1、基于网络情报的案件侦查的三个环节,1线索(证据)的发现环节 从“无线索”到“有线索” 2线索(证据)的拓展(串并)环节 从“有线索”到“更多线索” 3线索(证据)的核查环节 从“线索”到“人”,二、线索的发现环节,方法一:基于特征的同一性,排查与嫌疑人基本特征具有同一性的涉网线索 在很多案件中一开始并不知道嫌疑人是谁,犯罪现场也没有计算机相关设备 比如:在路上发生一起杀人案 问题:这种案件网监是否需要介入调查?,(一)线索的发现环节(续),案例:2005年10月29日11时20分许,湖北仙桃市电信分局局长王先洋(下班步行到沔城镇电信分局基建工地时,两名身份不明的男青年持刀将其砍成重伤后逃逸 网
2、监介入调查,假定嫌疑人上网,那么: 嫌疑人特征:在10月29日前几天可能在本地上网,案发后逃逸 排查方法:凡在10月26日至10月29日之间在当地登录过而其后的一段时间内未在当地出现过的QQ号码即是嫌疑数据 原理:这些QQ号码活动特征与嫌疑人的活动特征一致,(一)线索的发现环节(续),此类排查方法已逐步被各地网监部门广泛使用:如东莞“3.7”灭门案 传统的“嫌疑人画像”的方法同样可以用于计算机犯罪案件的线索分析 排查的基本原理就是:充分掌握嫌疑人的各种特征,找出与其特征完全相符的涉网线索。比如: 地理活动轨迹特征:一个流窜杀人案中,嫌疑人在广东、福建、河北连续杀人,那么可以排查所有与其活动轨迹
3、时间相同的网络线索 人员特征:案例:801专案,经审讯,知道某一未知嫌疑人在空军兰州医院当医生,并且姓陈。排查:在兰州空军医院上过网,且姓陈的人员,(一)线索的发现环节(续),方法二:基于现实社会与虚拟社会的互联互通特性,从现实社会线索反查其映射到虚拟社会的线索 随着网络的广泛应用,各种现实社会活动都可能与网络产生关联,现实社会中找到的线索都可能“映射”到虚拟社会上,(一)线索的发现环节(续),例如 掌握嫌疑人的手机号码:手机号码可能用于绑定QQ号码、手机号码可能用于网上支付、嫌疑人可能在网上向别人提供自己手机号码做为联系方式 掌握嫌疑人的银行卡号:嫌疑人可能用网络银行支付 嫌疑人家里有电话号
4、码(嫌疑人潜逃):在.缓存中可以找到与该电话号码有关的网上线索 嫌疑人邮购物品:这个物品有没有可能是上网购买的 嫌疑人炒股:这个嫌疑人会不会通过网络炒股 现实社会中的任何线索都可能与网络发生关系,线索之间存在一种映射关系,知道我的电话号码 如何抓住我,我的电话号码,我的QQ号码,(一)线索的发现环节(续),方法三:基于嫌疑人的关系分析,通过嫌疑人关系人的网上线索反查嫌疑人的网上线索 当发现嫌疑人的联系人时,可先排查其联系人的网上线索,然后从其联系人的关系人入手排查符合嫌疑人特征的关系人的网上线索 比如:发现嫌疑人的某联系人后,可先排查该联系人网上的虚拟身份,再进一步排查该虚拟身份的联系人哪些符
5、合嫌疑人的活动规律(如活动地点),从而获得嫌疑人的网上线索; 再如:发现嫌疑人有两个联系人,可以排查这两个联系人的虚拟身份后,通过其虚拟身份联系人的交集排查嫌疑人的虚拟身份,(一)线索的发现环节(续),方法四:通过走访、勘验等传统排查方法 所有传统的排查方法都可以用于计算机犯罪案件的线索排查 网监最常用的方法:通过对嫌疑人使用的计算机进行勘验分析,发现其网上线索,(一)线索的发现环节(续),对于传统的刑事案件,并不一定需要有明确的网络线索之后网监部门才能介入调查,网监部门介入案件调查的第一步并不是配合“调查涉网线索”,而应当是配合“排查涉网线索” 以往计算机犯罪案件调查的思路是“有了网上线索找
6、网监”,而未来进一步推进的思路是“有了案件找网监排查涉网线索”,(一)线索的发现环节(续),在指挥办理任何案件时,在没有涉网线索时都应该考虑几个问题: 这些线索是否可能和网络发生关系 利用网络是否能够排查出符合嫌疑人特征的线索 嫌疑人上网的计算机会不会留下线索 从嫌疑人的关系人入手是否可以排查出涉网线索,(二)线索(证据)的拓展(串并)环节,单一的案件线索往往容易因为“断线”而导致无法进一步核查 侦办配侦案件的第二步是进行扩线工作,以寻找与犯罪嫌疑人相关的更多的涉网线索,拓展线索的同时也是发现涉网犯罪事实的过程 拓展线索的基本原理是基于线索之间的“关联性”将不同的线索串并在一起,同时必须具备认
7、定线索与嫌疑人关系的条件,线索(证据)的拓展(串并)环节(续),方法一:基于事件的同一性拓展线索 原理:在同一个事件中发现的线索通常属于同一嫌疑人或作案团伙 一个入屋抢劫杀人事件中:入屋留下的指纹、掉下的头发的DNA、杀人用的枪支特征、案发时门口的监控录像留下的人像特征,线索(证据)的拓展(串并)环节(续),例子:发现一个网站,哪些方法去发现与该网站有关的线索呢?建设网站这一个事件通常需要有以下步骤 注册域名并支付域名费用:登记该域名留下的联系方式电话、邮箱等,支付该域名的费用银行帐号 托管该域名对应的主机并支付拖管费用:拖管时留下的联系方式电话、邮箱等,支付拖管费用银行帐号 维护网站维护网站
8、的日志 发布网站内容内容上留下的联系信息 推广网站,比如在其他网站发布该网站的广告在其他网站发布广告留下的日志(案例:虚假银行网站ww.ic-),线索(证据)的拓展(串并)环节(续),对于网络上的事件应该分析与该事件相关的所有行为可能留下的线索,侦查人员必须了解各类事件关联的每一种行为可能留下的线索 比如:嫌疑人使用QQ号码这一事件 QQ号码的日志、聊天内容 QQ号码绑定的手机号码 QQ号码冲QQ币使用的电话号码 QQ号码“QQ空间”中留下的信息 . 相对与现实生活中的线索排查的优势:网络上的信息留存的希望较大(嫌疑人往往无法控制信息是否留存),线索(证据)的拓展(串并)环节(续),方法二:基
9、于线索关键特征的同一性拓展线索,关联事件 关键特征:与嫌疑人直接相关的,具有唯一性的特征 比如DNA、指纹是与嫌疑人直接相关的关键特征,两个人具有相同的这一关键特征的概率非常小 这是利用DNA开展串案、利用指纹搞“指纹会战”的基本原理,DNA指纹:利用关键特征的同一性关联两个事件相关的线索,案件3,案件2,案件4,DNA/指纹,案件1,线索A,线索B,线索C,线索D,线索E,问题:网络上的“DNA/指纹”是什么呢?,邮箱地址,QQ号码,网站,论坛,用户名,电话号码,?,用户 IP地址,所有与嫌疑人相关的具有唯一性的信息都可以做为“DNA/指纹”,网络DNA/指纹:IP地址/时间 利用IP地址的
10、一致性画出用户上网活动轨迹,SOHU,QQ,本地 的ICP,大的 论坛,新浪,IP&时间,网络游戏,其他 帐号,人,案例:扬言谋杀铁道部长案,网络DNA/指纹:复杂用户名(adjk$%ddd) 利用用户名的一致性关联不同的网络应用,聊天室,QQ,论坛,邮箱,P2P,用户名,网络游戏,个人网站,网络DNA/指纹:复杂口令(m1dlkj%$3) 用口令的一致性关联不同的帐号,QQ号码B,论坛 帐号A,论坛 帐号B,邮箱帐号A,口令,邮箱帐号B,QQ号码A,还可用于猜解密码,网络DNA/指纹:用户的虚拟身份 用用户的虚拟身份关联网络帖子(网站),网站1,网站3,页面1,页面3,QQ号码,页面2,网站
11、2,邮箱地址,电话号码,联系地址,线索拓展的多米诺骨牌效应,线索的顺线拓展,嫌疑人建设的网站,网站上留下的电话号码,电话号码绑定的QQ号码,留有QQ号码的其他页面,页面上留下的联系方式,犯罪事实,网络虚拟行为人,现实中的自然人,线索&证据,线索&证据,线索&证据,线索&证据,嫌疑人建设的网站,网站上留下的电话号码,网络拓展线索(关联事件)具有天然优势,网络上可用于关联的“DNA/指纹”种类很多:无数种类的“DNA/指纹” 任何与用户直接关联的具有唯一性的虚拟身分都可以用于串并:QQ号码、邮箱地址、游戏帐号、IP地址/时间等等 任何从概率上讲重复使用的概率极小的字符串都可用于串并:复杂密码、复杂
12、用户名等 串并/关联主要以数据精确比对为主,而涉网线索自身就是以数据形式表现出来,可以直接用于比对(传统的需要采集,还存在误差),总结,计算机犯罪案件调查最基本的原理就是利用线索的关联性将不同的线索串接在一起形成线索链,最终找到嫌疑人。 嫌疑人很难消除其实施的各个网络行为之间的所有关联性 案件调查人员必须掌握各种利用线索关键特征拓展线索的技巧,线索(证据)的拓展(串并)环节(续),方法三:基于线索多个非关键特征的同一性拓展线索 非关键特征:与嫌疑人的关联的特征,但不是仅仅属于嫌疑人的唯一特征 比如: 体貌特征:耳朵形状、嘴巴形状、发型、断指 作案特征:作案时间、使用枪支类型、杀人方法 比如:传
13、统刑侦可以基于嫌疑人的多个体貌特征、作案特征进行比对串案(如果只是唯一一个特征者串案的成功率较小),线索(证据)的拓展(串并)环节(续),网络上基于多个非关键特征的同一性拓展线索 任何与嫌疑人有关联的特征均可用于比对 例子1:活动轨迹一致,可能是同伙或同一人,网吧A/时间1,网吧B/时间2,网吧C/时间3,QQ 号码,EMAIL 地址,线索(证据)的拓展(串并)环节(续),例子2:各种特征混合使用,相似特征越多,同一性的概率越大(也可与传统特征混合使用),网吧A/时间1,均与某联系人甲联系过,咖啡厅/时间,EMAIL 地址1,EMAIL 地址2,线索(证据)的拓展(串并)环节(续),方法四:基
14、于多个人的数据进行关系图分析 基本原则 有多个共同联系人的人可能是同伙或同一人 与两个或多个嫌疑人都有联系的人可能也是嫌疑人 连接两个嫌疑人路径上的人员属可疑人员 联系图上的骨干是重点人员,案例:环球枪手集团案,案例:801专案,案例:801专案,(三)线索(证据)的核查环节:从线索到人,从“线索到犯罪事实和人”是配侦案件的最后一个步骤,也是最为关键的环节。 很多时候从“线索到线索”和“从线索到人”是同步进行或者交错进行的 特别是一个案件中不仅涉及一个人或者涉网证据较为重要的情况下,通常在确定某一嫌疑人身份后, 还需要通过侦控、调取证据等各种方式,进一步发现涉网证据、分析案情、排查其他嫌疑人,
15、线索到人的基本方法,方法一:从IP地址到上网地点 定位抓逃最大的优势是准确性:通常可以准确到在哪台计算机上网 其准确性远优于传统的侦察技术手段,线索到人的基本方法,方法二:从网上线索到现实线索 线索不仅可以从实到虚,还可以从虚到实 一是通过嫌疑人通信内容进行排查,嫌疑人的通信内容通常能够为确定嫌疑人的身份提供线索; 二是从网络线索通过线索关联找到嫌疑人的现实线索;比如嫌疑人在建设网站是留下的通信方式、支付网络费用的银行帐号等,线索到人的基本方法,方法三:关系人反查 从嫌疑人网上关系人入手,通过确定其关系人身份后从关系人的角度倒查嫌疑人的身份 线索只要从网上转移到网下之后,就可以使用各种传统的排
16、查方法进行排查,如跟踪资金流动网,排查人员关系网等,管理措施,改善网吧管理的重点 打击公用卡是网吧管理的重点 改进网吧管理系统,使其支持线索串并分析功能是技术改造的主要目标 例子:江苏徐州网监50%左右的抓逃依靠网吧管理系统 对于固定地址、拨号上网基本上无需技术手段,均可确定嫌疑人,无需技术手段 只要解决网吧问题,其作用将会超过111定位 *定位只能确定到网吧,无法确定到具体人 *定位对于网吧用户基本无法串线 侦控下沉,(3)“最后一公里”问题:无线上网问题 加快密取设备的装备工作,在对无线上网的情况,无法定位的情况下,可以通过密取进入嫌疑人计算机,获取其计算机上有关的线索 加快解决无线上网定
17、位技术手段建设 谋略手段 (4)“最后一公里”问题:IP地址核查依赖电信:基础数据库建设,要求电信开放数据库(帐号、电话号码到地点) (5)“最后一公里”问题:异地协作问题,要改变“一地追逃”为“全网布控抓逃”当我们研究改进基础工作、改进技术手段的时候,都要问:这么改进是否与侦查的原理相符,典型案件侦查网络盗窃案件,网络盗窃案件示例:网银大盗(通常网络盗窃案件从销赃渠道入手调查较为容易),吉林搜狐网站,入侵并植入木马,嫌疑人,访问网站,被感染木马,木马制作者,购买木马程序,,帐号密码发送到以下网站,取回银行帐号密码,工行网络银行,登陆网络银行,转走资金,二、调查环节网络淫秽视频表演案件,嫌疑人
18、,淫秽表演网站,建设网站,表演者,上网站或QQ群发信息招募表演者,观看者,上网站或QQ群发信息吸收会员,表演,观看,支付费用,支付费用,僵尸网络案件,嫌疑人,传播病毒,,,向这些主机发送指令,控制受感染主机,,拒绝服务攻击某网站,IP地址不断变化,二、调查环节网络淫秽视频表演案件,指挥调查任何网络犯罪案件时要问:我们把嫌疑人作案可能涉及的每个步骤都考虑到了吗 如果案件调查不下去时:换另一个思路试试,跟踪嫌疑人作案的另一个步骤留下的线索 苦练基本功:对于网络侦查民警一个最重要的基本功就是要会拆解作案步骤,选择侦查方向(这是目前各地网络侦查民警较为缺乏的能力),二、调查环节,调查思路二:并案侦查
19、任何一个案件的嫌疑人通常都不会只做一起案件:罗马不是一天建成的 网络犯罪最大的特点就是具有并案的先天优势 当一个案件调查不下去的时候,要考虑一个问题:嫌疑人会不会作其它案件,并留下线索 从一个色情网站到另一个色情网站,从一个诈骗网站到另一个诈骗网站已经成为常规调查方法:嫌疑人很难消除两个案件之间的关联性,二、调查环节,调查思路三:网下网上相结合 网侦人员往往容易陷入单纯调查网上线索的陷阱 网络犯罪调查要网上网下相结合 追踪数据流向(网上侦查) 追踪网上联系网(网上侦查) 追踪资金流向(网下侦查) 追踪人员关系网(网下侦查) 等等,“黑客”案件的发展态势,纯粹的“黑客”案件减少:当前绝大多数“黑客”案件是窃密、网络盗窃、敲诈等案件的“犯罪前行为”,基本上都伴随其它犯罪行为的发生 入侵技术门槛降低:销售黑客技术和黑客学校使得攻击技术门槛降低 主要攻击对象为个人主机:窃取个人主机中的信息,
