联合专案组迅速成立,临时指挥中心设在了刑侦支队的技术办公室。经侦支队派来了两名熟悉商业犯罪调查和审计的同事配合。
陈凯立刻进入了状态,带领技术团队,在两家企业安全人员的配合下,开始海量电子证据的采集和分析工作。
数据量极其庞大,涵盖了服务器日志、网络设备流量记录、终端操作记录、邮件往来、甚至大楼的门禁刷卡记录等等,时间跨度集中在案发前后数周。
这简直是在数据的海洋里捞针。
陈凯直接申请了系统的最高算力支持,启动了“大数据分析”和“电子证据深度恢复”模块。无数条数据流被导入系统,按照预设的入侵特征、异常行为模式进行高速筛选和关联分析。
“访问源IP是伪造的,经过了多次跳转…嗯,用了国外的代理服务器…”
“操作时间模拟了正常管理员的习惯,但细看还是有细微差别,比如命令执行的间隔过于均匀,不像人为操作…”
“在‘微瞳’的一台边缘服务器系统缓存里,发现了一个极其隐蔽的进程残留,疑似用于嗅探和中转凭证的恶意脚本,但已经被清理了…”
陈凯双眼紧盯着多个屏幕,嘴里飞快地报出一个个发现,又一个个被证实难以追踪到底。
对手的反侦察能力超强,清理痕迹的手段非常专业。
时间一分一秒过去,进展缓慢。两家企业不断来电询问进展,无形的压力越来越大。
陆野也没有闲着,他带领周婷和李伟,开始对两家公司内部,有可能接触到核心机密,特别是知晓管理权限的人员进行摸排。名单很长,从CTO、核心架构师到系统管理员、网络安全员,甚至包括一些即将离职或有财务问题的人员。
工作量巨大,且稍有不慎就会打草惊蛇。
就在案情似乎陷入僵局时,陈凯那边突然传来一个声音:“等等!有发现!”
所有人的目光都集中过去。
“我在对比两家公司被入侵时的网络流量基线时发现,”陈凯指着两条几乎重叠的时间轴曲线,“虽然入侵者的IP、手段都做了伪装,但他们发动攻击的‘心跳节奏’…或者说数据包发送的间隔模式和峰值特征,存在高度相似性!极有可能出自同一批人,甚至同一个工具!”
这是行为层面的特征,很难伪装和改变!
“能溯源吗?”陆野立刻问。
“很难,但这是一个重要的关联点!”陈凯兴奋地说,“而且,基于这个行为模式,我重新调整了筛选算法…等等…系统提示,在‘深思数据’一台已被格式化的备份服务器硬盘底层,发现了一段极微弱的、未被彻底擦除的异常网络连接记录!指向一个…本市的IP地址!”
虽然只是一个模糊的IP段,但这无疑是案件发生以来,第一个指向性的线索!
对手再狡猾,终究还是在数据的海洋里,留下了一枚几乎不可见的指纹。
喜欢刑侦天梯请大家收藏:(www.38xs.com)刑侦天梯三八小说更新速度全网最快。