送到以下网站取回银行帐号密码工行网络银行登陆网络银行，转走资金二、调查环节－网络淫秽视频表演案件嫌疑人淫秽表演网站建设网站表演者上网站或QQ群发信息招募表演者观看者上网站或QQ群发信息吸收会员表演观看支付费用支付费用僵尸网络案件嫌疑人传播病毒向这些主机发送指令，控制受感染主机拒绝服务攻击某网站IP地址不断变化二、调查环节－网络淫秽视频表演案件指挥调查任何网络犯罪案件时要问：我们把嫌疑人作案可能涉及的每个步骤都考虑到了吗如果案件调查不下去时：换另一个思路试试，跟踪嫌疑人作案的另一个步骤留下的线索苦练基本功：对于网络侦查民警一个最重要的基本功就是要会拆解作案步骤，选择侦查方向（这是目前各地网络侦查民警较为缺乏的能力）二、调查环节调查思路二：并案侦查任何一个案件的嫌疑人通常都不会只做一起案件：罗马不是一天建成的网络犯罪最大的特点就是具有并案的先天优势当一个案件调查不下去的时候，要考虑一个问题：嫌疑人会不会作其它案件，并留下线索从一个色情网站到另一个