網(wǎng)絡(luò)情報分析技術(shù)(十)分析課件

基于網(wǎng)絡(luò)情報的案件偵查的三個環(huán)節(jié)1．線索（證據(jù)）的發(fā)現(xiàn)環(huán)節(jié)從“無線索”到“有線索”2．線索（證據(jù)）的拓展（串并）環(huán)節(jié)從“有線索”到“更多線索”

3．線索（證據(jù)）的核查環(huán)節(jié)從“線索”到“人”基于網(wǎng)絡(luò)情報的案件偵查的三個環(huán)節(jié)1．線索（證據(jù)）的發(fā)現(xiàn)環(huán)節(jié)二、線索的發(fā)現(xiàn)環(huán)節(jié)方法一：基于特征的同一性，排查與嫌疑人基本特征具有同一性的涉網(wǎng)線索

在很多案件中一開始并不知道嫌疑人是誰，犯罪現(xiàn)場也沒有計算機(jī)相關(guān)設(shè)備比如：在路上發(fā)生一起殺人案問題：這種案件網(wǎng)監(jiān)是否需要介入調(diào)查？二、線索的發(fā)現(xiàn)環(huán)節(jié)方法一：基于特征的同一性，排查與嫌疑人基本（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）案例：2005年10月29日11時20分許，湖北仙桃市電信分局局長王先洋（下班步行到沔城鎮(zhèn)電信分局基建工地時，兩名身份不明的男青年持刀將其砍成重傷后逃逸網(wǎng)監(jiān)介入調(diào)查，假定嫌疑人上網(wǎng)，那么：嫌疑人特征：在10月29日前幾天可能在本地上網(wǎng)，案發(fā)后逃逸排查方法：凡在10月26日至10月29日之間在當(dāng)?shù)氐卿涍^而其后的一段時間內(nèi)未在當(dāng)?shù)爻霈F(xiàn)過的QQ號碼即是嫌疑數(shù)據(jù)原理：這些QQ號碼活動特征與嫌疑人的活動特征一致（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）案例：2005年10月29日11時（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）此類排查方法已逐步被各地網(wǎng)監(jiān)部門廣泛使用：如東莞“3.7”滅門案傳統(tǒng)的“嫌疑人畫像”的方法同樣可以用于計算機(jī)犯罪案件的線索分析排查的基本原理就是：充分掌握嫌疑人的各種特征，找出與其特征完全相符的涉網(wǎng)線索。比如：地理活動軌跡特征：一個流竄殺人案中，嫌疑人在廣東、福建、河北連續(xù)殺人，那么可以排查所有與其活動軌跡時間相同的網(wǎng)絡(luò)線索人員特征：案例：801專案，經(jīng)審訊，知道某一未知嫌疑人在空軍蘭州醫(yī)院當(dāng)醫(yī)生，并且姓陳。排查：在蘭州空軍醫(yī)院上過網(wǎng)，且姓陳的人員（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）此類排查方法已逐步被各地網(wǎng)監(jiān)部門廣（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法二：基于現(xiàn)實社會與虛擬社會的互聯(lián)互通特性，從現(xiàn)實社會線索反查其映射到虛擬社會的線索

隨著網(wǎng)絡(luò)的廣泛應(yīng)用，各種現(xiàn)實社會活動都可能與網(wǎng)絡(luò)產(chǎn)生關(guān)聯(lián)，現(xiàn)實社會中找到的線索都可能“映射”到虛擬社會上（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法二：基于現(xiàn)實社會與虛擬社會的互（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）例如掌握嫌疑人的手機(jī)號碼：手機(jī)號碼可能用于綁定QQ號碼、手機(jī)號碼可能用于網(wǎng)上支付、嫌疑人可能在網(wǎng)上向別人提供自己手機(jī)號碼做為聯(lián)系方式掌握嫌疑人的銀行卡號：嫌疑人可能用網(wǎng)絡(luò)銀行支付嫌疑人家里有電話號碼（嫌疑人潛逃）：在...緩存中可以找到與該電話號碼有關(guān)的網(wǎng)上線索嫌疑人郵購物品：這個物品有沒有可能是上網(wǎng)購買的嫌疑人炒股：這個嫌疑人會不會通過網(wǎng)絡(luò)炒股現(xiàn)實社會中的任何線索都可能與網(wǎng)絡(luò)發(fā)生關(guān)系，線索之間存在一種映射關(guān)系（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）例如知道我的電話號碼

如何抓住我我的電話號碼我的QQ號碼知道我的電話號碼

如何抓住我我的電話號碼我的QQ號碼（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法三：基于嫌疑人的關(guān)系分析，通過嫌疑人關(guān)系人的網(wǎng)上線索反查嫌疑人的網(wǎng)上線索

當(dāng)發(fā)現(xiàn)嫌疑人的聯(lián)系人時，可先排查其聯(lián)系人的網(wǎng)上線索，然后從其聯(lián)系人的關(guān)系人入手排查符合嫌疑人特征的關(guān)系人的網(wǎng)上線索比如：發(fā)現(xiàn)嫌疑人的某聯(lián)系人后，可先排查該聯(lián)系人網(wǎng)上的虛擬身份，再進(jìn)一步排查該虛擬身份的聯(lián)系人哪些符合嫌疑人的活動規(guī)律（如活動地點(diǎn)），從而獲得嫌疑人的網(wǎng)上線索；

再如：發(fā)現(xiàn)嫌疑人有兩個聯(lián)系人，可以排查這兩個聯(lián)系人的虛擬身份后，通過其虛擬身份聯(lián)系人的交集排查嫌疑人的虛擬身份

（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法三：基于嫌疑人的關(guān)系分析，通過（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法四：通過走訪、勘驗等傳統(tǒng)排查方法

所有傳統(tǒng)的排查方法都可以用于計算機(jī)犯罪案件的線索排查網(wǎng)監(jiān)最常用的方法：通過對嫌疑人使用的計算機(jī)進(jìn)行勘驗分析，發(fā)現(xiàn)其網(wǎng)上線索（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法四：通過走訪、勘驗等傳統(tǒng)排查方（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）對于傳統(tǒng)的刑事案件，并不一定需要有明確的網(wǎng)絡(luò)線索之后網(wǎng)監(jiān)部門才能介入調(diào)查，網(wǎng)監(jiān)部門介入案件調(diào)查的第一步并不是配合“調(diào)查涉網(wǎng)線索”，而應(yīng)當(dāng)是配合“排查涉網(wǎng)線索”以往計算機(jī)犯罪案件調(diào)查的思路是“有了網(wǎng)上線索找網(wǎng)監(jiān)”，而未來進(jìn)一步推進(jìn)的思路是“有了案件找網(wǎng)監(jiān)排查涉網(wǎng)線索”（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）對于傳統(tǒng)的刑事案件，并不一定需要有（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）在指揮辦理任何案件時，在沒有涉網(wǎng)線索時都應(yīng)該考慮幾個問題：這些線索是否可能和網(wǎng)絡(luò)發(fā)生關(guān)系利用網(wǎng)絡(luò)是否能夠排查出符合嫌疑人特征的線索嫌疑人上網(wǎng)的計算機(jī)會不會留下線索從嫌疑人的關(guān)系人入手是否可以排查出涉網(wǎng)線索（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）在指揮辦理任何案件時，在沒有涉網(wǎng)線（二）線索（證據(jù)）的拓展（串并）環(huán)節(jié)

單一的案件線索往往容易因為“斷線”而導(dǎo)致無法進(jìn)一步核查偵辦配偵案件的第二步是進(jìn)行擴(kuò)線工作，以尋找與犯罪嫌疑人相關(guān)的更多的涉網(wǎng)線索，拓展線索的同時也是發(fā)現(xiàn)涉網(wǎng)犯罪事實的過程拓展線索的基本原理是基于線索之間的“關(guān)聯(lián)性”將不同的線索串并在一起，同時必須具備認(rèn)定線索與嫌疑人關(guān)系的條件（二）線索（證據(jù)）的拓展（串并）環(huán)節(jié)單一的案件線索往往容易線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法一：基于事件的同一性拓展線索原理：在同一個事件中發(fā)現(xiàn)的線索通常屬于同一嫌疑人或作案團(tuán)伙一個入屋搶劫殺人事件中：入屋留下的指紋、掉下的頭發(fā)的DNA、殺人用的槍支特征、案發(fā)時門口的監(jiān)控錄像留下的人像特征線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法一：基于事件的同一性線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）例子：發(fā)現(xiàn)一個網(wǎng)站，哪些方法去發(fā)現(xiàn)與該網(wǎng)站有關(guān)的線索呢？建設(shè)網(wǎng)站這一個事件通常需要有以下步驟注冊域名并支付域名費(fèi)用：登記該域名留下的聯(lián)系方式－電話、郵箱等，支付該域名的費(fèi)用－銀行帳號托管該域名對應(yīng)的主機(jī)并支付拖管費(fèi)用：拖管時留下的聯(lián)系方式－電話、郵箱等，支付拖管費(fèi)用－銀行帳號維護(hù)網(wǎng)站－維護(hù)網(wǎng)站的日志發(fā)布網(wǎng)站內(nèi)容－內(nèi)容上留下的聯(lián)系信息推廣網(wǎng)站，比如在其他網(wǎng)站發(fā)布該網(wǎng)站的廣告－在其他網(wǎng)站發(fā)布廣告留下的日志（案例：虛假銀行網(wǎng)站）線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）例子：發(fā)現(xiàn)一個網(wǎng)站www線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）對于網(wǎng)絡(luò)上的事件應(yīng)該分析與該事件相關(guān)的所有行為可能留下的線索，偵查人員必須了解各類事件關(guān)聯(lián)的每一種行為可能留下的線索比如：嫌疑人使用QQ號碼這一事件QQ號碼的日志、聊天內(nèi)容QQ號碼綁定的手機(jī)號碼QQ號碼沖QQ幣使用的電話號碼QQ號碼“QQ空間”中留下的信息….相對與現(xiàn)實生活中的線索排查的優(yōu)勢：網(wǎng)絡(luò)上的信息留存的希望較大（嫌疑人往往無法控制信息是否留存）線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）對于網(wǎng)絡(luò)上的事件應(yīng)該分析線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法二：基于線索關(guān)鍵特征的同一性拓展線索，關(guān)聯(lián)事件關(guān)鍵特征：與嫌疑人直接相關(guān)的，具有唯一性的特征比如DNA、指紋是與嫌疑人直接相關(guān)的關(guān)鍵特征，兩個人具有相同的這一關(guān)鍵特征的概率非常小這是利用DNA開展串案、利用指紋搞“指紋會戰(zhàn)”的基本原理線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法二：基于線索關(guān)鍵特征DNA※指紋：利用關(guān)鍵特征的同一性關(guān)聯(lián)兩個事件相關(guān)的線索案件3案件2案件4DNA/指紋案件1線索A線索B線索C線索D線索EDNA※指紋：利用關(guān)鍵特征的同一性關(guān)聯(lián)兩個事件相關(guān)的線索案件問題：網(wǎng)絡(luò)上的“DNA/指紋”是什么呢？郵箱地址QQ號碼網(wǎng)站論壇用戶名電話號碼？用戶IP地址所有與嫌疑人相關(guān)的具有唯一性的信息都可以做為“DNA/指紋”問題：網(wǎng)絡(luò)上的“DNA/指紋”是什么呢？郵箱地址QQ號碼網(wǎng)站網(wǎng)絡(luò)DNA/指紋：IP地址/時間

利用IP地址的一致性畫出用戶上網(wǎng)活動軌跡SOHUQQ本地的ICP大的論壇新浪IP&時間網(wǎng)絡(luò)游戲其他帳號人案例：揚(yáng)言謀殺鐵道部長案網(wǎng)絡(luò)DNA/指紋：IP地址/時間

利用IP地址的一致性畫出用網(wǎng)絡(luò)DNA/指紋：復(fù)雜用戶名（adjk$%ddd）

利用用戶名的一致性關(guān)聯(lián)不同的網(wǎng)絡(luò)應(yīng)用聊天室QQ論壇郵箱P2P用戶名網(wǎng)絡(luò)游戲個人網(wǎng)站網(wǎng)絡(luò)DNA/指紋：復(fù)雜用戶名（adjk$%ddd）

利用用戶網(wǎng)絡(luò)DNA/指紋：復(fù)雜口令（m1dlkj%$3）

用口令的一致性關(guān)聯(lián)不同的帳號QQ號碼B論壇帳號A論壇帳號B郵箱帳號A口令郵箱帳號BQQ號碼A還可用于猜解密碼網(wǎng)絡(luò)DNA/指紋：復(fù)雜口令（m1dlkj%$3）

用口令的一網(wǎng)絡(luò)DNA/指紋：用戶的虛擬身份

用用戶的虛擬身份關(guān)聯(lián)網(wǎng)絡(luò)帖子（網(wǎng)站）網(wǎng)站1網(wǎng)站3頁面1頁面3QQ號碼頁面2網(wǎng)站2郵箱地址電話號碼聯(lián)系地址網(wǎng)絡(luò)DNA/指紋：用戶的虛擬身份

用用戶的虛擬身份關(guān)聯(lián)網(wǎng)絡(luò)帖線索拓展的多米諾骨牌效應(yīng)線索拓展的多米諾骨牌效應(yīng)線索的順線拓展

嫌疑人建設(shè)的網(wǎng)站網(wǎng)站上留下的電話號碼電話號碼綁定的QQ號碼留有QQ號碼的其他頁面頁面上留下的聯(lián)系方式犯罪事實網(wǎng)絡(luò)虛擬行為人現(xiàn)實中的自然人線索&證據(jù)線索&證據(jù)線索&證據(jù)線索&證據(jù)嫌疑人建設(shè)的網(wǎng)站網(wǎng)站上留下的電話號碼線索的順線拓展

嫌疑人建設(shè)的網(wǎng)站網(wǎng)站上留下的電話號碼電話號碼網(wǎng)絡(luò)拓展線索（關(guān)聯(lián)事件）具有天然優(yōu)勢網(wǎng)絡(luò)上可用于關(guān)聯(lián)的“DNA/指紋”種類很多：無數(shù)種類的“DNA/指紋”任何與用戶直接關(guān)聯(lián)的具有唯一性的虛擬身分都可以用于串并：QQ號碼、郵箱地址、游戲帳號、IP地址/時間等等任何從概率上講重復(fù)使用的概率極小的字符串都可用于串并：復(fù)雜密碼、復(fù)雜用戶名等串并/關(guān)聯(lián)主要以數(shù)據(jù)精確比對為主，而涉網(wǎng)線索自身就是以數(shù)據(jù)形式表現(xiàn)出來，可以直接用于比對（傳統(tǒng)的需要采集，還存在誤差）網(wǎng)絡(luò)拓展線索（關(guān)聯(lián)事件）具有天然優(yōu)勢網(wǎng)絡(luò)上可用于關(guān)聯(lián)的“DN總結(jié)計算機(jī)犯罪案件調(diào)查最基本的原理就是利用線索的關(guān)聯(lián)性將不同的線索串接在一起形成線索鏈，最終找到嫌疑人。嫌疑人很難消除其實施的各個網(wǎng)絡(luò)行為之間的所有關(guān)聯(lián)性案件調(diào)查人員必須掌握各種利用線索關(guān)鍵特征拓展線索的技巧總結(jié)計算機(jī)犯罪案件調(diào)查最基本的原理就是利用線索的關(guān)聯(lián)性將不同線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法三：基于線索多個非關(guān)鍵特征的同一性拓展線索非關(guān)鍵特征：與嫌疑人的關(guān)聯(lián)的特征，但不是僅僅屬于嫌疑人的唯一特征比如：體貌特征：耳朵形狀、嘴巴形狀、發(fā)型、斷指作案特征：作案時間、使用槍支類型、殺人方法比如：傳統(tǒng)刑偵可以基于嫌疑人的多個體貌特征、作案特征進(jìn)行比對串案（如果只是唯一一個特征者串案的成功率較?。┚€索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法三：基于線索多個非關(guān)線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）網(wǎng)絡(luò)上基于多個非關(guān)鍵特征的同一性拓展線索任何與嫌疑人有關(guān)聯(lián)的特征均可用于比對例子1：活動軌跡一致，可能是同伙或同一人網(wǎng)吧A/時間1網(wǎng)吧B/時間2網(wǎng)吧C/時間3QQ號碼EMAIL地址線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）網(wǎng)絡(luò)上基于多個非關(guān)鍵特征線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）例子2：各種特征混合使用，相似特征越多，同一性的概率越大（也可與傳統(tǒng)特征混合使用）網(wǎng)吧A/時間1均與某聯(lián)系人甲聯(lián)系過咖啡廳/時間EMAIL地址1EMAIL地址2線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）例子2：各種特征混合使用線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法四：基于多個人的數(shù)據(jù)進(jìn)行關(guān)系圖分析基本原則有多個共同聯(lián)系人的人可能是同伙或同一人與兩個或多個嫌疑人都有聯(lián)系的人可能也是嫌疑人連接兩個嫌疑人路徑上的人員屬可疑人員聯(lián)系圖上的骨干是重點(diǎn)人員線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法四：基于多個人的數(shù)據(jù)案例：環(huán)球槍手集團(tuán)案案例：環(huán)球槍手集團(tuán)案網(wǎng)絡(luò)情報分析技術(shù)(十)分析課件案例：801專案案例：801專案案例：801專案案例：801專案（三）線索（證據(jù)）的核查環(huán)節(jié)：從線索到人從“線索到犯罪事實和人”是配偵案件的最后一個步驟，也是最為關(guān)鍵的環(huán)節(jié)。很多時候從“線索到線索”和“從線索到人”是同步進(jìn)行或者交錯進(jìn)行的特別是一個案件中不僅涉及一個人或者涉網(wǎng)證據(jù)較為重要的情況下，通常在確定某一嫌疑人身份后，還需要通過偵控、調(diào)取證據(jù)等各種方式，進(jìn)一步發(fā)現(xiàn)涉網(wǎng)證據(jù)、分析案情、排查其他嫌疑人（三）線索（證據(jù)）的核查環(huán)節(jié)：從線索到人從“線索到犯罪事實線索到人的基本方法方法一：從IP地址到上網(wǎng)地點(diǎn)定位抓逃最大的優(yōu)勢是準(zhǔn)確性：通?？梢詼?zhǔn)確到在哪臺計算機(jī)上網(wǎng)其準(zhǔn)確性遠(yuǎn)優(yōu)于傳統(tǒng)的偵察技術(shù)手段線索到人的基本方法方法一：從IP地址到上網(wǎng)地點(diǎn)線索到人的基本方法方法二：從網(wǎng)上線索到現(xiàn)實線索線索不僅可以從實到虛，還可以從虛到實一是通過嫌疑人通信內(nèi)容進(jìn)行排查，嫌疑人的通信內(nèi)容通常能夠為確定嫌疑人的身份提供線索；二是從網(wǎng)絡(luò)線索通過線索關(guān)聯(lián)找到嫌疑人的現(xiàn)實線索；比如嫌疑人在建設(shè)網(wǎng)站是留下的通信方式、支付網(wǎng)絡(luò)費(fèi)用的銀行帳號等線索到人的基本方法方法二：從網(wǎng)上線索到現(xiàn)實線索線索到人的基本方法方法三：關(guān)系人反查從嫌疑人網(wǎng)上關(guān)系人入手，通過確定其關(guān)系人身份后從關(guān)系人的角度倒查嫌疑人的身份線索只要從網(wǎng)上轉(zhuǎn)移到網(wǎng)下之后，就可以使用各種傳統(tǒng)的排查方法進(jìn)行排查，如跟蹤資金流動網(wǎng)，排查人員關(guān)系網(wǎng)等線索到人的基本方法方法三：關(guān)系人反查管理措施改善網(wǎng)吧管理的重點(diǎn)打擊公用卡是網(wǎng)吧管理的重點(diǎn)改進(jìn)網(wǎng)吧管理系統(tǒng)，使其支持線索串并分析功能是技術(shù)改造的主要目標(biāo)例子：江蘇徐州網(wǎng)監(jiān)50%左右的抓逃依靠網(wǎng)吧管理系統(tǒng)對于固定地址、撥號上網(wǎng)基本上無需技術(shù)手段，均可確定嫌疑人，無需技術(shù)手段只要解決網(wǎng)吧問題，其作用將會超過111定位***定位只能確定到網(wǎng)吧，無法確定到具體人***定位對于網(wǎng)吧用戶基本無法串線偵控下沉管理措施改善網(wǎng)吧管理的重點(diǎn)（3）“最后一公里”問題：無線上網(wǎng)問題加快密取設(shè)備的裝備工作，在對無線上網(wǎng)的情況，無法定位的情況下，可以通過密取進(jìn)入嫌疑人計算機(jī)，獲取其計算機(jī)上有關(guān)的線索加快解決無線上網(wǎng)定位技術(shù)手段建設(shè)謀略手段（4）“最后一公里”問題：IP地址核查依賴電信：基礎(chǔ)數(shù)據(jù)庫建設(shè)，要求電信開放數(shù)據(jù)庫（帳號、電話號碼到地點(diǎn)）（5）“最后一公里”問題：異地協(xié)作問題，要改變“一地追逃”為“全網(wǎng)布控抓逃”當(dāng)我們研究改進(jìn)基礎(chǔ)工作、改進(jìn)技術(shù)手段的時候，都要問：這么改進(jìn)是否與偵查的原理相符（3）“最后一公里”問題：無線上網(wǎng)問題典型案件偵查－網(wǎng)絡(luò)盜竊案件網(wǎng)絡(luò)盜竊案件示例：網(wǎng)銀大盜（通常網(wǎng)絡(luò)盜竊案件從銷贓渠道入手調(diào)查較為容易）吉林搜狐網(wǎng)站入侵并植入木馬嫌疑人訪問網(wǎng)站，被感染木馬木馬制作者購買木馬程序

帳號密碼發(fā)送到以下網(wǎng)站取回銀行帳號密碼工行網(wǎng)絡(luò)銀行登陸網(wǎng)絡(luò)銀行，轉(zhuǎn)走資金典型案件偵查－網(wǎng)絡(luò)盜竊案件網(wǎng)絡(luò)盜竊案件示例：網(wǎng)銀大盜（通常網(wǎng)二、調(diào)查環(huán)節(jié)－網(wǎng)絡(luò)淫穢視頻表演案件嫌疑人淫穢表演網(wǎng)站建設(shè)網(wǎng)站表演者上網(wǎng)站或QQ群發(fā)信息招募表演者觀看者上網(wǎng)站或QQ群發(fā)信息吸收會員表演觀看支付費(fèi)用支付費(fèi)用二、調(diào)查環(huán)節(jié)－網(wǎng)絡(luò)淫穢視頻表演案件嫌疑人淫穢表演網(wǎng)站建設(shè)網(wǎng)站僵尸網(wǎng)絡(luò)案件嫌疑人傳播病毒向這些主機(jī)發(fā)送指令，控制受感染主機(jī)拒絕服務(wù)攻擊某網(wǎng)站IP地址不斷變化僵尸網(wǎng)絡(luò)案件嫌疑人傳播病毒anthony.ipv6.usr.二、調(diào)查環(huán)節(jié)－網(wǎng)絡(luò)淫穢視頻表演案件指揮調(diào)查任何網(wǎng)絡(luò)犯罪案件時要問：我們把嫌疑人作案可能涉及的每個步驟都考慮到了嗎如果案件調(diào)查不下去時：換另一個思路試試，跟蹤嫌疑人作案的另一個步驟留下的線索苦練基本功：對于網(wǎng)絡(luò)偵查民警一個最重要的基本功就是要會拆解作案步驟，選擇偵查方向（這是目前各地網(wǎng)絡(luò)偵查民警較為缺乏的能力）二、調(diào)查環(huán)節(jié)－網(wǎng)絡(luò)淫穢視頻表演案件指揮調(diào)查任何網(wǎng)絡(luò)犯罪案件時二、調(diào)查環(huán)節(jié)調(diào)查思路二：并案偵查任何一個案件的嫌疑人通常都不會只做一起案件：羅馬不是一天建成的網(wǎng)絡(luò)犯罪最大的特點(diǎn)就是具有并案的先天優(yōu)勢當(dāng)一個案件調(diào)查不下去的時候，要考慮一個問題：嫌疑人會不會作其它案件，并留下線索從一個色情網(wǎng)站到另一個色情網(wǎng)站，從一個詐騙網(wǎng)站到另一個詐騙網(wǎng)站已經(jīng)成為常規(guī)調(diào)查方法：嫌疑人很難消除兩個案件之間的關(guān)聯(lián)性二、調(diào)查環(huán)節(jié)調(diào)查思路二：并案偵查二、調(diào)查環(huán)節(jié)調(diào)查思路三：網(wǎng)下網(wǎng)上相結(jié)合網(wǎng)偵人員往往容易陷入單純調(diào)查網(wǎng)上線索的陷阱網(wǎng)絡(luò)犯罪調(diào)查要網(wǎng)上網(wǎng)下相結(jié)合追蹤數(shù)據(jù)流向（網(wǎng)上偵查）追蹤網(wǎng)上聯(lián)系網(wǎng)（網(wǎng)上偵查）追蹤資金流向（網(wǎng)下偵查）追蹤人員關(guān)系網(wǎng)（網(wǎng)下偵查）等等二、調(diào)查環(huán)節(jié)調(diào)查思路三：網(wǎng)下網(wǎng)上相結(jié)合“黑客”案件的發(fā)展態(tài)勢純粹的“黑客”案件減少：當(dāng)前絕大多數(shù)“黑客”案件是竊密、網(wǎng)絡(luò)盜竊、敲詐等案件的“犯罪前行為”，基本上都伴隨其它犯罪行為的發(fā)生入侵技術(shù)門檻降低：銷售黑客技術(shù)和黑客學(xué)校使得攻擊技術(shù)門檻降低主要攻擊對象為個人主機(jī)：竊取個人主機(jī)中的信息“黑客”案件的發(fā)展態(tài)勢純粹的“黑客”案件減少：當(dāng)前絕大多數(shù)“基于網(wǎng)絡(luò)情報的案件偵查的三個環(huán)節(jié)1．線索（證據(jù)）的發(fā)現(xiàn)環(huán)節(jié)從“無線索”到“有線索”2．線索（證據(jù)）的拓展（串并）環(huán)節(jié)從“有線索”到“更多線索”

3．線索（證據(jù)）的核查環(huán)節(jié)從“線索”到“人”基于網(wǎng)絡(luò)情報的案件偵查的三個環(huán)節(jié)1．線索（證據(jù)）的發(fā)現(xiàn)環(huán)節(jié)二、線索的發(fā)現(xiàn)環(huán)節(jié)方法一：基于特征的同一性，排查與嫌疑人基本特征具有同一性的涉網(wǎng)線索

在很多案件中一開始并不知道嫌疑人是誰，犯罪現(xiàn)場也沒有計算機(jī)相關(guān)設(shè)備比如：在路上發(fā)生一起殺人案問題：這種案件網(wǎng)監(jiān)是否需要介入調(diào)查？二、線索的發(fā)現(xiàn)環(huán)節(jié)方法一：基于特征的同一性，排查與嫌疑人基本（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）案例：2005年10月29日11時20分許，湖北仙桃市電信分局局長王先洋（下班步行到沔城鎮(zhèn)電信分局基建工地時，兩名身份不明的男青年持刀將其砍成重傷后逃逸網(wǎng)監(jiān)介入調(diào)查，假定嫌疑人上網(wǎng)，那么：嫌疑人特征：在10月29日前幾天可能在本地上網(wǎng)，案發(fā)后逃逸排查方法：凡在10月26日至10月29日之間在當(dāng)?shù)氐卿涍^而其后的一段時間內(nèi)未在當(dāng)?shù)爻霈F(xiàn)過的QQ號碼即是嫌疑數(shù)據(jù)原理：這些QQ號碼活動特征與嫌疑人的活動特征一致（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）案例：2005年10月29日11時（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）此類排查方法已逐步被各地網(wǎng)監(jiān)部門廣泛使用：如東莞“3.7”滅門案傳統(tǒng)的“嫌疑人畫像”的方法同樣可以用于計算機(jī)犯罪案件的線索分析排查的基本原理就是：充分掌握嫌疑人的各種特征，找出與其特征完全相符的涉網(wǎng)線索。比如：地理活動軌跡特征：一個流竄殺人案中，嫌疑人在廣東、福建、河北連續(xù)殺人，那么可以排查所有與其活動軌跡時間相同的網(wǎng)絡(luò)線索人員特征：案例：801專案，經(jīng)審訊，知道某一未知嫌疑人在空軍蘭州醫(yī)院當(dāng)醫(yī)生，并且姓陳。排查：在蘭州空軍醫(yī)院上過網(wǎng)，且姓陳的人員（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）此類排查方法已逐步被各地網(wǎng)監(jiān)部門廣（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法二：基于現(xiàn)實社會與虛擬社會的互聯(lián)互通特性，從現(xiàn)實社會線索反查其映射到虛擬社會的線索

隨著網(wǎng)絡(luò)的廣泛應(yīng)用，各種現(xiàn)實社會活動都可能與網(wǎng)絡(luò)產(chǎn)生關(guān)聯(lián)，現(xiàn)實社會中找到的線索都可能“映射”到虛擬社會上（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法二：基于現(xiàn)實社會與虛擬社會的互（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）例如掌握嫌疑人的手機(jī)號碼：手機(jī)號碼可能用于綁定QQ號碼、手機(jī)號碼可能用于網(wǎng)上支付、嫌疑人可能在網(wǎng)上向別人提供自己手機(jī)號碼做為聯(lián)系方式掌握嫌疑人的銀行卡號：嫌疑人可能用網(wǎng)絡(luò)銀行支付嫌疑人家里有電話號碼（嫌疑人潛逃）：在...緩存中可以找到與該電話號碼有關(guān)的網(wǎng)上線索嫌疑人郵購物品：這個物品有沒有可能是上網(wǎng)購買的嫌疑人炒股：這個嫌疑人會不會通過網(wǎng)絡(luò)炒股現(xiàn)實社會中的任何線索都可能與網(wǎng)絡(luò)發(fā)生關(guān)系，線索之間存在一種映射關(guān)系（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）例如知道我的電話號碼

如何抓住我我的電話號碼我的QQ號碼知道我的電話號碼

如何抓住我我的電話號碼我的QQ號碼（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法三：基于嫌疑人的關(guān)系分析，通過嫌疑人關(guān)系人的網(wǎng)上線索反查嫌疑人的網(wǎng)上線索

當(dāng)發(fā)現(xiàn)嫌疑人的聯(lián)系人時，可先排查其聯(lián)系人的網(wǎng)上線索，然后從其聯(lián)系人的關(guān)系人入手排查符合嫌疑人特征的關(guān)系人的網(wǎng)上線索比如：發(fā)現(xiàn)嫌疑人的某聯(lián)系人后，可先排查該聯(lián)系人網(wǎng)上的虛擬身份，再進(jìn)一步排查該虛擬身份的聯(lián)系人哪些符合嫌疑人的活動規(guī)律（如活動地點(diǎn)），從而獲得嫌疑人的網(wǎng)上線索；

再如：發(fā)現(xiàn)嫌疑人有兩個聯(lián)系人，可以排查這兩個聯(lián)系人的虛擬身份后，通過其虛擬身份聯(lián)系人的交集排查嫌疑人的虛擬身份

（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法三：基于嫌疑人的關(guān)系分析，通過（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法四：通過走訪、勘驗等傳統(tǒng)排查方法

所有傳統(tǒng)的排查方法都可以用于計算機(jī)犯罪案件的線索排查網(wǎng)監(jiān)最常用的方法：通過對嫌疑人使用的計算機(jī)進(jìn)行勘驗分析，發(fā)現(xiàn)其網(wǎng)上線索（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）方法四：通過走訪、勘驗等傳統(tǒng)排查方（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）對于傳統(tǒng)的刑事案件，并不一定需要有明確的網(wǎng)絡(luò)線索之后網(wǎng)監(jiān)部門才能介入調(diào)查，網(wǎng)監(jiān)部門介入案件調(diào)查的第一步并不是配合“調(diào)查涉網(wǎng)線索”，而應(yīng)當(dāng)是配合“排查涉網(wǎng)線索”以往計算機(jī)犯罪案件調(diào)查的思路是“有了網(wǎng)上線索找網(wǎng)監(jiān)”，而未來進(jìn)一步推進(jìn)的思路是“有了案件找網(wǎng)監(jiān)排查涉網(wǎng)線索”（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）對于傳統(tǒng)的刑事案件，并不一定需要有（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）在指揮辦理任何案件時，在沒有涉網(wǎng)線索時都應(yīng)該考慮幾個問題：這些線索是否可能和網(wǎng)絡(luò)發(fā)生關(guān)系利用網(wǎng)絡(luò)是否能夠排查出符合嫌疑人特征的線索嫌疑人上網(wǎng)的計算機(jī)會不會留下線索從嫌疑人的關(guān)系人入手是否可以排查出涉網(wǎng)線索（一）線索的發(fā)現(xiàn)環(huán)節(jié)（續(xù)）在指揮辦理任何案件時，在沒有涉網(wǎng)線（二）線索（證據(jù)）的拓展（串并）環(huán)節(jié)

單一的案件線索往往容易因為“斷線”而導(dǎo)致無法進(jìn)一步核查偵辦配偵案件的第二步是進(jìn)行擴(kuò)線工作，以尋找與犯罪嫌疑人相關(guān)的更多的涉網(wǎng)線索，拓展線索的同時也是發(fā)現(xiàn)涉網(wǎng)犯罪事實的過程拓展線索的基本原理是基于線索之間的“關(guān)聯(lián)性”將不同的線索串并在一起，同時必須具備認(rèn)定線索與嫌疑人關(guān)系的條件（二）線索（證據(jù)）的拓展（串并）環(huán)節(jié)單一的案件線索往往容易線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法一：基于事件的同一性拓展線索原理：在同一個事件中發(fā)現(xiàn)的線索通常屬于同一嫌疑人或作案團(tuán)伙一個入屋搶劫殺人事件中：入屋留下的指紋、掉下的頭發(fā)的DNA、殺人用的槍支特征、案發(fā)時門口的監(jiān)控錄像留下的人像特征線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法一：基于事件的同一性線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）例子：發(fā)現(xiàn)一個網(wǎng)站，哪些方法去發(fā)現(xiàn)與該網(wǎng)站有關(guān)的線索呢？建設(shè)網(wǎng)站這一個事件通常需要有以下步驟注冊域名并支付域名費(fèi)用：登記該域名留下的聯(lián)系方式－電話、郵箱等，支付該域名的費(fèi)用－銀行帳號托管該域名對應(yīng)的主機(jī)并支付拖管費(fèi)用：拖管時留下的聯(lián)系方式－電話、郵箱等，支付拖管費(fèi)用－銀行帳號維護(hù)網(wǎng)站－維護(hù)網(wǎng)站的日志發(fā)布網(wǎng)站內(nèi)容－內(nèi)容上留下的聯(lián)系信息推廣網(wǎng)站，比如在其他網(wǎng)站發(fā)布該網(wǎng)站的廣告－在其他網(wǎng)站發(fā)布廣告留下的日志（案例：虛假銀行網(wǎng)站）線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）例子：發(fā)現(xiàn)一個網(wǎng)站www線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）對于網(wǎng)絡(luò)上的事件應(yīng)該分析與該事件相關(guān)的所有行為可能留下的線索，偵查人員必須了解各類事件關(guān)聯(lián)的每一種行為可能留下的線索比如：嫌疑人使用QQ號碼這一事件QQ號碼的日志、聊天內(nèi)容QQ號碼綁定的手機(jī)號碼QQ號碼沖QQ幣使用的電話號碼QQ號碼“QQ空間”中留下的信息….相對與現(xiàn)實生活中的線索排查的優(yōu)勢：網(wǎng)絡(luò)上的信息留存的希望較大（嫌疑人往往無法控制信息是否留存）線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）對于網(wǎng)絡(luò)上的事件應(yīng)該分析線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法二：基于線索關(guān)鍵特征的同一性拓展線索，關(guān)聯(lián)事件關(guān)鍵特征：與嫌疑人直接相關(guān)的，具有唯一性的特征比如DNA、指紋是與嫌疑人直接相關(guān)的關(guān)鍵特征，兩個人具有相同的這一關(guān)鍵特征的概率非常小這是利用DNA開展串案、利用指紋搞“指紋會戰(zhàn)”的基本原理線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法二：基于線索關(guān)鍵特征DNA※指紋：利用關(guān)鍵特征的同一性關(guān)聯(lián)兩個事件相關(guān)的線索案件3案件2案件4DNA/指紋案件1線索A線索B線索C線索D線索EDNA※指紋：利用關(guān)鍵特征的同一性關(guān)聯(lián)兩個事件相關(guān)的線索案件問題：網(wǎng)絡(luò)上的“DNA/指紋”是什么呢？郵箱地址QQ號碼網(wǎng)站論壇用戶名電話號碼？用戶IP地址所有與嫌疑人相關(guān)的具有唯一性的信息都可以做為“DNA/指紋”問題：網(wǎng)絡(luò)上的“DNA/指紋”是什么呢？郵箱地址QQ號碼網(wǎng)站網(wǎng)絡(luò)DNA/指紋：IP地址/時間

利用IP地址的一致性畫出用戶上網(wǎng)活動軌跡SOHUQQ本地的ICP大的論壇新浪IP&時間網(wǎng)絡(luò)游戲其他帳號人案例：揚(yáng)言謀殺鐵道部長案網(wǎng)絡(luò)DNA/指紋：IP地址/時間

利用IP地址的一致性畫出用網(wǎng)絡(luò)DNA/指紋：復(fù)雜用戶名（adjk$%ddd）

利用用戶名的一致性關(guān)聯(lián)不同的網(wǎng)絡(luò)應(yīng)用聊天室QQ論壇郵箱P2P用戶名網(wǎng)絡(luò)游戲個人網(wǎng)站網(wǎng)絡(luò)DNA/指紋：復(fù)雜用戶名（adjk$%ddd）

利用用戶網(wǎng)絡(luò)DNA/指紋：復(fù)雜口令（m1dlkj%$3）

用口令的一致性關(guān)聯(lián)不同的帳號QQ號碼B論壇帳號A論壇帳號B郵箱帳號A口令郵箱帳號BQQ號碼A還可用于猜解密碼網(wǎng)絡(luò)DNA/指紋：復(fù)雜口令（m1dlkj%$3）

用口令的一網(wǎng)絡(luò)DNA/指紋：用戶的虛擬身份

用用戶的虛擬身份關(guān)聯(lián)網(wǎng)絡(luò)帖子（網(wǎng)站）網(wǎng)站1網(wǎng)站3頁面1頁面3QQ號碼頁面2網(wǎng)站2郵箱地址電話號碼聯(lián)系地址網(wǎng)絡(luò)DNA/指紋：用戶的虛擬身份

用用戶的虛擬身份關(guān)聯(lián)網(wǎng)絡(luò)帖線索拓展的多米諾骨牌效應(yīng)線索拓展的多米諾骨牌效應(yīng)線索的順線拓展

嫌疑人建設(shè)的網(wǎng)站網(wǎng)站上留下的電話號碼電話號碼綁定的QQ號碼留有QQ號碼的其他頁面頁面上留下的聯(lián)系方式犯罪事實網(wǎng)絡(luò)虛擬行為人現(xiàn)實中的自然人線索&證據(jù)線索&證據(jù)線索&證據(jù)線索&證據(jù)嫌疑人建設(shè)的網(wǎng)站網(wǎng)站上留下的電話號碼線索的順線拓展

嫌疑人建設(shè)的網(wǎng)站網(wǎng)站上留下的電話號碼電話號碼網(wǎng)絡(luò)拓展線索（關(guān)聯(lián)事件）具有天然優(yōu)勢網(wǎng)絡(luò)上可用于關(guān)聯(lián)的“DNA/指紋”種類很多：無數(shù)種類的“DNA/指紋”任何與用戶直接關(guān)聯(lián)的具有唯一性的虛擬身分都可以用于串并：QQ號碼、郵箱地址、游戲帳號、IP地址/時間等等任何從概率上講重復(fù)使用的概率極小的字符串都可用于串并：復(fù)雜密碼、復(fù)雜用戶名等串并/關(guān)聯(lián)主要以數(shù)據(jù)精確比對為主，而涉網(wǎng)線索自身就是以數(shù)據(jù)形式表現(xiàn)出來，可以直接用于比對（傳統(tǒng)的需要采集，還存在誤差）網(wǎng)絡(luò)拓展線索（關(guān)聯(lián)事件）具有天然優(yōu)勢網(wǎng)絡(luò)上可用于關(guān)聯(lián)的“DN總結(jié)計算機(jī)犯罪案件調(diào)查最基本的原理就是利用線索的關(guān)聯(lián)性將不同的線索串接在一起形成線索鏈，最終找到嫌疑人。嫌疑人很難消除其實施的各個網(wǎng)絡(luò)行為之間的所有關(guān)聯(lián)性案件調(diào)查人員必須掌握各種利用線索關(guān)鍵特征拓展線索的技巧總結(jié)計算機(jī)犯罪案件調(diào)查最基本的原理就是利用線索的關(guān)聯(lián)性將不同線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法三：基于線索多個非關(guān)鍵特征的同一性拓展線索非關(guān)鍵特征：與嫌疑人的關(guān)聯(lián)的特征，但不是僅僅屬于嫌疑人的唯一特征比如：體貌特征：耳朵形狀、嘴巴形狀、發(fā)型、斷指作案特征：作案時間、使用槍支類型、殺人方法比如：傳統(tǒng)刑偵可以基于嫌疑人的多個體貌特征、作案特征進(jìn)行比對串案（如果只是唯一一個特征者串案的成功率較?。┚€索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法三：基于線索多個非關(guān)線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）網(wǎng)絡(luò)上基于多個非關(guān)鍵特征的同一性拓展線索任何與嫌疑人有關(guān)聯(lián)的特征均可用于比對例子1：活動軌跡一致，可能是同伙或同一人網(wǎng)吧A/時間1網(wǎng)吧B/時間2網(wǎng)吧C/時間3QQ號碼EMAIL地址線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）網(wǎng)絡(luò)上基于多個非關(guān)鍵特征線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）例子2：各種特征混合使用，相似特征越多，同一性的概率越大（也可與傳統(tǒng)特征混合使用）網(wǎng)吧A/時間1均與某聯(lián)系人甲聯(lián)系過咖啡廳/時間EMAIL地址1EMAIL地址2線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）例子2：各種特征混合使用線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法四：基于多個人的數(shù)據(jù)進(jìn)行關(guān)系圖分析基本原則有多個共同聯(lián)系人的人可能是同伙或同一人與兩個或多個嫌疑人都有聯(lián)系的人可能也是嫌疑人連接兩個嫌疑人路徑上的人員屬可疑人員聯(lián)系圖上的骨干是重點(diǎn)人員線索（證據(jù)）的拓展（串并）環(huán)節(jié)（續(xù)）方法四：基于多個人的數(shù)據(jù)案例：環(huán)球槍手集團(tuán)案案例：環(huán)球槍手集團(tuán)案網(wǎng)絡(luò)情報分析技術(shù)(十)分析課件案例：801專案案例：801專案案例：801專案案例：801專案（三）線索（證據(jù)）的核查環(huán)節(jié)：從線索到人從“線索到犯罪事實和人”是配偵案件的最后一個步驟，也是最為關(guān)鍵的環(huán)節(jié)。很多時候從“線索到線索”和“從線索到人”是同步進(jìn)行或者交錯進(jìn)行的特別是一個案件中不僅涉及一個人或者涉網(wǎng)證據(jù)較為重要的情況下，通常在確定某一嫌疑人身份后，還需要通過偵控、調(diào)取證據(jù)等各種方式，進(jìn)一步發(fā)現(xiàn)涉網(wǎng)證據(jù)、分析案情、排查其他嫌疑人（三）線索（證據(jù)）的核查環(huán)節(jié)：從線索到人從“線索到犯罪事實線索到人的基本方法方法一：從IP地址到上網(wǎng)地點(diǎn)定位抓逃最大的優(yōu)勢是準(zhǔn)確性：通?？梢詼?zhǔn)確到在哪臺計算機(jī)上網(wǎng)其準(zhǔn)確性遠(yuǎn)優(yōu)于傳統(tǒng)的偵察技術(shù)手段線索到人的基本方法方法一：從IP地址到上網(wǎng)地點(diǎn)線索到人的基本方法方法二：從網(wǎng)上線索到現(xiàn)實線索線索不僅可以從實到虛，還可以從虛到實一是通過嫌疑人通信內(nèi)容進(jìn)行排查，嫌疑人的通信內(nèi)容通常能夠為確定嫌疑人的身份提供線索；二是從網(wǎng)絡(luò)線索通過線索關(guān)聯(lián)找到嫌疑人的現(xiàn)實線索；比如嫌疑人在建設(shè)網(wǎng)站是留下的通信方式、支付網(wǎng)絡(luò)費(fèi)用的銀行帳號等線索到人的基本方法方法二：從網(wǎng)上線索到現(xiàn)實線索線索到人的基本方法方法三：關(guān)系人反查從嫌疑人網(wǎng)上關(guān)系人入手，通過確定其關(guān)系人身份后從關(guān)系人的角度倒查嫌疑人的身份線索只要從網(wǎng)上轉(zhuǎn)移到網(wǎng)下之后，就可以使用各種傳統(tǒng)的排查方法進(jìn)行排查，如跟蹤資金流動網(wǎng)，排查人員關(guān)系網(wǎng)等線索到人的基本方法方法三：關(guān)系人反查管理措施改善網(wǎng)吧管理的重點(diǎn)打擊公用卡是網(wǎng)吧管理的重點(diǎn)改進(jìn)網(wǎng)吧管理系統(tǒng)，使其支持線索串并分析功能是技術(shù)改造的主要目標(biāo)例子：江蘇徐州網(wǎng)監(jiān)50%左右的抓逃依靠網(wǎng)吧管