網絡犯罪偵查技術應用研究

◆郭麗蓉

（山西警察學院網絡安全保衛系 山西 030021）

網絡犯罪與取證

網絡犯罪偵查技術應用研究

◆郭麗蓉

（山西警察學院網絡安全保衛系 山西 030021）

網絡的廣泛應用給人們的工作、生活、學習等帶來諸多便利的同時，也滋生了一種全新的犯罪形式——網絡犯罪，不法分子在利用網絡實施不法行為的同時也必然會留下“蛛絲馬跡”，由此對網絡痕跡分析固定至關重要。本文從網絡犯罪入手，就網絡犯罪案件偵查過程中采用的技術手段進行了研究。

網絡犯罪；日志分析；數據恢復

0 引言

網絡時代的今天，互聯網充斥著我們生活的方方面面，工作、生活、學習都離不開網絡。根據中國互聯網絡信息中心(CNNIC)的全國互聯網發展統計報告，截至2016年12月底，我國網民的規模已經達到7.31億，全年共計新增網民約4299萬人。互聯網的普及率也已達到53.2%，我國手機網民規模達6.95億。網絡正以其驚人的速度演化發展，但是在網絡方便快捷我們生活的同時，也帶來了一系列的網絡犯罪問題。

1 網絡犯罪概述

1.1 網絡犯罪的定義

網絡犯罪指的是行為人運用或借助計算機及網絡技術對其系統或信息進行攻擊、破壞或利用網絡進行其他犯罪的總稱。主要包括（1）行為人運用其專業技術如編程、加密或解碼技術工具等在網絡上實施的犯罪；（2）行為人借助于其處于網絡服務提供者的有利環境或采用其他方法在網絡系統內實施的犯罪；（3）行為人利用軟件指令、網絡系統或產品加密等技術及法律規定上的漏洞在網絡內外交互實施的犯罪。[1]

簡而言之，網絡犯罪就是針對和利用網絡系統來實施的犯罪，網絡犯罪的本質特征是攻擊破壞網絡系統及其信息的安全與秩序。

1.2 網絡犯罪的特點

1.2.1 犯罪行為時空跨度大

網絡應用的迅猛發展將世界各地計算機終端及網絡設備連接到一起，也方便了網絡犯罪嫌疑人在任何時候可以控制利用網絡非法訪問網絡中的計算機系統來實施犯罪，也可以利用網絡作為平臺工具來延伸犯罪范圍，從而導致能夠將危害結果延伸在世界范圍內的任何一個角落。

1.2.2 犯罪手段隱蔽性高

網絡虛擬空間的特性決定了網絡犯罪極高的隱蔽性。網絡犯罪嫌疑人可以在有網絡的任何地方實施犯罪，而且從始至終不直接接觸受害者。電子數據本身是看不見、摸不著的，而網絡犯罪主要是依靠網絡利用程序和數據等無形的操作來達到犯罪的目的，同時留有的證據也主要存在于網絡及軟件中，也使得犯罪分子很容易于無形之中毀滅證據。

1.2.3 高科技結合智能化

犯罪分子大多具有一定學歷，受過較好的教育或進行過專業的訓練，熟悉計算機系統及網絡技術，對實施犯罪領域處理的事務比較熟練，同時對留有的網絡痕跡往往能夠進行及時刪除，因此這些犯罪人對抗偵查的能力相當強。

1.2.4 犯罪投入小而收益大

由于網絡犯罪主要以網絡及電子數據為對象或工具，導致的社會危害不直觀，作案的時間短及立法有待進一步完善，使得網絡犯罪嫌疑人的心理負罪感低，有時甚至還帶有智力上的優越感。此外，作案投入的主要是網絡技術、犯罪發現率低等一系列因素使網絡犯罪的經濟成本極低、風險極小，但其給犯罪人帶來的收益卻絲毫不遜于傳統犯罪。尤其是現在的網絡詐騙，投入少，收益高。

1.2.5 犯罪規模產業鏈化、專業化

隨著計算機網絡的普及和在社會各領域的應用，網絡犯罪向著職業化、一體化、產業鏈化的趨勢發展。各成員分工明確，各負其責，共同犯罪情況愈演愈烈，造成的損失是也往往是難以估計的。[2]

2 網絡犯罪偵查技術

偵查技術是偵查機關在偵查活動中，按照法律的規定，運用現代科學技術的理論和方法，以發現、記錄、提取、識別和鑒定與案件有關的各種線索和證據的專門技術的總稱。偵查技術是偵查工作的重要組成部分，決定著偵查工作的進展。網絡偵查技術是利用計算機、網絡、通信等高科技的公開技術，有針對性地形成打擊網絡犯罪的相關技術和方法的科學技術。[3]

2.1 日志分析技術

日志指一種服務或者程序運行過程中產生的，能夠說明該服務或者程序的狀態信息的記錄，日志包括正常的、錯誤的狀態參數，它往往以“時間+記錄”形式的文本文件出現。涉及計算機信息系統的日志有很多，從來源區分，可以分為Web網站日志、系統日志、VPN等服務類日志，這些日志格式不統一、數據量大須借助專門工具分析，此外日志主要是按時間順序進行記錄相應服務涉及的運行狀況，一般僅反映某些特定事件的操作情況，并不能夠完全反映某一系統或用戶的整個活動情況，因此比較單一片面，從而需要將多個系統的各類日志結合起來進行分析，才能夠更好地反映出用戶活動的情況。

快速準確地提取和分析日志，是決定案件偵辦效率的重要因素。面對格式多樣、數據龐大的日志，需要偵查人員具有清晰的分析思路方法來對日志進行分析。

2.2 數據包嗅探技術

在網絡中，每天都可能發生成千上萬的問題，所有的網絡問題基本上都來源于數據包層次上，可能看起來是有著漂亮外表的應用程序，本質上卻是"金玉其外，敗絮其中"，有著糟糕的設計與一無是處的實現，也可能看起來是可以信任的，但實際上是不懷好意的行為。但是在數據包層次上，除非加密通信就不可能有真正的秘密，所以在數據包層次上研究得越多，就越能夠對網絡數據有更好的了解以及進行更好的控制，也就能夠讓偵查人員更好更快地抓住數據包的“本質”。[4]

因此，對數據包進行徹底分析至關重要，數據包分析技術可以用來了解網絡的特征、查詢到網絡上的通信主體、識別可能的惡意活動或攻擊、網絡帶寬占用情況、查找不安全的以及濫用網絡資源的應用。數據包嗅探器就是用來分析數據包從而捕獲和解析在網絡上傳輸數據的過程。

數據包嗅探技術是偵查人員常用的一種網絡犯罪偵查技術，信息的收集主要是利用嗅探器來完成，但如果要對信息進行進一步的分析，想要獲取偵查所需要的信息，可能還需要結合其他程序及技術手段來進行數據過濾，將可疑的數據篩選過濾出來之后再分析。而數據包嗅探偵查技術的具體應用，往往還需要得到通信運營商的支持配合，通信運營商們在網關的入口處提供數據包嗅探技術的接口，方便相關的執法機構在案件需要程序合法的情況下能夠利用數據包嗅探技術來截獲相關或可疑的數據包。[5]

2.3 數據恢復技術

數據恢復（Data recovery）是指通過一定的技術手段，將原本保存在服務器硬盤、臺式機硬盤、筆記本硬盤、移動硬盤、存儲磁帶庫、U盤、Mp3、數碼存儲卡等電子設備上丟失的數據進行搶救和恢復的技術。數據之所以能夠恢復是由存儲介質的結構和數據存放方式來決定的，例如硬盤上的一個文件被刪除之后，文件數據并沒有被從硬盤上抹掉，而只是修改了文件頭部的代碼以示刪除標記，真正的數據還留存在硬盤上，這樣就提供了恢復數據的機會。所以當留有重要證據的存儲介質出現損傷所造成的數據查不到、無法讀取甚至丟失，偵查人員可使用數據恢復技術來通過特殊的技術手段能夠讀取到在正常狀態下不可見、不可讀、無法讀的數據，從而為案件提供有力的證據。

2.4 社交網絡分析技術

互聯網高速發展的同時，基于網絡的各種通訊工具層出不窮，給廣大網民提供交流、溝通的平臺，也給不法分子帶來了極大的便利。通過對相應通訊工具網站數據庫進行分析，能夠發現許多有助于偵查的信息。

隨著移動互聯網時代的到來，社交網絡（Social Network）大范圍地普及應用，用戶完全可以隨時隨地在網絡上分享內容，UGC（用戶產生內容）也隨之不斷產生發展，用戶數據的分享數量達到了難以估量的程度，由此產生了海量的用戶數據。同時社交媒體的種類逐漸增加，智能手機更大范圍地普及，導致更多用戶轉移到移動互聯網，數據和內容也更加的豐富。由此可見，面對大數據時代的來臨，復雜多變的社交網絡當中有著很多具有實用價值的數據在有待偵查人員挖掘分析。[6][7]

2.5 數據挖掘技術

數據挖掘（Data mining）是指從大量的數據中通過算法搜索出隱藏于其中的有價值信息。數據挖掘是一門交叉學科，涉及的領域有人工智能、統計分析、情報檢索、機器學習、模式識別等。常用的數據挖掘技術方法有決策樹方法、關聯分析、聚類分析、神經網絡等，針對不同的數據對象不同的挖掘目的來采用相應的方法。[8]

隨著網絡社會的來臨，特別是互聯網＋和大數據時代的到來，我們生活已經真正進入了物聯網、智慧城市、云計算、大數據、移動互聯網、智能制造等一系列新一代信息技術和載體，大數據浪潮席卷而來，海量數據孕育出巨大商業利益，一些犯罪分子集團竊視已久。人們利用網絡系統來對信息進行收集、加工、存儲、檢索等處理后，再進行信息的傳輸，最終達到資源共享的目的，在這一過程中對網絡的依賴性越強導致侵犯網絡系統所造成的破壞力更大，范圍更廣泛，其社會危害性也更為嚴重。

因此面對海量的數據需要通過數據挖掘技術來及時發現網絡犯罪的蛛絲馬跡進而進行有效的預防和偵查工作。馬云曾說過做到“事前諸葛亮”是整個數據時代最重要的事情，就是說要有預防機制。以前抓小偷，是靠反扒警察一天天地物理跟蹤，而一旦他使用了電子支付，警察只要分析他的支付記錄，結果發現這個人一天之內竟然坐了50輛不同的公交車轉來轉去，與一般人通常乘車記錄比較，那么這這個人就可能很可疑。在網絡犯罪案件的偵查中，針對犯罪嫌疑人實施網絡犯罪時采用的技術手段、作案時間、社交賬號及內容信息等要素，都可以利用關聯規則來分析它們之間的邏輯關系，進一步縮小范圍最終確定目標。

2.6 協議棧指紋技術

協議棧指紋識別技術，能夠以很高的概率快速確定操作系統的版本。雖然TCP/IP協議棧的定義已經成為一項標準，但是各個廠家在編寫自己的TCP/IP協議棧時做出了不同的解釋。這些解釋因為具有獨一無二的特性，故被稱為“指紋”。偵查人員通過這些細微的差別，可以準確判定出操作系統的版本，同時可以進一步分析系統發送的各種數據包。

3 結束語

總之，在針對具體網絡犯罪案件的實際情況，有時需要綜合上述多種網絡偵查技術手段來獲得該案件的確鑿證據。網絡犯罪本身是隨著網絡應用的發展而發展的新型犯罪類型，其發展趨勢、表現類型、犯罪手段也隨著網絡技術、網絡應用的更新而更新，這就需要網絡犯罪偵查人員不斷學習和提高自己，不斷地更新網絡犯罪偵查技術、總結和更新偵查思路與方法，以應對不斷出現的新型網絡犯罪案件。

[1]張誠.我國計算機犯罪問題研究[J].才智，2013.

[2]孫曉冬.網絡犯罪偵查[M].清華大學出版社，2014.

[3]劉浩陽.網絡犯罪偵查[M].清華大學出版社，2016.

[4]51CTO.數據包分析與數據包嗅探器[EB/OL]. http://book.51cto.com/art/201303/385831.htm.

[5]于麗.計算機網絡犯罪偵查技術與應對策略[J].通訊世界，2016.

[6]CSDN.基于社交網絡的大數據技術和數字營銷應用[EB/OL].http://blog.csdn.net/huawei_esdk/article/details/514231 26.

[7]包雪.計算機網絡犯罪偵查技術與應對策略[J].電腦知識與技術，2017.

[8]李艷花.數據挖掘在計算機動態取證技術中的應用[J].信息與電腦，2017.