网络空间指纹：新型网络犯罪研判的关键路径

前言

新型网络犯罪是指利用计算机技术和互联网平台进行犯罪活动的一类犯罪行为，包括网络钓鱼、网络诈骗、恶意软件攻击、黑客入侵、数据泄露等。随着打击治理新型网络犯罪博弈态势的演进，案件研判需要更加高效的治理手段，构建新型网络犯罪防治的全新体系。

网络空间指纹是对涉案网络资产所表现的数字痕迹和服务特征的收集和分析，类似于传统刑事科学的指纹概念，每个网络犯罪活动站点都会在网络空间留下独特的特征。

刑事科学技术：行为与网络指纹概念

行为特征分析

不同的犯罪群体可能表现出基本的独有特征，这些行为特征在网络空间测绘中表现为设备各个端口协议里的banner特征。网络空间测绘常用的通用组件指纹识别就是利用通用组件默认配置特征进行识别。

对于自定义配置的目标资产，不同的群体又可能表现出不一样的独有特征，利用这些行为特征进行网络空间测绘，称为"行为测绘"。

网络指纹的三要素

认知：研判人员分析时认为哪些特征是有用的
特征：从认知出发找出"精准"、"特异"、"不可更改"的组成要素
指纹：将特征进行组合构建

网络资产指纹与传统刑侦指纹类似，需要多个特征进行比对，不能仅凭单个特征判断。

网络指纹的应用场景

随着犯罪团伙反侦察手段升级（如服务迁移到国外云上、通过云网关域名去服务器化、多层跳转等），传统追踪手段难度增大。通过针对存活阶段的H5页面制作专属网络指纹，可以有效关联白名单域名后跳转的真实犯罪站点。

网络空间测绘视角下的案件研判

3W问题

What：是什么（使用的框架、业务系统、服务、端口、开发语言等）
Where：在哪里（资产位置）
Who：属于谁（资产归属）

网络指纹提取方法

SSL/TLS证书指纹
- 提取证书Serial Number、Subject等字段值
- 将证书序列号进行HEX编码作为指纹
- 示例：5F:9A:98:75:AF:8D:F7:68:xx:xx:AA:9A:06:5F:EC:FF → 1270793655660676xxxx2163492096409332991
前端代码片段指纹
- 提取独特的前端JS代码片段
- 示例：url: '/addons/active/index/saveuser.html'
Favicon图标指纹
- 对favicon图标进行mmh3编码
- 示例：iconhash:19675xxx9909
多特征组合指纹
- 组合多个特征提高精准度
- 示例："/addons/active/index/saveuser.html" + "layer.msg('会员账号不正确，不能输入特殊符号或者空格！',"

动态测绘技术

基于网络指纹实现数据订阅
周期性对资产面进行扫描
持续监控涉网新增资产
适用于低频测绘数据分析

基于网络指纹的涉案资产测绘研判框架

核心需求

涉案资产梳理及管理
7×24小时实时监控服务器变化
生成涉案资产服务指纹
识别资产性质（云资产、CDN资产等）
关联国内涉案公司组织架构
高精定位涉案IP地址
快速漏洞响应更新
警务协同研判平台
案件数据可视化

研判流程

线索采集：聚合具有追溯价值的数字线索
数据可视化：清晰展现涉案资产情况
经验转化：将一线经验转化为高效研判能力
快速响应：针对同类网络犯罪模式快速响应

实战案例

案例1：通过SSL证书关联资产

探测目标IP 160.202.xxx.59 发现开放443端口

提取TLS证书信息：

Serial Number: 1270793655660676xxxx2163492096409332991
DNS:61654tyj.cc, DNS:tyj6165.com, DNS:www.61652yh.com...

将序列号HEX编码作为指纹进行全网检索
关联出使用相同证书的其他资产

案例2：通过前端代码关联资产

提取目标JS代码片段：

url: '/addons/active/index/saveuser.html'

全网检索匹配该特征的资产，发现133条记录

增加第二个特征：

layer.msg('会员账号不正确，不能输入特殊符号或者空格！',

组合特征检索，结果减少到94条，精准度提高

案例3：通过Favicon图标关联伪造政府网站

提取伪造政府网站的Favicon图标
进行mmh3编码得到指纹：iconhash:19675xxx9909
全网检索匹配该图标hash的资产，发现93条结果
分析发现多数服务器位于香港，使用Microsoft IIS httpd

后记

网络空间指纹技术将传统刑侦思维与现代网络研判技术相结合，能够高效关联涉案网络资产。随着犯罪手段不断变化，刑侦研判人员需要不断提升网络技术业务能力，构建更加完善的网络犯罪防治体系。

参考资源

网络空间指纹：新型网络犯罪研判的关键路径前言新型网络犯罪是指利用计算机技术和互联网平台进行犯罪活动的一类犯罪行为，包括网络钓鱼、网络诈骗、恶意软件攻击、黑客入侵、数据泄露等。随着打击治理新型网络犯罪博弈态势的演进，案件研判需要更加高效的治理手段，构建新型网络犯罪防治的全新体系。网络空间指纹是对涉案网络资产所表现的数字痕迹和服务特征的收集和分析，类似于传统刑事科学的指纹概念，每个网络犯罪活动站点都会在网络空间留下独特的特征。刑事科学技术：行为与网络指纹概念行为特征分析不同的犯罪群体可能表现出基本的独有特征，这些行为特征在网络空间测绘中表现为设备各个端口协议里的banner特征。网络空间测绘常用的通用组件指纹识别就是利用通用组件默认配置特征进行识别。对于自定义配置的目标资产，不同的群体又可能表现出不一样的独有特征，利用这些行为特征进行网络空间测绘，称为"行为测绘"。网络指纹的三要素认知：研判人员分析时认为哪些特征是有用的特征：从认知出发找出"精准"、"特异"、"不可更改"的组成要素指纹：将特征进行组合构建网络资产指纹与传统刑侦指纹类似，需要多个特征进行比对，不能仅凭单个特征判断。网络指纹的应用场景随着犯罪团伙反侦察手段升级（如服务迁移到国外云上、通过云网关域名去服务器化、多层跳转等），传统追踪手段难度增大。通过针对存活阶段的H5页面制作专属网络指纹，可以有效关联白名单域名后跳转的真实犯罪站点。网络空间测绘视角下的案件研判 3W问题 What ：是什么（使用的框架、业务系统、服务、端口、开发语言等） Where ：在哪里（资产位置） Who ：属于谁（资产归属）网络指纹提取方法 SSL/TLS证书指纹提取证书Serial Number、Subject等字段值将证书序列号进行HEX编码作为指纹示例： 5F:9A:98:75:AF:8D:F7:68:xx:xx:AA:9A:06:5F:EC:FF → 1270793655660676xxxx2163492096409332991 前端代码片段指纹提取独特的前端JS代码片段示例： url: '/addons/active/index/saveuser.html' Favicon图标指纹对favicon图标进行mmh3编码示例： iconhash:19675xxx9909 多特征组合指纹组合多个特征提高精准度示例： "/addons/active/index/saveuser.html" + "layer.msg('会员账号不正确，不能输入特殊符号或者空格！'," 动态测绘技术基于网络指纹实现数据订阅周期性对资产面进行扫描持续监控涉网新增资产适用于低频测绘数据分析基于网络指纹的涉案资产测绘研判框架核心需求涉案资产梳理及管理 7×24小时实时监控服务器变化生成涉案资产服务指纹识别资产性质（云资产、CDN资产等）关联国内涉案公司组织架构高精定位涉案IP地址快速漏洞响应更新警务协同研判平台案件数据可视化研判流程线索采集：聚合具有追溯价值的数字线索数据可视化：清晰展现涉案资产情况经验转化：将一线经验转化为高效研判能力快速响应：针对同类网络犯罪模式快速响应实战案例案例1：通过SSL证书关联资产探测目标IP 160.202.xxx.59 发现开放443端口提取TLS证书信息：将序列号HEX编码作为指纹进行全网检索关联出使用相同证书的其他资产案例2：通过前端代码关联资产提取目标JS代码片段：全网检索匹配该特征的资产，发现133条记录增加第二个特征：组合特征检索，结果减少到94条，精准度提高案例3：通过Favicon图标关联伪造政府网站提取伪造政府网站的Favicon图标进行mmh3编码得到指纹： iconhash:19675xxx9909 全网检索匹配该图标hash的资产，发现93条结果分析发现多数服务器位于香港，使用Microsoft IIS httpd 后记网络空间指纹技术将传统刑侦思维与现代网络研判技术相结合，能够高效关联涉案网络资产。随着犯罪手段不断变化，刑侦研判人员需要不断提升网络技术业务能力，构建更加完善的网络犯罪防治体系。参考资源网络空间测绘技术 SSL证书指纹应用 Kunyu网络空间搜索引擎网络空间测绘实践