网络情报分析技术(十)课件.ppt

基于网络情报的案件侦查的三个环节 1．线索（证据）的发现环节 从“无线索”到“有线索” 2．线索（证据）的拓展（串并）环节 从“有线索”到“更多线索” 3．线索（证据）的核查环节 从“线索”到“人” 二、线索的发现环节 方法一：基于特征的同一性，排查与嫌疑人基本特征具有同一性的涉网线索 在很多案件中一开始并不知道嫌疑人是谁，犯罪现场也没有计算机相关设备 比如：在路上发生一起杀人案 问题：这种案件网监是否需要介入调查？ （一）线索的发现环节（续） 案例：2005年10月29日11时20分许，湖北仙桃市电信分局局长王先洋（下班步行到沔城镇电信分局基建工地时，两名身份不明的男青年持刀将其砍成重伤后逃逸 网监介入调查，假定嫌疑人上网，那么： 嫌疑人特征：在10月29日前几天可能在本地上网，案发后逃逸 排查方法：凡在10月26日至10月29日之间在当地登录过而其后的一段时间内未在当地出现过的QQ号码即是嫌疑数据 原理：这些QQ号码活动特征与嫌疑人的活动特征一致 （一）线索的发现环节（续） 此类排查方法已逐步被各地网监部门广泛使用：如东莞“3.7”灭门案 传统的“嫌疑人画像”的方法同样可以用于计算机犯罪案件的线索分析 排查的基本原理就是：充分掌握嫌疑人的各种特征，找出与其特征完全相符的涉网线索。比如： 地理活动轨迹特征：一个流窜杀人案中，嫌疑人在广东、福建、河北连续杀人，那么可以排查所有与其活动轨迹时间相同的网络线索 人员特征：案例：801专案，经审讯，知道某一未知嫌疑人在空军兰州医院当医生，并且姓陈。排查：在兰州空军医院上过网，且姓陈的人员 （一）线索的发现环节（续） 方法二：基于现实社会与虚拟社会的互联互通特性，从现实社会线索反查其映射到虚拟社会的线索 随着网络的广泛应用，各种现实社会活动都可能与网络产生关联，现实社会中找到的线索都可能“映射”到虚拟社会上 （一）线索的发现环节（续） 例如 掌握嫌疑人的手机号码：手机号码可能用于绑定QQ号码、手机号码可能用于网上支付、嫌疑人可能在网上向别人提供自己手机号码做为联系方式 掌握嫌疑人的银行卡号：嫌疑人可能用网络银行支付 嫌疑人家里有电话号码（嫌疑人潜逃）：在...缓存中可以找到与该电话号码有关的网上线索 嫌疑人邮购物品：这个物品有没有可能是上网购买的 嫌疑人炒股：这个嫌疑人会不会通过网络炒股 现实社会中的任何线索都可能与网络发生关系，线索之间存在一种映射关系 知道我的电话号码如何抓住我 （一）线索的发现环节（续） 方法三：基于嫌疑人的关系分析，通过嫌疑人关系人的网上线索反查嫌疑人的网上线索 当发现嫌疑人的联系人时，可先排查其联系人的网上线索，然后从其联系人的关系人入手排查符合嫌疑人特征的关系人的网上线索 比如：发现嫌疑人的某联系人后，可先排查该联系人网上的虚拟身份，再进一步排查该虚拟身份的联系人哪些符合嫌疑人的活动规律（如活动地点），从而获得嫌疑人的网上线索； 再如：发现嫌疑人有两个联系人，可以排查这两个联系人的虚拟身份后，通过其虚拟身份联系人的交集排查嫌疑人的虚拟身份 （一）线索的发现环节（续） 方法四：通过走访、勘验等传统排查方法 所有传统的排查方法都可以用于计算机犯罪案件的线索排查 网监最常用的方法：通过对嫌疑人使用的计算机进行勘验分析，发现其网上线索 （一）线索的发现环节（续） 对于传统的刑事案件，并不一定需要有明确的网络线索之后网监部门才能介入调查，网监部门介入案件调查的第一步并不是配合“调查涉网线索”，而应当是配合“排查涉网线索” 以往计算机犯罪案件调查的思路是“有了网上线索找网监”，而未来进一步推进的思路是“有了案件找网监排查涉网线索” （一）线索的发现环节（续） 在指挥办理任何案件时，在没有涉网线索时都应该考虑几个问题： 这些线索是否可能和网络发生关系 利用网络是否能够排查出符合嫌疑人特征的线索 嫌疑人上网的计算机会不会留下线索 从嫌疑人的关系人入手是否可以排查出涉网线索 （二）线索（证据）的拓展（串并）环节 单一的案件线索往往容易因为“断线”而导致无法进一步核查 侦办配侦案件的第二步是进行扩线工作，以寻找与犯罪嫌疑人相关的更多的涉网线索，拓展线索的同时也是发现涉网犯罪事实的过程 拓展线索的基本原理是基于线索之间的“关联性”将不同的线索串并在一起，同时必须具备认定线索与嫌疑人关系的条件 线索（证据）的拓展（串并）环节（续） 方法一：基于事件的同一性拓展线索 原理：在同一个事件中发现的线索通常属于同一嫌疑人或作案团伙 一个入屋抢劫杀人事件中：入屋留下的指纹、掉下的头发的DNA、杀人用的枪支特征、案发时门口的监控录像留下的人像特征 线索（证据）的拓展（串并）环节（续） 例子：发现一个网站，哪些方法去发现与该网站有关的线索呢？建设网站这一个事件通常需要有