涉网犯罪侦查工作模式研究

谭建伟 朱 一

（河南警察学院 河南 475001）

0 引言

在现实社会中，计算机网络正成为许多传统犯罪的工具或媒介。目前已经出现了网络赌博、网络诈骗等犯罪形式，甚至于传统面对面实施的杀人、强奸案件也越来越多地和网络关联。这样的客观现实要求或迫使公安民警，在发生违法犯罪案件后必须从网络中寻找破案线索、搜寻犯罪证据，甚至是查获犯罪嫌疑人。

由于利用网络进行犯罪侦查不仅涉及网络技术，也涉及刑事犯罪侦查技术，更和法律运用密切相关，所以进行基于网络的犯罪侦查研究要涉及技术、法律和社会问题，不但面广，面临的困难也多。对涉及网络的犯罪实施侦查，要利用网络技术也要考虑传统侦查手段，只有这样才能快速破案。研究涉网犯罪侦查工作内容，并建立基于过程的侦查工作模型，一方面可以规范形式繁杂的侦查工作，另一方面也可以为构建网络侦查应用平台奠定基础。

1 涉网犯罪分类

涉及网络的犯罪表现有多种，分类方法和结果也各异，但是，仅从犯罪侦查的角度考虑可以把它们归为两类，一是利用网络平台从事的犯罪，二是针对网络资源实施的犯罪。两类犯罪的目的不同，实施犯罪的方法有差异，侦查的策略和方法自然不同，认清两类犯罪的本质是有效开展涉网犯罪侦查工作的关键。

1.1 利用网络实施的犯罪

在此类犯罪活动中，网络要么是实施犯罪的平台，要么是犯罪工具，网络仅是全部犯罪活动的部分内容。此类犯罪的过程通常包括以下两个阶段。

在网络中构建实施犯罪的平台或将网络作为实施犯罪的工具。在网络中构建犯罪环境或搭建网络应用平台的种类较多，有将犯罪用的计算机和服务器设置成点对点通信环境，有在互联网上构建犯罪用专门网站，也有直接利用网络通信工具进行犯罪活动。不同目的的网络环境需要不同的技术或后续工作，有些犯罪的网络环境在建成后需要经常性维护以获得更多利益，若仅把网络当作一个宣传媒介，则可能无需后期维护。

以常规或非常规的手段达到犯罪的最终目的。以经济利益为目的者想收钱，必然要利用银行、手机收费平台、其他第三方支付平台等合法途径，或直接敲诈现金，或见面接触交易，前者是考虑长期行为，犯罪涉及面宽且量大，后者仅对个别公司、个人实施犯罪。以发泄私愤为目的者，有可能持续一段时间，也有可能在实施犯罪后立即收手。达到犯罪目的行为的不确定性，使针对该类犯罪的侦查手段千差万别。

1.2 针对网络实施的犯罪

在此类犯罪活动中，网络既是实施犯罪的平台，又是行为人攻击破坏的目标，犯罪危害对象是网络资源，包括硬、软件、数据信息资源和网络系统功能。实施此类犯罪通常要精通网络技术，犯罪过程大致包括以下阶段。

侵入系统。利用系统漏洞获取口令文件，或利用木马骗取口令，或利用特殊软件直接攻击防火墙系统。侵入后若预留后门，可降低下一次入侵的难度。

获取使用特权。获取超级用户权限，才绝对拥有系统的控制权，所以超级用户将成为侵入后新一轮的攻击目标。

利用权限实施危害活动。侵入后的活动范围和获取的权限有直接关系，权限越大活动范围越广后果越严重。

清除侵入、活动记录。退出被侵入的系统前，侵入者会清除日志记录或破坏整个系统，擦掉入侵痕迹。

2 涉网犯罪侦查工作基本思路

涉网犯罪使网络成为记录犯罪痕迹的重要媒介，利用网络技术侦查犯罪自然成为重要的工作手段，然而两类涉网犯罪和网络的关系存在重大差别，实施侦查的具体方法必然也有所不同。

2.1 传统侦查手段和网侦并用

对于利用网络实施犯罪的案件，可以采用传统侦查和网侦并用方法，有些甚至完全可以采用传统的犯罪侦查思路和手段实施侦查，如控制交易环节、从作案动机反查犯罪嫌疑人、从交易中介追踪犯罪嫌疑人、利用犯罪现场信息追踪犯罪嫌疑人等。虽然有些涉网犯罪活动看似技术含量很高，实际上所需要的侦查手段可能并不复杂，如发生在郑州的杨、何网络传黄案，因开设的网站上面挂接了许多国外的广告，其牟利目的明显，所以，利用银行付款流向自然能够查获犯罪嫌疑人。当然，涉网案件过分依赖传统手段，会牵涉社会资源的配合侦查问题，对于小案或基层单位很可能成为无法逾越的障碍。在涉网犯罪的侦查工作，充分、有效地利用网络技术自然是首要选择，但是认清网络犯罪中网络的作用才能把握主动，若一味强调网络犯罪的高技术而忽视传统侦查技术并不可取，尤其是网络仅在犯罪中起工具作用的案件，传统侦查手段会起到更大或至关重要作用。

2.2 网侦主导

由于在针对网络实施的犯罪中网络承载了犯罪的全部过程，所以相关犯罪的侦查工作也必须依托网络，侦查人员要在网络中寻找犯罪活动的蛛丝马迹，只有寻“线”追踪才可能最终查获犯罪嫌疑人。以网侦为主导的侦查活动可以分为初期的线索查找阶段、获取线索后的追踪阶段和网络证据搜查阶段。

初期的手段有：网络犯罪现场勘验，固定易失证据，提取有关的网络痕迹；利用黑客的自我陶醉情结，到黑客网站、技术聊天室、BBS上查找线索；监控犯罪嫌疑人预留的“后门”，等待下一次侵入；恢复被破坏的日志记录和文件，查找登录线索。

中期的手段主要是IP地址的追踪，在获取犯罪嫌疑人的踪迹后，可利用专门的监控软件和ISP的信息追查犯罪嫌疑人实施犯罪的IP地址，并以此为突破口寻觅与此关联的其他网络标记，尽快锁定犯罪嫌疑人活动的具体位置，达到以IP地址找“人”的最终目的。

后期工作主要是网络搜查取证。取证工作必须做到取证程序合法、过程无侵权，扣押合理，对于扣押的证据要妥善保管，既要能够证明证据的可靠性，也要避免数据丢失的可能性。通常要求取证遵循合法性、准确性、及时性、全面性、专业人员收集证据原则和专门技术、工具收集证据原则。

2.3 网侦主要手段

获取网络追踪线索是网侦的首要任务，有目的监控是追踪犯罪嫌疑人的有效手段，在查获和网络犯罪有关的设备后利用数据恢复技术、文件指纹特征分析技术、残留数据分析技术等，可以获取证据。

2.3.1 网上线索查找

充分利用网络工具在网上查找案件线索是网络侦查的重要手段，主要包括以下内容。

根据案情在相关网站检索与案件有关的信息。犯罪嫌疑人利用网络实施犯罪活动，必然会在网上留下线索或活动痕迹，因此，根据案情制定有目的网络线索查找方案，确定查找的信息内容和网站，进行案件线索查找是网侦重要的前期手段。

有针对性分析网络通信记录。若案件能和网络通信记录关联，则可以利用时间二维表分析法查找指定时间段内的线性活动轨迹，也可以利用时间坐标网格分析多对象关系。在平面坐标中标注多个对象的活动情况，既可以判断多个对象彼此之间的关系，也可以根据坐标点的疏密确定网络活动中的主次关系，该方法常用于多对象并发活动的网络行为分析。

专业数据库信息查询。若能在犯罪现场获取有价值的物证痕迹等信息，可以此为线索在相关专业数据库中查找与之关联的信息，扩展搜查范围甚至直接锁定犯罪嫌疑人，故宫盗窃案的侦破过程就是典型的应用案例。

2.3.2 网上监控

许多证据需要在侦控对象实施网络行为的过程中获取，因此，网络监视是发现、获取证据、查获犯罪嫌疑人的必要手段。常见的网上监控包括事件监控、全内容监控、陷阱跟踪监控等。

（1）判断是否需要监控

是否需要进行网络监控要视情况而定，基本准则是网络监控能获取更多证据时，需要网络监控。为了方便判断可提前设定基本条件，满足条件进行网络监控。基本条件可条目罗列，如涉网犯罪活动会持续进行、已收集的证据不足以查获行为人或定罪、涉网络犯罪现场发现行为人预留的后门……。

（2）监控中必须考虑的问题

监控中既要考虑技术问题，也要重视法律问题，其中最重要的是证据记录问题。证据记录的方法因监控目的而异，仅仅是为了发现犯罪线索的监控记录方式可以灵活多样，若准备将获取的内容作为法庭证据使用，就必须满足来源合法性、形式合法性的证据要求。

①事件监控的证据记录

对特定事件监控有明确的目的性，最好使用第三方的监控软件记录特定活动情况，可以是网络服务提供商的服务记录，也可以使用屏幕录像的方式直接从屏幕上记录活动情况。事件监视获取证据具有较大的动态性，必须采取合法的方法收集并及时固定证据。对于监控程序自动记录的内容应采用必要方法，使其具有抗修改性或采用辅助证明方式提高能证性。

②全内容监控的问题

直接从通信信道上收集原始数据包进而获取信息的方法称为全内容监控。在网上监控需要建立获取全部通信内容的监视系统，此工作既面临法律因素制约，也有对网络正常运行影响问题，不慎重考量可能引起法律官司或干扰正常网络通信，从而使问题复杂化。

③非内容信息记录

陷阱跟踪能获取非内容信息，可用于发现异常现象、确定信息源头。若从捕获的信息中，解析得到源IP和源端口、目标IP和目标端口等数据，就可以判别真伪进而发现问题。陷阱跟踪的输出文件是所有经过网络适配器的通信报头信息，信息记录量庞大，对繁忙网络影响较大。

2.3.3 IP地址追踪

利用网络监控获取信息源IP地址，可寻址追踪查获信息源头，但判断真假是首要工作。IP地址有静态和动态之分，无论用户使用哪种IP地址，ISP都有相应的使用记录，可以直接从ISP的服务器中提取。ISP的IP地址使用记录信息量大，查询历史纪录得到的IP地址又要和用户关联才能体现利用价值，所以检索查询工作量大且有难度。

3 基于过程的涉网犯罪侦查工作模型

建立涉及计算机网络的犯罪侦查模型，既是规范涉网犯罪侦查工作的需要，也是犯罪侦查工作信息化的基础。针对不同的涉网犯罪形式，应采取不同的工作模型。

利用网络从事的大量犯罪活动与传统犯罪形式密切关联，因此，传统侦查技术在侦查涉网犯罪过程中起着至关重要的作用，侦查工作模型框图可以用图1表示。在针对网络的犯罪活动中，虽然犯罪线索、证据需要在网络上搜集，最后缉捕犯罪嫌疑人的相关工作也必须在网下进行，因此，犯罪侦查的完整过程必然包含传统犯罪侦查的工作内容，侦查工作模型框图可以用图2表示。

图1 侦查工作模型框图

图2 改进后侦查工作模型框图

4 涉网犯罪侦查工作模型的形式化描述

基于涉网犯罪侦查工作模型框图1的Petri网犯罪侦查工作模型包含5种元素：工作过程位置P、控制R、转换T、输入函数I及输出函数O，即C=（P，R，T，I，O），其中：

P={P1，P2，P3，P4，P5，P6}

R={R1，R2，R3，}

T={t1，t2，t3，t4，t5，t6}

I（t1）={P1，R1}

I（t2）={P2，R2}

I（t3）={P1，R3}

……

O（t1）={P2}

O（t2）={P4}

……

图3 图1用Petri网描述的犯罪侦查工作模型

图3是图1用Petri网描述的犯罪侦查工作模型，由于最终输出明确，不需要增加控制性元素。

5 结语

针对不同的涉网犯罪应采用不同的侦查策略，若一味强调涉网络犯罪的高技术性，忽略传统侦查技术的作用，可能导致侦查成本增加，甚至使侦查工作陷入绝境。侦查利用网络实施的犯罪活动需要网上和网下同时工作，传统侦查手段有时可能取代网络侦查。侦查针对网络的犯罪多数以网侦为主，网下的工作有限。总之，基于过程的涉网犯罪侦查工作思路给出了案件侦破的基本流程，希望能够为具体案件侦办工作提供帮助。

[1]李文燕等.计算机犯罪研究[M].北京：中国方正出版社.2001.

[2]谭建伟.计算机证据调查的推理[J].网络安全技术与应用.2009.

[3]孟凡民.网络犯罪侦查取证措施探析[J].信息网络安全.2010.