一种智能平台及其在辅助刑侦中的应用方法和系统与流程

1.本发明涉及网络安全技术领域，尤其涉及一种智能平台及其在辅助刑侦中的应用方法和系统。


背景技术：

2.大量刑事大案、要案的侦办都离不开办案勘查取证。办案勘查取证和快速分析能力的建设是紧跟时代发展和法治发展，适应“智慧侦查”发展的需要，尤其是对于日益频发的网络越轨行为，其出现趋势在不断增长，技术也在不断进步，相应的取证分析既要快速，也要保证安全性和隐蔽性，才能够在刑侦过程中起到应有的辅助作用。
3.cn111090779a公开了一种办案勘查取证数据云存储及检索分析方法，基于运用侦查办案中获取的勘查取证大数据，助力引导侦查工作的思路，开展勘查取证数据云系统
‑‑
大数据云存储及速搜关联分析信息系统的建设；在实现办案勘查取证数据云存储的基础上，留出第三方数据接口，对电子数据实现快速搜索和串联分析，通过加强侦查数据信息化建设，收集、分析、研究和利用各种刑事案件勘查取证数据，获得线索证据，及时了解和掌握越轨行为动向、特点及规律，通过数据信息引导侦查，准确研判侦查方向、侦查重点，有效提升侦查能力，有的放矢地开展侦查工作，实现大数据时代下的“智慧刑侦”工作的科学发展。
4.然而侦查目标为了逃避打击，在网络资产上可能会采取“狡兔三窟”的策略，同一伙人的网络资产可能同时存在多个域名多个名字，串并案分析需要人工进行判断，在目标取得突破前人工能关联维度较为单一，而如果无法先成功关联就无法取得突破，成为一个死结。因此，在面对一些错综复杂的案件，如涉案人员多、环节多、案情复杂等尤其是涉及新型网络越轨行为的案件时，如何能够快速梳理人、事、物关系、构建关系网络、刻画团伙架构、呈现越轨行为轨迹，以达到对真正的核心目标的精准锁定和攻击的目的，这也是本领域亟需解决的技术问题。
5.此外，一方面由于对本领域技术人员的理解存在差异；另一方面由于申请人做出本发明时研究了大量文献和专利，但篇幅所限并未详细罗列所有的细节与内容，然而这绝非本发明不具备这些现有技术的特征，相反本发明已经具备现有技术的所有特征，而且申请人保留在背景技术中增加相关现有技术之权利。


技术实现要素：

6.针对现有技术之不足，本发明提供了一种智能平台及其在辅助刑侦中的应用方法和系统，以解决上述技术问题。
7.本发明公开了一种智能平台，其包括用于收集多种类型的情报信息以进行案件的分析预测的情报模块和用于对案件目标执行从信息搜集到权限获取的操作的执行模块。
8.所述情报模块能够基于特定的选取规则提前录入至少部分目标组织和/或人员至重点观察目标范围内，其中，一类重点人员为符合所述情报模块特定的选取规则的人员，和/或指定的人员；二类重点人员为至少与一类重点人员具有特定人物关系的至少部分人
员，所述情报模块获取的包含与资产相关的情报信息能够被所述执行模块利用，以使得所述执行模块在对案件目标进行信息搜集时能够对与目标资产相关联的其他干系目标执行关联及收集操作，以形成图形化关系树。
9.优选地，情报模块可以基于特定的选取规则提前录入至少部分目标组织和/或人员至重点观察目标范围内，以基于其行为趋势以快速判断其是否有执行或有意向执行相关违反国家法律的行为，和/或有参与或有意向参与相关违反国家法律的活动，其中，情报模块特定的选取规则可至少为有越轨行为前科记录的人员及其所在组织和所在组织的其他人员可被情报模块提前录入至重点观察目标范围内。优选地，情报模块还可在特定专题下甄别具有越轨行为趋势的人员，其中，特定专题可例如社会专题、经济政策专题等。进一步地，情报模块可将基于特定的选取规则而录入至重点观察目标范围内的人员至少分为一类重点人员和二类重点人员，情报模块可以对一类重点人员和二类重点人员分别进行不同程度的情报信息收集和分析，其中，一类重点人员为符合情报模块特定的选取规则的人员，和/或管理模块指定的人员；二类重点人员为至少与一类重点人员具有一定人物关系的至少部分人员，人物关系可包括现实空间人物关系和/或网络空间人物关系。
10.进一步地，当二类重点人员在符合特定的选取规则和/或因管理模块的指定而被划分至一类重点人员时，与该人员具有一定人物关系的至少部分人员又可作为相应的二类重点人员被情报模块录入。优选地，当同一人员以不同的人物关系作为不同一类重点人员相关的二类重点人员时，情报模块可基于该人员与相应多个一类重点人员的实际关联性及关系密切程度判断是否将其划分至一类重点人员。优选地，情报模块可将具有实际关联性的多个一类重点人员划分在同一潜在组织中，即潜在组织中的多个一类重点人员可能由于其原本属于同一组织而在未来具有形成新组织的可行性，或基于一个或多个一类重点人员的关系网而聚集起来并在未来具有形成新组织的可行性。进一步地，情报模块可重点收集一类重点人员的相关情报信息，尤其是对于处在同一潜在组织中的多个一类重点人员之间存在频繁联系的情况，和/或对于处在不同潜在组织中的多个一类重点人员突然间建立联系的情况，以及时地掌控各潜在组织的形成情况及联系情况并在其具有形成趋势和/或合并趋势和/或合作趋势时反馈至智能平台中。
11.根据一种优选实施方式，情报模块以动态划分各重点人员类别的方式获取相应的情报信息，并在对情报信息进行分析预测后确定案件的立案情况及立案后案件的重要性程度。
12.根据一种优选实施方式，执行模块基于形成的图形化关系树对关联性相对更高的目标以提高优先级的方式执行攻击操作，其中，所述执行模块针对同一案件的多个目标的优先级排序与该案件形成的图形化关系树相关，所述执行模块在处理多个案件时还需参考各案件的重要性程度。
13.根据一种优选实施方式，各案件的重要性程度由安全模块赋予初始值，并由安全模块根据各案件的变更因素而调整对应的执行模块所负责案件的重要性程度。
14.根据一种优选实施方式，安全模块基于各案件的重要性程度对处理相应案件的所述执行模块授予对应的权能，其中，所述安全模块建立的匿名网络链路能够在所述情报模块进行情报信息收集操作时和/或在所述执行模块进行侦查操作及攻击操作时通过多重加密和多节点跳转的方式对辅助刑侦过程进行掩护。
15.根据一种优选实施方式，安全模块布设于不同地区的若干攻击主机在依据优先级确定对目标进行攻击时，被选定的攻击主机能够通过建立的所述匿名网络链路接收所述执行模块发出的攻击代码，以对目标执行突破攻击，其中，攻击代码能够以随机跳转的方式在所述匿名网络链路中传输，传输所经过的节点能够以可变的方式被所述安全模块所设置。
16.根据一种优选实施方式，执行模块在第一流程对目标网站进行快速信息收集工作，并对目标关联资产进行自动关联以及信息收集；在第二流程对目标进行深度分析，以确定可利用的漏洞；在第三流程基于发现的可利用漏洞进行攻击，以获取目标对应权限或关键数据。
17.根据一种优选实施方式，执行模块执行行动流程所需的工具内置于工具模块中，以使得所述执行模块能够在所述安全模块授权后对所述工具模块中的工具进行调取。
18.本发明还公开了一种智能平台的应用系统，该应用系统至少包括前述的智能平台和与该智能平台关联的协作端，协作端能够接收所述智能平台发起的案件协作请求，并通过与所述智能平台进行信息交互来协助操作人员完成涉案网站的侦查和打击任务。
19.本发明还公开了一种前述的智能平台在辅助刑侦中的应用方法，该应用方法包括如下步骤：情报分析预测：对重点观察目标范围内的目标组织和/或人员进行情报信息收集，基于收集的情报信息对案件进行分析预测，根据动态变化的人物关系限定重点人员的类别，构建相关的现实空间人物关系和/或网络空间人物关系，并基于目标关联资产形成图形化关系树；行动流程：通过第一流程、第二流程和第三流程完成从信息搜集到权限获取的全流程操作，其中，第一流程对目标网站进行快速信息收集工作，并对目标关联资产进行自动关联以及信息收集；第二流程对目标进行深度分析，以确定可利用的漏洞；第三流程基于发现的可利用漏洞进行攻击，以获取目标对应权限或关键数据。
20.本发明构建的智能平台、应用系统及相应的应用方法，在不泄露攻击工具的前提下，能够为操作人员，尤其是区县办案人员，办案赋能。围绕反诈、反赌、反涉网经济越轨行为、反黄，实现中小型案件侦查手段标准化、侦查思路流程化、侦查工具自动化的目标，降低涉网案件侦办门槛，加深涉网越轨行为打击深度，沉淀成熟的办案手段。本发明可成为最高效、最便捷的涉网案件侦办助手，反哺越轨行为预警能力，降低本辖区案发率。
附图说明
21.图1是智能平台在一种优选实施方式中的简化模块连接关系示意图；图2是安全模块优化后的隐蔽链路与现有技术带宽性能对比图；图3是安全模块优化后的隐蔽链路与现有技术延迟性能对比图。
22.附图标记列表100：智能平台；10：情报模块；20：执行模块；30：安全模块；40：工具模块。
具体实施方式
23.下面结合附图进行详细说明。
24.图1是智能平台100在一种优选实施方式中的简化模块连接关系示意图；图2是安
全模块30优化后的隐蔽链路与现有技术带宽性能对比图；图3是安全模块30优化后的隐蔽链路与现有技术延迟性能对比图。
25.本发明公开了一种智能平台100，其至少可以应用于辅助刑侦中。优选地，智能平台100可至少包括情报模块10、执行模块20和安全模块30，其中，安全模块30可以为情报模块10和执行模块20提供更加稳定可靠的安全防护，以保证在辅助刑侦过程中的安全性和隐蔽性。
26.根据一种优选实施方式，智能平台100在辅助刑侦过程中所处理的案件可以是情报模块10基于收集到的情报信息经过分析预测后自动录入的，和/或管理模块30下发的，和/或操作人员手动录入的。
27.优选地，情报模块10可以基于特定的选取规则提前录入至少部分目标组织和/或人员至重点观察目标范围内，以基于其行为趋势以快速判断其是否有执行或有意向执行相关违反国家法律的行为，和/或有参与或有意向参与相关违反国家法律的活动，其中，情报模块10特定的选取规则可至少为有越轨行为前科记录的人员及其所在组织和所在组织的其他人员可被情报模块10提前录入至重点观察目标范围内。优选地，情报模块10还可在特定专题下甄别具有越轨行为趋势的人员，其中，特定专题可例如社会专题、经济政策专题等。
28.进一步地，情报模块10可将基于特定的选取规则而录入至重点观察目标范围内的人员至少分为一类重点人员和二类重点人员，情报模块10可以对一类重点人员和二类重点人员分别进行不同程度的情报信息收集和分析，其中，一类重点人员为符合情报模块10特定的选取规则的人员，和/或管理模块指定的人员；二类重点人员为至少与一类重点人员具有一定人物关系的至少部分人员，人物关系可包括现实空间人物关系和/或网络空间人物关系。
29.优选地，重点人员的现实空间人物关系可基于其生活、学习和/或工作等方面的轨迹进行建立。
30.优选地，相比于现实空间人物关系更为复杂的网络空间人物关系可基于相应重点人员建立的人物库、组织库、虚拟人物暗语破译库等数据库而重构，其中，重构的网络空间人物关系可包括人物画像、信誉评级、人物评级、人员关系、人际关系、时空定位等。
31.进一步地，当二类重点人员在符合特定的选取规则和/或因管理模块的指定而被划分至一类重点人员时，与该人员具有一定人物关系的至少部分人员又可作为相应的二类重点人员被情报模块10录入。
32.优选地，当同一人员以不同的人物关系作为不同一类重点人员相关的二类重点人员时，情报模块10可基于该人员与相应多个一类重点人员的实际关联性及关系密切程度判断是否将其划分至一类重点人员。
33.优选地，情报模块10可将具有实际关联性的多个一类重点人员划分在同一潜在组织中，即潜在组织中的多个一类重点人员可能由于其原本属于同一组织而在未来具有形成新组织的可行性，或基于一个或多个一类重点人员的关系网而聚集起来并在未来具有形成新组织的可行性。
34.进一步地，情报模块10可重点收集一类重点人员的相关情报信息，尤其是对于处在同一潜在组织中的多个一类重点人员之间存在频繁联系的情况，和/或对于处在不同潜
在组织中的多个一类重点人员突然间建立联系的情况，以及时地掌控各潜在组织的形成情况及联系情况并在其具有形成趋势和/或合并趋势和/或合作趋势时反馈至智能平台100中。
35.优选地，情报模块10可获取多种类型的情报信息，通过对各类情报信息进行分析研判活动，以建立智能情报预警机制，其中，可包括基础类情报、动态类情报、预测类情报、人物情报、经济情报、社会情报、军事情报、地理情报、政治情报等深度情报信息中的一种或多种。
36.进一步地，情报模块10可获取上述的至少一种情报信息，以作为原始情报素材进行分析研判活动，其中，所述的分析研判活动均建立在重组的原始情报素材之上。
37.优选地，情报模块10对情报信息的分析可包括：saas虚拟仿真、文件解码、分析、导入导出、格式转换、多语种ocr离线识别、文件邮件附件解析、全文检索等。
38.根据一种优选实施方式，情报模块10基于收集到的情报信息经过分析预测后可确定对于目标是否进行立案，其中，立案的对象可包括在网络中执行越轨行为的人员、上述人员所在组织、上述人员所使用的工具等。越轨行为是指违反一定社会的法律法规、行为准则、价值观念或道德规范的行为。由于传统越轨行为正向涉网化发展，网络越轨行为事件频发，电信网络诈骗案件高位运行，而利用网络实施的诈骗和赌博越轨行为也持续高发，因此，情报模块10立案的目标可包括如上述人员所使用的app和/或网站等工具。
39.优选地，对于部分未被情报模块10所采集到相关情报信息而进行立案的目标，可由操作人员手动录入，其中，操作人员手动录入的案件可依据相关受害人员的报案信息、相关涉案人员的坦白信息、相关线人的线索信息等进行立案。
40.优选地，智能平台100在完成网络越轨行为相关的辅助刑侦过程时可通过执行模块20对立案案件完成从信息搜集到权限获取的行动流程，其中，执行模块20可依次进行针对越轨行为的第一流程、第二流程和第三流程。优选地，执行模块20在执行第一流程时可完成快采快勘工作，以执行对目标的快速信息收集工作，并对目标关联资产进行自动关联以及信息收集；执行模块20在执行第二流程时可完成目标刺探工作，通过目标进行深度分析，以确定可利用漏洞；执行模块20在执行第三流程时可完成远程取证工作，基于多种攻击方式获取到目标对应权限或关键数据。进一步地，执行模块20可通过第一流程完成目标的与网络相关的各类数据信息的搜集，以便于对网络越轨行为的刑侦工作进行辅助，当情报模块10在前期情报收集过程中需要安全、隐蔽地获取目标的与网络相关的数据信息时，也可驱动执行模块20代为执行快采快勘操作，以完成快速网络信息收集工作。
41.上述第一流程中，系统在进行快速信息收集过程中，能够对目标关联资产进行自动关联以及信息收集，以形成以目标以及目标关联方展开的资产关系树，并且针对产生的目标关联资产关系树进行分析以形成用于第二流程的目标刺探方向。例如，大部分诈骗网站同时具备多个参与团伙，即网站拥有方、技术提供方和服务提供方等等，他们之间的关系复杂且具备关联的资产关系，本系统能够自动关联目标对象（例如网站拥有方）相关联的所有资产（例如技术提供方、服务提供方的资产以及资产关系），并且形成关系树，从而能够从资产关系信息中分析出合理的刺探方向，例如一些显性规律的资金流动可以被选择为刺探方向。
42.根据一种优选实施方式，为了实现安全、隐蔽地获取目标的与网络相关的数据信
息，智能平台100配置的安全模块30可具有隐蔽攻击路径的功能，即安全模块30可建立安全、稳定、可靠、易用的匿名网络链路，以至少保证执行模块20在全流程操作过程中的安全、隐蔽和防溯源。安全模块30可采用多重加密技术和多节点跳转，以隐藏网络真实物理出口ip地址，为辅助刑侦过程提供了安全掩护。
43.安全模块30针对执行模块20通过中心服务、代理服务、目录服务、过墙服务、中继服务和出口服务的六个分模块来实现隐蔽攻击路径功能，进而实现对攻击主机的管理，以实现操作人员在侦查目标时的隐蔽性和稳定性，其中，中心服务分模块可提供匿名链路的中心服务；代理服务分模块可实现随机分配和优化匿名链路之间网络节点的连接；目录服务分模块可对获取到网络传输协议加密封装；过墙服务分模块可绕过国内防护墙的防护，实现对网络屏障的穿透；中继服务分模块可实现网络传输中节点的自动跳转；出口服务可实现网络出口节点的随机跳转。在不进行手动配置时，安全模块30可自动选择最优链路，保障操作人员和智能平台100访网隐匿，也可手动对链路进行修改、设置、停用等操作。
44.根据一种优选实施方式，目前本领域中隐蔽链路解决方案都存在隐蔽性和带宽不可兼得的问题。除此之外，在实践中还发现存在网络节点伸缩性差、部署困难、中心化、单点故障等严峻问题。例如，本领域中常见的隐蔽链路解决方案可包括基于tor网络组网方式、基于ss/ssr/v2ray多级跳转方式和基于加密方式的多级跳转方式，三种隐蔽链路解决方案均存在上述的问题。
45.本发明的安全模块30是基于区块链组网，完全去中心化，可弹性扩容的高速安全的通信网络产品，其相比于上述常见的隐蔽链路解决方案具有如下优势：其隐蔽性高，带宽大，带宽可动态配置；其链路可动态扩容，网络节点可随时加入网络或者离开网络；其安全且私密的“无中央服务器”通信，完全去中心化组网。
46.进一步地，安全模块30使用网络聚合加速技术，使多路径传输数据成为可能，让同一数据块原本在单节点间传输变为多节点之间传输，极大提升了网络带宽。
47.进一步地，安全模块30基于dht，使用新一代路由算法，通过邻居查找最优节点，使其到达目标的延迟大大减小。
48.进一步地，安全模块30可提供或获取中继传输证明，拥有一套数据传输签名链。而传统隐蔽链路方案，不会对伪造流量进行校验，存在一定的不安全性。在中继传输证明存在的情况下，攻击者只有拥有所有路由节点的私钥才可能伪造签名链，其大大提升了链路传输的安全性和可信性。
49.优选地，安全模块30部署于具有执法权限的主管单位。
50.进一步地，安全模块30可给多个执行模块20配置多级跳转的方式，与传统方案不同的是支持动态跳转，此外，同一目标下次中继节点可能会发生改变，使链路传输具有不确定性，并且优选地，最低是5级跳转，极大增加了链路的隐蔽性。
51.优选地，安全模块30构建的匿名网络链路可用于执行模块20的不同行动流程中。
52.优选地，执行模块20部署于经授权来执行侦查打击任务的人员设备处。多个执行模块20分别部署于多个位置，这些执行模块20可具有不同权限。此外，依据部署相应执行模块20的位置可确定当前执行模块20的“实力”，即，相应执行模块20所在单位的实力，其根据所在单位的编制确定。
53.优选地或另选地，智能平台100的执行模块20与攻击主机可以分属不同实体服务
器或服务器集群，例如该执行模块20本身就是一台服务器。优选地或另选地，执行模块20可以与攻击主机是同时部署于同一实体服务器上的两台虚拟机。另选地或另选地，该执行模块20可以是攻击主机上的应用程序，其针对攻击任务进行配置，例如构建攻击环境、形成攻击脚本并收集攻击用数据，例如按需搭建攻击用虚拟机作为攻击主机。
54.优选地，处在第一流程的执行模块20可完成ip定位分析、域名解析分析、网站备案信息分析、域名信息分析、网站指纹分析、威胁情报分析等操作的一种或多种。
55.优选地，针对操作人员填入的其他重要线索，执行模块20也会进行同步分析（例如通过指令攻击主机执行相关任务），分析内容可包含人员信息分析和串并案关联分析。
56.优选地，针对操作人员传入智能平台100内部的apk软件包，执行模块20支持自动对包进行解密、脱壳、解压、搜索分析。
57.优选地，执行第二流程的执行模块20（例如通过指令使攻击主机执行相关任务），可深度分析目标的开放端口、运行服务、web中间件、web框架、开源程序、可利用的漏洞等，以梳理最全攻击面为目标进行目标刺探工作。
58.优选地，执行模块20也可以利用自身内置的漏洞扫描器可支持多线程的目标信息刺探，通过非常轻量级地发包，使得目标刺探过程的速度快，且对目标影响小。
59.优选地，针对windows主机、linux主机、web站点、网络设备等各类目标，执行模块20也可快速地分析出端口对应的协议信息，确定目标主机各项信息，并将结果生成报告快速返回展示在智能平台100内。此类分析工具并非攻击性质的，而是常见的软件工具。但智能平台100的安全模块30也可对此类行为进行审计。
60.不同于普通漏洞扫描工具，智能平台100可以预置具有攻击效果的漏洞探测引擎（有威胁的攻击工具），例如通过模拟网络中的漏洞环境，将漏洞复现流程代码化，实现自动化漏洞验证，精准判断目标对象是否存在可利用的漏洞，帮助侦查人员快速发现目标的突破口，此类工具现在已经有大量现有技术，本发明文本本身并非对攻击工具的改进。根据本发明，智能平台100将此类漏洞探测引擎（有威胁的攻击工具）以及其配置数据存放在上级主管单位且具备更高防御能力的服务器内，仅当需要执行攻击时，才由安全模块30向至少一个执行模块20提供相关工具，且优选以加密加壳的方式提供给执行模块20，由执行模块20将收到的加密加壳的数据包连同脚本一起部署于攻击主机，由攻击主机执行相关任务。
61.优选地，执行模块20可通过提供经加密之后的数据给攻击主机，以便对目标刺探出来的漏洞进行“实际攻击利用的难易程度”及“获取到的shell权限高低”进行判别，并在需要执行远程取证时利用不同的漏洞利用工具，以获取到目标对应权限或关键数据。
62.优选地，执行第三流程的执行模块20（例如通过攻击主机）可采取多种攻击方式，例如，中间件漏洞攻击、框架漏洞攻击、集成环境漏洞攻击、开源程序漏洞攻击、cms漏洞攻击、暴力破解攻击、nday漏洞攻击、0day漏洞攻击等。
63.进一步地，智能平台100针对java中间件、php集成环境或各类开源程序等集成了对应的漏洞特征和利用代码，使操作人员可快速且便捷地获取目标主机权限。但是在本发明中，仅当需要执行攻击时，才由安全模块30向至少一个执行模块20提供相关工具，且优选以加密加壳的方式提供给执行模块20，由执行模块20将收到的加密加壳的数据包连同脚本一起部署于攻击主机，由攻击主机执行相关任务。
64.优选地，安全模块30的管理程序可以包括动用管理、工具管理、工具库管理、报警
管理、侦查管理。例如，借助于安全模块30的报警管理程序，在智能平台发现有超越权限访问攻击主机或数据破解运行时（例如借助于搭载工具脚本的攻击主机cpu占用时长超出正常阈值），可以通过报警管理程序来对可能的攻击工具泄露而执行报警。优选地，为了保障攻击主机防溯源和快速完成痕迹清理工作，安全模块30在构建匿名网络链路的同时，采用了分布式攻击主机与攻击任务动态下发相结合的技术以保证其安全性。
65.优选地，智能平台100可关联全球若干个攻击主机，并通过隐蔽链路与其进行心跳通信，所有攻击主机内不配置任何攻击工具，仅搭建攻击脚本需要运行的环境。当接到攻击指令后，智能平台100可根据动用管理执行结果来自动选择最优攻击主机，将攻击代码下发至攻击主机内，同时锁定该台主机防止其他用户使用。攻击主机接受到攻击指令和攻击代码后，开始执行目标攻击任务，将执行结果返回给智能平台100，同时还原主机清理痕迹并解锁主机。优选地，在全球可配置有20余个攻击主机。优选地，不配置攻击工具、仅搭建攻击脚本需要运行的环境的若干攻击主机可分布在至少两个地区，例如分布于两地的至少两个执行模块20。
66.安全模块30通过分布式技术和任务下发技术也可共同保障攻击机的安全，例如经由部署位置不同的执行模块20来向不同攻击主机下发。各个执行模块20执行侦查与打击需要调用的工具受到安全模块30的管理、监督以及事后监管。任务下发过程中，智能平台100的安全模块30选择的攻击主机（其上可搭载智能平台100的执行模块20）具有受到动用管理支配的随机性，配合隐蔽攻击路径功能可以有效降低与智能平台100关联的攻击主机对攻击工具溯源的可能性；且所有与智能平台100关联的攻击主机（其例如与执行模块20同为搭载于同一实体主机的虚拟机）在执行完侦查任务后均会自动进行重置还原操作，能有效阻断双向溯源发生。
67.由于涉网越轨行为产业链较为庞大，有提供网站/app搭建的技术供应商、提供服务器租赁的数据服务商、有提供网银支付的第三方、第四方等，因此，智能平台100设置有主要越轨行为产业链服务商漏洞利用工具或数据获取工具，并设置有平台数据库，以帮助操作人员精准落查，快速取证。
68.根据一种优选实施方式，数十个攻击工具可配置于工具模块40中，以便于执行模块20基于不同的行动流程快速选择相应的工具。
69.智能平台100的安全模块30借助于工具管理程序和工具库管理程序对工具模块40中的攻击工具的性能和类型进行展示，并将调用行为转交给动用管理程序进行记录。
70.优选地，将智能平台100的各环节和各流程模块组件化，虽然给足操作人员自由创作空间，但也避免了工具滥用和泄露。在保障智能平台100操作下限的前提下，提高使用上限，让具有技术基础的操作人员不再受限于智能平台100固定的流程，在经法定授权机构的许可范围内拓展出更多条涉案网站打击思路。还可以针对相同架构的网站设计“配套”的打击流程，方便以后快速打击。
71.智能平台100的安全模块30通过工具管理程序和工具库管理程序对工具模块40进行管理的内容包括：工具完整性检查、访问权限检查、工具调用记录检查、工具访问记录检查，其中，核心组件和辅助组件分别得到可追溯的审计记录。优选地，工具模块40可具有自定义功能，使得智能平台100的行动流程多样化。智能平台100可将行动流程中所需要的部分功能打包成多个组件，例如探测器、端口扫描器、服务扫描器、目录扫描器、爬虫、状态码
查询器等。智能平台100可将各类漏洞测试组件和攻击组件打包实装。操作人员可以自行制定每个组件的先后顺序，将不同的功能组件进行合理排列组合后形成全新的攻击方式。漏洞测试组件和攻击组件中不仅包含了大量的nday和框架漏洞攻击代码，还包含了sql注入、暴力破解、目录浏览、文件包含等常规漏洞。
72.操作人员在使用自定义功能形成全新的行动流程并完成相应的案件侦查后，智能平台100可以对上述行动流程的组成排序方式进行保存和分享，以使得该操作人员或其他操作人员在使用智能平台100处理同类网站时，能够更加快速、直接地制定相应的打击方案，并对同类网站的打击结果进行归纳总结，通过比较、筛选、改进等方式得到更优的行动流程。
73.优选地，智能平台100还可包括若干例如是输入组件、输出组件、筛选器、过滤器、集成器、转换器等辅助组件中的一种或多种。
74.优选地，所述执行模块20在对目标执行相应指令操作时，所述安全模块30基于目标所需配置的链路的匿名防溯等级而建立能够达到相应隐蔽性和防溯源性的匿名网络链路，其中，所述安全模块30能够在相应传输间隔通过改变中继节点的数量和/或位次的方式对建立的链路进行调整，中继节点的数量和/或位次的改变方式至少基于相应的匿名防溯等级而确定，匿名防溯等级至少是基于所述执行模块20所执行的不同行动流程而确定的。例如，执行模块20执行依据其权限、侦查和打击任务来划分的第一、二、三流程时，给予执行模块20不同的匿名防溯等级，以便于不仅防止侦察目标有所警觉，而且也要避免攻击武器及其攻击方式被执行模块20（例如部署于具体执行人员的设备处）所详细掌握，进而造成其他不良影响。换言之，本发明除了实现现有技术所追求的规避追溯之外，还通过“匿名防溯”避免攻击武器外泄，特别是防止攻击武器的攻击方式外泄，进而对网络安全环境以及今后侦查造成不利影响。
75.优选地，在执行模块20执行对目标进行快速信息收集工作的第一流程时，由安全模块30设定针对侦察目标的第一匿名防溯等级，其中，执行模块20响应于安全模块30下发的侦查指令，执行与侦查指令相关的快速信息收集工作。优选地，侦察目标的相关私人信息可以采用加密，尤其是非对称加密方式以系统独占权限提供给执行模块20，以便由执行模块20按照防止部署了执行模块20的人员追溯侦察目标的相关私人信息的方式对目标进行快速信息收集工作。通过以上措施，执行模块20即便采取管理员权限也不能改写侦察目标的相关私人信息，避免了张冠李戴地错误选定侦查对象的同时，也让执行模块20及部署其的操作终端不具备直接掌握侦察目标的私人信息，确保执法合法合规且尊重公民的私人隐私。优选地，在执行模块20执行与侦查指令相关的快速信息收集工作时，在由安全模块30向至少一个执行模块20下发侦查指令之时，相应执行模块20响应于侦查指令之收到，将其快速信息收集工作的执行加以记录，并按照带有时间戳的反馈记录的形式提交给安全模块30，使得安全模块30按照时间相关的方式来记录相应执行模块20的执行对指定目标的快速信息收集工作的第一流程之过程。换而言之，安全模块30针对“针对目标执行的快速信息收集工作”采取了“动用管理”，使得每一次的动用均按照时间、动作和执行模块20相关联的方式得以追溯。
76.优选地，在执行模块20执行对目标进行深度分析的第二流程时，由安全模块30设定针对深度分析工具的第二匿名防溯等级，其中，执行模块20响应于安全模块30下发的深
度分析指令，执行与深度分析指令相关的深度分析工作，其中，在执行所述深度分析工作之前，所述安全模块30还根据其给相应执行模块20所设定的权限以及操作该执行模块20的人员的权限来调整第二匿名防溯等级的具体配置。由于对目标进行深度分析需要动用的侦查工具可能具有针对计算机信息系统的高破坏性，因此动用此类侦查工具之前，由安全模块30对相应执行模块20的或对其预设的权限进行检查，并根据检查确定的相应执行模块20当前权限并结合相应执行模块20及其部署所在单位的实力来应用调整具体配置之后的第二匿名防溯等级。根据本发明，优选地，针对“执行对目标进行深度分析的第二流程”所需要动用的工具的网络危害性，由安全模块30结合相应执行模块20及其部署所在单位的实力来设定针对深度分析工具的第二匿名防溯等级或者调整第二匿名防溯等级的具体配置，从而安全模块30以相应执行模块20及其部署所在单位的运算能力来评估并应用针对深度分析工具所采取的安全措施。由此，在运行效率与匿名防溯之间，找出最经济、快速，也较安全的部署方案。优选地或替代地，安全模块30针对执行所述第一流程之后所确定的目标来确定的第二匿名防溯等级；对于侦查急迫性更高的目标，不宜采用层层加壳的加密措施，这是因为过高运算开销造成深度分析工具运行速度过慢，导致丧失对目标侦查的实时性。替代地，根据本发明的安全模块30针对第一流程所确定的侦查急迫性更高的目标，向相应执行模块20给予或授权以用后即毁的深度分析工具，其中，在侦查急迫性更高的目标之时，由安全模块30接管用后即毁的深度分析工具的至少部分参数的配置工作，或者由安全模块30将预先配置好的用后即毁的深度分析工具下发至执行模块20例如采用用后即毁的虚拟机形式。
77.优选地，在执行模块20执行用于获取目标对应权限或关键数据的第三流程时，由安全模块30设定第三匿名防溯等级，其中，由安全模块30针对获取权限或关键数据的工具的危险性来给执行模块20及其搭载的数据和当前工具设定第三匿名防溯等级，其中，在第三匿名防溯等级下，该安全模块30可以将获取目标对应权限或关键数据的部署在第一执行模块，而将作为目标的嫌疑主机权限信息以及从该目标获取的关键数据分别加载至部署位置不一致的第二执行模块，其中，第一执行模块与第二执行模块之间存在由安全模块30就节点数量和次序加以管理的若干中继节点，从而在第三匿名防溯等级下，执行所调用的中继节点数量和位次对于第一和第二执行模块而言也是匿名且不可溯的。优选地，情报模块10也可采用安全模块30建立的匿名网络链路进行情报信息的收集，以保证智能平台100在情报信息收集过程中的安全性和隐匿性，其中，对于大众情报信息的收集可不用或尽量少地使用安全模块30建立的匿名网络链路，而对于重点观察目标范围内的各目标的信息收集可选择性地使用安全模块30建立的匿名网络链路，尤其是对于具有网络相关技术的重点人员和/或反侦察意识较强的重点人员，可较多地使用安全模块30建立的匿名网络链路，以避免情报信息收集过程中被其发现而影响后续的侦查过程。
78.进一步地，情报模块10的目标通常是还未立案的案件，其可以对于重点观察目标范围内的重点目标赋予临时案件的临时案号，对于大众目标赋予公共案件的公共案号，以便于案件的管理和安全模块30的节点划分。
79.进一步地，安全模块30可基于智能平台100所处的侦察环境而对建立的匿名网络链路进行动态调整，其中，安全模块30可随时扩容；可选择出口国家并可以定时切换；可根据网络容量和路由动态分配链路跳转次数；还可根据预设的或手动输入的阈值对带宽进行限制并基于使用需求进行调整。
80.优选地，对于准备和正在执行远程取证的执行模块20，安全模块30除了为其配置相应匿名防溯等级的链路之外，还可利用多个搭建攻击脚本需要运行的环境的攻击主机（可以为虚拟机）来执行攻击工具的应需配置（on-demand），在保证攻击主机临时搭载的搭建攻击脚本得到其运算能力相符的加密的情况下，由执行模块20指令相应至少一个攻击主机执行对指定目标的攻击。根据本发明，仅搭建攻击脚本需要运行环境的攻击主机仅在执行攻击任务时才在指定时间段内加载攻击工具及工具数据，且其执行不依赖于操作人员，而是源自智能平台100的执行模块20的指令和数据，而智能平台100的执行模块20是以系统权限（对操作人员而言匿名）登录攻击主机的，由此除了加密、加壳的措施之外，本身也可以避免经加密的攻击工具及工具数据被攻击主机所泄露。特别是，当执行模块20以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的攻击主机提供攻击工具时，执行模块20本身无法从庞大数据中提取出攻击工具，而攻击主机在执行完毕之后执行自毁程序，将使得攻击工具停留在虚拟环境内，无法被操作人员所掌握。由此在安全模块30、执行模块20和攻击主机之间形成了破解难度相对很高的“三体问题”，达成了对攻击工具的有效“动用管理”。
81.优选地，当接到法定有权侦查的用户的攻击需求后，安全模块30可根据动用管理执行结果来自动选择最优攻击主机，将攻击代码下发（通过相应执行模块20）至攻击主机内。此时，安全模块30可锁定该攻击主机为“繁忙”状态，防止该法定有权侦查的用户的其他案件或其他相似用户使用。该法定有权侦查的用户在同步进行其他侦查过程而需要使用正在执行攻击任务的主机时，智能平台100可推荐用户选择备选攻击主机或等待最优攻击主机任务执行完成后再使用，智能平台100对上述两种方案的推荐依据可基于待侦查案件的时效性及备选攻击主机的差异幅度，其中，备选攻击主机的差异幅度是备选攻击主机与最优攻击主机完成相同目标的攻击任务所存在的数值化结果差值，智能平台100可设置有相应的差值阈值，以判断选用备选攻击主机执行攻击任务的可行性。
82.优选地，智能平台100通过安全模块30配置的具有相应匿名防溯等级的链路实现与攻击主机的心跳通信，并将攻击代码通过链路下发至选择的攻击主机。进一步地，具有中继传输证明的匿名网络链路可拥有一套数据传输签名链，以至少保证攻击代码下发时链路传输的安全性和可信性。
83.进一步地，在进行链路传输时，安全模块30可基于匿名防溯等级灵活改变链路的中继节点，以使得针对同一目标的链路传输具有不确定性，从而提高链路的隐蔽性。本发明的安全模块30通常会配置至少5级跳转的链路，使得在通讯起点至通讯终点之间存在若干中继节点，为保证链路的隐蔽性，安全模块30能够在任意传输间隔灵活改变链路的至少一个中继节点，使得整个链路的跳转方式发生改变，其中，安全模块30可根据当前操作所需的链路的匿名防溯等级而确定中继节点的改变数量和/或位次。中继节点的位次受限于通讯起点至通讯终点之间链路的连接关系，越靠近通讯起点的中继节点位次越低，越靠近通讯终点的中继节点位次越高，随着链路中至少一个中继节点的改变，其他中继节点的位次可能会同步发生改变，同一中继节点在不同的链路中可具有不同的位次。优选地，链路改变的频率至少可基于匿名防溯等级而灵活调整。优选地，在链路中具有更大位次的中继节点可具有相比于具有更小位次的中继节点更频繁的改变频率，且多次通讯后，通讯起点至通讯终点之间链路所经过的中继节点将全部被改变，以保证链路传输的安全性和隐蔽性。安全
模块30通过调控各中继节点的使用状态及改变频率，使得智能平台100可以对案件处理顺序进行更好地分配，尤其是对于不同案件赋予了相应的重要性程度，使得即使短时间堆积了很多的案件，也能够基于安全模块30在时间序列上的节点分配完成案件处理顺序的排列。
84.优选地，当涉网案件立案数量较多时智能平台100可对案件的重要性程度进行排序，并可优先处理重要性程度更高的案件，其中，同一案件的重要性程度是可以灵活调整的。优选地，案件的重要性程度可以基于情报模块10获取的情报信息而确定。优选地，案件的重要性程度也可称为案件侦查的急迫性。进一步地，同一案件的重要性程度可基于涉案人数、受影响范围、技术先进性和/或时效性等因素进行调整，其中，同一案件的重要性程度至少是随受理时间的延长而逐步提高的，考虑时效性因素的智能平台100可避免部分初始重要性程度较低的案件不断被初始重要性程度较高的案件“插队”，而被拖延超出最佳侦查时机，尤其是对于部分app/网站可能只在某一时间段可有效访问，超出最佳侦查时机后再进行侦查时已无法访问。进一步地，时效性因素对案件重要性程度的影响可以呈非线性的同步增长关系，其中，随着受理时间的延长，每延长一个单位的时间，案件的重要性程度能够以相比于前一单位时间具有更大的增长幅度的方式进行提高。优选地，案件重要性程度可随受理时间的延长呈指数形或类指数形增长。优选地，操作人员和/或主管单位可自定义各案件的重要性程度。
85.根据一种优选实施方式，部署于具有执法权限的主管单位的安全模块30可在执行模块20执行行动流程前获取加密后的批准指令，并依据相匹配的密钥进行解密后获取执行相应操作的权限，其中，批准指令可包含允许执行的指令、允许执行的主机和/或允许执行的对象。执行模块20执行的所有指令都是经过主管单位批准后获得许可的且合法的。
86.优选地，安全模块30能够将数量和位次匹配于批准指令内容的若干中继节点分配至相应的执行模块20，以构建出多条互不干扰的独立链路。
87.优选地，安全模块30对中继节点的分配可基于不同执行模块20所在单位的实力及其负责案件所处行动流程的匿名防溯等级而确定，以使得中继节点被合理分配。安全模块30可基于任一执行模块20所在单位的实力的改变和/或任一执行模块20负责案件的改变而动态调节中继节点的分配方式，并使得执行模块20获得的中继节点的数量和/或位次改变时，重新以另一套跳转方式完成链路构建。
88.优选地，执行模块20负责案件的重要性程度可影响安全模块30对中继节点的分配。
89.进一步地，执行模块20在完成行动流程后能够将与时间关联的证据以绑定加密密钥的方式发送至部署有安全模块30的主管单位，以完成案件报告及存档。安全模块30可基于案件完成情况而调整后续中继节点和攻击主机的分配倾向。
90.优选地，上级主机可以对情报模块10的人员选取规则进行制定、修改和删除，并能够直接地对部分人员的类别进行调整。
91.优选地，智能平台100可基于各案件的重要性程度给出相应的侦查建议，例如，可以同时执行重要性程度相对较高和相对较低的多个案件，以合理且高效地使用智能平台100。执行模块20在第一流程中获得若干涉案网站信息后，可自动与历史侦查数据进行关联，对同类涉案网站（网页特征、域名）、同类涉案人员（虚拟id、手机号、身份证号、银行卡）
多维度关联分析，以判断是否存在串并案情况。由于串并案通常涉案人员多，涉案金额大，涉及面广，影响恶劣，社会危害严重，执行模块20在判断存在串并案情况时，能够将多个存在关联的案件合并侦查，同时对合并形成的系列案重新赋予重要性程度，其中，串并案的重要性程度相比于单个案件通常更高。
92.根据一种优选实施方式，本发明还公开了一种智能平台100的应用系统，其可以包括智能平台100及与智能平台100关联的协作端，以使得在智能平台100无法提供有效帮助或提供的数据不够充分，操作人员可以申请进行案件协作。进一步地，操作人员在发起协作后，智能平台100会自动将行动流程的各分流程中所产生的报告同步发送给使用协作端的协作者，以使得协作者可协助操作人员进一步完成涉案网站打击任务。
93.优选地，协作者可通过协作端接收智能平台100发起的案件协作请求，并可在协作过程中将进行的关键节点、取得的阶段性突破、获取到的关键数据等反馈至智能平台100，以帮助操作人员快速进行扩散侦查。在协作完成后，可由协作者向智能平台100提交完整的协作报告，以帮助案件归档和复盘。
94.根据一种优选实施方式，本发明还公开了一种智能平台100在辅助刑侦中的应用方法，其可包括如下步骤：情报分析预测：对重点观察目标范围内的目标组织和/或人员进行情报信息收集，基于动态变化的人物关系限定重点人员的类别，并构建相关的现实空间人物关系和/或网络空间人物关系；行动流程：通过第一流程、第二流程和第三流程完成从信息搜集到权限获取行动流程，其中，第一流程可对目标网站进行快速信息收集工作，并对目标关联资产进行自动关联以及信息收集；第二流程可对目标进行深度分析，以确定可利用的漏洞；第三流程可基于发现的可利用漏洞进行攻击，以获取目标对应权限或关键数据。
95.需要注意的是，上述具体实施例是示例性的，本领域技术人员可以在本发明公开内容的启发下想出各种解决方案，而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白，本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。本发明说明书包含多项发明构思，诸如“优选地”、“根据一个优选实施方式”或“可选地”均表示相应段落公开了一个独立的构思，申请人保留根据每项发明构思提出分案申请的权利。在全文中，“优选地”所引导的特征仅为一种可选方式，不应理解为必须设置，故此申请人保留随时放弃或删除相关优选特征之权利。