江漢祥 陳 云

(福建省電子數(shù)據(jù)存取證重點(diǎn)實(shí)驗(yàn)室 福建廈門(mén) 361008)

涉網(wǎng)犯罪嚴(yán)重侵害財(cái)產(chǎn)甚至人身安全，是當(dāng)前危害社會(huì)的主要犯罪形式.與“涉網(wǎng)犯罪”相似的概念還有“網(wǎng)絡(luò)犯罪”和“新型網(wǎng)絡(luò)犯罪”，在日常應(yīng)用中經(jīng)常容易混淆，先簡(jiǎn)要描述其內(nèi)在聯(lián)系與區(qū)別：

網(wǎng)絡(luò)犯罪(狹義)指行為人運(yùn)用計(jì)算機(jī)技術(shù)，借助于網(wǎng)絡(luò)對(duì)其系統(tǒng)或信息進(jìn)行攻擊，破壞或利用網(wǎng)絡(luò)進(jìn)行其他犯罪的總稱[1]，如攻擊、入侵、植入木馬、傳播病毒等.網(wǎng)絡(luò)犯罪的本質(zhì)特征是危害網(wǎng)絡(luò)及其信息的安全與秩序[2].

涉網(wǎng)犯罪(狹義)指利用計(jì)算機(jī)及網(wǎng)絡(luò)實(shí)施的其他犯罪.計(jì)算機(jī)信息系統(tǒng)及網(wǎng)絡(luò)作為實(shí)施違法犯罪行為的工具，如網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)傳銷、網(wǎng)絡(luò)色情、網(wǎng)絡(luò)賭博等，相比傳統(tǒng)犯罪，其影響更廣、社會(huì)危害性更大、隱蔽性更強(qiáng)[1-2].

新型網(wǎng)絡(luò)犯罪是指利用通信及網(wǎng)絡(luò)的新技術(shù)和新設(shè)備，借助網(wǎng)絡(luò)犯罪細(xì)分產(chǎn)業(yè)鏈聯(lián)合體，針對(duì)或利用網(wǎng)絡(luò)所進(jìn)行的各種非接觸性犯罪的集合[3].

涉網(wǎng)犯罪和網(wǎng)絡(luò)犯罪在廣義上都包含針對(duì)網(wǎng)絡(luò)的犯罪和網(wǎng)絡(luò)扶持的犯罪，與新型網(wǎng)絡(luò)犯罪意義相同.

以上幾個(gè)概念總結(jié)為：新型網(wǎng)絡(luò)犯罪=涉網(wǎng)犯罪(廣義)=網(wǎng)絡(luò)犯罪(廣義)=網(wǎng)絡(luò)犯罪(狹義)+涉網(wǎng)犯罪(狹義).本文后繼出現(xiàn)的“涉網(wǎng)犯罪”就是其廣義概念.

近10年來(lái)，我國(guó)隨著互聯(lián)網(wǎng)和移動(dòng)終端的蓬勃發(fā)展，海量的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)指數(shù)級(jí)增長(zhǎng).各種異源異構(gòu)數(shù)據(jù)的治理及應(yīng)用分析也得到充分的發(fā)展，走在國(guó)際的前列.目前在軍事、金融、警務(wù)方面最為著名的大數(shù)據(jù)分析工具是美國(guó)的Palantir.它擁有敏捷的大數(shù)據(jù)架構(gòu)，易于擴(kuò)展；對(duì)全量數(shù)據(jù)進(jìn)行融合治理，并開(kāi)展多維關(guān)聯(lián)分析，提供人機(jī)結(jié)合的大數(shù)據(jù)可視化技術(shù)與模型構(gòu)建.其缺點(diǎn)就是專業(yè)化程度太高，對(duì)使用者自身的專業(yè)知識(shí)要求高，不易普及化應(yīng)用.

我國(guó)公安大數(shù)據(jù)匯聚了海量的資源數(shù)據(jù)、流量數(shù)據(jù)、政務(wù)數(shù)據(jù)等多源異構(gòu)數(shù)據(jù)，通過(guò)復(fù)雜的數(shù)據(jù)治理工作，并進(jìn)行各種數(shù)據(jù)分析和應(yīng)用模型，為傳統(tǒng)案件偵辦作出巨大貢獻(xiàn)，特別是在信息虛實(shí)關(guān)聯(lián)、快速落地查人、時(shí)空碰撞等方面極大地提高了工作效率.然而面對(duì)區(qū)別于傳統(tǒng)接觸型犯罪的涉網(wǎng)犯罪案件，公安大數(shù)據(jù)似乎不再靈驗(yàn)——虛實(shí)難以關(guān)聯(lián)，信息難以擴(kuò)展，模型難以見(jiàn)效.曾經(jīng)“醫(yī)治百病”的大數(shù)據(jù)為何失去藥效了呢，這就需要梳理清楚以下幾個(gè)問(wèn)題：

1) 目前公安大數(shù)據(jù)的數(shù)據(jù)構(gòu)成情況；

2) 傳統(tǒng)案件對(duì)數(shù)據(jù)類型與數(shù)據(jù)分析方法的要求；

3) 涉網(wǎng)犯罪案件對(duì)數(shù)據(jù)類型與數(shù)據(jù)分析方法的要求.

為了解決以上問(wèn)題，本文首先對(duì)公安網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類，然后分析公安大數(shù)據(jù)的數(shù)據(jù)類型結(jié)構(gòu)，再剖析傳統(tǒng)案件與新型涉網(wǎng)案件對(duì)數(shù)據(jù)類型需求及數(shù)據(jù)分析方法的差異.

1 公安網(wǎng)絡(luò)數(shù)據(jù)與分類

涉網(wǎng)犯罪的偵查主要依賴犯罪所依賴的網(wǎng)絡(luò)數(shù)據(jù)，以及根據(jù)不同案件特性所開(kāi)展的數(shù)據(jù)分析.不管是傳統(tǒng)的小數(shù)據(jù)分析，還是當(dāng)前的大數(shù)據(jù)分析，都離不開(kāi)網(wǎng)絡(luò)數(shù)據(jù)，所以對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相關(guān)的剖析與科學(xué)分類是網(wǎng)絡(luò)犯罪的數(shù)據(jù)分析基礎(chǔ).

圖1 人員數(shù)據(jù)的分類

公安機(jī)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)主要是涉及人員或設(shè)備相關(guān)的數(shù)據(jù).設(shè)備數(shù)據(jù)主要指與網(wǎng)絡(luò)設(shè)備相關(guān)的設(shè)備屬性數(shù)據(jù)(如設(shè)備類型、品牌、型號(hào)等)和設(shè)備行為數(shù)據(jù)(如連接行為、攝像行為、播放行為等).人員數(shù)據(jù)分為2類：屬性數(shù)據(jù)和行為數(shù)據(jù)(如圖1所示).屬性數(shù)據(jù)是指代表人(物)所具備固有或虛擬的性質(zhì)及關(guān)系的特征數(shù)據(jù)；行為數(shù)據(jù)是指代表人物社交、出行、娛樂(lè)、學(xué)習(xí)、購(gòu)物和交易等活動(dòng)的日志型數(shù)據(jù).行為數(shù)據(jù)主要因素有時(shí)間、地點(diǎn)和行為名稱.

屬性數(shù)據(jù)包括：

1) 固有屬性.固有屬性指數(shù)據(jù)屬性相對(duì)不容易改變的屬性數(shù)據(jù)，如：姓名、身份證號(hào)、學(xué)歷、單位、住址等身份信息；人臉、指紋、聲紋、基因等生物識(shí)別信息[4]；父母、夫妻、兒女等家庭關(guān)系；朋友、同事、同學(xué)、戰(zhàn)友等社會(huì)關(guān)系.

2) 財(cái)產(chǎn)屬性.財(cái)產(chǎn)屬性指與人相關(guān)的金融資產(chǎn)類屬性數(shù)據(jù)，如車輛、房產(chǎn)、手機(jī)等固定資產(chǎn)；銀行資金、股票、基金、虛擬貨幣等金融資產(chǎn)[4].

3) 網(wǎng)絡(luò)屬性.網(wǎng)絡(luò)屬性是指數(shù)據(jù)屬性容易改變的網(wǎng)絡(luò)賬號(hào)與網(wǎng)絡(luò)關(guān)系等方面數(shù)據(jù)，如：QQ、微信、郵箱、支付寶等網(wǎng)絡(luò)身份標(biāo)識(shí)信息；登錄密碼、支付密碼等身份鑒別信息；網(wǎng)友、群友、網(wǎng)絡(luò)服務(wù)等網(wǎng)絡(luò)關(guān)系信息；基站、GPS、地址等位置信息[4].

圖2 數(shù)據(jù)分析示例

行為數(shù)據(jù)包括：

1) 交互行為.交互行為指發(fā)生在人與人之間交互關(guān)系的行為，如：通話、網(wǎng)絡(luò)通話、視頻聊天、網(wǎng)絡(luò)聊天、收發(fā)郵件等網(wǎng)絡(luò)交流；網(wǎng)銀轉(zhuǎn)賬、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)紅包等網(wǎng)絡(luò)交易.

2) 消費(fèi)行為.消費(fèi)行為指發(fā)生在人與法人之間消費(fèi)關(guān)系的行為，如：淘寶購(gòu)物、天貓購(gòu)物、京東購(gòu)物等網(wǎng)絡(luò)購(gòu)物；飛機(jī)票、動(dòng)車票、汽車票等網(wǎng)絡(luò)訂票；美團(tuán)外賣、百度外賣、餓了么等網(wǎng)絡(luò)訂餐；酒店、賓館、民宿等住宿預(yù)訂；滴滴打車、曹操專車等網(wǎng)絡(luò)打車.

3) 個(gè)體行為.個(gè)體行為是指?jìng)€(gè)人自身的學(xué)習(xí)、娛樂(lè)和出行等操作行為，如：開(kāi)車導(dǎo)航、步行導(dǎo)航等個(gè)人出行；瀏覽、查詢、點(diǎn)擊、下載、評(píng)論等個(gè)人操作記錄；直播、收聽(tīng)、觀看等影音娛樂(lè)；下載、安裝、登錄等軟件使用記錄.

目前公安機(jī)關(guān)網(wǎng)絡(luò)數(shù)據(jù)的構(gòu)成主要針對(duì)人員來(lái)收集，并且主體是人的屬性數(shù)據(jù)，只有部分行為數(shù)據(jù)，特別缺少交互行為數(shù)據(jù)和設(shè)備數(shù)據(jù).所以數(shù)據(jù)分析方法主要是基于屬性數(shù)據(jù)的屬性分析，基于行為數(shù)據(jù)的行為分析則相對(duì)薄弱.

2 基于公安業(yè)務(wù)的數(shù)據(jù)分析方法

公安機(jī)關(guān)從社會(huì)治理和打擊犯罪的角度開(kāi)展數(shù)據(jù)分析，其數(shù)據(jù)分析分類和定義與商業(yè)及數(shù)據(jù)挖掘領(lǐng)域有所不同.公安機(jī)關(guān)在偵查方面的數(shù)據(jù)分析方法必須基于嚴(yán)密的邏輯性，強(qiáng)調(diào)人或事物的直接關(guān)系，或者線索必須有邏輯關(guān)聯(lián)，證據(jù)必須可追溯.而在商業(yè)及數(shù)據(jù)挖掘領(lǐng)域一般不太關(guān)注邏輯性，更關(guān)注相關(guān)性，如典型的“啤酒與尿布”問(wèn)題[5].

公安機(jī)關(guān)基于傳統(tǒng)案件的數(shù)據(jù)分析方法主要有4類：屬性分析、關(guān)聯(lián)分析、關(guān)系分析和碰撞分析(如圖2所示).

1) 屬性分析是通過(guò)對(duì)主體對(duì)象各類特征進(jìn)行標(biāo)示，從而了解主體對(duì)象的屬性或者屬性交叉的分布結(jié)構(gòu)，進(jìn)而對(duì)主體對(duì)象進(jìn)行多角度的結(jié)構(gòu)分析.屬性分析主要價(jià)值是豐富主體對(duì)象畫(huà)像維度，細(xì)化洞察粒度.

2) 關(guān)聯(lián)分析是指同一主體不同屬性之間的連接，也就是通過(guò)其中一個(gè)屬性拓展關(guān)聯(lián)出另一個(gè)屬性的分析.如從QQ號(hào)擴(kuò)展出加入的QQ群、從微信號(hào)拓展出注冊(cè)的手機(jī)號(hào)等.

3) 關(guān)系分析是指不同主體間屬性的連接，包括靜態(tài)的社會(huì)關(guān)系分析(如親緣、業(yè)緣、地緣和趣緣等關(guān)系[6])和動(dòng)態(tài)的行為關(guān)系分析(如通話、交易、網(wǎng)絡(luò)聊天、通信等關(guān)系).如從2人的手機(jī)號(hào)中判斷出2人有通話關(guān)系以及通話頻率；從2人的銀行賬號(hào)中判斷出2人有交易關(guān)系以及交易頻率和交易金額等.

4) 碰撞分析指不同數(shù)據(jù)集之間,以1種或多種數(shù)據(jù)項(xiàng)為條件產(chǎn)生數(shù)據(jù)交集的過(guò)程[7]，包含交集、差集和補(bǔ)集等多種集合運(yùn)算，主要有2種類型：一種是從簡(jiǎn)單的屬性(如好友、通話對(duì)象、交易對(duì)象)碰撞出主體的關(guān)系對(duì)象等；另一種是從時(shí)空重疊角度碰撞出伴隨的另一主體屬性(如手機(jī)、虛擬身份號(hào)碼、車輛中的人員等)，或串并出不同案件現(xiàn)場(chǎng)出場(chǎng)人員等.

大數(shù)據(jù)偵查中常用的實(shí)體畫(huà)像(如人物、虛擬身份、車輛、房產(chǎn)等畫(huà)像)就是利用屬性分析，并通過(guò)關(guān)聯(lián)分析和關(guān)系分析來(lái)拓展畫(huà)像維度與深度.而碰撞分析是情報(bào)研判中經(jīng)常使用的分析方法，在串并案分析、伴隨分析、共同對(duì)象分析、新增消失對(duì)象分析等案件數(shù)據(jù)分析方法中不可或缺.

刑事案件就其偵辦目標(biāo)有2種類型：

1) “在哪”，即案件已知嫌疑人真實(shí)身份，只要查找定位嫌疑人位置即可；

2) “是誰(shuí)”，即案件尚未查明嫌疑人，需要分析確認(rèn)作案嫌疑人.

目前公安大數(shù)據(jù)在偵辦“在哪”這種類型案件時(shí)尤為突出，因?yàn)橹灰l(fā)現(xiàn)一個(gè)人的屬性，那么該屬性一旦出現(xiàn)，自然也就知道“在哪”，從而找到目標(biāo).因此，公安大數(shù)據(jù)在“追逃”方面優(yōu)勢(shì)明顯.對(duì)于“是誰(shuí)”類型案件，目前公安大數(shù)據(jù)依然有所作為.因?yàn)閭鹘y(tǒng)案件基本都是接觸性犯罪，案件發(fā)生時(shí)有時(shí)間和空間屬性.這樣就可以根據(jù)人員屬性數(shù)據(jù)進(jìn)行時(shí)空碰撞、排除、伴隨等集合運(yùn)算來(lái)分析可疑的人員屬性，從而最終查到可疑的嫌疑人.

這樣就從理論上解釋了傳統(tǒng)大數(shù)據(jù)在偵辦傳統(tǒng)案件時(shí)所發(fā)揮的強(qiáng)大作用根本原因所在，也就是其數(shù)據(jù)特性完全符合傳統(tǒng)案件的偵辦需要.

3 涉網(wǎng)犯罪對(duì)傳統(tǒng)數(shù)據(jù)分析的挑戰(zhàn)

涉網(wǎng)犯罪的特殊性及公安大數(shù)據(jù)的數(shù)據(jù)構(gòu)成導(dǎo)致目前公安大數(shù)據(jù)出現(xiàn)困境.涉網(wǎng)犯罪是非接觸性犯罪，因而沒(méi)有空間屬性，甚至有些案件沒(méi)有時(shí)間屬性.網(wǎng)絡(luò)行為只有IP地址來(lái)體現(xiàn)其活動(dòng)地址，但是網(wǎng)絡(luò)IP段是按地市分配的，區(qū)域太大難以應(yīng)用模型；同時(shí)很多嫌疑人會(huì)使用代理IP隱藏真實(shí)IP.案件一定有發(fā)生的時(shí)間，但是偵查需要案件過(guò)程中有價(jià)值的線索，但在涉網(wǎng)案件中這個(gè)線索的時(shí)間點(diǎn)可能無(wú)法確定，從而偵辦意義上就沒(méi)有時(shí)間屬性.如婁底合成照片類詐騙案件(簡(jiǎn)稱婁底詐騙案)基本無(wú)法判斷嫌疑人查找受害人照片時(shí)間點(diǎn)、合作制作照片等作案時(shí)間點(diǎn)，從而偵查意義上它就沒(méi)有時(shí)間屬性.所以面對(duì)涉網(wǎng)犯罪案件使用傳統(tǒng)屬性分析、關(guān)系分析和碰撞分析法就不再奏效，屬性數(shù)據(jù)無(wú)法滿足其需要.

涉網(wǎng)犯罪案件中嫌疑人為了規(guī)避偵查，還可能利用特殊通信設(shè)備(如GOIP網(wǎng)關(guān))規(guī)避手機(jī)通話被落地定位的風(fēng)險(xiǎn)[8]；利用各種代理IP隱藏真實(shí)IP；利用各種加密通信APP或“閱后即焚”聊天工具規(guī)避流量分析和事后取證；利用多級(jí)轉(zhuǎn)賬、第三方支付、第四方支付、虛擬貨幣、地下錢莊等多種支付方式流轉(zhuǎn)來(lái)規(guī)避資金分析[9].這種情況下，公安機(jī)關(guān)往往難以收集到他們的相關(guān)數(shù)據(jù).缺乏真實(shí)身份、設(shè)備數(shù)據(jù)以及行為數(shù)據(jù)決定了當(dāng)前公安大數(shù)據(jù)在應(yīng)對(duì)涉網(wǎng)犯罪時(shí)的局限性.可見(jiàn)面對(duì)涉網(wǎng)犯罪案件當(dāng)前公安大數(shù)據(jù)從數(shù)據(jù)構(gòu)成、數(shù)據(jù)治理及分析方法上都無(wú)法滿足其需求.

為了有效說(shuō)明涉網(wǎng)案件在數(shù)據(jù)分析上需要的數(shù)據(jù)類型，下面通過(guò)“婁底詐騙案”案例來(lái)簡(jiǎn)要描述.

“婁底詐騙案”是一類在2008—2014年間高發(fā)的詐騙案件，一般通過(guò)給相關(guān)領(lǐng)導(dǎo)一封快遞，內(nèi)含1張領(lǐng)導(dǎo)在色情或受賄場(chǎng)所的照片，并附1封信件，要求為了息事寧人給特定賬戶打款一定金額，否則會(huì)把不雅照寄給親戚朋友或公開(kāi)給紀(jì)委部門(mén).由于受害群體及內(nèi)容的敏感性，此類詐騙早期的成功率很高.

這類案件的傳統(tǒng)偵查方法：由于案件的線索只有1封快遞及1個(gè)銀行賬號(hào)，偵查時(shí)會(huì)從快遞來(lái)源進(jìn)行追蹤，或者通過(guò)該銀行賬號(hào)的取款視頻進(jìn)行追蹤.但由于取款馬仔的掩飾裝束等原因，往往很難取得突破.

這類案件一般是由湖南省婁底市的犯罪團(tuán)伙進(jìn)行大量合成照片制作，然后交由送件團(tuán)伙到外地進(jìn)行投遞.因而作案情節(jié)割裂，何時(shí)開(kāi)始制作照片、何時(shí)結(jié)束制作、在什么地點(diǎn)制作，完全不得而知.唯一知道的是最后一個(gè)環(huán)節(jié)，即信件是何時(shí)從何地寄出的.也就是說(shuō)案件的時(shí)間屬性與空間屬性模糊，不可確定.因而傳統(tǒng)的數(shù)據(jù)分析基本無(wú)從下手.即使利用強(qiáng)大的大數(shù)據(jù)系統(tǒng)也基本上沒(méi)有分析的落腳點(diǎn)或參照物.

那么這類案件是否可以開(kāi)展數(shù)據(jù)分析呢，案件中犯罪分子唯一需要獲取的素材就是領(lǐng)導(dǎo)照片和郵寄地址，那么大量的照片一定是通過(guò)網(wǎng)絡(luò)方式獲取的.政府網(wǎng)站一般就是犯罪分子獲取領(lǐng)導(dǎo)照片最直接和準(zhǔn)確的途徑.通過(guò)網(wǎng)站日志就能查找到所有瀏覽過(guò)領(lǐng)導(dǎo)照片的記錄，再分離出湖南婁底的IP記錄，最終通過(guò)嫌疑人瀏覽網(wǎng)站的心理過(guò)程——找到1張職位合適、神態(tài)合適的領(lǐng)導(dǎo)照片，很快就能鎖定瀏覽照片的嫌疑人.案件從這個(gè)突破點(diǎn)可以再順藤摸瓜地關(guān)聯(lián)出照片制作團(tuán)伙、郵件寄送團(tuán)伙等.

可見(jiàn)，如果有了行為數(shù)據(jù)(網(wǎng)站日志)，并結(jié)合嫌疑人作案的心理規(guī)律，完全可以將一起似乎與網(wǎng)絡(luò)毫無(wú)關(guān)系的案件另辟蹊徑地找到突破口.這也說(shuō)明在應(yīng)對(duì)涉網(wǎng)犯罪時(shí)行為數(shù)據(jù)的重要性，同時(shí)數(shù)據(jù)模型也不再是傳統(tǒng)時(shí)間碰撞分析為主的方法，而是應(yīng)用行為規(guī)律和心理規(guī)律的方法.

4 基于涉網(wǎng)犯罪的公安數(shù)據(jù)分析發(fā)展方向

為了應(yīng)對(duì)涉網(wǎng)犯罪給公安數(shù)據(jù)分析帶來(lái)的種種挑戰(zhàn)，公安數(shù)據(jù)來(lái)源建設(shè)應(yīng)當(dāng)加強(qiáng)流量分析能力建設(shè)，構(gòu)建信息化生態(tài)體系等方面的工作，特別要解決涉網(wǎng)犯罪數(shù)據(jù)來(lái)源問(wèn)題，拓展異常行為數(shù)據(jù)分析方法或模型，以適應(yīng)時(shí)代需要，為打擊涉網(wǎng)犯罪服務(wù)，為創(chuàng)造和諧穩(wěn)定的社會(huì)治安環(huán)境作出貢獻(xiàn).

4.1 變革數(shù)據(jù)分析觀念，適應(yīng)涉網(wǎng)犯罪時(shí)代新要求

基于“案事件”，以屬性分析、關(guān)系分析和碰撞分析為主導(dǎo)的傳統(tǒng)數(shù)據(jù)分析已經(jīng)無(wú)法滿足當(dāng)前涉網(wǎng)犯罪打擊治理的需要.擴(kuò)充設(shè)備數(shù)據(jù)以及行為數(shù)據(jù)來(lái)源是打擊治理涉網(wǎng)犯罪的數(shù)據(jù)基礎(chǔ)；研究涉網(wǎng)犯罪整個(gè)黑灰產(chǎn)業(yè)鏈犯罪特點(diǎn)，構(gòu)建異常行為特征知識(shí)庫(kù)和犯罪行為規(guī)律模型則是其數(shù)據(jù)分析的發(fā)展方向，同時(shí)也是公安大數(shù)據(jù)建設(shè)的重要發(fā)展方向.基于新形勢(shì)要求需要構(gòu)建涉網(wǎng)犯罪防控治理體系，同時(shí)需要打造3種能力，以解決當(dāng)前公安機(jī)關(guān)應(yīng)對(duì)涉網(wǎng)犯罪面臨的3個(gè)棘手問(wèn)題：

1) 打造異常識(shí)別能力.這是解決涉網(wǎng)犯罪窩點(diǎn)“找不到”的問(wèn)題.由于涉網(wǎng)犯罪缺乏時(shí)空屬性，因而只能通過(guò)行為特征進(jìn)行識(shí)別.這就要求公安機(jī)關(guān)必須具備涉網(wǎng)犯罪異常行為的識(shí)別能力，從活動(dòng)時(shí)間規(guī)律、作案工具選擇、網(wǎng)絡(luò)通信特征、URL特征、關(guān)鍵詞特征、話術(shù)特征、傳輸圖像特征、利用網(wǎng)絡(luò)設(shè)備特征等角度進(jìn)行研究，把握其異常行為的特征，并從常規(guī)網(wǎng)絡(luò)數(shù)據(jù)中過(guò)濾出形成情報(bào)原料，以備進(jìn)一步研判分析.

2) 打造全景刻畫(huà)能力.這是解決涉網(wǎng)犯罪生態(tài)和手法“摸不清”的問(wèn)題.傳統(tǒng)犯罪手段相對(duì)單一，團(tuán)伙組織嚴(yán)密；而涉網(wǎng)犯罪則情節(jié)割裂，分工細(xì)化，上下游合作交織復(fù)雜，結(jié)構(gòu)松散，但業(yè)務(wù)銜接順暢.基本上每個(gè)涉網(wǎng)犯罪都由眾多的黑灰產(chǎn)來(lái)支撐運(yùn)作，因而涉網(wǎng)黑灰產(chǎn)節(jié)點(diǎn)繁雜，涉及技術(shù)多樣.公安機(jī)關(guān)必須對(duì)各類涉網(wǎng)犯罪及其產(chǎn)業(yè)鏈進(jìn)行研究，掌握其共性與特性，建立起涉網(wǎng)犯罪黑灰產(chǎn)產(chǎn)業(yè)鏈圖譜，并描述節(jié)點(diǎn)間的合作關(guān)系與行為特征.從而將傳統(tǒng)只對(duì)單案進(jìn)行刻畫(huà)的作法轉(zhuǎn)變?yōu)閷?duì)各類涉網(wǎng)犯罪進(jìn)行全景刻畫(huà)，為構(gòu)建涉網(wǎng)犯罪防控治理體系奠定理論基礎(chǔ).

3) 打造柔性制造能力.這是解決公安信息化建設(shè)“跟不上”涉網(wǎng)犯罪技術(shù)和手法變化的問(wèn)題.涉網(wǎng)犯罪的技術(shù)與手法日新月異，不斷迭代，公安機(jī)關(guān)不可能事先預(yù)測(cè)出各種犯罪手法與技術(shù)，提前進(jìn)行固化模型設(shè)計(jì)，因而在數(shù)據(jù)分析建設(shè)上需要具備柔性制造能力——可視化建模能力，讓普通偵查員能夠根據(jù)思路進(jìn)行可視化建模設(shè)計(jì)，得到情報(bào)結(jié)果.

4.2 豐富數(shù)據(jù)來(lái)源，著力行為數(shù)據(jù)匯聚

“巧婦難為無(wú)米之炊”，數(shù)據(jù)是數(shù)據(jù)分析的基礎(chǔ).當(dāng)前公安大數(shù)據(jù)中數(shù)據(jù)的體量并不缺，但為應(yīng)對(duì)涉網(wǎng)犯罪，缺乏的是設(shè)備與行為數(shù)據(jù).為此需要從研究涉網(wǎng)犯罪設(shè)備、涉網(wǎng)犯罪APP，從而獲取相關(guān)數(shù)據(jù)；同時(shí)要思考如何從匯聚大量行為數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)中輸送有價(jià)值的行為數(shù)據(jù).

4.2.1 加大對(duì)網(wǎng)絡(luò)新型設(shè)備的解析能力

目前流量數(shù)據(jù)解析時(shí)基本上只對(duì)手機(jī)進(jìn)行硬件特征解析.為了應(yīng)對(duì)涉網(wǎng)犯罪，應(yīng)當(dāng)加強(qiáng)對(duì)作案設(shè)備及各種物聯(lián)終端的硬件通信特征開(kāi)展研究.作案設(shè)備有GOIP網(wǎng)關(guān)、卡池設(shè)備等.物聯(lián)終端有攝像頭、路由等智能家具設(shè)備，手表、手環(huán)等智能穿戴設(shè)備，還有智能汽車、無(wú)人機(jī)等各種涉網(wǎng)犯罪案件涉及的設(shè)備(如圖3所示).

圖3 與人相關(guān)的各種智能終端

設(shè)備的解析與識(shí)別會(huì)改變傳統(tǒng)應(yīng)用模型，如只要發(fā)現(xiàn)有卡池設(shè)備基本上就是嫌疑人的窩點(diǎn)；只要有GOIP和攝像頭同時(shí)出現(xiàn)在1個(gè)位置也基本能確定是嫌疑人的窩點(diǎn)；只要有5個(gè)以上單路GOIP同時(shí)出現(xiàn)在1個(gè)位置也能確定是嫌疑人的窩點(diǎn)；這些模型簡(jiǎn)單，大數(shù)據(jù)運(yùn)算耗能小、效率高、成果好[3].

4.2.2 加大對(duì)涉案軟件解析能力

除了要對(duì)傳統(tǒng)的QQ、微信、滴滴、百度地圖等應(yīng)用軟件進(jìn)行解析外，更應(yīng)該了解龐大黑灰產(chǎn)所涉及的應(yīng)用軟件，如陌陌、探探等交友類APP，shadowsocks、藍(lán)燈等VPN類APP，還有各種涉案的貸款類、直播類、小眾聊天類、虛擬貨幣類APP都是需要重點(diǎn)關(guān)注和研究的.目前很多APP應(yīng)用https的通信加密方式，盡管無(wú)法解析其通信內(nèi)容，但是依然可以解析出IP等有價(jià)值的信息，從而掌握誰(shuí)在使用以及使用的頻率，有時(shí)這些信息已經(jīng)足夠提供有價(jià)值的線索[3].

4.2.3 匯聚第三方數(shù)據(jù)的應(yīng)用策略

很多第三方網(wǎng)絡(luò)信息提供商的數(shù)據(jù)對(duì)公安機(jī)關(guān)偵查辦案意義重大，如阿里、騰訊、滴滴的數(shù)據(jù).因?yàn)榫W(wǎng)絡(luò)信息提供商擁有大量行為數(shù)據(jù)，如購(gòu)物、交易、出行、社交等數(shù)據(jù).通過(guò)這些數(shù)據(jù)可以利用行為規(guī)律的分析模型進(jìn)行線索挖掘與發(fā)現(xiàn).但是如何有效利用這些數(shù)據(jù)呢，全部數(shù)據(jù)備份方案不現(xiàn)實(shí)，可以在網(wǎng)絡(luò)信息提供商端前置異常數(shù)據(jù)模型，把需要的數(shù)據(jù)匯聚起來(lái)，然后再根據(jù)這些價(jià)值密度高的行為數(shù)據(jù)，結(jié)合相關(guān)精細(xì)化模型進(jìn)一步分析研判.這些異常模型包括數(shù)量異常、金額異常、時(shí)間異常、特殊物品、特殊組合等.

4.3 建立異常行為感知引擎，創(chuàng)新異常行為數(shù)據(jù)分析方法

傳統(tǒng)的數(shù)據(jù)分析都是案件發(fā)生后針對(duì)個(gè)案開(kāi)展的數(shù)據(jù)分析，但是針對(duì)涉網(wǎng)犯罪的復(fù)雜度，應(yīng)當(dāng)把為打擊服務(wù)的數(shù)據(jù)分析機(jī)制前置到為全警“打防管”全方位治網(wǎng)服務(wù)的數(shù)據(jù)分析機(jī)制(如圖4所示).這就要求開(kāi)展以下幾個(gè)方面的工作：

1) 建立異常行為特征知識(shí)庫(kù).這些異常行為特征包括網(wǎng)絡(luò)通信異常、文本內(nèi)容關(guān)鍵詞異常、域名URL異常、APP特征異常、圖片特征異常、交易異常、軌跡異常、文件異常、通聯(lián)異常、購(gòu)物異常等.

2) 以知識(shí)庫(kù)為引擎，感知全域數(shù)據(jù)，產(chǎn)生情報(bào)原料.隨著數(shù)據(jù)種類和體量的不斷增大，傳統(tǒng)的全量數(shù)據(jù)分析方法已經(jīng)不再適合，需要以異常行為特征知識(shí)庫(kù)為引擎，過(guò)濾出價(jià)值密度較高的異常行為數(shù)據(jù)，為下一步數(shù)據(jù)分析提供數(shù)據(jù)基礎(chǔ).

圖4 涉網(wǎng)犯罪異常行為感知與分析機(jī)制

3) 以犯罪行為規(guī)律為依據(jù)，創(chuàng)新應(yīng)用模型，產(chǎn)生情報(bào)成品.掌握各種涉網(wǎng)犯罪生態(tài)鏈，研究生態(tài)鏈節(jié)點(diǎn)的犯罪行為規(guī)律，形成業(yè)務(wù)模型，從而把情報(bào)原料加工成準(zhǔn)確度較高的情報(bào)成品.面對(duì)非接觸性的涉網(wǎng)犯罪，數(shù)據(jù)分析的思路要有所突破，需要加強(qiáng)資金流分析與信息流分析的結(jié)合，注重特殊設(shè)備數(shù)據(jù)和特殊APP數(shù)據(jù)的應(yīng)用，注重犯罪行為規(guī)律和犯罪心理分析研究應(yīng)用，注重全生物特征比對(duì)，特別是聲紋比對(duì)[3].

4) 以犯罪生態(tài)知識(shí)圖譜為驅(qū)動(dòng)，擴(kuò)展犯罪產(chǎn)業(yè)鏈節(jié)點(diǎn).在掌握各種涉網(wǎng)犯罪生態(tài)鏈基礎(chǔ)上，針對(duì)各個(gè)節(jié)點(diǎn)建立點(diǎn)與點(diǎn)的“邊”關(guān)系.這種“邊”關(guān)系不僅有展示作用，更是模型引擎；通過(guò)參數(shù)配置，能夠在已知1個(gè)節(jié)點(diǎn)情況下，通過(guò)引擎運(yùn)算擴(kuò)展到“邊”的另一端的節(jié)點(diǎn)，從而不斷地?cái)U(kuò)展生態(tài)鏈上的節(jié)點(diǎn)，盡可能呈現(xiàn)出生態(tài)鏈的完整性.

5) 以警種業(yè)務(wù)職能為依托，充分發(fā)揮全警“打防管”治網(wǎng)能力，形成管理閉環(huán).各個(gè)警種根據(jù)自身的業(yè)務(wù)開(kāi)展上述業(yè)務(wù)模型工作，產(chǎn)生的情報(bào)成品要輸送到對(duì)應(yīng)的警種進(jìn)行線下的治理工作，并將結(jié)果反饋，形成閉環(huán).

5 結(jié)束語(yǔ)

打擊涉網(wǎng)犯罪是公安機(jī)關(guān)重要任務(wù)，圍繞“打防結(jié)合”的方針，做到事先精準(zhǔn)預(yù)警、事中偵查審計(jì)、事后追蹤取證.本文通過(guò)對(duì)公安網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類，分析公安數(shù)據(jù)的數(shù)據(jù)類型結(jié)構(gòu)，結(jié)合傳統(tǒng)案件和涉網(wǎng)犯罪案件對(duì)數(shù)據(jù)需求進(jìn)行剖析，總結(jié)2類案件對(duì)數(shù)據(jù)分析方法的要求.通過(guò)分析找出涉網(wǎng)犯罪案件對(duì)數(shù)據(jù)及數(shù)據(jù)分析方法的需求，提出轉(zhuǎn)變當(dāng)前案件偵辦中的數(shù)據(jù)分析思維，提出涉網(wǎng)犯罪數(shù)據(jù)分析要著眼于異常行為數(shù)據(jù)，建立行為特征知識(shí)庫(kù)，并以警種業(yè)務(wù)為基礎(chǔ)，研究涉網(wǎng)犯罪行為規(guī)律，構(gòu)建行為分析模型，從而得到有價(jià)值的情報(bào)成品，為全方位“打防管”治網(wǎng)服務(wù).