论网络侦查

梅 蓉

（南京森林警察学院 侦查系，江苏 南京 210023）

信息化时代的重要特征就是数据化、网络化和信息化。通常我们提到的网络，指的是计算机网络、电信网络和有线电视网络，其中计算机网络发展最快且在很多领域发挥着重要作用。网络正改变着人们工作、学习、生活、娱乐等方式，网络给我们带来便捷的同时，利用网络实施犯罪的案件正以各种形式逐渐呈现出来。在现实物理空间中，犯罪嫌疑人只要实施作案，都会留下蛛丝马迹。在虚拟空间中犯罪嫌疑人实施犯罪，同样也会在电子设备上留下痕迹，侦查人员利用网络开展侦查工作成为必然趋势。此外，犯罪嫌疑人或者关系人具有网络行为，公安机关可以根据网络上留下的痕迹辅助侦查，获取更多侦查线索。

一、网络侦查的概念

到目前为止，网络侦查在学理上还没有统一的概念。个人以为，网络侦查是指侦查主体在侦查破案过程中，以计算机网络技术、数据库技术、数据挖掘技术、电子取证技术、情报获取和分析技术等为支撑，借助于公安专用网络、互联网以及其他专用网，按照法定程序，采取合适的网络侦查技术对侦查对象网络通信痕迹、通信数据流等进行分析，从而获得犯罪线索和证据，查获犯罪嫌疑人的一种侦查手段。早期网络侦查的范围主要是破坏计算机网络、非法侵入计算机系统以及非法窃取计算机信息等案件，随着网络的普及以及各类应用软件的出现，特别是移动网络技术的发展，网络侦查的范围不断扩大，如网络色情犯罪、网络传销、网络走私犯罪、网络诈骗、网络赌博等案件。各类网络犯罪案件的频繁出现推进了网络侦查的发展，网络侦查已经成为信息化时代侦查工作不可缺少的手段。网络社会是人类社会发展的延伸，人们自然地穿梭在网络社会与人类社会中，犯罪嫌疑人也不例外。因此，无论是涉及网络犯罪的案件还是非涉网的犯罪案件，犯罪嫌疑人均可能与网络有着直接或者间接的接触，从而在网络空间中留下电子痕迹。侦查工作要求侦查人员挖掘出这些电子痕迹，再结合其他信息综合分析，达到揭露犯罪事实、证实犯罪、抓获犯罪嫌疑人的目的。

二、网络侦查的特点

网络侦查作为一种专门在网络环境下开展侦查工作的手段，有着不同于其他侦查手段的特点。

（一）网络犯罪案件种类繁多，案件均不易发现

网络犯罪案件作案形式、手段多样化，犯罪嫌疑人为了逃避打击、非法谋取利益，总是在想方设法地使用闻所未闻的形式或者手段实施违法犯罪。常见的、多发的网络犯罪案件有网络诈骗、网络色情传播犯罪、制作和传播计算机病毒犯罪、入侵网络或者针对计算机进行一些非法操作以窃取他人资料等案件。由于网络世界是一个无国度、无边界的世界，作案不受时间和地点的限制，行为与结果相分离，作案在分秒中完成，使得案件不易被发现。有些案件虽可通过网络监控及时发现和制止，但绝大多数案件无法在第一时间发现。

（二）技术依赖性强

随着网络技术的发展和应用的更新，越来越多的传统犯罪如盗窃、色情、诈骗、赌博、买卖枪支等以网络为平台，产生了新型的网络犯罪，且犯罪的类型、手段也在随之发生变化。网络违法犯罪正在朝着越来越技术化、越来越隐蔽化、越来越多元化的方向发展，公安机关打击网络犯罪案件的难度愈来愈大。从取证的角度来看，犯罪嫌疑人的登录网页、电子邮件、网络中保存的文件、聊天记录、服务器日志等都可以作为重要证据使用。这些证据属于电子证据，但电子证据具有不唯一、不稳定等特点，只要犯罪嫌疑人具有计算机专业知识，犯罪的电子痕迹易被专业清除，使得电子证据很难恢复。对于一些计算机处理高手，可以远程删除服务器日志，使得电子证据不复存在。很多基层公安部门缺乏网络侦查设备和网络侦查专业人员，很多证据难以及时提取和固定，给后续工作带来了困难。就目前情况来看，随着计算机网络新技术和新产品的不断涌现，计算机网络技术远远超过了网络侦查技术，通过源IP地址确定犯罪嫌疑人的身份逐渐成为难点，很多案件也表明了源IP地址越来越难以确定。如犯罪嫌疑人会使用移动上网、代理上网、跨越多个服务器、控制多台他人电脑等手段来隐藏真实的IP地址，藏匿踪迹。因此，网络侦查要求侦查人员必须具备较强的网络管理、处理和分析技术，同时在案件侦查过程中能查找出相关的视频信息、手机信息、银行卡信息、身份信息等，能通过相关的技术手段与网络侦查技术相整合，迅速锁定犯罪嫌疑人。

（三）提取证据困难

由于网络违法犯罪都是在基于网络硬件和软件为物理和技术基础的虚拟空间发生的，难以追查到犯罪嫌疑人的身份和实际住所。网络犯罪案件的很多证据都是以电子数据的形式存在，证据容易销毁，相关证据的提取要有网络技术的支持。众多代理服务器的存在以及庞大的数据，使得取证难度较大。一般网络犯罪的过程与时间越长，留下的电子痕迹越多，被发觉的可能性越大，获取的证据也越多。但是，很多网络犯罪都是在毫秒之间发生的，很少留下痕迹，使得证据获取难度加大。另外，一些犯罪嫌疑人作案后都会清理系统，进行永久性删除、重新分区格式化、格式化后覆盖文件再格式化再覆盖文件等，或者删除服务器上的日志数据、系统数据等，使得目前的数据恢复技术无法恢复出数据。在这种情况下，证据提取更是举步艰难。一些跨国网络犯罪，或者作案的服务器在国外的违法犯罪案件，在提取证据方面均非常困难，很难直接提取到一些重要证据。对于一些涉案范围广、地域跨越大的网络犯罪案件（如网络诈骗案件），由于各个受案单位按照管辖的范围各自办案，如果不能及时确定主要管辖单位，将无法全面、充分、及时地获取犯罪证据。

三、网络侦查的作用

（一）实时监控，制止预谋犯罪

涉网犯罪，如网络诈骗、网络邮购毒品、网络赌球、网络卖假发票、网络传播色情犯罪等，大多不用见面，只需要在网络上联系，并把钱汇到指定账号，对方把货物邮寄过来就可完成。这种犯罪行为主要依托网络，在虚拟世界中实施犯罪。所以，侦查机关有必要直接在虚拟世界中发现和甄别犯罪线索，并实施必要的侦查行为，在网络上展开斗智斗勇的侦查谋略。主动型网上侦查既具有现实合理性，又显得尤为必要。

（二）网络跟踪定位，发现犯罪嫌疑人

由于网络用户都有一个身份证号——IP地址，可以借助IP地址来定位犯罪嫌疑人。首先根据涉案的网站、聊天工具等查找到提供服务的服务器，由服务器提供的数据和日志查找具体的ISP网络服务商，再由ISP网络服务商提供出涉案IP地址的具体地理位置、登记人信息等。若服务器在国外，可借助于跨国协作，通过技术手段对犯罪嫌疑人进行定位，从而抓获犯罪嫌疑人。

（三）收集犯罪证据和线索

在网络侦查过程中，要及时收集犯罪证据和线索。由于网络数据流的传输都有关键的设备进行记录，这为侦查人员发现线索和提取证据提供了条件。这些关键的软硬件设备包含作案的主机、防火墙、代理服务器、网站服务器等。一些作案的主机无法快速确定，通常都是通过涉案网站服务器或者代理服务器提取服务器内的数据以及管理员的维护日志，查找犯罪嫌疑人的行迹和网上虚拟的身份、作案手段以及其他的网络行为，从而拓展侦查线索。当确定了犯罪嫌疑人的IP地址，可对其实时监控，收集犯罪证据和线索。抓捕犯罪嫌疑人时，应及时对嫌疑人的电脑和网络设备进行勘验，收集和固定犯罪证据。若涉案的服务器位于国外，要及时通过下载、截屏等形式对证据进行固定，通过技术手段明确犯罪嫌疑人的活动轨迹，对网上行为进行远程勘验取证。

四、网络侦查的条件

（一）网络侦查的首要条件

网络侦查的首要条件是犯罪嫌疑人或者关系人是使用过或者正在使用计算机网络的网民。以计算机网络系统为侵害对象或者以计算机网络系统为工具的案件侦查，均离不开网络侦查手段。对于非涉网案件，如果犯罪嫌疑人是网民，也可以采用网络侦查手段侦办案件。网络侦查工作就是查找犯罪嫌疑人使用的网络电子痕迹。犯罪嫌疑人只要使用网络产生了信息流，就有可能在多个设备里留下了通信痕迹。这些痕迹的表现形式主要有文字、数据、图片、视频、表格等，痕迹的载体主要为各类服务器、主机、防火墙等。

（二）网络侦查的技术条件

网络作为虚拟空间，与物理空间有着较大的差异。网络的开放性、隐蔽性、跨越时空性、数据海量性以及数据高速流转性为各类网络犯罪提供了有利条件。因此，网络犯罪案件侦查破案难度较大，对侦查人员的侦查技术水平要求较高。

1.计算机网络技术

计算机网络技术是计算机技术和通信技术发展的产物。计算机网络是按照通信协议将全世界的计算机通过互联设备和连接介质（有线介质或者无线介质）连接起来。计算机网络是在硬件设备、操作系统、网络管理软件、通信协议的共同协调下，实现数据的传递和共享。网络犯罪实际上就是犯罪行为人利用网络存在的漏洞、弊端、功能等实施犯罪。在网络犯罪案件特别是以计算机作为对象的网络犯罪案件中，普通人很难躲避计算机系统的安全防范关卡，破译密码、植入程序、窃取数据、删除日志等实属不易。入侵侵害目标的系统的操作程序较复杂，有些需要入侵者编译程序，因此很多案件多为计算机专业人士所为。由于犯罪行为人懂得如何隐藏自己，删除电子痕迹，侦办此类案件的难度很大。因此，侦查人员要开展网络侦查工作，必须掌握计算机网络基础原理和网络侦查技术，从根本上把握网络犯罪的实施方法，再对症下药，快速锁定犯罪嫌疑人。

2.数据恢复技术

数据恢复技术是指通过各种手段将丢失或者毁坏的数据恢复为正常数据。导致数据毁坏或者丢失的原因主要分为两类：一类是软件原因，由病毒感染、误删除、系统故障引起；一类是硬件原因，由磁头损坏、伺服软件的损坏、电路板的损坏等引起。因此，数据恢复技术分为软件数据恢复和硬件数据恢复。软件数据的恢复通过一些专业软件就可以复原，而硬件数据恢复对环境、人员的专业知识要求较高，可请专业人士进行。在案件侦查过程中，经常会发现犯罪嫌疑人作案之后销毁电子痕迹，为了获取证据和线索，侦查人员必须使用数据恢复技术恢复故意删除的数据。

3.网络镜像技术

网络镜像就是将指定端口的报文或者符合指定规则的报文复制到目的端口。利用镜像技术，可对网络进行网络监管和故障排除。镜像技术包括三种方式：本地端口镜像、远程端口镜像、流镜像。本地端口镜像是指将设备的一个或多个源端口的报文复制到本设备的一个目的端口，用于报文的分析和监视。其中，源端口和目的端口位于同一个本地镜像组中。远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，使源端口和目的端口间可以跨越多个网络设备。流镜像，即将指定的数据包复制到用户指定的目的地，以进行网络检测和故障排除。流镜像分为三种：流镜像端口、流镜像CPU、流镜像VLAN。网络镜像技术是侦查人员为了监控侦查对象的数据流，获取证据而采用的一种侦查手段。

4.网络入侵技术

网络入侵技术是黑客或者骇客所精通的技术，黑客或者骇客通过入侵技术，进入他人的计算机，任意修改、删除、窃取信息，甚至破坏计算机系统。侦查人员使用入侵技术，并不是为了破坏或者窃取信息，主要的目的是为了获取线索或者证据，对犯罪嫌疑人进行监控。网络入侵技术主要分为系统弱密码入侵、利用CGI/IIS漏洞入侵、BufferOverflow入侵、DOS/DDOS攻击、IPSpoof入侵、网络监听、数据库弱密码入侵等。

5.数据分析技术

数据分析技术是指在已经获取的数据流或信息流中寻找、匹配关键词或关键短语的技术。数据分析技术包括文件属性分析技术；文件数字摘要分析技术；日志分析技术；根据已获得的文件或数据的用词，语法和写作(编程)风格，进而推断其可能作者的技术；发掘同一事件的不同证据间联系的分析技术；数据解密技术；密码破译技术；对电子介质中被保护的信息强行访问的技术(如无须密码进入系统,系统漏洞)。在网络侦查的过程中，为了获取犯罪嫌疑人的IP地址、网上活动的轨迹，需要使用到日志分析技术；为了监控犯罪嫌疑人的网络行为，提取证据，在法定程序允许的情况下可借助于系统漏洞、密码破译技术远程入侵嫌疑人的主机。

（三）网络侦查的必备条件

专业化队伍的建设是网络侦查的必备条件。网络侦查对侦查主体的专业知识要求比较高，没有相关专业知识的侦查人员开展工作时盲目性大、人力成本高、办案效率低，可能贻误最佳的作战时机，甚至“帮助”犯罪嫌疑人脱逃。网络侦查人员除应具备一般侦查人员的专业素质外，还应熟悉TCP/IP网络协议的运作流程，对网络上常见的操作系统有深入的研究，熟练掌握各种操作系统的操作、编程、加密、解密，掌握入侵技术和计算机取证技术等。网络侦查专业化队伍除了侦办涉网的案件外，还应协助刑侦、技侦、图侦人员，为他们提供与互联网有关的办案线索。由于网络犯罪属于高科技犯罪，因此侦查机关必须不断研究侦查对策和方法，提高网络侦查技术水平并加快网络侦查装备的研发。网络侦查更多的是被动型侦查，要争取主动权，必须增加资金投入，加大侦查装备的研发力度。随着技术的发展，特别是移动互联网的普及，很多的案件线索都来源于网络。为此，网络侦查专业队伍的工作量大、任务重，有必要将一些网络侦查的基本方法传授给其他侦查人员。

[1]李双其.网络犯罪侦查[J].中国人民公安大学学报,2001(3).

[2]刘品新.论网络时代侦查模式的转变[J].山东警察学院学报,2006(1).

[3]李栋.计算机网络犯罪的侦查与防控探析[J].政法学刊,2014(3).