黃淑華

（中國人民公安大學 北京 100000）

基于空間行為分析模型的網(wǎng)絡(luò)犯罪偵查策略研究

黃淑華

（中國人民公安大學 北京 100000）

為對網(wǎng)絡(luò)犯罪實施精準定位、精確取證及全鏈條打擊，以“人、時、空、事、物、痕”為要素構(gòu)建空間行為分析模型，從物理-網(wǎng)絡(luò)兩個空間，犯罪預(yù)備、犯罪實施、犯罪終結(jié)多個環(huán)節(jié)，分析受害人、犯罪嫌疑人及其犯罪組織的活動特征和規(guī)律，建立物理空間與網(wǎng)絡(luò)空間的映射關(guān)系。在此基礎(chǔ)上，提出了基于空間行為分析模型的網(wǎng)絡(luò)犯罪偵查對策。

空間行為分析 網(wǎng)絡(luò)犯罪 網(wǎng)絡(luò)空間 物理空間 偵查策略

互聯(lián)網(wǎng)在促進經(jīng)濟發(fā)展、推動社會進步和提高人民生活質(zhì)量的同時，利用互聯(lián)網(wǎng)違法犯罪活動也不斷呈現(xiàn)高發(fā)、頻發(fā)、多發(fā)趨勢?；ヂ?lián)網(wǎng)在各類網(wǎng)絡(luò)犯罪中扮演不同的角色：作為犯罪分子宣傳、勾連的平臺滲透到傳統(tǒng)犯罪當中，使犯罪行為更隱蔽，如網(wǎng)絡(luò)洗錢、網(wǎng)絡(luò)販毒犯罪；作為犯罪工具使傳統(tǒng)犯罪在網(wǎng)絡(luò)環(huán)境下發(fā)生異化，如利用互聯(lián)網(wǎng)制作傳播淫穢產(chǎn)品和信息、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙犯罪；還有以互聯(lián)網(wǎng)為對象的新型犯罪，如非法入侵計算機信息系統(tǒng)、非法控制計算機信息系統(tǒng)、破壞計算機信息系統(tǒng)等犯罪。我國是互聯(lián)網(wǎng)大國，網(wǎng)民數(shù)量達7.10億[1]，每年都有大量的網(wǎng)絡(luò)受害者。系統(tǒng)分析空間中主體的活動特征和規(guī)律，科學制定偵查對策，可以對網(wǎng)絡(luò)犯罪實施精確定位、精準打擊、全鏈條打擊。

1 物理空間與網(wǎng)絡(luò)空間的關(guān)聯(lián)關(guān)系分析

互聯(lián)網(wǎng)時代，人類的生活環(huán)境逐漸由單一物理空間轉(zhuǎn)變?yōu)槲锢恚ìF(xiàn)實）—網(wǎng)絡(luò)（虛擬）的共存空間。兩個空間并非孤立地并行，而是有著千絲萬縷的關(guān)聯(lián)[2]。人類生存與活動受自然環(huán)境和社會環(huán)境提供的物理場所限制，處于物理空間；但是，當人們通過各種聯(lián)網(wǎng)設(shè)備和終端接入到數(shù)字化、虛擬的網(wǎng)絡(luò)空間中，如用戶使用包括手機在內(nèi)的各種終端訪問互聯(lián)網(wǎng)絡(luò)獲取資訊和信息、閱讀電子書籍和報刊，借助微信、QQ、Facebook、Twitter進行人與人的交流溝通，在淘寶、京東、亞馬遜等電子商務(wù)平臺上購物時，人類的生產(chǎn)、生活、學習、娛樂活動更多地發(fā)生在物理—網(wǎng)絡(luò)共存空間。

（1）網(wǎng)絡(luò)空間的存在依賴于物理空間的實體安全。網(wǎng)絡(luò)空間不能脫離物理空間獨立存在。終端、服務(wù)器、交換機、路由器和傳輸線路是物理空間和網(wǎng)絡(luò)空間的連接紐帶，在物理空間中，聯(lián)網(wǎng)設(shè)備具有實體屬性，客觀存在、有體積、重量、可感知、觸碰，尤其具有社會歸屬關(guān)系特征。當這些實體相互連通時，電子數(shù)據(jù)在端到端之間交換，帶給用戶不同的體驗，營造出一個虛擬的網(wǎng)絡(luò)空間。一旦物理空間中設(shè)備或線路故障、斷電、損毀，虛擬世界則瞬間瓦解。

（2）入網(wǎng)許可是物理實體接入網(wǎng)絡(luò)空間的通行證。無論個人，還是聯(lián)網(wǎng)單位在接入互聯(lián)網(wǎng)時均需要獲取入網(wǎng)許可，并獲得網(wǎng)絡(luò)空間的唯一標識號。依據(jù)《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》（公安部第33號令）第12條：互聯(lián)單位、接入單位、使用計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的法人和其他組織，應(yīng)當自網(wǎng)絡(luò)正式聯(lián)通之日起30日內(nèi)，到所在地的省、自治區(qū)、直轄市人民政府公安機關(guān)指定的受理機關(guān)辦理備案手續(xù)。并且接入本網(wǎng)絡(luò)的接入單位和用戶情況報當?shù)毓矙C關(guān)備案，并及時報告本網(wǎng)絡(luò)中接入單位和用戶的變更情況。

（3）網(wǎng)絡(luò)空間的服務(wù)由物理空間的主體提供。海量的信息、豐富的應(yīng)用，如網(wǎng)絡(luò)新聞、音樂、視頻、游戲、購物產(chǎn)生巨大的魅力，吸引網(wǎng)民沉浸于網(wǎng)絡(luò)空間中。這些網(wǎng)絡(luò)服務(wù)都是由物理空間的聯(lián)網(wǎng)單位、組織或個人提供。若把網(wǎng)絡(luò)空間中的網(wǎng)站對應(yīng)理解為商鋪，網(wǎng)站內(nèi)容就對應(yīng)為商店的物品。網(wǎng)站以及網(wǎng)站內(nèi)容都要確保其合法，符合社會道德規(guī)范，因此，網(wǎng)絡(luò)空間服務(wù)的提供者，需要在物理空間中承擔相應(yīng)的法律責任：誰經(jīng)營誰負責、誰使用誰負責。

（4）網(wǎng)絡(luò)空間的虛擬賬號與物理空間的自然人具有映射關(guān)系。網(wǎng)民在使用各種不同網(wǎng)絡(luò)服務(wù)時，可以使用不同的網(wǎng)絡(luò)昵稱。網(wǎng)絡(luò)空間中，網(wǎng)民可以選擇以真面孔示人，也可以選擇蒙上面紗或改頭換面，創(chuàng)造一個或多個網(wǎng)絡(luò)身份，如QQ號、電子郵件賬號、論壇賬號、微博賬號、微信賬號等。盡管網(wǎng)絡(luò)身份具有虛擬性，但創(chuàng)建者、使用者還是物理空間中的自然人。

2 基于主體的空間行為模型

分析主體行為特征和規(guī)律廣泛用于偵查破案工作中。對案件的構(gòu)成要素進行分析，較為成熟的有“人、事、物、時、空”五要素法、“人、事、物、時、空、痕”6要素法、“何時、何地、何人、何物、何事、何情、何故”7何要素法、“縱向動態(tài)構(gòu)成要素和橫向靜態(tài)構(gòu)成要素”立體構(gòu)成要素法、“人、案、物、痕、線”信息化要素法等[3]。在當前的偵查活動中，上述模型雖然從不同角度分析案情，但這些角度都是在物理空間中選取的。盡管6要素法中提到的“痕”包含了電子數(shù)據(jù)、立體構(gòu)成要素法提到了動態(tài)電子數(shù)據(jù)，但沒有從主體行為在物理空間和網(wǎng)絡(luò)空間的特征規(guī)律出發(fā)，辦理網(wǎng)絡(luò)犯罪案件時容易將兩個空間的偵查、取證活動割裂開來，沒有綜合考量主體行為在物理空間和網(wǎng)絡(luò)空間的行為軌跡，難以形成閉合的證據(jù)鏈。

為對網(wǎng)絡(luò)犯罪實施精準定位、精確取證以及全鏈條打擊，形成閉合證據(jù)鏈，構(gòu)建基于{人，時，空，事，物，痕}6要素的空間行為模型，如圖1所示。偵辦網(wǎng)絡(luò)犯罪案件時，在分析受害人、犯罪嫌疑人及其犯罪組織物理空間活動特征時，同步分析虛擬人在主機及網(wǎng)絡(luò)構(gòu)建的虛擬空間中的行為。

圖1 空間行為分析模型

基于主體的空間行為模型可以描述為{人，時，空，事，物，痕}6元組，其中，::=表示“定義為”：

（1）人::={自然人/虛擬人}。自然人是物理空間中行為主體的標識，包括自然屬性、社會屬性、管理屬性，如姓名、性別、身份證信息、身高、體態(tài)、衣著打扮、生理特征和缺陷。虛擬人是物理空間中行為主體在網(wǎng)絡(luò)空間活動時使用的網(wǎng)絡(luò)特征標識，包括賬號、昵稱、注冊信息、使用信息。

（2）時間::={時區(qū)、時刻}。在特定時區(qū)表示時，可以具體到年月日時分秒。

（3）空間::={物理場所/網(wǎng)絡(luò)空間位置}。物理場所是物理空間標識，可由經(jīng)緯度標識出來，由國家、地區(qū)、城市、鄉(xiāng)村、街道門牌號組成。網(wǎng)絡(luò)空間位置是聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)后獲得的網(wǎng)絡(luò)標識、聯(lián)網(wǎng)設(shè)備應(yīng)用程序位置（具體指應(yīng)用程序存儲路徑）。

（4）事件::={物理空間活動/網(wǎng)絡(luò)空間活動}。主體在物理空間中的活動或具體的上網(wǎng)行為。從事的具體活動，如“瀏覽”、“聊天”、“支付”、“轉(zhuǎn)賬”、“傳輸文件”等。

（5）物品::={主體進行活動時使用的物品和工具}。物理空間的物品具有實物屬性，如購買的物品、盜竊工具及盜竊的財務(wù)、詐騙使用的道具及盜竊工具等。網(wǎng)絡(luò)空間的工具指聯(lián)網(wǎng)主機中的系統(tǒng)程序、應(yīng)用程序。

（6）痕跡::={物理空間場所變化/網(wǎng)絡(luò)空間電子數(shù)據(jù)變化}。痕跡是主體行為活動引起的客觀變化，在物理場所留下的物品或痕跡，包括手印、足跡、工具痕跡等，也包括監(jiān)控設(shè)備記錄下來的視頻。網(wǎng)絡(luò)空間的痕跡主要指網(wǎng)絡(luò)活動產(chǎn)生的用戶文件、應(yīng)用進程數(shù)據(jù)、系統(tǒng)進程狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)的變化。因涉案電子數(shù)據(jù)具有虛擬性、易失性，且隱藏在海量數(shù)據(jù)中，難于提取，易被忽略。

3 基于空間行為模型分析網(wǎng)絡(luò)犯罪的組織與實施

3.1 案例描述

犯罪嫌疑人X購買木馬盜取受害人Y的QQ號，假冒Y的身份以在海外留學遇到困難急需用錢的名義，騙取Y家人Z的信任獲利。

3.2 案例分析

（1）籌劃犯罪計劃。當物理空間的自然人籌劃犯罪時，一般由家族成員、老鄉(xiāng)、好友、單位同事傳授經(jīng)驗，手口相傳或有書籍材料、電子文稿。期間既有物理空間的近距離接觸，也會借助網(wǎng)絡(luò)微信、QQ、郵件、共享云盤等方式交流勾連。

當周邊沒有適宜的環(huán)境獲取犯罪資訊和關(guān)系網(wǎng)時，犯罪嫌疑人往往把目光轉(zhuǎn)向互聯(lián)網(wǎng)。搜索引擎、論壇、QQ群是網(wǎng)民快速獲取資訊的渠道。由于法律的滯后導致監(jiān)管技術(shù)和管理措施不到位，網(wǎng)絡(luò)空間滋生了一些以“犯罪”為名的網(wǎng)站、貼吧、QQ群，通過網(wǎng)絡(luò)交流犯罪心得、傳授犯罪經(jīng)驗、甚至借助網(wǎng)絡(luò)策劃犯罪、為實施犯罪提供工具、雇傭?qū)嵤┓缸?、組織實施犯罪以及具體實施犯罪行為。圖2為籌劃犯罪階段的主體行為分析。

圖2 籌劃犯罪階段的主體行為分析

（2）準備犯罪工具。為實施網(wǎng)絡(luò)詐騙做準備，通常犯罪嫌疑人需要準備作案用的計算機并辦理上網(wǎng)手續(xù)、為了網(wǎng)絡(luò)支付轉(zhuǎn)賬或銷贓會辦理銀行卡、網(wǎng)銀賬戶等，這些都需要實名制身份認證。特殊地，在本案例中，犯罪嫌疑人X還需要購買盜號木馬。圖3為準備犯罪工具階段的主體行為分析。

（3）廣泛尋找作案對象，確定具體的作案對象。網(wǎng)絡(luò)詐騙案件中的受害者在警醒后常常百思不得其解的是“騙子真的認識我嗎？”，“騙子怎么找上我的？”其實，在詐騙行為實施之前，物理空間中的犯罪嫌疑人和受害人之間可能根本就不曾有過任何形式的接觸。上當受騙皆因缺乏安全防范意識造成。本案例中，犯罪嫌疑人購買盜號木馬后，加入特殊的QQ群眾（海外留學群）尋找特定的受害對象，受害人Y就輕信了X，與犯罪嫌疑人成為好友，并接收了來自好友的捆綁木馬的QQ文件。犯罪嫌疑人在掌握對方的QQ后，對該QQ中的好友進行研究，按照QQ好友中的備注信息區(qū)分親友、同事、同學、生意伙伴等具體社會關(guān)系，著重觀察關(guān)注對象之間的聊天語氣習慣、行方為式、生活細節(jié)等內(nèi)容，觀察一段時間后確定最終實施的詐騙對象。圖4為尋找犯罪對象階段的主體行為分析。

圖3 準備犯罪工具階段的主體行為分析

圖4 尋找犯罪對象階段的主體行為分析

（4）實施詐騙。實施詐騙階段，不同的案件會根據(jù)不同的社會關(guān)系人制定相應(yīng)的詐騙計劃。本案例中，犯罪嫌疑人登錄盜來的QQ號碼，利用X在海外留學遇到緊急情況急需用錢為事由，借助網(wǎng)絡(luò)聊天向父母要錢，誘使對方向指定的銀行賬戶匯款。為了騙取受害對象父母的信任，犯罪嫌疑人還使用虛擬攝像頭程序向QQ視頻聊天的對象發(fā)送事先錄制好的錄像文件。為避免受害對象的父母向X打電話求證，犯罪嫌疑人還干擾X的電話來阻止被騙者核實信息的真?zhèn)巍D5實施犯罪階段的主體行為分析。

（5）轉(zhuǎn)移贓款。犯罪嫌疑人詐騙成功后，受每日ATM取款機取現(xiàn)額度限制或支付網(wǎng)絡(luò)額度限制，會將大筆資金迅速通過網(wǎng)銀轉(zhuǎn)賬方式分散到若干個二級、三級或四級賬戶中。然后犯罪嫌疑人自己或雇傭他人持卡到各處ATM取款機提款。一般情況下，半個小時內(nèi)，被騙欠款便被取走。待受害人發(fā)現(xiàn)被騙，到銀行凍結(jié)賬戶時，資金已被轉(zhuǎn)出。隨著網(wǎng)絡(luò)的購物的興起，現(xiàn)在還有POS機、購買虛擬幣、游戲幣等方式套現(xiàn)。圖6為轉(zhuǎn)移贓款階段的主體行為分析。

圖5 實施犯罪階段的主體行為分析

圖6 轉(zhuǎn)移贓款階段的主體行為分析

4 基于空間行為模型制定偵查對策

基于空間行為模型對網(wǎng)絡(luò)違法犯罪分析，可以總結(jié)犯罪預(yù)備、犯罪實施、犯罪終結(jié)3個階段犯罪受害人、犯罪嫌疑人及相關(guān)犯罪成員從事網(wǎng)絡(luò)違法犯罪活動時引發(fā)的物理空間和網(wǎng)絡(luò)空間的變化規(guī)律，從而幫助案件偵辦人員在案發(fā)后快速根據(jù)物理空間和網(wǎng)絡(luò)空間留存的證據(jù)和線索確定偵查方向。

4.1 追蹤網(wǎng)絡(luò)空間“轉(zhuǎn)賬資金流”的偵查策略

涉及侵財?shù)木W(wǎng)絡(luò)犯罪案件發(fā)生后，物理空間和網(wǎng)絡(luò)空間的主體行為主要圍繞轉(zhuǎn)賬、銷贓展開。網(wǎng)絡(luò)空間中的行為模型{人，時，空，事，物，痕}表述如下：

（1）人（虛擬人）::=是由受害人網(wǎng)銀賬號、犯罪嫌疑人網(wǎng)銀賬號、以及犯罪組織中的多個二級、三級銀行賬號構(gòu)成的集合；若通過網(wǎng)絡(luò)購物銷贓，則虛擬人集合還包括登錄電商平臺的網(wǎng)絡(luò)賬號。

（2）時::=網(wǎng)絡(luò)轉(zhuǎn)賬/銷贓時間集合。

（3）空::=網(wǎng)銀賬號注冊/登錄網(wǎng)絡(luò)地址集合；電商網(wǎng)站賬號注冊/使用網(wǎng)絡(luò)地址集合。

（4）事::=網(wǎng)絡(luò)轉(zhuǎn)賬事件集、網(wǎng)絡(luò)消費事件集，伴隨發(fā)生的事件還有網(wǎng)絡(luò)聯(lián)絡(luò)，用于通知犯罪團伙資金到賬、與商戶溝通購物清單。

綜上所述，沿江道路的設(shè)計，需要在明確功能定位的前提下，結(jié)合交通特征提高通行能力，并結(jié)合防汛需求，對路基路面、市政管線專業(yè)的設(shè)計進行針對性的考量，同時結(jié)合風光帶的需求，對景觀設(shè)計進行精細化設(shè)計。只有這樣，才能保證沿江道路做到既能快速通達，又能保證防洪安全，同時又能與風光帶的景觀和人性化設(shè)施融為一體，成為城市的一道亮麗的名片。

（5）物（程序）::=登錄網(wǎng)銀的瀏覽器程序、安全插件；用戶登錄電商的客戶端程序或瀏覽器；網(wǎng)絡(luò)即時聊天工具。

（6）痕（電子數(shù)據(jù)）::=受害人網(wǎng)絡(luò)終端留下登錄網(wǎng)銀、向犯罪嫌疑人提供的網(wǎng)銀賬號轉(zhuǎn)賬的操作記錄；犯罪嫌疑人網(wǎng)絡(luò)終端多個網(wǎng)銀登錄痕跡、轉(zhuǎn)賬痕跡；網(wǎng)上電子銀行留下網(wǎng)銀賬號登錄、轉(zhuǎn)賬信息。

根據(jù)上述分析，制定追蹤網(wǎng)絡(luò)空間“轉(zhuǎn)賬資金流”的偵查策略，其優(yōu)點是將追查犯罪嫌疑人及其團伙的網(wǎng)絡(luò)位置、網(wǎng)銀賬號，對網(wǎng)絡(luò)位置進行追蹤，可以快速定位物理空間的犯罪嫌疑人及其團伙登錄網(wǎng)絡(luò)的計算機的物理位置，再關(guān)聯(lián)到犯罪嫌疑人；對網(wǎng)銀賬號進行快速凍結(jié)，可以最大程度減少受害人的損失。同時使用社會網(wǎng)絡(luò)分析方法，對模型中出現(xiàn)的網(wǎng)絡(luò)地址、網(wǎng)絡(luò)賬號信息進行梳理，可以及時串并案。

4.2 追蹤物理空間“取款資金流”的偵查策略

涉及侵財?shù)木W(wǎng)絡(luò)犯罪案件發(fā)生后，物理空間的行為模型{人，時，空，事，物，痕}對應(yīng)表述如下：

（1）人（自然人）::=犯罪嫌疑人及其犯罪團伙集合。

（2）時::=銀行卡開戶、取款時間集合。

（3）空::=銀行卡開戶地、取款地、ATM機物理位置集合。

（4）事::=取款集合，伴隨發(fā)生的還可能有電話聯(lián)絡(luò)。

（6）痕::=取款人辦理銀行卡、使用銀行卡信息以及在ATM機取款留下的影像信息。

因此，通過前期鎖定的銀行賬號，追蹤物理空間“取款的資金流”，可以獲取從事取款業(yè)務(wù)的犯罪嫌疑人及其團伙的身份信息和體貌特征，從而鎖定犯罪嫌疑人。在此階段，分析結(jié)果具有多人、多時、多地特點，可以挖掘其中的犯罪組織成員關(guān)系。

4.3 追蹤網(wǎng)絡(luò)空間“實施詐騙數(shù)據(jù)流”的偵查策略

因案例中的詐騙行為主要在網(wǎng)絡(luò)空間發(fā)生，所以實施詐騙行為的偵查和取證重點在網(wǎng)絡(luò)空間，行為模型{人，時，空，事，物，痕}對應(yīng)表述如下：

（1）人（虛擬人）::=受害人Y的QQ號、Z的QQ號；犯罪嫌疑人X提供的網(wǎng)銀賬號，受害人Z的網(wǎng)銀賬號。

（2）時::=犯罪嫌疑人X與受害人Z聊天的時間。

（3）空::=犯罪嫌疑人X、被害人Z登錄QQ的網(wǎng)絡(luò)地址、登錄網(wǎng)銀的網(wǎng)絡(luò)地址。

（4）事::=聊天騙取受害人信任，Z向X提供的網(wǎng)銀賬號轉(zhuǎn)賬。

（5）物（程序）::=QQ應(yīng)用程序、登錄網(wǎng)銀的瀏覽器程序、安全插件。

（6）痕::=QQ聊天記錄、網(wǎng)銀轉(zhuǎn)賬記錄。

根據(jù)模型中實施詐騙行為分析得出來的虛擬人（QQ賬號、網(wǎng)銀賬號）對應(yīng)的登錄時間和地址進行網(wǎng)絡(luò)空間到物理空間的映射，定位物理空間主機；并從主機和服務(wù)器上進行QQ應(yīng)用程序數(shù)據(jù)取證，還原案件發(fā)生時的數(shù)據(jù)現(xiàn)場。

4.4 追蹤網(wǎng)絡(luò)空間“木馬盜號數(shù)據(jù)流”的偵查策略

案例中的犯罪嫌疑人通過在特定QQ群聯(lián)絡(luò)受害人，在獲取受害人信任后向其傳播木馬，竊取受害人的QQ號，導致最終受害人家人上當受騙。在案件偵查階段，因受害人在境外學習，對受害人QQ號碼被盜過程及其主機上感染的木馬服務(wù)器端程序的調(diào)查取證需要遠程實現(xiàn)，常常被辦理案件的警務(wù)人員忽略。采用空間行為分析模型，可以清晰地判斷數(shù)據(jù)位置。網(wǎng)絡(luò)空間使用木馬盜取QQ號碼的行為模型{人，時，空，事，物，痕}對應(yīng)表述如下：

（1）人（虛擬人） ::=犯罪嫌疑人、受害人的QQ號碼。

（2）時::=從受害人加入某特定QQ群至案件辦理時。

（3）空::=涉案QQ號碼注冊/登錄的網(wǎng)絡(luò)地址，木馬控制端網(wǎng)絡(luò)地址；犯罪嫌疑人登錄郵箱收取木馬盜取的QQ賬號密碼的網(wǎng)絡(luò)地址。

（4）事::=QQ聊天（含視頻聊天）、發(fā)送含有盜號木馬的文件、感染木馬。

（5）物（程序、文件）::=QQ應(yīng)用程序、含有木馬的文件、木馬服務(wù)器端程序、木馬控制端程序。

（6）痕（文件、進程、日志）::=犯罪嫌疑人和受害人主機中QQ聊天記錄及傳送文件記錄，犯罪嫌疑人主機含有被害人QQ聊天的視頻文件、木馬控制端接收服務(wù)器端的連接信息、非法獲取的含有受害人QQ賬號密碼的文件；受害人主機存有木馬服務(wù)器端文件，注冊表中有木馬自啟動相關(guān)的鍵值，進程列表中有木馬相關(guān)的進程，網(wǎng)絡(luò)連接狀態(tài)中有木馬服務(wù)器端正在連接控制端，或連接特定郵箱的記錄。

針對木馬盜號行為的偵查取證，要先從受害人的主機取證開始，通過調(diào)查系統(tǒng)中異常網(wǎng)絡(luò)連接和進程不僅可以找到主機中感染的木馬程序，還可以定位到木馬控制端的網(wǎng)絡(luò)地址。之后建立網(wǎng)絡(luò)地址到物理空間的映射，偵查人員可以確定犯罪嫌疑人使用的聯(lián)網(wǎng)主機。最后對犯罪嫌疑人的聯(lián)網(wǎng)設(shè)備進行取證。

4.5 追蹤網(wǎng)絡(luò)犯罪“幫助行為數(shù)據(jù)流”的偵查策略

網(wǎng)絡(luò)犯罪呈現(xiàn)高發(fā)態(tài)勢的主要原因是犯罪成本低、犯罪組織鏈條化。本文案例中，犯罪嫌疑人在犯罪預(yù)備階段，傳授網(wǎng)絡(luò)犯罪經(jīng)驗、出租或出售掛馬網(wǎng)站、盜號木馬的教學網(wǎng)站、黑客網(wǎng)站和QQ群組，都是《網(wǎng)絡(luò)安全法》及《刑法》中明確規(guī)定的、列入違法犯罪的網(wǎng)絡(luò)犯罪“幫助行為”[4]。因此，要對網(wǎng)絡(luò)犯罪線索進行深挖，追蹤網(wǎng)絡(luò)犯罪的幫助行為，從而打擊網(wǎng)絡(luò)犯罪鏈條。

應(yīng)用空間行為分析模型，可以梳理出網(wǎng)絡(luò)犯罪幫助行為假設(shè)的網(wǎng)站、提供的QQ通信群組等，有針對性地實施打擊。分析網(wǎng)絡(luò)犯罪準備階段，空間行為分析模型{人，時，空，事，物，痕}對應(yīng)表述如下：

（1）人（虛擬人）::=犯罪嫌疑人登錄提供犯罪資源的網(wǎng)站、通信群組使用的賬號。

（2）時::=犯罪預(yù)備階段。

（3）空::=犯罪嫌疑人網(wǎng)絡(luò)地址、網(wǎng)站地址、網(wǎng)站經(jīng)營者聯(lián)網(wǎng)地址、通信群組重點成員網(wǎng)絡(luò)地址。

（4）事::=瀏覽、下載、發(fā)送/接收。

（5）物（程序）::=瀏覽器、QQ即時聊天工具以及其他專用客戶端軟件。

（6）痕::=瀏覽器歷史記錄、QQ聊天文件、客戶端連接服務(wù)器的記錄、本地存儲/網(wǎng)絡(luò)存儲的網(wǎng)絡(luò)犯罪相關(guān)資料。

對犯罪嫌疑人主機留下的電子數(shù)據(jù)進行取證分析，以期發(fā)現(xiàn)為木馬工具的來源、傳授犯罪方法的網(wǎng)站和通信群組的網(wǎng)絡(luò)地址。再通過網(wǎng)絡(luò)地址到物理空間的映射，追蹤為當前網(wǎng)絡(luò)犯罪提供幫助的行為人和組織。

5 結(jié)束語

網(wǎng)絡(luò)技術(shù)與應(yīng)用在促進現(xiàn)實社會進步與發(fā)展、繁榮網(wǎng)絡(luò)社會活動的同時，常常伴隨著新型網(wǎng)絡(luò)犯罪的產(chǎn)生，尤其是普及度高、使用頻率高、隱私關(guān)聯(lián)度高、財產(chǎn)關(guān)聯(lián)度高的網(wǎng)絡(luò)新技術(shù)和新應(yīng)用更容易被利用實施網(wǎng)絡(luò)犯罪。探討主體在物理空間和網(wǎng)絡(luò)空間行為的行為特征和規(guī)律，更易于把握網(wǎng)絡(luò)犯罪的本質(zhì)特征和規(guī)律，有針對性地制定偵查策略、組織實施偵查和取證活動，對網(wǎng)絡(luò)犯罪進行精確定位、高效打擊。

[1]國家互聯(lián)網(wǎng)絡(luò)信息中心.第38次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[R/OL].(2016-07)[2016-08-03]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/2016 08/P020160803367337470363.pdf.

[2]徐光祐,陶霖密,張大鵬,等.物理空間與信息空間的對偶關(guān)系[J].科學通報,2006(5):610-616.

[3]馬忠紅.論刑事案件的構(gòu)成要素[J].中國人民公安大學學報(社會科學版),2012(5):91-99.

[4]于沖.幫助行為正犯化的類型研究與入罪化思路[J].政法論壇,2016(4):164-175.

（責任編輯：于 萍）

D918

A

2095-7939（2016）04-0049-05

10.14060/j.issn.2095-7939.2016.04.010

2016-11-21

北京市哲學社會科學規(guī)劃項目（編號:13ZHB012）。

黃淑華（1974-），女，黑龍江伊春人，中國人民公安大學信息技術(shù)與網(wǎng)絡(luò)安全學院副教授，主要從事網(wǎng)絡(luò)安全與網(wǎng)絡(luò)犯罪偵查研究。