基于網絡情報的案件偵查的三個環節1．線索（證據）的發現環節從“無線索”到“有線索”2．線索（證據）的拓展（串并）環節從“有線索”到“更多線索”

3．線索（證據）的核查環節從“線索”到“人”基于網絡情報的案件偵查的三個環節1．線索（證據）的發現環節二、線索的發現環節方法一：基于特征的同一性，排查與嫌疑人基本特征具有同一性的涉網線索

在很多案件中一開始并不知道嫌疑人是誰，犯罪現場也沒有計算機相關設備比如：在路上發生一起殺人案問題：這種案件網監是否需要介入調查？二、線索的發現環節方法一：基于特征的同一性，排查與嫌疑人基本（一）線索的發現環節（續）案例：2005年10月29日11時20分許，湖北仙桃市電信分局局長王先洋（下班步行到沔城鎮電信分局基建工地時，兩名身份不明的男青年持刀將其砍成重傷后逃逸網監介入調查，假定嫌疑人上網，那么：嫌疑人特征：在10月29日前幾天可能在本地上網，案發后逃逸排查方法：凡在10月26日至10月29日之間在當地登錄過而其后的一段時間內未在當地出現過的QQ號碼即是嫌疑數據原理：這些QQ號碼活動特征與嫌疑人的活動特征一致（一）線索的發現環節（續）案例：2005年10月29日11時（一）線索的發現環節（續）此類排查方法已逐步被各地網監部門廣泛使用：如東莞“3.7”滅門案傳統的“嫌疑人畫像”的方法同樣可以用于計算機犯罪案件的線索分析排查的基本原理就是：充分掌握嫌疑人的各種特征，找出與其特征完全相符的涉網線索。比如：地理活動軌跡特征：一個流竄殺人案中，嫌疑人在廣東、福建、河北連續殺人，那么可以排查所有與其活動軌跡時間相同的網絡線索人員特征：案例：801專案，經審訊，知道某一未知嫌疑人在空軍蘭州醫院當醫生，并且姓陳。排查：在蘭州空軍醫院上過網，且姓陳的人員（一）線索的發現環節（續）此類排查方法已逐步被各地網監部門廣（一）線索的發現環節（續）方法二：基于現實社會與虛擬社會的互聯互通特性，從現實社會線索反查其映射到虛擬社會的線索

隨著網絡的廣泛應用，各種現實社會活動都可能與網絡產生關聯，現實社會中找到的線索都可能“映射”到虛擬社會上（一）線索的發現環節（續）方法二：基于現實社會與虛擬社會的互（一）線索的發現環節（續）例如掌握嫌疑人的手機號碼：手機號碼可能用于綁定QQ號碼、手機號碼可能用于網上支付、嫌疑人可能在網上向別人提供自己手機號碼做為聯系方式掌握嫌疑人的銀行卡號：嫌疑人可能用網絡銀行支付嫌疑人家里有電話號碼（嫌疑人潛逃）：在...緩存中可以找到與該電話號碼有關的網上線索嫌疑人郵購物品：這個物品有沒有可能是上網購買的嫌疑人炒股：這個嫌疑人會不會通過網絡炒股現實社會中的任何線索都可能與網絡發生關系，線索之間存在一種映射關系（一）線索的發現環節（續）例如知道我的電話號碼

如何抓住我我的電話號碼我的QQ號碼知道我的電話號碼

如何抓住我我的電話號碼我的QQ號碼（一）線索的發現環節（續）方法三：基于嫌疑人的關系分析，通過嫌疑人關系人的網上線索反查嫌疑人的網上線索

當發現嫌疑人的聯系人時，可先排查其聯系人的網上線索，然后從其聯系人的關系人入手排查符合嫌疑人特征的關系人的網上線索比如：發現嫌疑人的某聯系人后，可先排查該聯系人網上的虛擬身份，再進一步排查該虛擬身份的聯系人哪些符合嫌疑人的活動規律（如活動地點），從而獲得嫌疑人的網上線索；

再如：發現嫌疑人有兩個聯系人，可以排查這兩個聯系人的虛擬身份后，通過其虛擬身份聯系人的交集排查嫌疑人的虛擬身份

（一）線索的發現環節（續）方法三：基于嫌疑人的關系分析，通過（一）線索的發現環節（續）方法四：通過走訪、勘驗等傳統排查方法

所有傳統的排查方法都可以用于計算機犯罪案件的線索排查網監最常用的方法：通過對嫌疑人使用的計算機進行勘驗分析，發現其網上線索（一）線索的發現環節（續）方法四：通過走訪、勘驗等傳統排查方（一）線索的發現環節（續）對于傳統的刑事案件，并不一定需要有明確的網絡線索之后網監部門才能介入調查，網監部門介入案件調查的第一步并不是配合“調查涉網線索”，而應當是配合“排查涉網線索”以往計算機犯罪案件調查的思路是“有了網上線索找網監”，而未來進一步推進的思路是“有了案件找網監排查涉網線索”（一）線索的發現環節（續）對于傳統的刑事案件，并不一定需要有（一）線索的發現環節（續）在指揮辦理任何案件時，在沒有涉網線索時都應該考慮幾個問題：這些線索是否可能和網絡發生關系利用網絡是否能夠排查出符合嫌疑人特征的線索嫌疑人上網的計算機會不會留下線索從嫌疑人的關系人入手是否可以排查出涉網線索（一）線索的發現環節（續）在指揮辦理任何案件時，在沒有涉網線（二）線索（證據）的拓展（串并）環節

單一的案件線索往往容易因為“斷線”而導致無法進一步核查偵辦配偵案件的第二步是進行擴線工作，以尋找與犯罪嫌疑人相關的更多的涉網線索，拓展線索的同時也是發現涉網犯罪事實的過程拓展線索的基本原理是基于線索之間的“關聯性”將不同的線索串并在一起，同時必須具備認定線索與嫌疑人關系的條件（二）線索（證據）的拓展（串并）環節單一的案件線索往往容易線索（證據）的拓展（串并）環節（續）方法一：基于事件的同一性拓展線索原理：在同一個事件中發現的線索通常屬于同一嫌疑人或作案團伙一個入屋搶劫殺人事件中：入屋留下的指紋、掉下的頭發的DNA、殺人用的槍支特征、案發時門口的監控錄像留下的人像特征線索（證據）的拓展（串并）環節（續）方法一：基于事件的同一性線索（證據）的拓展（串并）環節（續）例子：發現一個網站，哪些方法去發現與該網站有關的線索呢？建設網站這一個事件通常需要有以下步驟注冊域名并支付域名費用：登記該域名留下的聯系方式－電話、郵箱等，支付該域名的費用－銀行帳號托管該域名對應的主機并支付拖管費用：拖管時留下的聯系方式－電話、郵箱等，支付拖管費用－銀行帳號維護網站－維護網站的日志發布網站內容－內容上留下的聯系信息推廣網站，比如在其他網站發布該網站的廣告－在其他網站發布廣告留下的日志（案例：虛假銀行網站）線索（證據）的拓展（串并）環節（續）例子：發現一個網站www線索（證據）的拓展（串并）環節（續）對于網絡上的事件應該分析與該事件相關的所有行為可能留下的線索，偵查人員必須了解各類事件關聯的每一種行為可能留下的線索比如：嫌疑人使用QQ號碼這一事件QQ號碼的日志、聊天內容QQ號碼綁定的手機號碼QQ號碼沖QQ幣使用的電話號碼QQ號碼“QQ空間”中留下的信息….相對與現實生活中的線索排查的優勢：網絡上的信息留存的希望較大（嫌疑人往往無法控制信息是否留存）線索（證據）的拓展（串并）環節（續）對于網絡上的事件應該分析線索（證據）的拓展（串并）環節（續）方法二：基于線索關鍵特征的同一性拓展線索，關聯事件關鍵特征：與嫌疑人直接相關的，具有唯一性的特征比如DNA、指紋是與嫌疑人直接相關的關鍵特征，兩個人具有相同的這一關鍵特征的概率非常小這是利用DNA開展串案、利用指紋搞“指紋會戰”的基本原理線索（證據）的拓展（串并）環節（續）方法二：基于線索關鍵特征DNA※指紋：利用關鍵特征的同一性關聯兩個事件相關的線索案件3案件2案件4DNA/指紋案件1線索A線索B線索C線索D線索EDNA※指紋：利用關鍵特征的同一性關聯兩個事件相關的線索案件問題：網絡上的“DNA/指紋”是什么呢？郵箱地址QQ號碼網站論壇用戶名電話號碼？用戶IP地址所有與嫌疑人相關的具有唯一性的信息都可以做為“DNA/指紋”問題：網絡上的“DNA/指紋”是什么呢？郵箱地址QQ號碼網站網絡DNA/指紋：IP地址/時間

利用IP地址的一致性畫出用戶上網活動軌跡SOHUQQ本地的ICP大的論壇新浪IP&時間網絡游戲其他帳號人案例：揚言謀殺鐵道部長案網絡DNA/指紋：IP地址/時間

利用IP地址的一致性畫出用網絡DNA/指紋：復雜用戶名（adjk$%ddd）

利用用戶名的一致性關聯不同的網絡應用聊天室QQ論壇郵箱P2P用戶名網絡游戲個人網站網絡DNA/指紋：復雜用戶名（adjk$%ddd）

利用用戶網絡DNA/指紋：復雜口令（m1dlkj%$3）

用口令的一致性關聯不同的帳號QQ號碼B論壇帳號A論壇帳號B郵箱帳號A口令郵箱帳號BQQ號碼A還可用于猜解密碼網絡DNA/指紋：復雜口令（m1dlkj%$3）

用口令的一網絡DNA/指紋：用戶的虛擬身份

用用戶的虛擬身份關聯網絡帖子（網站）網站1網站3頁面1頁面3QQ號碼頁面2網站2郵箱地址電話號碼聯系地址網絡DNA/指紋：用戶的虛擬身份

用用戶的虛擬身份關聯網絡帖線索拓展的多米諾骨牌效應線索拓展的多米諾骨牌效應線索的順線拓展

嫌疑人建設的網站網站上留下的電話號碼電話號碼綁定的QQ號碼留有QQ號碼的其他頁面頁面上留下的聯系方式犯罪事實網絡虛擬行為人現實中的自然人線索&證據線索&證據線索&證據線索&證據嫌疑人建設的網站網站上留下的電話號碼線索的順線拓展

嫌疑人建設的網站網站上留下的電話號碼電話號碼網絡拓展線索（關聯事件）具有天然優勢網絡上可用于關聯的“DNA/指紋”種類很多：無數種類的“DNA/指紋”任何與用戶直接關聯的具有唯一性的虛擬身分都可以用于串并：QQ號碼、郵箱地址、游戲帳號、IP地址/時間等等任何從概率上講重復使用的概率極小的字符串都可用于串并：復雜密碼、復雜用戶名等串并/關聯主要以數據精確比對為主，而涉網線索自身就是以數據形式表現出來，可以直接用于比對（傳統的需要采集，還存在誤差）網絡拓展線索（關聯事件）具有天然優勢網絡上可用于關聯的“DN總結計算機犯罪案件調查最基本的原理就是利用線索的關聯性將不同的線索串接在一起形成線索鏈，最終找到嫌疑人。嫌疑人很難消除其實施的各個網絡行為之間的所有關聯性案件調查人員必須掌握各種利用線索關鍵特征拓展線索的技巧總結計算機犯罪案件調查最基本的原理就是利用線索的關聯性將不同線索（證據）的拓展（串并）環節（續）方法三：基于線索多個非關鍵特征的同一性拓展線索非關鍵特征：與嫌疑人的關聯的特征，但不是僅僅屬于嫌疑人的唯一特征比如：體貌特征：耳朵形狀、嘴巴形狀、發型、斷指作案特征：作案時間、使用槍支類型、殺人方法比如：傳統刑偵可以基于嫌疑人的多個體貌特征、作案特征進行比對串案（如果只是唯一一個特征者串案的成功率較?。┚€索（證據）的拓展（串并）環節（續）方法三：基于線索多個非關線索（證據）的拓展（串并）環節（續）網絡上基于多個非關鍵特征的同一性拓展線索任何與嫌疑人有關聯的特征均可用于比對例子1：活動軌跡一致，可能是同伙或同一人網吧A/時間1網吧B/時間2網吧C/時間3QQ號碼EMAIL地址線索（證據）的拓展（串并）環節（續）網絡上基于多個非關鍵特征線索（證據）的拓展（串并）環節（續）例子2：各種特征混合使用，相似特征越多，同一性的概率越大（也可與傳統特征混合使用）網吧A/時間1均與某聯系人甲聯系過咖啡廳/時間EMAIL地址1EMAIL地址2線索（證據）的拓展（串并）環節（續）例子2：各種特征混合使用線索（證據）的拓展（串并）環節（續）方法四：基于多個人的數據進行關系圖分析基本原則有多個共同聯系人的人可能是同伙或同一人與兩個或多個嫌疑人都有聯系的人可能也是嫌疑人連接兩個嫌疑人路徑上的人員屬可疑人員聯系圖上的骨干是重點人員線索（證據）的拓展（串并）環節（續）方法四：基于多個人的數據案例：環球槍手集團案案例：環球槍手集團案網絡情報分析技術(十)分析課件案例：801專案案例：801專案案例：801專案案例：801專案（三）線索（證據）的核查環節：從線索到人從“線索到犯罪事實和人”是配偵案件的最后一個步驟，也是最為關鍵的環節。很多時候從“線索到線索”和“從線索到人”是同步進行或者交錯進行的特別是一個案件中不僅涉及一個人或者涉網證據較為重要的情況下，通常在確定某一嫌疑人身份后，還需要通過偵控、調取證據等各種方式，進一步發現涉網證據、分析案情、排查其他嫌疑人（三）線索（證據）的核查環節：從線索到人從“線索到犯罪事實線索到人的基本方法方法一：從IP地址到上網地點定位抓逃最大的優勢是準確性：通?？梢詼蚀_到在哪臺計算機上網其準確性遠優于傳統的偵察技術手段線索到人的基本方法方法一：從IP地址到上網地點線索到人的基本方法方法二：從網上線索到現實線索線索不僅可以從實到虛，還可以從虛到實一是通過嫌疑人通信內容進行排查，嫌疑人的通信內容通常能夠為確定嫌疑人的身份提供線索；二是從網絡線索通過線索關聯找到嫌疑人的現實線索；比如嫌疑人在建設網站是留下的通信方式、支付網絡費用的銀行帳號等線索到人的基本方法方法二：從網上線索到現實線索線索到人的基本方法方法三：關系人反查從嫌疑人網上關系人入手，通過確定其關系人身份后從關系人的角度倒查嫌疑人的身份線索只要從網上轉移到網下之后，就可以使用各種傳統的排查方法進行排查，如跟蹤資金流動網，排查人員關系網等線索到人的基本方法方法三：關系人反查管理措施改善網吧管理的重點打擊公用卡是網吧管理的重點改進網吧管理系統，使其支持線索串并分析功能是技術改造的主要目標例子：江蘇徐州網監50%左右的抓逃依靠網吧管理系統對于固定地址、撥號上網基本上無需技術手段，均可確定嫌疑人，無需技術手段只要解決網吧問題，其作用將會超過111定位***定位只能確定到網吧，無法確定到具體人***定位對于網吧用戶基本無法串線偵控下沉管理措施改善網吧管理的重點（3）“最后一公里”問題：無線上網問題加快密取設備的裝備工作，在對無線上網的情況，無法定位的情況下，可以通過密取進入嫌疑人計算機，獲取其計算機上有關的線索加快解決無線上網定位技術手段建設謀略手段（4）“最后一公里”問題：IP地址核查依賴電信：基礎數據庫建設，要求電信開放數據庫（帳號、電話號碼到地點）（5）“最后一公里”問題：異地協作問題，要改變“一地追逃”為“全網布控抓逃”當我們研究改進基礎工作、改進技術手段的時候，都要問：這么改進是否與偵查的原理相符（3）“最后一公里”問題：無線上網問題典型案件偵查－網絡盜竊案件網絡盜竊案件示例：網銀大盜（通常網絡盜竊案件從銷贓渠道入手調查較為容易）吉林搜狐網站入侵并植入木馬嫌疑人訪問網站，被感染木馬木馬制作者購買木馬程序

帳號密碼發送到以下網站取回銀行帳號密碼工行網絡銀行登陸網絡銀行，轉走資金典型案件偵查－網絡盜竊案件網絡盜竊案件示例：網銀大盜（通常網二、調查環節－網絡淫穢視頻表演案件嫌疑人淫穢表演網站建設網站表演者上網站或QQ群發信息招募表演者觀看者上網站或QQ群發信息吸收會員表演觀看支付費用支付費用二、調查環節－網絡淫穢視頻表演案件嫌疑人淫穢表演網站建設網站僵尸網絡案件嫌疑人傳播病毒向這些主機發送指令，控制受感染主機拒絕服務攻擊某網站IP地址不斷變化僵尸網絡案件嫌疑人傳播病毒anthony.ipv6.usr.二、調查環節－網絡淫穢視頻表演案件指揮調查任何網絡犯罪案件時要問：我們把嫌疑人作案可能涉及的每個步驟都考慮到了嗎如果案件調查不下去時：換另一個思路試試，跟蹤嫌疑人作案的另一個步驟留下的線索苦練基本功：對于網絡偵查民警一個最重要的基本功就是要會拆解作案步驟，選擇偵查方向（這是目前各地網絡偵查民警較為缺乏的能力）二、調查環節－網絡淫穢視頻表演案件指揮調查任何網絡犯罪案件時二、調查環節調查思路二：并案偵查任何一個案件的嫌疑人通常都不會只做一起案件：羅馬不是一天建成的網絡犯罪最大的特點就是具有并案的先天優勢當一個案件調查不下去的時候，要考慮一個問題：嫌疑人會不會作其它案件，并留下線索從一個色情網站到另一個色情網站，從一個詐騙網站到另一個詐騙網站已經成為常規調查方法：嫌疑人很難消除兩個案件之間的關聯性二、調查環節調查思路二：并案偵查二、調查環節調查思路三：網下網上相結合網偵人員往往容易陷入單純調查網上線索的陷阱網絡犯罪調查要網上網下相結合追蹤數據流向（網上偵查）追蹤網上聯系網（網上偵查）追蹤資金流向（網下偵查）追蹤人員關系網（網下偵查）等等二、調查環節調查思路三：網下網上相結合“黑客”案件的發展態勢純粹的“黑客”案件減少：當前絕大多數“黑客”案件是竊密、網絡盜竊、敲詐等案件的“犯罪前行為”，基本上都伴隨其它犯罪行為的發生入侵技術門檻降低：銷售黑客技術和黑客學校使得攻擊技術門檻降低主要攻擊對象為個人主機：竊取個人主機中的信息“黑客”案件的發展態勢純粹的“黑客”案件減少：當前絕大多數“基于網絡情報的案件偵查的三個環節1．線索（證據）的發現環節從“無線索”到“有線索”2．線索（證據）的拓展（串并）環節從“有線索”到“更多線索”

3．線索（證據）的核查環節從“線索”到“人”基于網絡情報的案件偵查的三個環節1．線索（證據）的發現環節二、線索的發現環節方法一：基于特征的同一性，排查與嫌疑人基本特征具有同一性的涉網線索

在很多案件中一開始并不知道嫌疑人是誰，犯罪現場也沒有計算機相關設備比如：在路上發生一起殺人案問題：這種案件網監是否需要介入調查？二、線索的發現環節方法一：基于特征的同一性，排查與嫌疑人基本（一）線索的發現環節（續）案例：2005年10月29日11時20分許，湖北仙桃市電信分局局長王先洋（下班步行到沔城鎮電信分局基建工地時，兩名身份不明的男青年持刀將其砍成重傷后逃逸網監介入調查，假定嫌疑人上網，那么：嫌疑人特征：在10月29日前幾天可能在本地上網，案發后逃逸排查方法：凡在10月26日至10月29日之間在當地登錄過而其后的一段時間內未在當地出現過的QQ號碼即是嫌疑數據原理：這些QQ號碼活動特征與嫌疑人的活動特征一致（一）線索的發現環節（續）案例：2005年10月29日11時（一）線索的發現環節（續）此類排查方法已逐步被各地網監部門廣泛使用：如東莞“3.7”滅門案傳統的“嫌疑人畫像”的方法同樣可以用于計算機犯罪案件的線索分析排查的基本原理就是：充分掌握嫌疑人的各種特征，找出與其特征完全相符的涉網線索。比如：地理活動軌跡特征：一個流竄殺人案中，嫌疑人在廣東、福建、河北連續殺人，那么可以排查所有與其活動軌跡時間相同的網絡線索人員特征：案例：801專案，經審訊，知道某一未知嫌疑人在空軍蘭州醫院當醫生，并且姓陳。排查：在蘭州空軍醫院上過網，且姓陳的人員（一）線索的發現環節（續）此類排查方法已逐步被各地網監部門廣（一）線索的發現環節（續）方法二：基于現實社會與虛擬社會的互聯互通特性，從現實社會線索反查其映射到虛擬社會的線索

隨著網絡的廣泛應用，各種現實社會活動都可能與網絡產生關聯，現實社會中找到的線索都可能“映射”到虛擬社會上（一）線索的發現環節（續）方法二：基于現實社會與虛擬社會的互（一）線索的發現環節（續）例如掌握嫌疑人的手機號碼：手機號碼可能用于綁定QQ號碼、手機號碼可能用于網上支付、嫌疑人可能在網上向別人提供自己手機號碼做為聯系方式掌握嫌疑人的銀行卡號：嫌疑人可能用網絡銀行支付嫌疑人家里有電話號碼（嫌疑人潛逃）：在...緩存中可以找到與該電話號碼有關的網上線索嫌疑人郵購物品：這個物品有沒有可能是上網購買的嫌疑人炒股：這個嫌疑人會不會通過網絡炒股現實社會中的任何線索都可能與網絡發生關系，線索之間存在一種映射關系（一）線索的發現環節（續）例如知道我的電話號碼

如何抓住我我的電話號碼我的QQ號碼知道我的電話號碼

如何抓住我我的電話號碼我的QQ號碼（一）線索的發現環節（續）方法三：基于嫌疑人的關系分析，通過嫌疑人關系人的網上線索反查嫌疑人的網上線索

當發現嫌疑人的聯系人時，可先排查其聯系人的網上線索，然后從其聯系人的關系人入手排查符合嫌疑人特征的關系人的網上線索比如：發現嫌疑人的某聯系人后，可先排查該聯系人網上的虛擬身份，再進一步排查該虛擬身份的聯系人哪些符合嫌疑人的活動規律（如活動地點），從而獲得嫌疑人的網上線索；

再如：發現嫌疑人有兩個聯系人，可以排查這兩個聯系人的虛擬身份后，通過其虛擬身份聯系人的交集排查嫌疑人的虛擬身份

（一）線索的發現環節（續）方法三：基于嫌疑人的關系分析，通過（一）線索的發現環節（續）方法四：通過走訪、勘驗等傳統排查方法

所有傳統的排查方法都可以用于計算機犯罪案件的線索排查網監最常用的方法：通過對嫌疑人使用的計算機進行勘驗分析，發現其網上線索（一）線索的發現環節（續）方法四：通過走訪、勘驗等傳統排查方（一）線索的發現環節（續）對于傳統的刑事案件，并不一定需要有明確的網絡線索之后網監部門才能介入調查，網監部門介入案件調查的第一步并不是配合“調查涉網線索”，而應當是配合“排查涉網線索”以往計算機犯罪案件調查的思路是“有了網上線索找網監”，而未來進一步推進的思路是“有了案件找網監排查涉網線索”（一）線索的發現環節（續）對于傳統的刑事案件，并不一定需要有（一）線索的發現環節（續）在指揮辦理任何案件時，在沒有涉網線索時都應該考慮幾個問題：這些線索是否可能和網絡發生關系利用網絡是否能夠排查出符合嫌疑人特征的線索嫌疑人上網的計算機會不會留下線索從嫌疑人的關系人入手是否可以排查出涉網線索（一）線索的發現環節（續）在指揮辦理任何案件時，在沒有涉網線（二）線索（證據）的拓展（串并）環節

單一的案件線索往往容易因為“斷線”而導致無法進一步核查偵辦配偵案件的第二步是進行擴線工作，以尋找與犯罪嫌疑人相關的更多的涉網線索，拓展線索的同時也是發現涉網犯罪事實的過程拓展線索的基本原理是基于線索之間的“關聯性”將不同的線索串并在一起，同時必須具備認定線索與嫌疑人關系的條件（二）線索（證據）的拓展（串并）環節單一的案件線索往往容易線索（證據）的拓展（串并）環節（續）方法一：基于事件的同一性拓展線索原理：在同一個事件中發現的線索通常屬于同一嫌疑人或作案團伙一個入屋搶劫殺人事件中：入屋留下的指紋、掉下的頭發的DNA、殺人用的槍支特征、案發時門口的監控錄像留下的人像特征線索（證據）的拓展（串并）環節（續）方法一：基于事件的同一性線索（證據）的拓展（串并）環節（續）例子：發現一個網站，哪些方法去發現與該網站有關的線索呢？建設網站這一個事件通常需要有以下步驟注冊域名并支付域名費用：登記該域名留下的聯系方式－電話、郵箱等，支付該域名的費用－銀行帳號托管該域名對應的主機并支付拖管費用：拖管時留下的聯系方式－電話、郵箱等，支付拖管費用－銀行帳號維護網站－維護網站的日志發布網站內容－內容上留下的聯系信息推廣網站，比如在其他網站發布該網站的廣告－在其他網站發布廣告留下的日志（案例：虛假銀行網站）線索（證據）的拓展（串并）環節（續）例子：發現一個網站www線索（證據）的拓展（串并）環節（續）對于網絡上的事件應該分析與該事件相關的所有行為可能留下的線索，偵查人員必須了解各類事件關聯的每一種行為可能留下的線索比如：嫌疑人使用QQ號碼這一事件QQ號碼的日志、聊天內容QQ號碼綁定的手機號碼QQ號碼沖QQ幣使用的電話號碼QQ號碼“QQ空間”中留下的信息….相對與現實生活中的線索排查的優勢：網絡上的信息留存的希望較大（嫌疑人往往無法控制信息是否留存）線索（證據）的拓展（串并）環節（續）對于網絡上的事件應該分析線索（證據）的拓展（串并）環節（續）方法二：基于線索關鍵特征的同一性拓展線索，關聯事件關鍵特征：與嫌疑人直接相關的，具有唯一性的特征比如DNA、指紋是與嫌疑人直接相關的關鍵特征，兩個人具有相同的這一關鍵特征的概率非常小這是利用DNA開展串案、利用指紋搞“指紋會戰”的基本原理線索（證據）的拓展（串并）環節（續）方法二：基于線索關鍵特征DNA※指紋：利用關鍵特征的同一性關聯兩個事件相關的線索案件3案件2案件4DNA/指紋案件1線索A線索B線索C線索D線索EDNA※指紋：利用關鍵特征的同一性關聯兩個事件相關的線索案件問題：網絡上的“DNA/指紋”是什么呢？郵箱地址QQ號碼網站論壇用戶名電話號碼？用戶IP地址所有與嫌疑人相關的具有唯一性的信息都可以做為“DNA/指紋”問題：網絡上的“DNA/指紋”是什么呢？郵箱地址QQ號碼網站網絡DNA/指紋：IP地址/時間

利用IP地址的一致性畫出用戶上網活動軌跡SOHUQQ本地的ICP大的論壇新浪IP&時間網絡游戲其他帳號人案例：揚言謀殺鐵道部長案網絡DNA/指紋：IP地址/時間

利用IP地址的一致性畫出用網絡DNA/指紋：復雜用戶名（adjk$%ddd）

利用用戶名的一致性關聯不同的網絡應用聊天室QQ論壇郵箱P2P用戶名網絡游戲個人網站網絡DNA/指紋：復雜用戶名（adjk$%ddd）

利用用戶網絡DNA/指紋：復雜口令（m1dlkj%$3）

用口令的一致性關聯不同的帳號QQ號碼B論壇帳號A論壇帳號B郵箱帳號A口令郵箱帳號BQQ號碼A還可用于猜解密碼網絡DNA/指紋：復雜口令（m1dlkj%$3）

用口令的一網絡DNA/指紋：用戶的虛擬身份

用用戶的虛擬身份關聯網絡帖子（網站）網站1網站3頁面1頁面3QQ號碼頁面2網站2郵箱地址電話號碼聯系地址網絡DNA/指紋：用戶的虛擬身份

用用戶的虛擬身份關聯網絡帖線索拓展的多米諾骨牌效應線索拓展的多米諾骨牌效應線索的順線拓展

嫌疑人建設的網站網站上留下的電話號碼電話號碼綁定的QQ號碼留有QQ號碼的其他頁面頁面上留下的聯系方式犯罪事實網絡虛擬行為人現實中的自然人線索&證據線索&證據線索&證據線索&證據嫌疑人建設的網站網站上留下的電話號碼線索的順線拓展

嫌疑人建設的網站網站上留下的電話號碼電話號碼網絡拓展線索（關聯事件）具有天然優勢網絡上可用于關聯的“DNA/指紋”種類很多：無數種類的“DNA/指紋”任何與用戶直接關聯的具有唯一性的虛擬身分都可以用于串并：QQ號碼、郵箱地址、游戲帳號、IP地址/時間等等任何從概率上講重復使用的概率極小的字符串都可用于串并：復雜密碼、復雜用戶名等串并/關聯主要以數據精確比對為主，而涉網線索自身就是以數據形式表現出來，可以直接用于比對（傳統的需要采集，還存在誤差）網絡拓展線索（關聯事件）具有天然優勢網絡上可用于關聯的“DN總結計算機犯罪案件調查最基本的原理就是利用線索的關聯性將不同的線索串接在一起形成線索鏈，最終找到嫌疑人。嫌疑人很難消除其實施的各個網絡行為之間的所有關聯性案件調查人員必須掌握各種利用線索關鍵特征拓展線索的技巧總結計算機犯罪案件調查最基本的原理就是利用線索的關聯性將不同線索（證據）的拓展（串并）環節（續）方法三：基于線索多個非關鍵特征的同一性拓展線索非關鍵特征：與嫌疑人的關聯的特征，但不是僅僅屬于嫌疑人的唯一特征比如：體貌特征：耳朵形狀、嘴巴形狀、發型、斷指作案特征：作案時間、使用槍支類型、殺人方法比如：傳統刑偵可以基于嫌疑人的多個體貌特征、作案特征進行比對串案（如果只是唯一一個特征者串案的成功率較?。┚€索（證據）的拓展（串并）環節（續）方法三：基于線索多個非關線索（證據）的拓展（串并）環節（續）網絡上基于多個非關鍵特征的同一性拓展線索任何與嫌疑人有關聯的特征均可用于比對例子1：活動軌跡一致，可能是同伙或同一人網吧A/時間1網吧B/時間2網吧C/時間3QQ號碼EMAIL地址線索（證據）的拓展（串并）環節（續）網絡上基于多個非關鍵特征線索（證據）的拓展（串并）環節（續）例子2：各種特征混合使用，相似特征越多，同一性的概率越大（也可與傳統特征混合使用）網吧A/時間1均與某聯系人甲聯系過咖啡廳/時間EMAIL地址1EMAIL地址2線索（證據）的拓展（串并）環節（續）例子2：各種特征混合使用線索（證據）的拓展（串并）環節（續）方法四：基于多個人的數據進行關系圖分析基本原則有多個共同聯系人的人可能是同伙或同一人與兩個或多個嫌疑人都有聯系的人可能也是嫌疑人連接兩個嫌疑人路徑上的人員屬可疑人員聯系圖上的骨干是重點人員線索（證據）的拓展（串并）環節（續）方法四：基于多個人的數據案例：環球槍手集團案案例：環球槍手集團案網絡情報分析技術(十)分析課件案例：801專案案例：801專案案例：801專案案例：801專案（三）線索（證據）的核查環節：從線索到人從“線索到犯罪事實和人”是配偵案件的最后一個步驟，也是最為關鍵的環節。很多時候從“線索到線索”和“從線索到人”是同步進行或者交錯進行的特別是一個案件中不僅涉及一個人或者涉網證據較為重要的情況下，通常在確定某一嫌疑人身份后，還需要通過偵控、調取證據等各種方式，進一步發現涉網證據、分析案情、排查其他嫌疑人（三）線索（證據）的核查環節：從線索到人從“線索到犯罪事實線索到人的基本方法方法一：從IP地址到上網地點定位抓逃最大的優勢是準確性：通?？梢詼蚀_到在哪臺計算機上網其準確性遠優于傳統的偵察技術手段線索到人的基本方法方法一：從IP地址到上網地點線索到人的基本方法方法二：從網上線索到現實線索線索不僅可以從實到虛，還可以從虛到實一是通過嫌疑人通信內容進行排查，嫌疑人的通信內容通常能夠為確定嫌疑人的身份提供線索；二是從網絡線索通過線索關聯找到嫌疑人的現實線索；比如嫌疑人在建設網站是留下的通信方式、支付網絡費用的銀行帳號等線索到人的基本方法方法二：從網上線索到現實線索線索到人的基本方法方法三：關系人反查從嫌疑人網上關系人入手，通過確定其關系人身份后從關系人的角度倒查嫌疑人的身份線索只要從網上轉移到網下之后，就可以使用各種傳統的排查方法進行排查，如跟蹤資金流動網，排查人員關系網等線索到人的基本方法方法三：關系人反查管理措施改善網吧管理的重點打擊公用卡是網吧管理的重點改進網吧管理系統，使其支持線索串并分析功能是技術改造的主要目標例子：江蘇徐州網監50%左右的抓逃依靠網吧管