网络情报分析技术PPT.ppt

单击此处编辑母版文本样式,第二级,第三级,第四级,Page,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,单击此处编辑母版标题样式,网络情报分析技术,顾益军,情报作业流程,假想你是一个刑警，一个案子摆在面前，你首先要思考的就是设想自己应该从哪几个方面着手收集信息，是现场、目击证人，还是公安信息网，等等，这就是策划环节;,根据设想，你收集了大量的现场证据、目击者证词，这就是收集环节;,接下来，你不可能不问问这些证据的来源是否可靠，这些信息是真是假，这就是评估环节;,接下来你不可能把收集到的信息一股脑地 堆在一起，而是必须分门别类，把相关的证据信息归类，以便于分析，这就 是整理环节;,在此基础上，你要和同事对案情作出各种假设，是本地人作 案，还是外地人流窜，作案人的动机是什么，等等，这就是分析环节;,当分 析得出一定的结论(比如说，作案人是本地人，有前科)后，你会把这一 结论告诉同事，报告领导，这就是发布过程;,根据分析结论，你的同事对辖 区内的前科人员开展摸排，果然发现了一个十分相似的嫌疑人，同事们对你 说，分析得挺准，业务挺专，这就是反馈过程;现在你面临的问题是怎么找 到这个嫌疑人，你心里开始盘算着从哪儿能找到这家伙，这其实是你正在重复策划环节，你又开始了新一轮的思考流程,Page,2,Page,2,情报作业流程,在情报主导警务中，情报作业流程既是分析人员必须遵锚的标准作业程序，也是一种科学的思维方式，是最佳实践的总结和归纳，所有的成功都可 归结为对这一流程的遵守，大部分的情报失误也可归结为流程中某些环节的 失误。虽然严格地遵循这一程序不一定能使你百分之百地产出高质量的情 报，但是却可以帮助你少犯低级的常识性的错误。,作为基本的情报思维方式，情报作业流程不仅仅是专职情报分析员必须 遵循的程序，也是每一名警务人员每天都在重复的心理定式，无论是一线的刑警还是办公室的统计分析员都不能例外。,Page,3,Page,3,情报作业流程举例,如果你是一个统计分析员，一份领导的批示摆在面前“这个月的毒品 案件数量比去年同期下降了40%，我们的毒品形势有什么变化，请分析后 报我。你开始盘算着从信息系统和报表里再找一些数字，找哪些数字呢，你开 列了一张羊子，里面的内容有这个月和去年同期的案件数、打击处理数、缴 获毒品数，百克以上毒品案件数、缴获量，千克以上毒品案件数、缴获量 等，再把这个月和去年同期的毒品价格也 列在羊子上，这就是策划环节;,按这个单子收集数据，这就是收集过程;,把数字找到后，你把几个主要数字和 报表上的又核对了一下，以免用了错的数字白忙一场，这就是评估过程;,核对时，你发现手写的单子有点儿乱，于是用办公软件制了一张表，同一类数字放在一行，本月的放一列，去年同期的放一列，把所有的数字都填到表 里，这下清晰多了，这就是整理过程;,Page,4,Page,4,情报作业流程举例,接下来你开始了分析过程，对每个指 标都计算了同比升降，通过计算发现，虽然案件总数下降，但是案件缴获量 大幅度上升，抓获人数均有上升，尤其是千克以上毒品案件和缴获量大幅度 上升，而且毒品价格也翻了一倍。据此你认为，虽然毒品案件下降，但是其 他指标都说明这个月打击毒品犯罪成果的显著，于是你把这一思考过程、有关的证据和观点写成一份统计分析报告，这就是分析过程;,你把这个报告交 给领导，这就是发布过程;领导看完后，把你叫过去，基本上同意你的分析，把你表扬了一番，这就是反馈过程;,但是同时，领导让你再分析一下打击力度加大，但案件下降的原因，你回来开始盘算从哪个方面下手，开始了 新一轮分析的策划环节,Page,5,Page,5,第一环节：策划,凡事预则立，不预则废。策划是情报分析的出发点和归宿，其基本目的是明确该轮情报作业的目的和任务要求。策划既可以形成一个书面正式的情 报方案，也可以是分析员及相关民警头脑中的一个计划和设想。但无论以正 式书面方案还是非正式的计划，都应至少考虑以下要素:,情报用户(使用者):,用户类别:情报任务是为哪些情报用户服务的，是公安内部用 户、政府用户还是公众用户;,用户背景知识:用户的已知情报是什么，对公安业务以及违法犯罪情况的了解如何，能否理解对专业术语、违法犯罪的一般规律;,用户接收信息的偏好:偏好昕取口头汇报、通报，书面文字表 述还是图表展示，对图表和数字的理解能力如何。,情报需求:,任务类型,用户的情报需求清单，情报成品具体包含的数据项;,情报需求清单中从当前成果到最终成果之间的阶段性产品;交付情报成品的最迟时间。,Page,6,Page,6,第一环节：策划,信息收集方案:,分析所需信息项清单;,列出已知事实，列出假设,这些信息项可能的信息来源;,可能用到的收集信息手段。,分析方案:,分析过程可能的参与者，包括情报分析员、相关民警和有关专家;,分析方法和工具。,进度安排:,在情报活动中必须投入的时间,成本预算:,在情报活动中必须技人的人工、资金资源,Page,7,Page,7,策划举例,领导把你叫到面前，向你布置了新任务，上级机关转来一条重要情报，称辖区内的甲某具有走私毒品的重大嫌疑，上个月他已经从辖区内的A港 口向境外走私了30公斤毒品，集装箱号码是ADSLL，准备30天后再走私第 二批，现在我们只知道他的身份证号，让你牵头，获取以甲为首的犯罪网络 成员情况，最迟在15天内取得进展，你该如何策划呢?,情报用户:,用户:你的领导，毒品犯罪侦查方面的专家;,已知情报:甲某身份、集装箱号码、A港口、上个月，30 公斤毒品;,接收信息偏好-情报报告:形成书面材料，可以提交文字说明，同时形成一 份走私毒品团伙成员一览表和网络图。,情报需求:,用户的情报需求清单:每个网络成员的照片、姓名、别名、住址、身份证号/护照号码、住地、通信手段、驾驶车辆、反侦查能力、资金账户、在团伙中的角色;,交付成品时间:15天之内。,Page,8,Page,8,策划举例,信息收集方案:,这些信息项可能的信息来源:警方数据库、海关数据库、电信数据库;,可能用到的收集信息手段:数据库查询、外线跟踪、其他。,分析方案:,分析方法:连线分析、数据分析,进度安排:,一周内将甲某的团伙成员纳入视线，第二周将甲某的上下线纳入视线,成本预算:,人工:3名侦查员;,资金:10000元人民币。,Page,9,探索-涉网案件的犯罪现场重建,现场重建的方法,1.现场物证与资料的收集；,重建可以看成一个事实的收集过程（李昌钰语）。,现场要收集那些东西？,2.现场物证的个性化；,典型个性化形成独有的线索（如QQ、Email）,聚类分析推测人群、行为特征,3.形成推测与假设；,4.验证假设。,发散性思维与反向思维,检查重建材料,核查技术检测数据和方法,逻辑检查,Page,10,探索-涉网案件的犯罪现场重建,案例分析,2009年1月7日，某派出所接到报案：赵云霞，于2008年12月27日晚，从住处(某花园F座21房)失踪，至今去向不明。经调查，赵云霞的银行卡被多次提款，笔记本电脑丢失。于是该派出所立为刑事案件，进行初步调查。,需要解决的问题：,该事件是否为刑事案件？,赵云霞是否遇害？,嫌疑人的情况？,可以找到的网络线索有哪些？,Page,11,收集资料：,2008.12.27晚，在住所,身份证：510222197004090041,车牌：粤B82G00,电脑：sony，VGN-TZ27GN/RET,电话：22360486，13691842777,银行账号：6227007200380168064、4895920301612668,上网方式：szchouhg163.gd，13923408878,Email：gigizhao，gigi and stegmann,gigizhao，chengyingzhu,QQ:531729992，30750877,支付宝：gigi_zhao，kelvin2000105,Page,12,现场重建：,圣诞-元旦：修车+手机转到秘书台,2008.12.27 19:18 上网,2008.12.27 11:20 手机发送最后一个短信,2008.12.28 01:23 下网,2008.12.28 13时 银行卡提款（住所附近）,2008.12.29 11时 银行卡提款（珠海）,2008.12.30 12时 银行卡提款（莲塘）,2009.1.1 16时 银行卡提款（彩田，光大银行）,2009.1.1 13时 SIM卡启动（华强北）,2009.1.4 4时 银行卡提款（莲塘，农业银行）,2009.1.4 5时 银行卡提款（莲塘，邮政储蓄）,2009.1.11 2122时 MSN上线（白石洲）,Page,13,信息收集环节的工作要点,在条件许可的情况下：,对获取的信息进行要素分析,根据已知信息进行收集方案的优化调整,Page,14,信息评估环节的工作要点,对获取信息的信息要素,来源可靠性分析,内容可靠性分析,Page,15,数据整理环节的工作要点,基于要素的信息整理,Page,16,某公安机关辖区内接连发生多起砸汽车玻璃盗窃车内物品的案件。5月 6号中午12点到下午3点之间，在北京大道“银色未来”门口，一辆红色 别克轿车(车牌号xxxx)被砸，其中一个女式咖啡色帆布包以及银行 卡被盗。两天后，晚上6点40到7点半之间，沈阳街南京路口一辆白色富 利卡旅行车(车牌号xxxx)被砸，车内700元现金以及价值2000余元 的钢笔和钱包被盗。当月14号晚上7点到7点40，黄皮路康乐幼儿园门口 一广州本田黑色轿车(车牌号xxxx)被砸，车内2000元现金以及银行 卡和证件等物品被盗。当晚8点到9点间，车站路工商银行江北支行门口，一辆宁波吉利美日银灰色轿车(车牌号xxxx)被砸，车内400多元现 金及银行卡、驾照、身份证被盗。,Page,17,时间,地点,被砸车辆,车牌号码,被盗物品,05-06,12:00-15:00,北京大道,银色未来,门口,红色别克轿车,x x x x,女式咖啡色帆布包一个以及银行卡被盗,05-08,18:40-19:30,沈阳街南京,路口,白色富利卡旅,行车,x x x x,车内700元现全以及价值,2000余元的钢笔和钱包,被盗,05-14,19:00-19:40,黄皮路康乐幼,儿，园门口,广州本田黑色,轿车,x x x x,车内2000元，现金以及银行卡和证件等物品被盗,05-14,20:00-21:00,车站路工商银,行江北支行门口,宁波吉利美日,银灰色轿车,x x x x,车内400-500元现金，银 行卡、驾照、身份证被盗,Page,18,收集资料：,2008.12.27晚，在住所,身份证：510222197004090041,车牌：粤B82G00,电脑：sony，VGN-TZ27GN/RET,电话：22360486，13691842777,银行账号：6227007200380168064、4895920301612668,上网方式：szchouhg163.gd，13923408878,Email：gigizhao，gigi and stegmann,gigizhao，chengyingzhu,QQ:531729992，30750877,支付宝：gigi_zhao，kelvin2000105,Page,19,分析环节的工作要点,围绕情报需求,形成完备假设,完成假设论证,进行分析评估,结合情报需求完成描述,Page,20,情报呈送的分析要点,有权原则：对于涉密情报，应通过保密 渠道进行发布，防止情报机密的外泄。,必要原则：如果一份情报报告具有多个用户，应制定书面的发布方案或检查表防止漏发和错发。,时效原则：情报呈送方式应考虑时效。,Page,21,反馈分析工作要点,积极获取反馈意见：,分析过程的改进,分析方法的改进,新的情报分析需求,Page,22,