网络犯罪侦查技术应用研究
2017-03-10郭丽蓉
◆郭丽蓉
(山西警察学院网络安全保卫系 山西 030021)
网络犯罪与取证
网络犯罪侦查技术应用研究
◆郭丽蓉
(山西警察学院网络安全保卫系 山西 030021)
网络的广泛应用给人们的工作、生活、学习等带来诸多便利的同时,也滋生了一种全新的犯罪形式——网络犯罪,不法分子在利用网络实施不法行为的同时也必然会留下“蛛丝马迹”,由此对网络痕迹分析固定至关重要。本文从网络犯罪入手,就网络犯罪案件侦查过程中采用的技术手段进行了研究。
网络犯罪;日志分析;数据恢复
0 引言
网络时代的今天,互联网充斥着我们生活的方方面面,工作、生活、学习都离不开网络。根据中国互联网络信息中心(CNNIC)的全国互联网发展统计报告,截至2016年12月底,我国网民的规模已经达到7.31亿,全年共计新增网民约4299万人。互联网的普及率也已达到53.2%,我国手机网民规模达6.95亿。网络正以其惊人的速度演化发展,但是在网络方便快捷我们生活的同时,也带来了一系列的网络犯罪问题。
1 网络犯罪概述
1.1 网络犯罪的定义
网络犯罪指的是行为人运用或借助计算机及网络技术对其系统或信息进行攻击、破坏或利用网络进行其他犯罪的总称。主要包括(1)行为人运用其专业技术如编程、加密或解码技术工具等在网络上实施的犯罪;(2)行为人借助于其处于网络服务提供者的有利环境或采用其他方法在网络系统内实施的犯罪;(3)行为人利用软件指令、网络系统或产品加密等技术及法律规定上的漏洞在网络内外交互实施的犯罪。[1]
简而言之,网络犯罪就是针对和利用网络系统来实施的犯罪,网络犯罪的本质特征是攻击破坏网络系统及其信息的安全与秩序。
1.2 网络犯罪的特点
1.2.1 犯罪行为时空跨度大
网络应用的迅猛发展将世界各地计算机终端及网络设备连接到一起,也方便了网络犯罪嫌疑人在任何时候可以控制利用网络非法访问网络中的计算机系统来实施犯罪,也可以利用网络作为平台工具来延伸犯罪范围,从而导致能够将危害结果延伸在世界范围内的任何一个角落。
1.2.2 犯罪手段隐蔽性高
网络虚拟空间的特性决定了网络犯罪极高的隐蔽性。网络犯罪嫌疑人可以在有网络的任何地方实施犯罪,而且从始至终不直接接触受害者。电子数据本身是看不见、摸不着的,而网络犯罪主要是依靠网络利用程序和数据等无形的操作来达到犯罪的目的,同时留有的证据也主要存在于网络及软件中,也使得犯罪分子很容易于无形之中毁灭证据。
1.2.3 高科技结合智能化
犯罪分子大多具有一定学历,受过较好的教育或进行过专业的训练,熟悉计算机系统及网络技术,对实施犯罪领域处理的事务比较熟练,同时对留有的网络痕迹往往能够进行及时删除,因此这些犯罪人对抗侦查的能力相当强。
1.2.4 犯罪投入小而收益大
由于网络犯罪主要以网络及电子数据为对象或工具,导致的社会危害不直观,作案的时间短及立法有待进一步完善,使得网络犯罪嫌疑人的心理负罪感低,有时甚至还带有智力上的优越感。此外,作案投入的主要是网络技术、犯罪发现率低等一系列因素使网络犯罪的经济成本极低、风险极小,但其给犯罪人带来的收益却丝毫不逊于传统犯罪。尤其是现在的网络诈骗,投入少,收益高。
1.2.5 犯罪规模产业链化、专业化
随着计算机网络的普及和在社会各领域的应用,网络犯罪向着职业化、一体化、产业链化的趋势发展。各成员分工明确,各负其责,共同犯罪情况愈演愈烈,造成的损失是也往往是难以估计的。[2]
2 网络犯罪侦查技术
侦查技术是侦查机关在侦查活动中,按照法律的规定,运用现代科学技术的理论和方法,以发现、记录、提取、识别和鉴定与案件有关的各种线索和证据的专门技术的总称。侦查技术是侦查工作的重要组成部分,决定着侦查工作的进展。网络侦查技术是利用计算机、网络、通信等高科技的公开技术,有针对性地形成打击网络犯罪的相关技术和方法的科学技术。[3]
2.1 日志分析技术
日志指一种服务或者程序运行过程中产生的,能够说明该服务或者程序的状态信息的记录,日志包括正常的、错误的状态参数,它往往以“时间+记录”形式的文本文件出现。涉及计算机信息系统的日志有很多,从来源区分,可以分为Web网站日志、系统日志、VPN等服务类日志,这些日志格式不统一、数据量大须借助专门工具分析,此外日志主要是按时间顺序进行记录相应服务涉及的运行状况,一般仅反映某些特定事件的操作情况,并不能够完全反映某一系统或用户的整个活动情况,因此比较单一片面,从而需要将多个系统的各类日志结合起来进行分析,才能够更好地反映出用户活动的情况。
快速准确地提取和分析日志,是决定案件侦办效率的重要因素。面对格式多样、数据庞大的日志,需要侦查人员具有清晰的分析思路方法来对日志进行分析。
2.2 数据包嗅探技术
在网络中,每天都可能发生成千上万的问题,所有的网络问题基本上都来源于数据包层次上,可能看起来是有着漂亮外表的应用程序,本质上却是"金玉其外,败絮其中",有着糟糕的设计与一无是处的实现,也可能看起来是可以信任的,但实际上是不怀好意的行为。但是在数据包层次上,除非加密通信就不可能有真正的秘密,所以在数据包层次上研究得越多,就越能够对网络数据有更好的了解以及进行更好的控制,也就能够让侦查人员更好更快地抓住数据包的“本质”。[4]
因此,对数据包进行彻底分析至关重要,数据包分析技术可以用来了解网络的特征、查询到网络上的通信主体、识别可能的恶意活动或攻击、网络带宽占用情况、查找不安全的以及滥用网络资源的应用。数据包嗅探器就是用来分析数据包从而捕获和解析在网络上传输数据的过程。
数据包嗅探技术是侦查人员常用的一种网络犯罪侦查技术,信息的收集主要是利用嗅探器来完成,但如果要对信息进行进一步的分析,想要获取侦查所需要的信息,可能还需要结合其他程序及技术手段来进行数据过滤,将可疑的数据筛选过滤出来之后再分析。而数据包嗅探侦查技术的具体应用,往往还需要得到通信运营商的支持配合,通信运营商们在网关的入口处提供数据包嗅探技术的接口,方便相关的执法机构在案件需要程序合法的情况下能够利用数据包嗅探技术来截获相关或可疑的数据包。[5]
2.3 数据恢复技术
数据恢复(Data recovery)是指通过一定的技术手段,将原本保存在服务器硬盘、台式机硬盘、笔记本硬盘、移动硬盘、存储磁带库、U盘、Mp3、数码存储卡等电子设备上丢失的数据进行抢救和恢复的技术。数据之所以能够恢复是由存储介质的结构和数据存放方式来决定的,例如硬盘上的一个文件被删除之后,文件数据并没有被从硬盘上抹掉,而只是修改了文件头部的代码以示删除标记,真正的数据还留存在硬盘上,这样就提供了恢复数据的机会。所以当留有重要证据的存储介质出现损伤所造成的数据查不到、无法读取甚至丢失,侦查人员可使用数据恢复技术来通过特殊的技术手段能够读取到在正常状态下不可见、不可读、无法读的数据,从而为案件提供有力的证据。
2.4 社交网络分析技术
互联网高速发展的同时,基于网络的各种通讯工具层出不穷,给广大网民提供交流、沟通的平台,也给不法分子带来了极大的便利。通过对相应通讯工具网站数据库进行分析,能够发现许多有助于侦查的信息。
随着移动互联网时代的到来,社交网络(Social Network)大范围地普及应用,用户完全可以随时随地在网络上分享内容,UGC(用户产生内容)也随之不断产生发展,用户数据的分享数量达到了难以估量的程度,由此产生了海量的用户数据。同时社交媒体的种类逐渐增加,智能手机更大范围地普及,导致更多用户转移到移动互联网,数据和内容也更加的丰富。由此可见,面对大数据时代的来临,复杂多变的社交网络当中有着很多具有实用价值的数据在有待侦查人员挖掘分析。[6][7]
2.5 数据挖掘技术
数据挖掘(Data mining)是指从大量的数据中通过算法搜索出隐藏于其中的有价值信息。数据挖掘是一门交叉学科,涉及的领域有人工智能、统计分析、情报检索、机器学习、模式识别等。常用的数据挖掘技术方法有决策树方法、关联分析、聚类分析、神经网络等,针对不同的数据对象不同的挖掘目的来采用相应的方法。[8]
随着网络社会的来临,特别是互联网+和大数据时代的到来,我们生活已经真正进入了物联网、智慧城市、云计算、大数据、移动互联网、智能制造等一系列新一代信息技术和载体,大数据浪潮席卷而来,海量数据孕育出巨大商业利益,一些犯罪分子集团窃视已久。人们利用网络系统来对信息进行收集、加工、存储、检索等处理后,再进行信息的传输,最终达到资源共享的目的,在这一过程中对网络的依赖性越强导致侵犯网络系统所造成的破坏力更大,范围更广泛,其社会危害性也更为严重。
因此面对海量的数据需要通过数据挖掘技术来及时发现网络犯罪的蛛丝马迹进而进行有效的预防和侦查工作。马云曾说过做到“事前诸葛亮”是整个数据时代最重要的事情,就是说要有预防机制。以前抓小偷,是靠反扒警察一天天地物理跟踪,而一旦他使用了电子支付,警察只要分析他的支付记录,结果发现这个人一天之内竟然坐了50辆不同的公交车转来转去,与一般人通常乘车记录比较,那么这这个人就可能很可疑。在网络犯罪案件的侦查中,针对犯罪嫌疑人实施网络犯罪时采用的技术手段、作案时间、社交账号及内容信息等要素,都可以利用关联规则来分析它们之间的逻辑关系,进一步缩小范围最终确定目标。
2.6 协议栈指纹技术
协议栈指纹识别技术,能够以很高的概率快速确定操作系统的版本。虽然TCP/IP协议栈的定义已经成为一项标准,但是各个厂家在编写自己的TCP/IP协议栈时做出了不同的解释。这些解释因为具有独一无二的特性,故被称为“指纹”。侦查人员通过这些细微的差别,可以准确判定出操作系统的版本,同时可以进一步分析系统发送的各种数据包。
3 结束语
总之,在针对具体网络犯罪案件的实际情况,有时需要综合上述多种网络侦查技术手段来获得该案件的确凿证据。网络犯罪本身是随着网络应用的发展而发展的新型犯罪类型,其发展趋势、表现类型、犯罪手段也随着网络技术、网络应用的更新而更新,这就需要网络犯罪侦查人员不断学习和提高自己,不断地更新网络犯罪侦查技术、总结和更新侦查思路与方法,以应对不断出现的新型网络犯罪案件。
[1]张诚.我国计算机犯罪问题研究[J].才智,2013.
[2]孙晓冬.网络犯罪侦查[M].清华大学出版社,2014.
[3]刘浩阳.网络犯罪侦查[M].清华大学出版社,2016.
[4]51CTO.数据包分析与数据包嗅探器[EB/OL]. http://book.51cto.com/art/201303/385831.htm.
[5]于丽.计算机网络犯罪侦查技术与应对策略[J].通讯世界,2016.
[6]CSDN.基于社交网络的大数据技术和数字营销应用[EB/OL].http://blog.csdn.net/huawei_esdk/article/details/514231 26.
[7]包雪.计算机网络犯罪侦查技术与应对策略[J].电脑知识与技术,2017.
[8]李艳花.数据挖掘在计算机动态取证技术中的应用[J].信息与电脑,2017.
