網(wǎng)絡(luò)犯罪偵查技術(shù)應(yīng)用研究

◆郭麗蓉

（山西警察學(xué)院網(wǎng)絡(luò)安全保衛(wèi)系 山西 030021）

網(wǎng)絡(luò)犯罪與取證

網(wǎng)絡(luò)犯罪偵查技術(shù)應(yīng)用研究

◆郭麗蓉

（山西警察學(xué)院網(wǎng)絡(luò)安全保衛(wèi)系 山西 030021）

網(wǎng)絡(luò)的廣泛應(yīng)用給人們的工作、生活、學(xué)習(xí)等帶來諸多便利的同時(shí)，也滋生了一種全新的犯罪形式——網(wǎng)絡(luò)犯罪，不法分子在利用網(wǎng)絡(luò)實(shí)施不法行為的同時(shí)也必然會(huì)留下“蛛絲馬跡”，由此對網(wǎng)絡(luò)痕跡分析固定至關(guān)重要。本文從網(wǎng)絡(luò)犯罪入手，就網(wǎng)絡(luò)犯罪案件偵查過程中采用的技術(shù)手段進(jìn)行了研究。

網(wǎng)絡(luò)犯罪；日志分析；數(shù)據(jù)恢復(fù)

0 引言

網(wǎng)絡(luò)時(shí)代的今天，互聯(lián)網(wǎng)充斥著我們生活的方方面面，工作、生活、學(xué)習(xí)都離不開網(wǎng)絡(luò)。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的全國互聯(lián)網(wǎng)發(fā)展統(tǒng)計(jì)報(bào)告，截至2016年12月底，我國網(wǎng)民的規(guī)模已經(jīng)達(dá)到7.31億，全年共計(jì)新增網(wǎng)民約4299萬人。互聯(lián)網(wǎng)的普及率也已達(dá)到53.2%，我國手機(jī)網(wǎng)民規(guī)模達(dá)6.95億。網(wǎng)絡(luò)正以其驚人的速度演化發(fā)展，但是在網(wǎng)絡(luò)方便快捷我們生活的同時(shí)，也帶來了一系列的網(wǎng)絡(luò)犯罪問題。

1 網(wǎng)絡(luò)犯罪概述

1.1 網(wǎng)絡(luò)犯罪的定義

網(wǎng)絡(luò)犯罪指的是行為人運(yùn)用或借助計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)對其系統(tǒng)或信息進(jìn)行攻擊、破壞或利用網(wǎng)絡(luò)進(jìn)行其他犯罪的總稱。主要包括（1）行為人運(yùn)用其專業(yè)技術(shù)如編程、加密或解碼技術(shù)工具等在網(wǎng)絡(luò)上實(shí)施的犯罪；（2）行為人借助于其處于網(wǎng)絡(luò)服務(wù)提供者的有利環(huán)境或采用其他方法在網(wǎng)絡(luò)系統(tǒng)內(nèi)實(shí)施的犯罪；（3）行為人利用軟件指令、網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品加密等技術(shù)及法律規(guī)定上的漏洞在網(wǎng)絡(luò)內(nèi)外交互實(shí)施的犯罪。[1]

簡而言之，網(wǎng)絡(luò)犯罪就是針對和利用網(wǎng)絡(luò)系統(tǒng)來實(shí)施的犯罪，網(wǎng)絡(luò)犯罪的本質(zhì)特征是攻擊破壞網(wǎng)絡(luò)系統(tǒng)及其信息的安全與秩序。

1.2 網(wǎng)絡(luò)犯罪的特點(diǎn)

1.2.1 犯罪行為時(shí)空跨度大

網(wǎng)絡(luò)應(yīng)用的迅猛發(fā)展將世界各地計(jì)算機(jī)終端及網(wǎng)絡(luò)設(shè)備連接到一起，也方便了網(wǎng)絡(luò)犯罪嫌疑人在任何時(shí)候可以控制利用網(wǎng)絡(luò)非法訪問網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)來實(shí)施犯罪，也可以利用網(wǎng)絡(luò)作為平臺(tái)工具來延伸犯罪范圍，從而導(dǎo)致能夠?qū)⑽：Y(jié)果延伸在世界范圍內(nèi)的任何一個(gè)角落。

1.2.2 犯罪手段隱蔽性高

網(wǎng)絡(luò)虛擬空間的特性決定了網(wǎng)絡(luò)犯罪極高的隱蔽性。網(wǎng)絡(luò)犯罪嫌疑人可以在有網(wǎng)絡(luò)的任何地方實(shí)施犯罪，而且從始至終不直接接觸受害者。電子數(shù)據(jù)本身是看不見、摸不著的，而網(wǎng)絡(luò)犯罪主要是依靠網(wǎng)絡(luò)利用程序和數(shù)據(jù)等無形的操作來達(dá)到犯罪的目的，同時(shí)留有的證據(jù)也主要存在于網(wǎng)絡(luò)及軟件中，也使得犯罪分子很容易于無形之中毀滅證據(jù)。

1.2.3 高科技結(jié)合智能化

犯罪分子大多具有一定學(xué)歷，受過較好的教育或進(jìn)行過專業(yè)的訓(xùn)練，熟悉計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)技術(shù)，對實(shí)施犯罪領(lǐng)域處理的事務(wù)比較熟練，同時(shí)對留有的網(wǎng)絡(luò)痕跡往往能夠進(jìn)行及時(shí)刪除，因此這些犯罪人對抗偵查的能力相當(dāng)強(qiáng)。

1.2.4 犯罪投入小而收益大

由于網(wǎng)絡(luò)犯罪主要以網(wǎng)絡(luò)及電子數(shù)據(jù)為對象或工具，導(dǎo)致的社會(huì)危害不直觀，作案的時(shí)間短及立法有待進(jìn)一步完善，使得網(wǎng)絡(luò)犯罪嫌疑人的心理負(fù)罪感低，有時(shí)甚至還帶有智力上的優(yōu)越感。此外，作案投入的主要是網(wǎng)絡(luò)技術(shù)、犯罪發(fā)現(xiàn)率低等一系列因素使網(wǎng)絡(luò)犯罪的經(jīng)濟(jì)成本極低、風(fēng)險(xiǎn)極小，但其給犯罪人帶來的收益卻絲毫不遜于傳統(tǒng)犯罪。尤其是現(xiàn)在的網(wǎng)絡(luò)詐騙，投入少，收益高。

1.2.5 犯罪規(guī)模產(chǎn)業(yè)鏈化、專業(yè)化

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及和在社會(huì)各領(lǐng)域的應(yīng)用，網(wǎng)絡(luò)犯罪向著職業(yè)化、一體化、產(chǎn)業(yè)鏈化的趨勢發(fā)展。各成員分工明確，各負(fù)其責(zé)，共同犯罪情況愈演愈烈，造成的損失是也往往是難以估計(jì)的。[2]

2 網(wǎng)絡(luò)犯罪偵查技術(shù)

偵查技術(shù)是偵查機(jī)關(guān)在偵查活動(dòng)中，按照法律的規(guī)定，運(yùn)用現(xiàn)代科學(xué)技術(shù)的理論和方法，以發(fā)現(xiàn)、記錄、提取、識(shí)別和鑒定與案件有關(guān)的各種線索和證據(jù)的專門技術(shù)的總稱。偵查技術(shù)是偵查工作的重要組成部分，決定著偵查工作的進(jìn)展。網(wǎng)絡(luò)偵查技術(shù)是利用計(jì)算機(jī)、網(wǎng)絡(luò)、通信等高科技的公開技術(shù)，有針對性地形成打擊網(wǎng)絡(luò)犯罪的相關(guān)技術(shù)和方法的科學(xué)技術(shù)。[3]

2.1 日志分析技術(shù)

日志指一種服務(wù)或者程序運(yùn)行過程中產(chǎn)生的，能夠說明該服務(wù)或者程序的狀態(tài)信息的記錄，日志包括正常的、錯(cuò)誤的狀態(tài)參數(shù)，它往往以“時(shí)間+記錄”形式的文本文件出現(xiàn)。涉及計(jì)算機(jī)信息系統(tǒng)的日志有很多，從來源區(qū)分，可以分為Web網(wǎng)站日志、系統(tǒng)日志、VPN等服務(wù)類日志，這些日志格式不統(tǒng)一、數(shù)據(jù)量大須借助專門工具分析，此外日志主要是按時(shí)間順序進(jìn)行記錄相應(yīng)服務(wù)涉及的運(yùn)行狀況，一般僅反映某些特定事件的操作情況，并不能夠完全反映某一系統(tǒng)或用戶的整個(gè)活動(dòng)情況，因此比較單一片面，從而需要將多個(gè)系統(tǒng)的各類日志結(jié)合起來進(jìn)行分析，才能夠更好地反映出用戶活動(dòng)的情況。

快速準(zhǔn)確地提取和分析日志，是決定案件偵辦效率的重要因素。面對格式多樣、數(shù)據(jù)龐大的日志，需要偵查人員具有清晰的分析思路方法來對日志進(jìn)行分析。

2.2 數(shù)據(jù)包嗅探技術(shù)

在網(wǎng)絡(luò)中，每天都可能發(fā)生成千上萬的問題，所有的網(wǎng)絡(luò)問題基本上都來源于數(shù)據(jù)包層次上，可能看起來是有著漂亮外表的應(yīng)用程序，本質(zhì)上卻是"金玉其外，敗絮其中"，有著糟糕的設(shè)計(jì)與一無是處的實(shí)現(xiàn)，也可能看起來是可以信任的，但實(shí)際上是不懷好意的行為。但是在數(shù)據(jù)包層次上，除非加密通信就不可能有真正的秘密，所以在數(shù)據(jù)包層次上研究得越多，就越能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)有更好的了解以及進(jìn)行更好的控制，也就能夠讓偵查人員更好更快地抓住數(shù)據(jù)包的“本質(zhì)”。[4]

因此，對數(shù)據(jù)包進(jìn)行徹底分析至關(guān)重要，數(shù)據(jù)包分析技術(shù)可以用來了解網(wǎng)絡(luò)的特征、查詢到網(wǎng)絡(luò)上的通信主體、識(shí)別可能的惡意活動(dòng)或攻擊、網(wǎng)絡(luò)帶寬占用情況、查找不安全的以及濫用網(wǎng)絡(luò)資源的應(yīng)用。數(shù)據(jù)包嗅探器就是用來分析數(shù)據(jù)包從而捕獲和解析在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的過程。

數(shù)據(jù)包嗅探技術(shù)是偵查人員常用的一種網(wǎng)絡(luò)犯罪偵查技術(shù)，信息的收集主要是利用嗅探器來完成，但如果要對信息進(jìn)行進(jìn)一步的分析，想要獲取偵查所需要的信息，可能還需要結(jié)合其他程序及技術(shù)手段來進(jìn)行數(shù)據(jù)過濾，將可疑的數(shù)據(jù)篩選過濾出來之后再分析。而數(shù)據(jù)包嗅探偵查技術(shù)的具體應(yīng)用，往往還需要得到通信運(yùn)營商的支持配合，通信運(yùn)營商們在網(wǎng)關(guān)的入口處提供數(shù)據(jù)包嗅探技術(shù)的接口，方便相關(guān)的執(zhí)法機(jī)構(gòu)在案件需要程序合法的情況下能夠利用數(shù)據(jù)包嗅探技術(shù)來截獲相關(guān)或可疑的數(shù)據(jù)包。[5]

2.3 數(shù)據(jù)恢復(fù)技術(shù)

數(shù)據(jù)恢復(fù)（Data recovery）是指通過一定的技術(shù)手段，將原本保存在服務(wù)器硬盤、臺(tái)式機(jī)硬盤、筆記本硬盤、移動(dòng)硬盤、存儲(chǔ)磁帶庫、U盤、Mp3、數(shù)碼存儲(chǔ)卡等電子設(shè)備上丟失的數(shù)據(jù)進(jìn)行搶救和恢復(fù)的技術(shù)。數(shù)據(jù)之所以能夠恢復(fù)是由存儲(chǔ)介質(zhì)的結(jié)構(gòu)和數(shù)據(jù)存放方式來決定的，例如硬盤上的一個(gè)文件被刪除之后，文件數(shù)據(jù)并沒有被從硬盤上抹掉，而只是修改了文件頭部的代碼以示刪除標(biāo)記，真正的數(shù)據(jù)還留存在硬盤上，這樣就提供了恢復(fù)數(shù)據(jù)的機(jī)會(huì)。所以當(dāng)留有重要證據(jù)的存儲(chǔ)介質(zhì)出現(xiàn)損傷所造成的數(shù)據(jù)查不到、無法讀取甚至丟失，偵查人員可使用數(shù)據(jù)恢復(fù)技術(shù)來通過特殊的技術(shù)手段能夠讀取到在正常狀態(tài)下不可見、不可讀、無法讀的數(shù)據(jù)，從而為案件提供有力的證據(jù)。

2.4 社交網(wǎng)絡(luò)分析技術(shù)

互聯(lián)網(wǎng)高速發(fā)展的同時(shí)，基于網(wǎng)絡(luò)的各種通訊工具層出不窮，給廣大網(wǎng)民提供交流、溝通的平臺(tái)，也給不法分子帶來了極大的便利。通過對相應(yīng)通訊工具網(wǎng)站數(shù)據(jù)庫進(jìn)行分析，能夠發(fā)現(xiàn)許多有助于偵查的信息。

隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來，社交網(wǎng)絡(luò)（Social Network）大范圍地普及應(yīng)用，用戶完全可以隨時(shí)隨地在網(wǎng)絡(luò)上分享內(nèi)容，UGC（用戶產(chǎn)生內(nèi)容）也隨之不斷產(chǎn)生發(fā)展，用戶數(shù)據(jù)的分享數(shù)量達(dá)到了難以估量的程度，由此產(chǎn)生了海量的用戶數(shù)據(jù)。同時(shí)社交媒體的種類逐漸增加，智能手機(jī)更大范圍地普及，導(dǎo)致更多用戶轉(zhuǎn)移到移動(dòng)互聯(lián)網(wǎng)，數(shù)據(jù)和內(nèi)容也更加的豐富。由此可見，面對大數(shù)據(jù)時(shí)代的來臨，復(fù)雜多變的社交網(wǎng)絡(luò)當(dāng)中有著很多具有實(shí)用價(jià)值的數(shù)據(jù)在有待偵查人員挖掘分析。[6][7]

2.5 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘（Data mining）是指從大量的數(shù)據(jù)中通過算法搜索出隱藏于其中的有價(jià)值信息。數(shù)據(jù)挖掘是一門交叉學(xué)科，涉及的領(lǐng)域有人工智能、統(tǒng)計(jì)分析、情報(bào)檢索、機(jī)器學(xué)習(xí)、模式識(shí)別等。常用的數(shù)據(jù)挖掘技術(shù)方法有決策樹方法、關(guān)聯(lián)分析、聚類分析、神經(jīng)網(wǎng)絡(luò)等，針對不同的數(shù)據(jù)對象不同的挖掘目的來采用相應(yīng)的方法。[8]

隨著網(wǎng)絡(luò)社會(huì)的來臨，特別是互聯(lián)網(wǎng)＋和大數(shù)據(jù)時(shí)代的到來，我們生活已經(jīng)真正進(jìn)入了物聯(lián)網(wǎng)、智慧城市、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、智能制造等一系列新一代信息技術(shù)和載體，大數(shù)據(jù)浪潮席卷而來，海量數(shù)據(jù)孕育出巨大商業(yè)利益，一些犯罪分子集團(tuán)竊視已久。人們利用網(wǎng)絡(luò)系統(tǒng)來對信息進(jìn)行收集、加工、存儲(chǔ)、檢索等處理后，再進(jìn)行信息的傳輸，最終達(dá)到資源共享的目的，在這一過程中對網(wǎng)絡(luò)的依賴性越強(qiáng)導(dǎo)致侵犯網(wǎng)絡(luò)系統(tǒng)所造成的破壞力更大，范圍更廣泛，其社會(huì)危害性也更為嚴(yán)重。

因此面對海量的數(shù)據(jù)需要通過數(shù)據(jù)挖掘技術(shù)來及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)犯罪的蛛絲馬跡進(jìn)而進(jìn)行有效的預(yù)防和偵查工作。馬云曾說過做到“事前諸葛亮”是整個(gè)數(shù)據(jù)時(shí)代最重要的事情，就是說要有預(yù)防機(jī)制。以前抓小偷，是靠反扒警察一天天地物理跟蹤，而一旦他使用了電子支付，警察只要分析他的支付記錄，結(jié)果發(fā)現(xiàn)這個(gè)人一天之內(nèi)竟然坐了50輛不同的公交車轉(zhuǎn)來轉(zhuǎn)去，與一般人通常乘車記錄比較，那么這這個(gè)人就可能很可疑。在網(wǎng)絡(luò)犯罪案件的偵查中，針對犯罪嫌疑人實(shí)施網(wǎng)絡(luò)犯罪時(shí)采用的技術(shù)手段、作案時(shí)間、社交賬號及內(nèi)容信息等要素，都可以利用關(guān)聯(lián)規(guī)則來分析它們之間的邏輯關(guān)系，進(jìn)一步縮小范圍最終確定目標(biāo)。

2.6 協(xié)議棧指紋技術(shù)

協(xié)議棧指紋識(shí)別技術(shù)，能夠以很高的概率快速確定操作系統(tǒng)的版本。雖然TCP/IP協(xié)議棧的定義已經(jīng)成為一項(xiàng)標(biāo)準(zhǔn)，但是各個(gè)廠家在編寫自己的TCP/IP協(xié)議棧時(shí)做出了不同的解釋。這些解釋因?yàn)榫哂歇?dú)一無二的特性，故被稱為“指紋”。偵查人員通過這些細(xì)微的差別，可以準(zhǔn)確判定出操作系統(tǒng)的版本，同時(shí)可以進(jìn)一步分析系統(tǒng)發(fā)送的各種數(shù)據(jù)包。

3 結(jié)束語

總之，在針對具體網(wǎng)絡(luò)犯罪案件的實(shí)際情況，有時(shí)需要綜合上述多種網(wǎng)絡(luò)偵查技術(shù)手段來獲得該案件的確鑿證據(jù)。網(wǎng)絡(luò)犯罪本身是隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而發(fā)展的新型犯罪類型，其發(fā)展趨勢、表現(xiàn)類型、犯罪手段也隨著網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)應(yīng)用的更新而更新，這就需要網(wǎng)絡(luò)犯罪偵查人員不斷學(xué)習(xí)和提高自己，不斷地更新網(wǎng)絡(luò)犯罪偵查技術(shù)、總結(jié)和更新偵查思路與方法，以應(yīng)對不斷出現(xiàn)的新型網(wǎng)絡(luò)犯罪案件。

[1]張誠.我國計(jì)算機(jī)犯罪問題研究[J].才智，2013.

[2]孫曉冬.網(wǎng)絡(luò)犯罪偵查[M].清華大學(xué)出版社，2014.

[3]劉浩陽.網(wǎng)絡(luò)犯罪偵查[M].清華大學(xué)出版社，2016.

[4]51CTO.數(shù)據(jù)包分析與數(shù)據(jù)包嗅探器[EB/OL]. http://book.51cto.com/art/201303/385831.htm.

[5]于麗.計(jì)算機(jī)網(wǎng)絡(luò)犯罪偵查技術(shù)與應(yīng)對策略[J].通訊世界，2016.

[6]CSDN.基于社交網(wǎng)絡(luò)的大數(shù)據(jù)技術(shù)和數(shù)字營銷應(yīng)用[EB/OL].http://blog.csdn.net/huawei_esdk/article/details/514231 26.

[7]包雪.計(jì)算機(jī)網(wǎng)絡(luò)犯罪偵查技術(shù)與應(yīng)對策略[J].電腦知識(shí)與技術(shù)，2017.

[8]李艷花.數(shù)據(jù)挖掘在計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)中的應(yīng)用[J].信息與電腦，2017.